Red Hat Training

A Red Hat training course is available for RHEL 8

Configuração e gerenciamento da Gestão de Identidade

Red Hat Enterprise Linux 8

Configuração, gerenciamento e manutenção do Gerenciamento de Identidade no Red Hat Enterprise Linux 8

Resumo

Esta coleção de documentação fornece instruções sobre como efetivamente configurar, gerenciar e manter o Gerenciamento de Identidade no Red Hat Enterprise Linux 8.

Tornando o código aberto mais inclusivo

A Red Hat tem o compromisso de substituir a linguagem problemática em nosso código, documentação e propriedades da web. Estamos começando com estes quatro termos: master, slave, blacklist e whitelist. Por causa da enormidade deste esforço, estas mudanças serão implementadas gradualmente ao longo de vários lançamentos futuros. Para mais detalhes, veja a mensagem de nosso CTO Chris Wright.

Fornecendo feedback sobre a documentação da Red Hat

Agradecemos sua contribuição em nossa documentação. Por favor, diga-nos como podemos melhorá-la. Para fazer isso:

  • Para comentários simples sobre passagens específicas:

    1. Certifique-se de que você está visualizando a documentação no formato Multi-page HTML. Além disso, certifique-se de ver o botão Feedback no canto superior direito do documento.
    2. Use o cursor do mouse para destacar a parte do texto que você deseja comentar.
    3. Clique no pop-up Add Feedback que aparece abaixo do texto destacado.
    4. Siga as instruções apresentadas.
  • Para enviar comentários mais complexos, crie um bilhete Bugzilla:

    1. Ir para o site da Bugzilla.
    2. Como Componente, use Documentation.
    3. Preencha o campo Description com sua sugestão de melhoria. Inclua um link para a(s) parte(s) relevante(s) da documentação.
    4. Clique em Submit Bug.

Capítulo 1. Login para Gerenciamento de Identidade a partir da linha de comando

A Gestão de Identidade (IdM) usa o protocolo Kerberos para suportar o sign-on único. Single sign-on significa que o usuário digita o nome de usuário e senha corretos apenas uma vez, e então acessa os serviços da IdM sem que o sistema solicite novamente as credenciais.

Importante

Na IdM, o System Security Services Daemon (SSSD) obtém automaticamente um ticket-granting ticket (TGT) para um usuário depois que o usuário faz o login com sucesso no ambiente de trabalho em uma máquina cliente IdM com o nome principal correspondente Kerberos. Isto significa que após o login, o usuário não é obrigado a usar o utilitário kinit para acessar os recursos da IdM.

Se você tiver liberado seu cache de credenciais Kerberos ou se seu Kerberos TGT tiver expirado, você precisa solicitar um bilhete Kerberos manualmente para acessar os recursos da IdM. As seções seguintes apresentam operações básicas do usuário ao usar o Kerberos no IdM.

1.1. Usando kinit para fazer o log in manualmente no IdM

Este procedimento descreve o uso do utilitário kinit para autenticar manualmente para um ambiente de Gerenciamento de Identidade (IdM). O utilitário kinit obtém e armazena um bilhete de passagem Kerberos (TGT) em nome de um usuário IdM.

Nota

Use este procedimento somente se você tiver destruído seu Kerberos TGT inicial ou se ele tiver expirado. Como um usuário IdM, ao entrar em sua máquina local, você também estará automaticamente entrando na IdM. Isto significa que, após o login, você não é obrigado a usar o utilitário kinit para acessar os recursos da IdM.

Procedimento

  1. Para fazer login na IdM

    • sob o nome do usuário que está atualmente logado no sistema local, use kinit sem especificar um nome de usuário. Por exemplo, se você estiver logado como example_user no sistema local:

      [example_user@server ~]$ kinit
      Password for example_user@EXAMPLE.COM:
      [example_user@server ~]$

      Se o nome do usuário local não corresponder a nenhuma entrada de usuário no IdM, a tentativa de autenticação falha:

      [example_user@server ~]$ kinit
      kinit: Client 'example_user@EXAMPLE.COM' not found in Kerberos database while getting initial credentials
    • usando um Kerberos principal que não corresponde ao seu nome de usuário local, passe o nome de usuário requerido para o utilitário kinit. Por exemplo, para fazer o login como usuário admin:

      [example_user@server ~]$ kinit admin
      Password for admin@EXAMPLE.COM:
      [example_user@server ~]$
  2. Opcionalmente, para verificar se o login foi bem sucedido, use o utilitário klist para exibir o TGT em cache. No exemplo a seguir, o cache contém um ticket para o principal example_user, o que significa que neste host em particular, apenas example_user está atualmente autorizado a acessar os serviços da IdM:

    $ klist
    Ticket cache: KEYRING:persistent:0:0
    Default principal: example_user@EXAMPLE.COM
    
    Valid starting     	Expires            	Service principal
    11/10/2019 08:35:45  	11/10/2019 18:35:45  	krbtgt/EXAMPLE.COM@EXAMPLE.COM

1.2. Destruir o bilhete Kerberos ativo de um usuário

Esta seção descreve como limpar o cache de credenciais que contém o bilhete Kerberos ativo do usuário.

Procedimento

  1. Para destruir seu bilhete Kerberos:

    [exemplo_utilizador@servidor ~]$ kdestroy
  2. Opcionalmente, para verificar se o bilhete do Kerberos foi destruído:

    [example_user@server ~]$ klist
    klist: Credentials cache keyring 'persistent:0:0' not found

1.3. Configuração de um sistema externo para autenticação Kerberos

Esta seção descreve como configurar um sistema externo para que os usuários do Gerenciamento de Identidade (IdM) possam fazer login no IdM a partir do sistema externo usando suas credenciais Kerberos.

Habilitar a autenticação Kerberos em sistemas externos é especialmente útil quando sua infra-estrutura inclui múltiplos reinos ou domínios sobrepostos. Também é útil se o sistema não tiver sido registrado em nenhum domínio IdM através de ipa-client-install.

Para permitir a autenticação Kerberos ao IdM a partir de um sistema que não seja membro do domínio IdM, defina um arquivo de configuração Kerberos específico do IdM no sistema externo.

Pré-requisitos

  • O pacote krb5-workstation está instalado no sistema externo.

    Para descobrir se o pacote está instalado, use o seguinte comando CLI:

    # yum list installed krb5-workstation
    Installed Packages
    krb5-workstation.x86_64    1.16.1-19.el8     @BaseOS

Procedimento

  1. Copie o arquivo /etc/krb5.conf do servidor da IdM para o sistema externo. Por exemplo:

    # scp /etc/krb5.conf root@externalsystem.example.com:/etc/krb5_ipa.conf
    Atenção

    Não sobrescreva o arquivo krb5.conf existente no sistema externo.

  2. No sistema externo, configure a sessão terminal para usar o arquivo de configuração copiado da IdM Kerberos:

    $ export KRB5_CONFIG=/etc/krb5_ipa.conf

    A variável KRB5_CONFIG existe apenas temporariamente até que você termine a sessão. Para evitar esta perda, exporte a variável com um nome de arquivo diferente.

  3. Copie os trechos de configuração Kerberos do diretório /etc/krb5.conf.d/ para o sistema externo.

Os usuários do sistema externo podem agora usar o utilitário kinit para se autenticar contra o servidor IdM.

Recursos adicionais

  • Para obter detalhes sobre Kerberos, consulte as páginas man krb5.conf(5), kinit(1), klist(1), e kdestroy(1).

Capítulo 2. Visualização, início e parada dos serviços de Gerenciamento de Identidade

Os servidores de Gerenciamento de Identidade (IdM) são sistemas Red Hat Enterprise Linux que funcionam como controladores de domínio (DCs). Vários serviços diferentes estão rodando nos servidores IdM, mais notadamente o Directory Server, Certificate Authority (CA), DNS e Kerberos.

2.1. Os serviços da IdM

2.1.1. Lista de serviços hospedados por servidores da IdM

A maioria dos serviços a seguir não é estritamente necessária para ser instalada no servidor da IdM. Por exemplo, você pode instalar serviços como uma autoridade de certificado (CA) ou servidor DNS em um servidor externo fora do domínio da IdM.

Kerberos
os serviços krb5kdc e kadmin

A IdM usa o protocolo Kerberos para apoiar o single sign-on. Com Kerberos, os usuários só precisam apresentar o nome de usuário e senha corretos uma única vez e podem acessar os serviços da IdM sem que o sistema solicite novamente as credenciais.

Kerberos está dividido em duas partes:

  • O serviço krb5kdc é o serviço Kerberos Authentication e o daemon do Centro de Distribuição de Chaves (KDC).
  • O serviço kadmin é o programa de administração do banco de dados Kerberos.

Para informações sobre como autenticar usando Kerberos no IdM, veja Login para Gerenciamento de Identidade a partir da linha de comando e Login para IdM na interface Web: Usando um bilhete Kerberos.

Servidor de diretório LDAP
o serviço dirsrv

A instância IdM LDAP directory server armazena todas as informações IdM, tais como informações relacionadas a Kerberos, contas de usuários, entradas de host, serviços, políticas, DNS e outros. A instância do servidor de diretório LDAP é baseada na mesma tecnologia do Red Hat Directory Server. Entretanto, ela está sintonizada com tarefas específicas do IdM.

Autoridade Certificadora
o serviço pki-tomcatd

O certificate authority (CA) integrado é baseado na mesma tecnologia do Sistema de Certificado da Red Hat. pki é a Interface da Linha de Comando para acesso aos serviços do Sistema de Certificado.

Você também pode instalar o servidor sem a CA integrada se você criar e fornecer todos os certificados exigidos independentemente.

Para mais informações, consulte Planejando seus serviços de CA.

Sistema de nomes de domínio (DNS)
o serviço named

IdM usa DNS para a descoberta dinâmica de serviços. O utilitário de instalação do cliente IdM pode usar informações do DNS para configurar automaticamente a máquina cliente. Após o cliente estar registrado no domínio IdM, ele usa o DNS para localizar servidores e serviços IdM dentro do domínio. A implementação BIND (Berkeley Internet Name Domain) dos protocolos DNS (Domain Name System) no Red Hat Enterprise Linux inclui o servidor DNS named. named-pkcs11 é uma versão do servidor DNS BIND construída com suporte nativo para o padrão criptográfico PKCS#11.

Para informações, consulte Planejamento de seus serviços DNS e nomes de host.

Servidor HTTP Apache
o serviço httpd

O Apache HTTP web server fornece a interface Web da IdM, e também gerencia a comunicação entre a Autoridade Certificadora e outros serviços da IdM.

Samba / Winbind
smb e winbind serviços

Samba implementa o protocolo Server Message Block (SMB), também conhecido como o protocolo Common Internet File System (CIFS), no Red Hat Enterprise Linux. Através do serviço smb, o protocolo SMB permite o acesso a recursos em um servidor, como compartilhamento de arquivos e impressoras compartilhadas. Se você configurou um Trust com um ambiente Active Directory (AD), o serviço`Winbind` gerencia a comunicação entre os servidores IdM e os servidores AD.

Autenticação por senha única (OTP)
os serviços ipa-otpd

Senhas únicas (OTP) são senhas que são geradas por um token de autenticação para apenas uma sessão, como parte da autenticação de dois fatores. A autenticação OTP é implementada no Red Hat Enterprise Linux através do serviço ipa-otpd.

Para mais informações, consulte Login na Interface Web de Gerenciamento de Identidade usando senhas de uso único.

OpenDNSSEC
o serviço ipa-dnskeysyncd

OpenDNSSEC é um gerenciador de DNS que automatiza o processo de acompanhamento das extensões de segurança DNS (DNSSEC) e a assinatura de zonas. O serviço ipa-dnskeysyncd gerencia a sincronização entre o Servidor de Diretório IdM e o OpenDNSSEC.

The Identity Management Server: Unifying Services

2.1.2. Lista de serviços hospedados por clientes da IdM

  • System Security Services Daemon: o serviço sssd

O System Security Services Daemon (SSSD) é o aplicativo do lado do cliente que gerencia as credenciais de autenticação e cache de usuários. O cache permite que o sistema local continue as operações normais de autenticação se o servidor IdM ficar indisponível ou se o cliente ficar offline.

Para mais informações, consulte Entendendo o SSSD e seus benefícios.

  • Certmonger: o serviço certmonger

O serviço certmonger monitora e renova os certificados do cliente. Ele pode solicitar novos certificados para os serviços no sistema.

Para mais informações, consulte Obtenção de um certificado IdM para um serviço utilizando o certmonger.

Interactions Between IdM Services

2.2. Visualizando o status dos serviços da IdM

Para visualizar o status dos serviços IdM configurados em seu servidor IdM, execute o comando ipactl status:

[root@server ~]# ipactl status
Directory Service: RUNNING
krb5kdc Service: RUNNING
kadmin Service: RUNNING
named Service: RUNNING
httpd Service: RUNNING
pki-tomcatd Service: RUNNING
smb Service: RUNNING
winbind Service: RUNNING
ipa-otpd Service: RUNNING
ipa-dnskeysyncd Service: RUNNING
ipa: INFO: The ipactl command was successful

A saída do comando ipactl status em seu servidor depende de sua configuração de IdM. Por exemplo, se uma implantação do IdM não inclui um servidor DNS, o serviço named não está presente na lista.

Nota

Você não pode usar a IDM web UI para visualizar o status de todos os serviços da IdM rodando em um servidor IdM em particular. Serviços kerberizados rodando em diferentes servidores podem ser visualizados na aba IdentityServices da IDM web UI.

Você pode iniciar ou parar o servidor inteiro, ou apenas um serviço individual.

Para iniciar, parar, ou reiniciar todo o servidor IdM, veja:

Para iniciar, parar ou reiniciar um serviço individual de IdM, veja:

Para exibir a versão do software IdM, veja:

2.3. Iniciando e parando todo o servidor de Gerenciamento de Identidade: o utilitário ipactl

Use o utilitário ipactl para parar, iniciar ou reiniciar todo o servidor IdM junto com todos os serviços instalados. Usar o utilitário ipactl garante que todos os serviços sejam parados, iniciados ou reiniciados na ordem apropriada. Você não precisa ter um bilhete Kerberos válido para executar os comandos ipactl.

ipactl comandos

Para iniciar todo o servidor IdM:

# ipactl start

Para parar todo o servidor IdM:

# ipactl stop

Para reiniciar todo o servidor IdM:

# ipactl restart

Para mostrar o status de todos os serviços que compõem a IdM:

# ipactl status
Importante

Você não pode usar a interface web do IdM para executar os comandos do ipactl.

2.4. Início e parada de um serviço de Gerenciamento de Identidade individual: o utilitário systemctl

A alteração manual dos arquivos de configuração do IdM geralmente não é recomendada. Entretanto, certas situações exigem que um administrador realize uma configuração manual de serviços específicos. Em tais situações, use o utilitário systemctl para parar, iniciar ou reiniciar um serviço individual da IdM.

Por exemplo, use systemctl após personalizar o comportamento do Servidor de Diretório, sem modificar os outros serviços da IdM:

# systemctl restart dirsrv@REALM-NAME.service

Além disso, ao implantar inicialmente uma confiança IdM com o Active Directory, modifique o arquivo /etc/sssd/sssd.conf, adicionando:

  • parâmetros específicos para afinar as opções de configuração de timeout em um ambiente onde os servidores remotos têm uma alta latência
  • parâmetros específicos para afinar a afinidade com o site do Active Directory
  • anulações para certas opções de configuração que não são fornecidas pelas configurações globais da IdM

Para aplicar as mudanças que você fez no arquivo /etc/sssd/sssd.conf:

# systemctl restart sssd.service

A execução do systemctl restart sssd.service é necessária porque o Daemon System Security Services (SSSD) não relê ou re-aplica automaticamente sua configuração.

Observe que para mudanças que afetam as faixas de identidade da IdM, recomenda-se uma reinicialização completa do servidor.

Importante

Para reiniciar vários serviços de domínio IdM, use sempre ipactl. Devido às dependências entre os serviços instalados com o servidor IdM, a ordem na qual eles são iniciados e parados é crítica. O utilitário ipactl garante que os serviços sejam iniciados e parados na ordem apropriada.

Comandos úteis systemctl

Para iniciar um determinado serviço IdM:

# systemctl start name.service

Para parar um determinado serviço IdM:

# systemctl stop name.service

Para reiniciar um determinado serviço IdM:

# systemctl restart name.service

Para ver o status de um determinado serviço IdM:

# systemctl status name.service
Importante

Você não pode usar a interface web do IdM para iniciar ou parar os serviços individuais executados nos servidores IdM. Você só pode usar a interface web para modificar as configurações de um serviço Kerberized navegando para IdentityServices e selecionando o serviço.

2.5. Métodos de exibição da versão do software IdM

Você pode exibir o número da versão IdM com:

  • a IdM WebUI
  • ipa comandos
  • rpm comandos

Versão de exibição através da WebUI

Na IdM WebUI, a versão do software pode ser exibida escolhendo About no menu de nome de usuário no canto superior direito.

Checking IdM Software Version
Versão de exibição com comandos ipa

A partir da linha de comando, use o comando ipa --version.

[root@server ~]# ipa --version
VERSION: 4.8.0, API_VERSION: 2.233
Versão de exibição com comandos rpm

Se os serviços da IdM não estiverem funcionando corretamente, você pode usar o utilitário rpm para determinar o número da versão do pacote ipa-server que está atualmente instalado.

[root@server ~]# rpm -q ipa-server
ipa-server-4.8.0-11.module+el8.1.0+4247+9f3fd721.x86_64

Capítulo 3. Introdução às utilidades da linha de comando IdM

As seções seguintes descrevem o básico do uso das utilidades da linha de comando de Gerenciamento de Identidade (IdM).

Pré-requisitos

3.1. O que é a interface de linha de comando IPA

A interface de linha de comando IPA (CLI) é a interface básica de linha de comando para a administração do Gerenciamento de Identidade (IdM).

Ele suporta muitos subcomandos que são usados para gerenciar o IdM, como o comando ipa user-add para adicionar um novo usuário.

O IPA CLI permite que você o faça:

  • Adicionar, gerenciar ou remover usuários, grupos, hosts e outros objetos da rede.
  • Gerenciar certificados.
  • Pesquisar entradas.
  • Exibir e listar objetos.
  • Estabelecer direitos de acesso.
  • Obtenha ajuda com a sintaxe de comando correta.

3.2. O que é a ajuda do IPA

A ajuda do IPA é um sistema de documentação embutido para o servidor IdM.

A interface de linha de comando IPA (CLI) gera tópicos de ajuda disponíveis a partir de módulos plug-in IdM carregados. Se você quiser executar a ajuda IPA com sucesso, você precisa fazê-lo:

  • Ter um servidor IdM instalado e funcionando.
  • Ser autenticado com um bilhete Kerberos válido.

A execução do comando ipa help sem opções exibe informações sobre o uso básico da ajuda e os exemplos de comando mais comuns.

A execução de ajuda com opções tem a seguinte sintaxe:

$ ipa help [TOPIC | COMMAND | topics | commands]
  • [] - Brackets significa que todos os parâmetros são opcionais e você pode escrever apenas ipa help e o comando será executado.
  • | -_ The caractere do tubo significa or. Portanto, você pode usar TOPIC ou COMMAND ou tópicos ou comandos com o comando básico ipa help.
  • topics - You pode executar o comando ipa help topics e ele será executado corretamente. O comando exibe uma lista de tópicos que são cobertos pela ajuda do IPA, por exemplo, user, cert, server e muitos outros.
  • TOPIC - The TOPIC com letras maiúsculas significa variável, portanto, você pode usar o tópico específico, por exemplo, ipa help user
  • commands - You pode executar o comando ipa help commands e ele será executado corretamente. O comando exibe uma lista de comandos que são cobertos pela ajuda do IPA, por exemplo, user-add, ca-enable, server-show e muitos outros.
  • COMMAND - The COMMAND com letras maiúsculas significa variável, portanto, você pode usar o comando particular, por exemplo, ipa help user-add

3.3. Usando tópicos de ajuda IPA

O seguinte procedimento ajuda a entender o uso da ajuda IPA na interface da linha de comando.

Procedimento

  1. Abra o terminal e conecte-se ao servidor IdM.
  2. Digite ipa help topics para exibir uma lista de tópicos cobertos pela ajuda.

    $ ipa help topics
  3. Selecione um dos tópicos e crie um comando de acordo com o seguinte padrão: ipa help [topic_name], em vez da string topic_name, adicione um dos tópicos listados na etapa anterior.

    No exemplo, utilizamos o seguinte tópico user

    $ ipa help user
  4. Se o comando de ajuda IPA for muito longo e você não puder ver o texto inteiro, use a seguinte sintaxe:

    $ ipa help user | less

    Você pode então rolar para baixo e ler toda a ajuda.

O IPA CLI exibe uma página de ajuda para o tópico user. Depois de ler a visão geral, você pode ver muitos exemplos com padrões para trabalhar com comandos tópicos.

3.4. Usando os comandos de ajuda IPA

O procedimento a seguir ajuda a entender a criação dos comandos de ajuda IPA na interface da linha de comando.

Procedimento

  1. Abra o terminal e conecte-se ao servidor IdM.
  2. Digite ipa help commands para exibir uma lista de comandos cobertos pela ajuda.

    $ ipa help commands
  3. Selecione um dos comandos e crie um comando de ajuda de acordo com o seguinte padrão: ipa help <COMMAND>, em vez da string <COMMAND>, adicione um dos comandos listados no passo anterior.

    $ ipa help user-add

Recursos adicionais

  • Para detalhes, consulte a página man ipa.

3.5. Estrutura dos comandos IPA

O IPA CLI distingue os seguintes tipos de comandos:

  • Os comandos embutidos commands - Built-in estão todos disponíveis no servidor da IdM.
  • Comandos fornecidos pelo plug-in

A estrutura dos comandos IPA permite gerenciar vários tipos de objetos. Por exemplo:

  • Usuários,
  • Anfitriões,
  • Registros DNS,
  • Certificados,

e muitos outros.

Para a maioria destes objetos, o IPA CLI inclui comandos para:

  • Adicionar (add)
  • Modificar (mod)
  • Excluir (del)
  • Busca (find)
  • Mostrar (show)

Os comandos têm a seguinte estrutura:

ipa user-add, ipa user-mod, ipa user-del, ipa user-find, ipa user-show

ipa host-add, ipa host-mod, ipa host-del, ipa host-find, ipa host-show

ipa dnsrecord-add, ipa dnsrecord-mod, ipa dnsrecord-del, ipa dnsrecord-find, ipa dnrecord-show

Você pode criar um usuário com o ipa user-add [options], onde [options] é opcional. Se você usar apenas o comando ipa user-add, o script lhe pede detalhes um a um.

Para modificar um objeto existente, você precisa definir o objeto, portanto o comando inclui também o objeto: ipa user-mod USER_NAME [options].

3.6. Usando um comando IPA para adicionar uma conta de usuário à IdM

O seguinte descreve a adição de um novo usuário ao banco de dados do Gerenciamento de Identidade (IdM) usando linha de comando.

Pré-requisitos

  • Você precisa ter privilégios de administrador para adicionar contas de usuário ao servidor da IdM.

Procedimento

  1. Abra o terminal e conecte-se ao servidor IdM.
  2. Digite o comando para adicionar um novo usuário:

    $ ipa user-add

    O comando executa um script onde você pode adicionar dados básicos necessários para a criação de uma conta de usuário.

  3. No campo First name:, digite o primeiro nome do novo usuário e pressione a tecla Enter.
  4. No campo Last name:, digite o sobrenome do novo usuário e pressione a tecla Enter.
  5. No site User login [suggested user name]: digite o nome do usuário ou simplesmente pressione a tecla Enter se o nome de usuário sugerido funcionar para você.

    O nome do usuário deve ser único para todo o banco de dados da IdM. Se ocorrer um erro, de que o usuário já existe, você precisa começar do início com o comando ipa user-add e tentar um nome de usuário diferente.

Após adicionar o nome do usuário com sucesso, a conta do usuário foi adicionada ao banco de dados do IdM e a interface de linha de comando IPA (CLI) imprime na saída o seguinte log:

----------------------
Added user "euser"
----------------------
User login: euser
First name: Example
Last name: User
Full name: Example User
Display name: Example User
Initials: EU
Home directory: /home/euser
GECOS: Example User
Login shell: /bin/sh
Principal name: euser@IDM.EXAMPLE.COM
Principal alias: euser@IDM.EXAMPLE.COM
Email address: euser@idm.example.com
UID: 427200006
GID: 427200006
Password: False
Member of groups: ipausers
Kerberos keys available: False

Como você pode ver, uma senha de usuário não é definida para a conta de usuário. Se você quiser adicionar também uma senha, use o comando ipa user-add na seguinte sintaxe:

$ ipa user-add --first=Example --last=User --password

O IPA CLI então lhe pede para adicionar ou confirmar um nome de usuário e senha.

Se o usuário já foi criado, você pode adicionar somente a senha com o comando `ipa user-mod'.

Recursos adicionais

Para maiores informações sobre parâmetros, digite o seguinte comando de ajuda para a linha de comando:

$ ipa help user-add

3.7. Usando um comando IPA para modificar uma conta de usuário no IdM

Você pode alterar muitos parâmetros para cada conta de usuário. Por exemplo, você pode adicionar uma nova senha para o usuário.

A sintaxe básica de comando é diferente da sintaxe user-add porque você precisa definir a conta de usuário existente para a qual você deseja realizar mudanças, por exemplo, adicionar uma senha.

Pré-requisitos

  • Você precisa ter privilégios de administrador para modificar as contas de usuário no servidor da IdM.

Procedimento

  1. Abra o terminal e conecte-se ao servidor IdM.
  2. Digite o comando para adicionar uma senha:

    $ ipa user-mod euser --password

    O comando executa um script onde você pode adicionar a nova senha.

  3. Digite a nova senha e pressione a tecla Enter.

Após adicionar o nome do usuário com sucesso, a conta do usuário foi adicionada ao banco de dados do IdM e o IPA CLI imprime na saída o seguinte log:

----------------------
Modified user "euser"
----------------------
User login: euser
First name: Example
Last name: User
Home directory: /home/euser
Principal name: euser@IDM.EXAMPLE.COM
Principal alias: euser@IDM.EXAMPLE.COM
Email address: euser@idm.example.com
UID: 427200006
GID: 427200006
Password: True
Member of groups: ipausers
Kerberos keys available: True

A senha do usuário está agora definida para a conta e o usuário pode fazer o login na IdM.

Recursos adicionais

Para maiores informações sobre parâmetros, digite o seguinte comando de ajuda para a linha de comando:

$ ipa help user-mod

3.8. Como fornecer uma lista de valores para as concessionárias da IdM

A Gestão de Identidade (IdM) armazena valores para atributos multivalorizados em listas.

IdM apóia os seguintes métodos de fornecimento de listas multivalorizadas:

  • Usando o mesmo argumento de linha de comando várias vezes dentro da mesma invocação de comando:

    $ ipa permission-add --right=read --permissions=write --permissions=delete ...
  • Alternativamente, você pode anexar a lista em braçadeiras encaracoladas, caso em que a concha realiza a expansão:

    $ ipa permission-add --right={read,write,delete} ...

Os exemplos acima mostram um comando permission-add o que acrescenta permissões a um objeto. O objeto não é mencionado no exemplo. Ao invés de …​ você precisa adicionar o objeto para o qual você deseja adicionar permissões.

Ao atualizar tais atributos multi-valorizados a partir da linha de comando, o IdM substitui completamente a lista de valores anterior por uma nova lista. Portanto, ao atualizar um atributo multivalorizado, você deve especificar toda a nova lista, e não apenas um único valor que você deseja adicionar.

No comando acima, a lista de permissões inclui leitura, escrita e exclusão. Quando você decide atualizar a lista com o comando permission-mod você deve acrescentar todos os valores, caso contrário os não mencionados serão excluídos.

Example 1: - The ipa permission-mod atualiza todas as permissões previamente adicionadas.

$ ipa permission-mod --right=read --right=write --right=delete ...

ou

$ ipa permission-mod --right={read,write,delete} ...

Example 2 - The ipa permission-mod elimina o comando --right=delete argumento porque não está incluído no comando:

$ ipa permission-mod --right=read --right=write ...

ou

$ ipa permission-mod --right={read,write} ...

3.9. Como usar caracteres especiais com as utilidades da IdM

Ao passar argumentos de linha de comando que incluem caracteres especiais para os comandos ipa, escape desses caracteres com uma barra invertida ({\i1}). Por exemplo, os caracteres especiais comuns incluem parênteses angulares (< e >), ampersand (&), asterisco (*), ou barra vertical (|).

Por exemplo, para escapar de um asterisco (*):

$ ipa certprofile-show certificate_profile --out=exported\*profile.cfg

Os comandos que contêm caracteres especiais não escalonados não funcionam como esperado, porque a casca não pode analisar adequadamente tais caracteres.

Capítulo 4. Buscando entradas de Gerenciamento de Identidade a partir da linha de comando

As seções seguintes descrevem como usar os comandos IPA, que o ajudam a encontrar ou mostrar objetos.

4.1. Visão geral da listagem de entradas da IdM

Esta seção descreve os comandos ipa *-find, que podem ajudá-lo a pesquisar um tipo particular de entradas de IdM.

Para listar todos os comandos find, use o seguinte comando ipa help:

$ ipa help commands | grep find

Talvez seja necessário verificar se um determinado usuário está incluído no banco de dados da IdM. Você pode então listar todos os usuários com o seguinte comando:

$ ipa user-find

Para listar os grupos de usuários cujos atributos especificados contêm uma palavra-chave:

$ ipa group-find keyword

Por exemplo, o ipa group-find admin lista todos os grupos cujos nomes ou descrições incluem cadeia admin:

----------------
3 groups matched
----------------
   Group name: admins
   Description: Account administrators group
   GID: 427200002

   Group name: editors
   Description: Limited admins who can edit other users
   GID: 427200002

   Group name: trust admins
   Description: Trusts administrators group

Ao pesquisar grupos de usuários, você também pode limitar os resultados da pesquisa a grupos que contenham um determinado usuário:

$ ipa group-find --user=user_name

Procurar grupos que não contenham um determinado usuário:

$ ipa group-find --no-user=user_name

4.2. Mostrar detalhes para uma determinada entrada

Use o comando ipa *-show para exibir detalhes sobre uma determinada entrada do IdM.

Procedimento

  • Para exibir detalhes sobre um anfitrião chamado server.example.com:

    $ ipa host-show server.example.com
    
    Host name: server.example.com
    Principal name: host/server.example.com@EXAMPLE.COM
    ...

4.3. Ajustando o tamanho da busca e o limite de tempo

Algumas consultas, como solicitar uma lista de usuários da IdM, podem retornar um número muito grande de entradas. Ajustando estas operações de busca, você pode melhorar o desempenho geral do servidor ao executar os comandos ipa *-find, tais como ipa user-find, e ao exibir listas correspondentes na interface Web.

Limite de tamanho da busca

Define o número máximo de entradas retornadas para uma solicitação enviada ao servidor a partir da CLI de um cliente ou a partir de um navegador acessando a IDM Web UI.

Padrão: 100 entradas.

Tempo limite de busca

Define o tempo máximo (em segundos) que o servidor espera por buscas para executar. Uma vez que a busca atinge este limite, o servidor pára a busca e retorna as entradas descobertas nesse tempo.

Default: 2 segundos.

Se você definir os valores para -1, IdM não aplicará nenhum limite ao pesquisar.

Importante

A definição de tamanho de busca ou limites de tempo muito altos pode afetar negativamente o desempenho do servidor.

4.3.1. Ajuste do tamanho da busca e do limite de tempo na linha de comando

O texto a seguir descreve o ajuste do tamanho da busca e dos limites de tempo na linha de comando:

  • Globalmente
  • Para uma entrada específica

Procedimento

  1. Para exibir os limites atuais de tempo e tamanho de busca no CLI, use o comando ipa config-show:

    $ ipa config-show
    
    Search time limit: 2
    Search size limit: 100
  2. Para ajustar os limites globalmente para todas as consultas, use o comando ipa config-mod e adicione as opções --searchrecordslimit e --searchtimelimit. Por exemplo:

    $ ipa config-mod --searchrecordslimit=500 --searchtimelimit=5
  3. Para ajustar os limites apenas para uma consulta específica, adicione as opções --sizelimit ou --timelimit ao comando. Por exemplo:
$ ipa user-find --sizelimit=200 --timelimit=120

4.3.2. Ajustando o tamanho da busca e o limite de tempo na interface Web

O texto a seguir descreve o ajuste do tamanho da busca e dos limites de tempo na interface web da IdM:

  • Globalmente
  • Para uma entrada específica

Procedimento

Para ajustar os limites globalmente para todas as consultas:

  1. Faça o login na IDM Web UI.
  2. Clique em IPA Server.

    web ui ipaserver

  3. Na aba IPA Server, clique em Configuration.
  4. Defina os valores necessários na área Search Options.

    Os valores padrão são:

    • Limite de tamanho da busca: 100 entradas
    • Tempo limite de busca: 2 segundos
  5. Clique em Save na parte superior da página.

    limites da busca na web ui

Após salvar os valores, pesquise uma entrada e verifique o resultado.

Capítulo 5. Acesso à IDM Web UI em um navegador da web

As seções a seguir fornecem uma visão geral da interface web IdM (Identity Management) e descrevem como acessá-la.

5.1. O que é a IDM Web UI

A IDM (Identity Management) Web UI é uma aplicação web para administração da IdM, uma alternativa gráfica para as ferramentas de linha de comando da IdM.

Você pode acessar a IDM Web UI como:

  • IdM users: Um conjunto limitado de operações dependendo das permissões concedidas ao usuário no servidor da IdM. Basicamente, os usuários ativos do IdM podem entrar no servidor do IdM e configurar sua própria conta. Eles não podem alterar as configurações de outros usuários ou as configurações do servidor IdM.
  • Administrators: Direitos totais de acesso ao servidor IdM.
  • Active Directory users: Um conjunto de operações dependendo das permissões concedidas ao usuário. Os usuários do Active Directory agora podem ser administradores para Gerenciamento de Identidade. Para detalhes, consulte Habilitando usuários AD para administrar IdM.

5.2. Navegadores Web suportados para acesso à interface Web

IdM (Identity Management) suporta os seguintes navegadores para conexão com a Web UI:

  • Mozilla Firefox 38 e posteriores
  • Google Chrome 46 e posteriores

5.3. Acesso à Web UI

O procedimento a seguir descreve o primeiro log in na interface da Web IdM (Identity Management) com uma senha.

Após o primeiro login, você pode configurar seu servidor IdM para se autenticar com:

Procedimento

  1. Digite um URL de servidor IdM na barra de endereços do navegador. O nome será semelhante ao exemplo a seguir:

    https://server.example.com

    Você só precisa alterar server.example.com com um nome DNS de seu servidor IdM.

    Isto abre a tela de login da IDM Web UI em seu navegador.

    tela de login na web ui

    • Se o servidor não responder ou a tela de login não abrir, verifique as configurações do DNS no servidor IdM ao qual você está se conectando.
    • Se você usar um certificado autoassinado, o navegador emite um aviso. Verifique o certificado e aceite a exceção de segurança para proceder com o login.

      Para evitar exceções de segurança, instale um certificado assinado por uma autoridade certificadora.

  2. Na tela de login da Web UI, digite as credenciais de conta de administrador que você adicionou durante a instalação do servidor IdM.

    Para detalhes, consulte Instalação de um servidor de Gerenciamento de Identidade: Com DNS integrado, com uma CA integrada.

    Você pode inserir suas credenciais de conta pessoal também se elas já estiverem inseridas no servidor da IdM.

    senha de login da web ui

  3. Clique em Log in.

Após o login bem sucedido, você pode começar a configurar o servidor IdM.

usuários da web ui

Capítulo 6. Login no IdM na Web UI: Usando um bilhete Kerberos

As seções seguintes descrevem a configuração inicial de seu ambiente para permitir que Kerberos faça login na IDM Web UI e acesse a IdM usando a autenticação Kerberos.

Pré-requisitos

6.1. Autenticação Kerberos na Gestão da Identidade

A Gestão de Identidade (IdM) utiliza o protocolo Kerberos para apoiar o sign-on único. A autenticação single sign-on permite que você forneça o nome de usuário e a senha corretos apenas uma vez, e você pode então acessar os serviços de Gerenciamento de Identidade sem que o sistema solicite novamente credenciais.

O servidor IdM fornece autenticação Kerberos imediatamente após a instalação, se as configurações do DNS e do certificado tiverem sido configuradas corretamente. Para detalhes, consulte Instalando o Gerenciamento de Identidade.

Para usar a autenticação Kerberos em hosts, instale:

6.2. Usando kinit para fazer o log in manualmente no IdM

Este procedimento descreve o uso do utilitário kinit para autenticar manualmente para um ambiente de Gerenciamento de Identidade (IdM). O utilitário kinit obtém e armazena um bilhete de passagem Kerberos (TGT) em nome de um usuário IdM.

Nota

Use este procedimento somente se você tiver destruído seu Kerberos TGT inicial ou se ele tiver expirado. Como um usuário IdM, ao entrar em sua máquina local, você também estará automaticamente entrando na IdM. Isto significa que, após o login, você não é obrigado a usar o utilitário kinit para acessar os recursos da IdM.

Procedimento

  1. Para fazer login na IdM

    • sob o nome do usuário que está atualmente logado no sistema local, use kinit sem especificar um nome de usuário. Por exemplo, se você estiver logado como example_user no sistema local:

      [example_user@server ~]$ kinit
      Password for example_user@EXAMPLE.COM:
      [example_user@server ~]$

      Se o nome do usuário local não corresponder a nenhuma entrada de usuário no IdM, a tentativa de autenticação falha:

      [example_user@server ~]$ kinit
      kinit: Client 'example_user@EXAMPLE.COM' not found in Kerberos database while getting initial credentials
    • usando um Kerberos principal que não corresponde ao seu nome de usuário local, passe o nome de usuário requerido para o utilitário kinit. Por exemplo, para fazer o login como usuário admin:

      [example_user@server ~]$ kinit admin
      Password for admin@EXAMPLE.COM:
      [example_user@server ~]$
  2. Opcionalmente, para verificar se o login foi bem sucedido, use o utilitário klist para exibir o TGT em cache. No exemplo a seguir, o cache contém um ticket para o principal example_user, o que significa que neste host em particular, apenas example_user está atualmente autorizado a acessar os serviços da IdM:

    $ klist
    Ticket cache: KEYRING:persistent:0:0
    Default principal: example_user@EXAMPLE.COM
    
    Valid starting     	Expires            	Service principal
    11/10/2019 08:35:45  	11/10/2019 18:35:45  	krbtgt/EXAMPLE.COM@EXAMPLE.COM

6.3. Configurando o navegador para autenticação Kerberos

Para permitir a autenticação com um bilhete Kerberos, você pode precisar de uma configuração de navegador.

Os seguintes passos o ajudam a apoiar a negociação da Kerberos para acessar o domínio IdM.

Cada navegador suporta a Kerberos de uma maneira diferente e precisa de uma configuração diferente. A IDM Web UI inclui diretrizes para os seguintes navegadores:

  • Firefox
  • Cromado

Procedimento

  1. Abra o diálogo de login da IDM Web UI em seu navegador da web.
  2. Clique no link para configuração do navegador na tela de login da Web UI.

    link de configuração do navegador ipa

  3. Siga os passos na página de configuração.

    página de configuração do navegador ipa

Após a configuração, volte para a interface web da IdM e clique em Log in.

6.4. Entrar na interface web usando um bilhete Kerberos

Este procedimento descreve o log in na IDM Web UI usando um bilhete de passagem de Kerberos (TGT).

O TGT expira em um horário pré-definido. O intervalo de tempo padrão é de 24 horas e você pode alterá-lo na interface Web do IdM.

Após o intervalo de tempo expirar, você precisa renovar o bilhete:

  • Usando o comando kinit.
  • Usando as credenciais de login da IdM no diálogo de login da Web UI.

Procedimento

  • Abra a IDM Web UI.

    Se a autenticação Kerberos funcionar corretamente e você tiver um bilhete válido, você será automaticamente autenticado e a interface de usuário da Web será aberta.

    Se o bilhete expirar, é necessário autenticar-se primeiro com as credenciais. Entretanto, da próxima vez, a IDM Web UI abrirá automaticamente sem abrir o diálogo de login.

    Se você vir uma mensagem de erro Authentication with Kerberos failed, verifique se seu navegador está configurado para autenticação Kerberos. Veja Seção 6.3, “Configurando o navegador para autenticação Kerberos”.

    firefox kerb auth failed

6.5. Configuração de um sistema externo para autenticação Kerberos

Esta seção descreve como configurar um sistema externo para que os usuários do Gerenciamento de Identidade (IdM) possam fazer login no IdM a partir do sistema externo usando suas credenciais Kerberos.

Habilitar a autenticação Kerberos em sistemas externos é especialmente útil quando sua infra-estrutura inclui múltiplos reinos ou domínios sobrepostos. Também é útil se o sistema não tiver sido registrado em nenhum domínio IdM através de ipa-client-install.

Para permitir a autenticação Kerberos ao IdM a partir de um sistema que não seja membro do domínio IdM, defina um arquivo de configuração Kerberos específico do IdM no sistema externo.

Pré-requisitos

  • O pacote krb5-workstation está instalado no sistema externo.

    Para descobrir se o pacote está instalado, use o seguinte comando CLI:

    # yum list installed krb5-workstation
    Installed Packages
    krb5-workstation.x86_64    1.16.1-19.el8     @BaseOS

Procedimento

  1. Copie o arquivo /etc/krb5.conf do servidor da IdM para o sistema externo. Por exemplo:

    # scp /etc/krb5.conf root@externalsystem.example.com:/etc/krb5_ipa.conf
    Atenção

    Não sobrescreva o arquivo krb5.conf existente no sistema externo.

  2. No sistema externo, configure a sessão terminal para usar o arquivo de configuração copiado da IdM Kerberos:

    $ export KRB5_CONFIG=/etc/krb5_ipa.conf

    A variável KRB5_CONFIG existe apenas temporariamente até que você termine a sessão. Para evitar esta perda, exporte a variável com um nome de arquivo diferente.

  3. Copie os trechos de configuração Kerberos do diretório /etc/krb5.conf.d/ para o sistema externo.
  4. Configure o navegador no sistema externo, conforme descrito em Seção 6.3, “Configurando o navegador para autenticação Kerberos”.

Os usuários do sistema externo podem agora usar o utilitário kinit para se autenticar contra o servidor IdM.

6.6. Login de Usuário da Web UI para usuários do Active Directory

Para ativar o login da Web UI para usuários do Active Directory, defina uma substituição de ID para cada usuário do Active Directory na visualização padrão de confiança. Por exemplo:

[admin@server ~]$ ipa idoverrideuser-add 'Default Trust View' ad_user@ad.example.com

Capítulo 7. Login na Interface Web de Gerenciamento de Identidade usando senhas únicas

O acesso à IdM Web UI pode ser assegurado através de vários métodos. O método básico é a autenticação por senha.

Para aumentar a segurança da autenticação da senha, você pode adicionar uma segunda etapa e exigir senhas geradas automaticamente uma única vez (OTPs). O uso mais comum é combinar uma senha conectada com a conta do usuário e uma senha única limitada no tempo gerada por um token de hardware ou software.

As seções seguintes o ajudam:

  • Entenda como funciona a autenticação OTP na IdM.
  • Configurar a autenticação OTP no servidor da IdM.
  • Crie fichas OTP e sincronize-as com o aplicativo FreeOTP em seu telefone.
  • Autentique-se na IDM Web UI com a combinação de senha de usuário e senha única.
  • Re-sincronizar as fichas na interface Web.

7.1. Pré-requisitos

7.2. Autenticação de senha única (OTP) na Gestão de Identidade

As senhas únicas trazem um passo adicional à sua segurança de autenticação. A autenticação utiliza sua senha e uma senha única gerada automaticamente.

Para gerar senhas únicas, você pode usar um token de hardware ou software. IdM suporta tanto tokens de software como de hardware.

A Gestão de Identidade suporta os dois mecanismos OTP padrão a seguir:

  • O algoritmo One-Time Password (HOTP) baseado em HMAC é baseado em um contador. HMAC significa "Hashed Message Authentication Code" (Código de Autenticação de Mensagem Hachura).
  • O algoritmo de Senha Única Baseada no Tempo (TOTP) é uma extensão do HOTP para suportar o fator móvel baseado no tempo.
Importante

IdM não suporta logins OTP para usuários de confiança do Active Directory.

7.3. Habilitação da senha única na Web UI

A IDM Web UI permite configurar o dispositivo de hardware ou software para gerar senhas únicas.

A senha única é inserida logo após a senha usual no campo dedicado no diálogo de login.

Somente administradores podem habilitar a autenticação OTP nas configurações do usuário.

Pré-requisitos

  • Privilégios de administração

Procedimento

  1. Entre na IDM Web UI com seu nome de usuário e senha.
  2. Abra a aba Identity → Users → Active users.

    usuários da web ui

  3. Clique em seu nome de usuário para abrir as configurações do usuário.
  4. No site User authentication types, selecione Two factor authentication (password OTP).
  5. Clique em Save.

Neste ponto, a autenticação OTP está habilitada no servidor da IdM.

Agora você ou os próprios usuários precisam atribuir uma nova identificação simbólica para a conta de usuário.

7.4. Adicionando fichas OTP na Web UI

A seção seguinte ajuda você a adicionar token à IDM Web UI e ao seu gerador de token de software.

Pré-requisitos

  • Conta de usuário ativa no servidor da IdM.
  • O administrador habilitou o OTP para a conta de usuário em particular na interface web da IdM.
  • Um dispositivo de software que gera fichas OTP, por exemplo, FreeOTP.

Procedimento

  1. Entre na IDM Web UI com seu nome de usuário e senha.
  2. Para criar a ficha em seu telefone celular, abra a aba Authentication → OTP Tokens.
  3. Clique em Add.

    guia de fichas web ui

  4. Na caixa de diálogo Add OTP token, deixe tudo por preencher e clique em Add.

    Nesta etapa, o servidor IdM cria um token com parâmetros padrão no servidor e abre uma página com um código QR.

  5. Copie o código QR em seu telefone celular.
  6. Clique em OK para fechar o código QR.

Agora você pode gerar senhas únicas e fazer login com elas na IDM Web UI.

ficha de gratuidade

7.5. Entrar na Web UI com uma senha única

Este procedimento descreve o primeiro login na Interface Web do IdM usando uma senha única (OTP).

Pré-requisitos

  • Configuração OTP habilitada no servidor de Gerenciamento de Identidade para a conta de usuário que você está usando para a autenticação OTP. Tanto os administradores quanto os próprios usuários podem habilitar o OTP.

    Para habilitar a configuração do OTP, veja Seção 7.3, “Habilitação da senha única na Web UI”

  • Um dispositivo de hardware ou software que gera fichas OTP configuradas.

Procedimento

  1. Na tela de login do Gerenciamento de Identidade, digite seu nome de usuário ou um nome de usuário da conta do administrador do servidor IdM.
  2. Adicione a senha para o nome de usuário digitado acima.
  3. Gerar uma senha única em seu dispositivo.
  4. Digite a senha única logo após a senha (sem espaço).
  5. Clique em Log in.

    Se a autenticação falhar, sincronize os tokens OTP.

    Se sua AC usa um certificado autoassinado, o navegador emite um aviso. Verifique o certificado e aceite a exceção de segurança para proceder com o login.

    Se a IDM Web UI não abrir, verifique a configuração do DNS de seu servidor de Gerenciamento de Identidade.

Após o login bem sucedido, aparece a IDM Web UI.

usuários da web ui

7.6. Sincronização de fichas OTP usando a interface Web

Se o login com OTP (One Time Password) falhar, os tokens OTP não são sincronizados corretamente.

O texto seguinte descreve a re-sincronização simbólica.

Pré-requisitos

  • Uma tela de login foi aberta.
  • Um dispositivo gerador de fichas OTP configurado.

Procedimento

  1. Na tela de login da IDM Web UI, clique em Sync OTP Token.

    link otp para login na web ui

  2. Na tela de login, digite seu nome de usuário e a senha de Gerenciamento de Identidade.
  3. Gerar uma senha única e inseri-la no campo First OTP.
  4. Gerar outra senha de uma vez e inseri-la no campo Second OTP.
  5. Opcionalmente, digite a identificação simbólica.

    configuração de web ui login otp

  6. Clique em Sync OTP Token.

Após a sincronização bem sucedida, você pode entrar no servidor da IdM.

7.7. Mudança de senhas vencidas

Os administradores de Gerenciamento de Identidade podem fazer com que você tenha que mudar sua senha no próximo login. Isso significa que você não pode fazer o login com sucesso na IDM Web UI até que você mude a senha.

A expiração da senha pode acontecer durante seu primeiro login na Web UI.

Se o diálogo de senha de expiração aparecer, siga as instruções no procedimento.

Pré-requisitos

  • Uma tela de login foi aberta.
  • Conta ativa para o servidor da IdM.

Procedimento

  1. Na tela de login de expiração da senha, digite o nome do usuário.
  2. Adicione a senha para o nome de usuário digitado acima.
  3. No campo OTP, gere uma senha única, se você usar a autenticação da senha única.

    Se você não tiver ativado a autenticação OTP, deixe o campo vazio.

  4. Digite a nova senha duas vezes para verificação.
  5. Clique em Reset Password.

    expiração da senha de web ui

Após a mudança bem sucedida da senha, o diálogo habitual de login é exibido. Faça o login com a nova senha.

Capítulo 8. Configuração de configurações globais de IdM usando Livros de Jogadas Ansíveis

Usando o módulo Ansible config, você pode recuperar e definir parâmetros de configuração global para Gerenciamento de Identidade (IdM).

Este capítulo inclui as seguintes seções:

8.1. Recuperando a configuração do IdM usando um livro de jogo possível

O procedimento a seguir descreve como você pode usar um livro de exercícios possível para recuperar informações sobre a configuração atual do IdM global.

Pré-requisitos

  • Você sabe a senha do administrador da IdM.
  • Você instalou o pacote ansible-freeipa no controlador Ansible.

Procedimento

  1. Crie um arquivo de inventário, por exemplo inventory.file, e defina o servidor IdM a partir do qual você deseja recuperar a configuração do IdM na seção [ipaserver]. Por exemplo, para instruir a Ansible para recuperar os dados de server.idm.example.com, entre:

    [ipaserver]
    server.idm.example.com
  2. Abrir o arquivo /usr/share/doc/ansible-freeipa/playbooks/config/retrieve-config.yml Um possível arquivo de playbook para edição:

    ---
    - name: Playbook to handle global IdM configuration
      hosts: ipaserver
      become: no
      gather_facts: no
    
      tasks:
      - name: Query IPA global configuration
        ipaconfig:
          ipaadmin_password: Secret123
        register: serverconfig
    
      - debug:
          msg: "{{ serverconfig }}"
  3. Adapte o arquivo alterando o seguinte:

    • A senha do administrador da IdM.
    • Outros valores, se necessário.
  4. Salvar o arquivo.
  5. Execute a Pasta de reprodução possível especificando o arquivo da Pasta de reprodução e o arquivo do inventário:

    $ ansible-playbook -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/config/retrieve-config.yml
    [...]
    TASK [debug]
    ok: [server.idm.example.com] => {
        "msg": {
            "ansible_facts": {
                "discovered_interpreter_
            },
            "changed": false,
            "config": {
                "ca_renewal_master_server": "server.idm.example.com",
                "configstring": [
                    "AllowNThash",
                    "KDC:Disable Last Success"
                ],
                "defaultgroup": "ipausers",
                "defaultshell": "/bin/bash",
                "emaildomain": "idm.example.com",
                "enable_migration": false,
                "groupsearch": [
                    "cn",
                    "description"
                ],
                "homedirectory": "/home",
                "maxhostname": "64",
                "maxusername": "64",
                "pac_type": [
                    "MS-PAC",
                    "nfs:NONE"
                ],
                "pwdexpnotify": "4",
                "searchrecordslimit": "100",
                "searchtimelimit": "2",
                "selinuxusermapdefault": "unconfined_u:s0-s0:c0.c1023",
                "selinuxusermaporder": [
                    "guest_u:s0$xguest_u:s0$user_
                ],
                "usersearch": [
                    "uid",
                    "givenname",
                    "sn",
                    "telephonenumber",
                    "ou",
                    "title"
                ]
            },
            "failed": false
        }
    }

8.2. Configuração do servidor mestre de renovação da IdM CA usando um livro de exercícios possível

Em uma implantação de Gerenciamento de Identidade (IdM) que usa uma autoridade de certificado embutida (CA), o servidor mestre de renovação CA mantém e renova os certificados do sistema IdM. Ele garante implantações de IdM ininterruptas.

Para mais detalhes sobre o papel do mestre de renovação da IdM CA, consulte Usando o mestre de renovação da IdM CA.

O procedimento a seguir descreve como você pode usar um livro de exercícios possível para configurar o servidor mestre de renovação da IdM CA.

Pré-requisitos

  • Você sabe a senha do administrador da IdM.
  • Você instalou o pacote ansible-freeipa no controlador Ansible.

Procedimento

  1. Opcional: Identificar o atual mestre de renovação da IdM CA:

    $ ipa config-show | grep 'CA renewal master'
      IPA CA renewal master: server.idm.example.com
  2. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver no mesmo:

    [ipaserver]
    server.idm.example.com
  3. Abrir o arquivo /usr/share/doc/ansible-freeipa/playbooks/config/set-ca-renewal-master-server.yml Um possível arquivo de playbook para edição:

    ---
    - name: Playbook to handle global DNS configuration
      hosts: ipaserver
      become: no
      gather_facts: no
    
      tasks:
      - name: set ca_renewal_master_server
        ipaconfig:
          ipaadmin_password: SomeADMINpassword
          ca_renewal_master_server: carenewal.idm.example.com
  4. Adaptar o arquivo através de alterações:

    • A senha do administrador da IdM definida pela variável ipaadmin_password.
    • O nome do servidor principal da CA definido pela variável ca_renewal_master_server.
  5. Salvar o arquivo.
  6. Execute o livro de jogo Ansible playbook. Especifique o arquivo do playbook e o arquivo do inventário:

    $ ansible-playbook -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/config/set-ca-renewal-master-server.yml

Etapas de verificação

Você pode verificar se o mestre de renovação do CA foi alterado:

  1. Acesse ipaserver como administrador da IdM:

    $ ssh admin@server.idm.example.com
    Password:
    [admin@server /]$
  2. Solicitar a identidade do servidor principal do IdM CA:

    $ ipa config-show | grep ‘CA renewal master’
    IPA CA renewal master:  carenewal.idm.example.com

    A saída mostra que o servidor carenewal.idm.example.com é o novo mestre da renovação da CA.

8.3. Configuração do shell padrão para usuários do IdM usando um livro de exercícios possível

O shell é um programa que aceita e interpreta comandos. Vários shells estão disponíveis no Red Hat Enterprise Linux (RHEL), tais como bash, sh, ksh, zsh, fish, e outros. Bash, ou /bin/bash, é um shell popular na maioria dos sistemas Linux, e normalmente é o shell default para contas de usuários no RHEL.

O procedimento a seguir descreve como você pode usar um livro de jogo possível para configurar sh, uma shell alternativa, como a shell padrão para usuários do IdM.

Pré-requisitos

  • Você sabe a senha do administrador da IdM.
  • Você instalou o pacote ansible-freeipa no controlador Ansible.

Procedimento

  1. Opcional: Use o retrieve-config.yml Livro de jogo possível para identificar a concha atual para usuários da IdM. Consulte Recuperar a configuração do IdM usando um livro de reprodução possível para obter detalhes.
  2. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver no mesmo:

    [ipaserver]
    server.idm.example.com
  3. Abrir o arquivo /usr/share/doc/ansible-freeipa/playbooks/config/ensure-config-options-are-set.yml Um possível arquivo de playbook para edição:

    ---
    - name: Playbook to ensure some config options are set
      hosts: ipaserver
      become: true
    
      tasks:
      # Set defaultlogin and maxusername
      - ipaconfig:
          ipaadmin_password: Secret123
          defaultshell: /bin/bash
          maxusername: 64
  4. Adapte o arquivo alterando o seguinte:

    • A senha do administrador da IdM definida pela variável ipaadmin_password.
    • O shell padrão dos usuários do IdM definido pela variável defaultshell em /bin/sh.
  5. Salvar o arquivo.
  6. Execute o livro de jogo Ansible playbook. Especifique o arquivo do playbook e o arquivo do inventário:

    $ ansible-playbook -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/config/ensure-config-options-are-set.yml

Etapas de verificação

Você pode verificar se o shell de usuário padrão foi alterado iniciando uma nova sessão no IdM:

  1. Acesse ipaserver como administrador da IdM:

    $ ssh admin@server.idm.example.com
    Password:
    [admin@server /]$
  2. Mostrar a concha atual:

    [admin@server /]$ echo "$SHELL"
    /bin/sh

    O usuário logado está usando a concha sh.

Recursos adicionais

  • Você pode ver exemplos de playbooks possíveis para configuração de configurações globais de IdM e uma lista de variáveis possíveis no arquivo README-config.md Markdown disponível no diretório /usr/share/doc/ansible-freeipa/.
  • Você pode ver exemplos de playbooks possíveis para várias operações relacionadas à configuração do IdM no diretório /usr/share/doc/ansible-freeipa/playbooks/config.

Capítulo 9. Gerenciando contas de usuários usando a linha de comando

Este capítulo inclui uma descrição básica do ciclo de vida do usuário no IdM (Gerenciamento de Identidade). As seções seguintes lhe mostram como fazê-lo:

  • Criar contas de usuário
  • Ativar as contas de usuário da etapa
  • Preservar contas de usuários
  • Eliminar contas de usuário ativas, em fase ou preservadas
  • Restauração de contas de usuários preservadas

9.1. Ciclo de vida do usuário

IdM (Identity Management) suporta três estados de conta de usuário:

  • Stage os usuários não têm permissão para autenticar. Este é um estado inicial. Algumas das propriedades da conta de usuário necessárias para usuários ativos não podem ser definidas, por exemplo, a adesão em grupo.
  • Active os usuários têm permissão para autenticar. Todas as propriedades de conta de usuário necessárias devem ser definidas neste estado.
  • Preserved usuários são antigos usuários ativos que são considerados inativos e não podem se autenticar na IdM. Os usuários preservados retêm a maioria das propriedades da conta que tinham como usuários ativos, mas não fazem parte de nenhum grupo de usuários.

84 RHEL IdM 0420 ciclo de vida

Você pode excluir permanentemente as entradas do usuário do banco de dados do IdM.

Importante

As contas de usuário excluídas não podem ser restauradas. Quando você exclui uma conta de usuário, todas as informações associadas à conta são permanentemente perdidas.

Um novo administrador só pode ser criado por um usuário com direitos de administrador, tal como o usuário administrador padrão. Se você apagar acidentalmente todas as contas de administrador, o Administrador de Diretório deve criar um novo administrador manualmente no Servidor de Diretório.

Atenção

Não exclua o usuário do admin. Como admin é um usuário pré-definido exigido pela IdM, esta operação causa problemas com certos comandos. Se você quiser definir e usar um usuário administrador alternativo, desabilite o usuário admin pré-definido com ipa user-disable admin após ter concedido permissões de administrador a pelo menos um usuário diferente.

9.2. Adicionando usuários usando a linha de comando

Você pode adicionar usuário como:

  • Active - user contas que podem ser utilizadas ativamente por seus usuários.
  • Stage - users não pode usar essas contas. Use-a se você quiser preparar novas contas de usuário. Quando os usuários estiverem prontos para usar suas contas, então você poderá ativá-las.

O procedimento seguinte descreve a adição de usuários ativos ao servidor IdM com o comando ipa user-add.

Da mesma forma, você pode criar contas de usuário em palco com o comando ipa stageuser-add.

Nota

IdM atribui automaticamente um ID de usuário único (UID) para as novas contas de usuário. Você também pode fazer isto manualmente, entretanto, o servidor não valida se o número UID é único. Devido a isto, várias entradas de usuário podem ter o mesmo número de identificação atribuído. A Red Hat recomenda que se evite ter múltiplas entradas com a mesma UID.

Pré-requisitos

Procedimento

  1. Abra o terminal e conecte-se ao servidor IdM.
  2. Adicione login de usuário, nome do usuário, sobrenome e, opcionalmente, você também pode adicionar seu endereço de e-mail.

    $ ipa user-add user_login --first=first_name --last=last_name --email=email_address

    IdM suporta nomes de usuários que podem ser descritos através da seguinte expressão regular:

    [a-zA-Z0-9_.][a-zA-Z0-9_.-]{0,252}[a-zA-Z0-9_.$-]?
    Nota

    Os nomes dos usuários que terminam com o sinal de dólar móvel ($) são suportados para permitir o suporte da máquina Samba 3.x.

    Se você adicionar um nome de usuário contendo caracteres maiúsculos, o IdM converte automaticamente o nome em minúsculas ao salvá-lo. Portanto, o IdM sempre requer a inserção de nomes de usuário em letras minúsculas ao fazer o login. Além disso, não é possível adicionar nomes de usuário que diferem apenas em letras maiúsculas, como user e User.

    O comprimento máximo padrão para os nomes de usuário é de 32 caracteres. Para alterá-lo, use o comando ipa config-mod --maxusername. Por exemplo, para aumentar o comprimento máximo do nome do usuário para 64 caracteres:

    $ ipa config-mod --maxusername=64
     Maximum username length: 64
     ...

    O comando ipa user-add inclui uma série de parâmetros. Para listar todos eles, use o comando ipa help:

    $ ipa help user-add

    Para detalhes sobre o comando ipa help, veja Qual é a ajuda do IPA.

Você pode verificar se a nova conta de usuário é criada com sucesso, listando todas as contas de usuário da IdM:

$ ipa $ ipa user-find

Este comando lista todas as contas de usuário com detalhes.

9.3. Ativação de usuários usando a linha de comando

Para ativar uma conta de usuário movendo-a do estágio para o ativo, use o comando ipa stageuser-activate.

Pré-requisitos

Procedimento

  1. Abra o terminal e conecte-se ao servidor IdM.
  2. Ativar a conta de usuário com o seguinte comando:

    $ ipa stageuser-activate user_login
    -------------------------
    Stage user user_login activated
    -------------------------
    ...

Você pode verificar se a nova conta de usuário é criada com sucesso, listando todas as contas de usuário da IdM:

$ ipa $ ipa user-find

Este comando lista todas as contas de usuário com detalhes.

9.4. Preservação dos usuários usando a linha de comando

Para preservar uma conta de usuário, use os comandos ipa user-del ou ipa stageuser-del.

Pré-requisitos

Procedimento

  1. Abra o terminal e conecte-se ao servidor IdM.
  2. Preservar a conta do usuário com o seguinte comando:

    $ ipa user-del --preserve user_login
    --------------------
    Deleted user "user_login"
    --------------------

9.5. Eliminação de usuários usando a linha de comando

O IdM (Identity Management) permite excluir usuários permanentemente. Você pode excluir:

  • Usuários ativos com o seguinte comando ipa user-del
  • Usuários do palco com o seguinte comando ipa stageuser-del
  • Usuários preservados com o seguinte comando ipa user-del

Ao excluir vários usuários, use a opção --continue para forçar o comando a continuar, independentemente de erros. Um resumo das operações bem-sucedidas e falhadas é impresso no fluxo de saída padrão stdout quando o comando for concluído.

$ ipa user-del --continuar user1 user2 user3

Se você não usar --continue, o comando procede com a eliminação de usuários até encontrar um erro, após o qual ele pára e sai.

Pré-requisitos

Procedimento

  1. Abra o terminal e conecte-se ao servidor IdM.
  2. Eliminar a conta de usuário com o seguinte comando:

    $ ipa user-del user_login
    --------------------
    Deleted user "user_login"
    --------------------

A conta de usuário foi permanentemente excluída da IdM.

9.6. Restaurando usuários usando a linha de comando

Você pode restaurar um usuário preservado para:

  • Usuários ativos ipa user-undel
  • Usuários do palco ipa user-stage

A restauração de uma conta de usuário não restaura todos os atributos anteriores da conta. Por exemplo, a senha do usuário não é restaurada e deve ser definida novamente.

Pré-requisitos

Procedimento

  1. Abra o terminal e conecte-se ao servidor IdM.
  2. Ativar a conta de usuário com o seguinte comando:

    $ ipa user-undel user_login
    ------------------------------
    Undeleted user account "user_login"
    ------------------------------

    Alternativamente, você pode restaurar as contas dos usuários como encenadas:

    $ ipa user-stage user_login
    ------------------------------
    Staged user account "user_login"
    ------------------------------

Você pode verificar se a nova conta de usuário é criada com sucesso, listando todas as contas de usuário da IdM:

$ ipa $ ipa user-find

Este comando lista todas as contas de usuário com detalhes.

Capítulo 10. Gerenciando contas de usuários usando a IDM Web UI

O Gerenciamento de Identidade (IdM) fornece várias etapas que podem ajudá-lo a gerenciar várias situações da vida profissional do usuário:

Criação de uma conta de usuário

Criar uma conta de usuário de etapa antes de um funcionário iniciar sua carreira em sua empresa e estar preparado com antecedência para o dia em que o funcionário aparecer no escritório e quiser ativar a conta.

Você pode omitir esta etapa e criar a conta de usuário ativa diretamente. O procedimento é semelhante à criação de uma conta de usuário em fase.

Ativação de uma conta de usuário
Ativando a conta no primeiro dia útil do funcionário.
Desativação de uma conta de usuário
Se o usuário for a uma licença parental por alguns meses, precisará desativar a conta temporariamente.
Habilitação de uma conta de usuário
Quando o usuário retornar, será necessário reativar a conta.
Preservar uma conta de usuário
Se o usuário quiser deixar a empresa, será necessário apagar a conta com a possibilidade de restaurá-la, pois as pessoas podem retornar à empresa após algum tempo.
Restauração de uma conta de usuário
Dois anos depois, o usuário está de volta e você precisa restaurar a conta preservada.
Eliminação de uma conta de usuário
Se o funcionário for demitido, você apagará a conta sem um backup.

10.1. Ciclo de vida do usuário

IdM (Identity Management) suporta três estados de conta de usuário:

  • Stage os usuários não têm permissão para autenticar. Este é um estado inicial. Algumas das propriedades da conta de usuário necessárias para usuários ativos não podem ser definidas, por exemplo, a adesão em grupo.
  • Active os usuários têm permissão para autenticar. Todas as propriedades de conta de usuário necessárias devem ser definidas neste estado.
  • Preserved usuários são antigos usuários ativos que são considerados inativos e não podem se autenticar na IdM. Os usuários preservados retêm a maioria das propriedades da conta que tinham como usuários ativos, mas não fazem parte de nenhum grupo de usuários.

84 RHEL IdM 0420 ciclo de vida

Você pode excluir permanentemente as entradas do usuário do banco de dados do IdM.

Importante

As contas de usuário excluídas não podem ser restauradas. Quando você exclui uma conta de usuário, todas as informações associadas à conta são permanentemente perdidas.

Um novo administrador só pode ser criado por um usuário com direitos de administrador, tal como o usuário administrador padrão. Se você apagar acidentalmente todas as contas de administrador, o Administrador de Diretório deve criar um novo administrador manualmente no Servidor de Diretório.

Atenção

Não exclua o usuário do admin. Como admin é um usuário pré-definido exigido pela IdM, esta operação causa problemas com certos comandos. Se você quiser definir e usar um usuário administrador alternativo, desabilite o usuário admin pré-definido com ipa user-disable admin após ter concedido permissões de administrador a pelo menos um usuário diferente.

10.2. Adicionando usuários na Web UI

Normalmente, é necessário criar uma nova conta de usuário antes que um novo funcionário comece a trabalhar. Tal conta de etapa não é acessível e você precisa ativá-la mais tarde.

Nota

Alternativamente, você pode criar uma conta de usuário ativa diretamente. Para adicionar um usuário ativo, siga o procedimento abaixo e adicione a conta de usuário na guia Active users.

Pré-requisitos

  • Privilégios de administrador para gerenciar o papel de IdM ou Administrador de usuários.

Procedimento

  1. Faça o login na IDM Web UI.

    Para obter detalhes, consulte Acessando a IDM Web UI em um navegador da web.

  2. Vá para a guia Users → Stage Users.

    Alternativamente, você pode adicionar a conta de usuário no Users → Active users, entretanto, não é possível adicionar grupos de usuários à conta.

  3. Clique no ícone Add.
  4. Na caixa de diálogo Add stage user, digite First name e Last name do novo usuário.
  5. [Opcional] No campo User login, adicione um nome de login.

    Se você deixá-lo vazio, o servidor IdM cria o nome de login no seguinte padrão: A primeira letra do primeiro nome e o sobrenome. O nome de login completo pode ter até 32 caracteres.

  6. [Opcional] No menu suspenso GID, selecione os grupos nos quais o usuário deve ser incluído.
  7. [Opcional] Nos campos Password e Verify password,
  8. Clique no botão Add.

    idm usuário adicionar etapa

Neste ponto, você pode ver a conta de usuário na tabela Stage Users.

estágio de usuários idm

Nota

Se você clicar no nome do usuário, você pode editar configurações avançadas, como adicionar um número de telefone, endereço ou ocupação.

10.3. Ativação de usuários de palco na interface web da IdM

Uma conta de usuário estágio deve ser ativada antes que o usuário possa entrar na IdM e antes que o usuário possa ser adicionado a um grupo IdM. Esta seção descreve como ativar as contas de usuário de estágio.

Pré-requisitos

  • Privilégios de administrador para gerenciar a interface web da IdM ou o papel de Administrador do usuário.
  • Pelo menos uma conta de usuário encenada na IdM.

Procedimento

  1. Faça o login na IDM Web UI.

    Para obter detalhes, consulte Acessando a IDM Web UI em um navegador da web.

  2. Vá para a guia Users → Stage users.
  3. Clique na caixa de seleção da conta de usuário que você deseja ativar.
  4. Clique no botão Activate.

    estágio de usuários idm

  5. Na caixa de diálogo Confirmation, clique no botão OK.

Se a ativação for bem sucedida, a IDM Web UI exibe uma confirmação verde de que o usuário foi ativado e a conta de usuário foi movida para Active users. A conta está ativa e o usuário pode se autenticar no domínio IdM e na IDM Web UI. O usuário é solicitado a alterar sua senha no primeiro login.

idm usuário estágio ativado

Nota

Nesta fase, você pode adicionar a conta de usuário ativa aos grupos de usuários.

10.4. Desativação de contas de usuário na interface web

Você pode desativar contas de usuário ativas. Desativar uma conta de usuário desativa a conta, portanto, contas de usuário não podem ser usadas para autenticar e usar serviços IdM, tais como Kerberos, ou executar quaisquer tarefas.

As contas de usuários deficientes ainda existem dentro da IdM e todas as informações associadas permanecem inalteradas. Ao contrário das contas de usuários preservadas, as contas de usuários deficientes permanecem no estado ativo e podem ser um membro de grupos de usuários.

Nota

Após desativar uma conta de usuário, quaisquer conexões existentes permanecem válidas até a expiração do Kerberos TGT e outros bilhetes do usuário. Após a expiração do bilhete, o usuário não poderá renová-lo.

Pré-requisitos

  • Privilégios de administrador para gerenciar a interface web da IdM ou o papel de Administrador do usuário.

Procedimento

  1. Faça o login na IDM Web UI.

    Para obter detalhes, consulte Acessando a IDM Web UI em um navegador da web.

  2. Vá para a guia Users → Active users.
  3. Clique na caixa de seleção das contas de usuário que você deseja desativar.
  4. Clique no botão Disable.

    usuários do idm desativam

  5. Na caixa de diálogo Confirmation, clique no botão OK.

Se o procedimento de desativação tiver sido bem-sucedido, você pode verificar na coluna Status na tabela Active users.

usuários idm desativados

10.5. Habilitação de contas de usuário na Web UI

Com IdM você pode habilitar contas de usuários ativos desativados. A ativação de uma conta de usuário ativa a conta de usuário desativada.

Pré-requisitos

  • Privilégios de administrador para gerenciar a interface web da IdM ou o papel de Administrador do usuário.

Procedimento

  1. Faça o login na IDM Web UI.
  2. Vá para a guia Users → Active users.
  3. Clique na caixa de seleção das contas de usuário que você deseja habilitar.
  4. Clique no botão Enable.

    usuários do idm desativam

  5. Na caixa de diálogo Confirmation, clique no botão OK.

Se a mudança foi bem sucedida, você pode verificar na coluna Status na tabela Active users.

10.6. Preservação dos usuários ativos na interface web da IdM

A preservação de contas de usuário permite remover contas da guia Active users, mas mantendo estas contas na IdM.

Preservar a conta do usuário se o funcionário deixar a empresa. Se você quiser desativar a conta de usuário por algumas semanas ou meses (licença dos pais, por exemplo), desative a conta. Para maiores detalhes, veja Seção 10.4, “Desativação de contas de usuário na interface web”. As contas preservadas não estão ativas e os usuários não podem utilizá-las para acessar sua rede interna, entretanto, a conta permanece no banco de dados com todos os dados.

Você pode mover as contas restauradas de volta para o modo ativo.

Nota

A lista de usuários no estado preservado pode fornecer um histórico de contas de usuários passados.

Pré-requisitos

  • Privilégios de administrador para gerenciar a interface web IdM (Identity Management) ou a função de Administrador do usuário.

Procedimento

  1. Faça o login na IDM Web UI.

    Para obter detalhes, consulte Acessando a IDM Web UI em um navegador da web.

  2. Vá para a guia Users → Active users.
  3. Clique na caixa de seleção das contas de usuário que você deseja preservar.
  4. Clique no botão Delete.

    idm usuários ativos excluir

  5. Na caixa de diálogo Remove users, mude o botão de rádio Delete mode para preserve.
  6. Clique no botão Delete.

    idm usuários preservando

Como resultado, a conta de usuário é movida para Preserved users.

Se você precisar restaurar usuários preservados, consulte a seção Restaurando usuários na Interface Web do IdM.

10.7. Restaurando usuários na IDM Web UI

IdM (Identity Management) permite restaurar as contas de usuários preservadas no estado ativo.

Pré-requisitos

  • Privilégios de administrador para gerenciar a interface web da IdM ou o papel de Administrador do usuário.

Procedimento

  1. Faça o login na IDM Web UI.

    Para obter detalhes, consulte Acessando a IDM Web UI em um navegador da web.

  2. Vá para a guia Users → Preserved users.
  3. Clique na caixa de seleção nas contas de usuário que você deseja restaurar.
  4. Clique no botão Restore.

    idm usuários preservados restaurar

  5. Na caixa de diálogo Confirmation, clique no botão OK.

A IDM Web UI exibe uma confirmação verde e move as contas de usuário para a guia Active users.

10.8. Eliminação de usuários na IDM Web UI

A exclusão de usuários é uma operação irreversível, fazendo com que as contas de usuário sejam permanentemente excluídas do banco de dados do IdM, incluindo a filiação em grupo e as senhas. Qualquer configuração externa para o usuário, como a conta do sistema e o diretório pessoal, não é excluída, mas não é mais acessível através do IdM.

Você pode apagar:

  • Ativo users - the IdM Web UI lhe oferece as opções:

  • Etapa users - you pode simplesmente excluir usuários da etapa permanentemente.
  • Preservado users - you pode excluir usuários preservados permanentemente.

O procedimento a seguir descreve a eliminação de usuários ativos. Da mesma forma, você pode excluir contas de usuários:

  • A aba Stage users
  • A aba Preserved users

Pré-requisitos

  • Privilégios de administrador para gerenciar a interface web da IdM ou o papel de Administrador do usuário.

Procedimento

  1. Faça o login na IDM Web UI.

    Para obter detalhes, consulte Acessando a IDM Web UI em um navegador da web.

  2. Vá para a guia Users → Active users.

    Alternativamente, você pode excluir a conta do usuário no site Users → Stage users ou Users → Preserved users.

  3. Clique no ícone Delete.
  4. Na caixa de diálogo Remove users, mude o botão de rádio Delete mode para delete.
  5. Clique no botão Delete.

As contas dos usuários foram permanentemente apagadas da IdM.

Capítulo 11. Gerenciando contas de usuários usando Livros de Jogadas Ansíveis

Você pode gerenciar usuários na IdM usando Livros de Jogadas Ansíveis. Este capítulo descreve o uso de playbooks Ansible playbooks para as seguintes operações:

11.1. Garantindo a presença de um usuário IdM usando um livro de jogo possível

O procedimento a seguir descreve a garantia da presença de um usuário na IdM usando um livro de jogo possível.

Pré-requisitos

  • Você sabe a senha do administrador da IdM.
  • O pacote ansible-freeipa é instalado no controlador Ansible.

Procedimento

  1. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver no mesmo:

    [ipaserver]
    server.idm.example.com
  2. Crie um arquivo de playbook possível com os dados do usuário cuja presença na IdM você quer garantir. Para simplificar esta etapa, você pode copiar e modificar o exemplo no arquivo /usr/share/doc/ansible-freeipa/playbooks/user/add-user.yml. Por exemplo, para criar um usuário chamado idm_user e adicionar Password123 como senha do usuário:

    ---
    - name: Playbook to handle users
      hosts: ipaserver
      become: true
    
      tasks:
      - name: Create user idm_user
        ipauser:
          ipaadmin_password: MySecret123
          name: idm_user
          first: Alice
          last: Acme
          uid: 1000111
          gid: 10011
          phone: "+555123457"
          email: idm_user@acme.com
          passwordexpiration: "2023-01-19 23:59:59"
          password: "Password123"
          update_password: on_create

    Você deve usar as seguintes opções para adicionar um usuário:

    • name: o nome de login
    • first: a cadeia de nome próprio
    • last: a cadeia de sobrenomes

    Para a lista completa das opções de usuário disponíveis, consulte o arquivo /usr/share/doc/ansible-freeipa/README-user.md Markdown.

    Nota

    Se você usar a opção update_password: on_create, Ansible só cria a senha do usuário quando ele cria o usuário. Se o usuário já estiver criado com uma senha, o Ansible não gera uma nova senha.

  3. Execute o livro de brincadeiras:

    $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-IdM-user.yml

Etapas de verificação

  • Você pode verificar se a nova conta de usuário existe na IdM usando o comando ipa user-show:

    1. Acesse ipaserver como administrador:

      $ ssh admin@server.idm.example.com
      Password:
      [admin@server /]$
    2. Solicite um bilhete Kerberos para administração:

      $ kinit admin
      Password for admin@IDM.EXAMPLE.COM:
    3. Solicite informações sobre idm_user:

      $ ipa user-show idm_user
        User login: idm_user
        First name: Alice
        Last name: Acme
        ....

    O usuário chamado idm_user está presente na IdM.

11.2. Assegurar a presença de múltiplos usuários de IdM usando Livros de Jogadas Ansíveis

O procedimento a seguir descreve a garantia da presença de múltiplos usuários na IdM usando um livro de jogo possível.

Pré-requisitos

  • Você sabe a senha do administrador da IdM.
  • Você instalou o pacote ansible-freeipa no controlador Ansible.

Procedimento

  1. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver no mesmo:

    [ipaserver]
    server.idm.example.com
  2. Crie um arquivo de playbook possível com os dados dos usuários cuja presença você quer garantir na IdM. Para simplificar esta etapa, você pode copiar e modificar o exemplo no arquivo /usr/share/doc/ansible-freeipa/playbooks/user/ensure-users-present.yml. Por exemplo, para criar usuários idm_user_1, idm_user_2, e idm_user_3, e adicionar Password123 como senha de idm_user_1:

    ---
    - name: Playbook to handle users
      hosts: ipaserver
      become: true
    
      tasks:
      - name: Create user idm_users
        ipauser:
          ipaadmin_password: MySecret123
          users:
          - name: idm_user_1
            first: Alice
            last: Acme
            uid: 10001
            gid: 10011
            phone: "+555123457"
            email: idm_user@acme.com
            passwordexpiration: "2023-01-19 23:59:59"
            password: "Password123"
          - name: idm_user_2
            first: Bob
            last: Acme
            uid: 100011
            gid: 10011
          - name: idm_user_3
            first: Eve
            last: Acme
            uid: 1000111
            gid: 10011
    Nota

    Se você não especificar a opção update_password: on_create, Ansible redefine a senha do usuário toda vez que o playbook é executado: se o usuário mudou a senha desde a última vez que o playbook foi executado, Ansible redefine a senha.

  3. Execute o livro de brincadeiras:

    $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-users.yml

Etapas de verificação

  • Você pode verificar se a conta de usuário existe na IdM usando o comando ipa user-show:

    1. Acesse ipaserver como administrador:

      $ ssh administrator@server.idm.example.com
      Password:
      [admin@server /]$
    2. Mostrar informações sobre idm_user_1:

      $ ipa user-show idm_user_1
        User login: idm_user_1
        First name: Alice
        Last name: Acme
        Password: True
        ....

    O usuário chamado idm_user_1 está presente na IdM.

11.3. Assegurar a presença de múltiplos usuários IdM a partir de um arquivo JSON usando Livros de Jogadas Ansíveis

O procedimento seguinte descreve como você pode garantir a presença de vários usuários na IdM usando um Livro de Jogadas Anível. Os usuários são armazenados em um arquivo JSON.

Pré-requisitos

  • Você sabe a senha do administrador da IdM.
  • Você instalou o pacote ansible-freeipa no controlador Ansible.

Procedimento

  1. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver no mesmo:

    [ipaserver]
    server.idm.example.com
  2. Crie um arquivo de playbook possível com as tarefas necessárias. Consulte o arquivo JSON com os dados dos usuários cuja presença você deseja garantir. Para simplificar esta etapa, você pode copiar e modificar o exemplo no arquivo /usr/share/doc/ansible-freeipa/ensure-users-present-ymlfile.yml:

    ---
    - name: Ensure users' presence
      hosts: ipaserver
      become: true
    
      tasks:
      - name: Include users.json
        include_vars:
          file: users.json
    
      - name: Users present
        ipauser:
          ipaadmin_password: MySecret123
          users: "{{ users }}"
  3. Crie o arquivo users.json, e adicione os usuários do IdM a ele. Para simplificar esta etapa, você pode copiar e modificar o exemplo no arquivo /usr/share/doc/ansible-freeipa/playbooks/user/users.json. Por exemplo, para criar usuários idm_user_1, idm_user_2, e idm_user_3, e adicionar Password123 como senha de idm_user_1:

    {
      "users": [
       {
        "name": "idm_user_1",
        "first": "Alice",
        "last": "Acme",
        "password": "Password123"
       },
       {
        "name": "idm_user_2",
        "first": "Bob",
        "last": "Acme"
       },
       {
        "name": "idm_user_3",
        "first": "Eve",
        "last": "Acme"
       }
      ]
    }
  4. Execute a Pasta de reprodução possível especificando o arquivo da Pasta de reprodução e o arquivo do inventário:

    $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-users-present-jsonfile.yml

Etapas de verificação

  • Você pode verificar se as contas de usuário estão presentes no IdM usando o comando ipa user-show:

    1. Acesse ipaserver como administrador:

      $ ssh administrator@server.idm.example.com
      Password:
      [admin@server /]$
    2. Mostrar informações sobre idm_user_1:

      $ ipa user-show idm_user_1
        User login: idm_user_1
        First name: Alice
        Last name: Acme
        Password: True
        ....

    O usuário chamado idm_user_1 está presente na IdM.

11.4. Assegurando a ausência de usuários usando Livros didáticos Ansíveis

O procedimento a seguir descreve como você pode usar um Livro de Jogadas Possível para garantir que usuários específicos estejam ausentes da IdM.

Pré-requisitos

  • Você sabe a senha do administrador da IdM.
  • Você instalou o pacote ansible-freeipa no controlador Ansible.

Procedimento

  1. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver no mesmo:

    [ipaserver]
    server.idm.example.com
  2. Crie um arquivo de playbook possível com os usuários cuja ausência da IdM você quer garantir. Para simplificar esta etapa, você pode copiar e modificar o exemplo no arquivo /usr/share/doc/ansible-freeipa/playbooks/user/ensure-users-present.yml. Por exemplo, para excluir usuários idm_user_1, idm_user_2, e idm_user_3:

    ---
    - name: Playbook to handle users
      hosts: ipaserver
      become: true
    
      tasks:
      - name: Delete users idm_user_1, idm_user_2, idm_user_3
        ipauser:
          ipaadmin_password: MySecret123
          users:
          - name: idm_user_1
          - name: idm_user_2
          - name: idm_user_3
          state: absent
  3. Execute a Pasta de reprodução possível especificando o arquivo da Pasta de reprodução e o arquivo do inventário:

    $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/delete-users.yml

Etapas de verificação

Você pode verificar que as contas de usuário não existem na IdM usando o comando ipa user-show:

  1. Acesse ipaserver como administrador:

    $ ssh administrator@server.idm.example.com
    Password:
    [admin@server /]$
  2. Solicite informações sobre idm_user_1:

    $ ipa user-show idm_user_1
    ipa: ERROR: idm_user_1: user not found

    O usuário chamado idm_user_1 não existe na IdM.

Recursos adicionais

  • Você pode ver exemplos de playbooks possíveis para outras ações relacionadas ao usuário IdM, tais como preservar, excluir, habilitar, desabilitar, desbloquear e desmarcar usuários no arquivo README-user.md Markdown disponível no diretório /usr/share/doc/ansible-freeipa/. O arquivo também contém as definições das variáveis ipauser.
  • Você também pode ver exemplos de livros de exercícios possíveis no diretório /usr/share/doc/ansible-freeipa/playbooks/user.

Capítulo 12. Gerenciando grupos de usuários no IdM CLI

Este capítulo apresenta a gestão de grupos de usuários utilizando o IdM CLI.

Um grupo de usuários é um conjunto de usuários com privilégios comuns, políticas de senha e outras características.

Um grupo de usuários em Gerenciamento de Identidade (IdM) pode incluir:

  • Usuários da IdM
  • outros grupos de usuários da IdM
  • usuários externos, que são usuários que existem fora da IdM

12.1. Os diferentes tipos de grupos na IdM

IdM suporta os seguintes tipos de grupos:

Grupos POSIX (o padrão)

Os grupos POSIX suportam os atributos POSIX Linux para seus membros. Note que os grupos que interagem com o Active Directory não podem usar os atributos POSIX.

Os atributos POSIX identificam os usuários como entidades separadas. Exemplos de atributos POSIX relevantes para os usuários incluem uidNumber, um número de usuário (UID), e gidNumber, um número de grupo (GID).

Grupos não-POSIX

Os grupos não-POSIX não suportam os atributos POSIX. Por exemplo, estes grupos não têm um GID definido.

Todos os membros deste tipo de grupo devem pertencer ao domínio IdM.

Grupos externos

Use grupos externos para adicionar membros do grupo que existem em uma loja de identidade fora do domínio IdM, como por exemplo:

  • Um sistema local
  • Um domínio de Active Directory
  • Um serviço de diretório

Os grupos externos não suportam os atributos POSIX. Por exemplo, estes grupos não têm um GID definido.

Tabela 12.1. Grupos de usuários criados por padrão

Nome do grupoMembros do grupo padrão

ipausers

Todos os usuários da IdM

admins

Usuários com privilégios administrativos, incluindo o usuário padrão admin

editors

Este é um grupo legado que não tem mais nenhum privilégio especial

trust admins

Usuários com privilégios para gerenciar os trusts do Active Directory

Ao adicionar um usuário a um grupo de usuários, o usuário ganha os privilégios e as políticas associadas ao grupo. Por exemplo, para conceder privilégios administrativos a um usuário, adicione o usuário ao grupo admins.

Atenção

Não exclua o grupo admins. Como admins é um grupo pré-definido exigido pela IdM, esta operação causa problemas com certos comandos.

Além disso, o IdM cria por padrão user private groups sempre que um novo usuário é criado no IdM. Para mais informações sobre grupos privados, veja Adicionar usuários sem um grupo privado.

12.2. Membros diretos e indiretos do grupo

Os atributos do grupo de usuários no IdM aplicam-se tanto aos membros diretos quanto indiretos: quando o grupo B é um membro do grupo A, todos os usuários do grupo B são considerados membros indiretos do grupo A.

Por exemplo, no diagrama a seguir:

  • Usuário 1 e Usuário 2 são direct members do grupo A.
  • Usuário 3, Usuário 4, e Usuário 5 são indirect members do grupo A.

Figura 12.1. Participação direta e indireta em grupos

84 RHEL IdM 0420 user group

Se você definir uma política de senha para o grupo de usuários A, a política também se aplica a todos os usuários do grupo de usuários B.

12.3. Adicionando um grupo de usuários usando IdM CLI

Esta seção descreve como adicionar um grupo de usuários usando o IdM CLI.

Pré-requisitos

Procedimento

  • Adicione um grupo de usuários usando o ipa group-add group_name comando. Por exemplo, para criar o grupo_a:

    $ ipa group-add group_a
    ---------------------
    Added group "group_a"
    ---------------------
      Group name: group_a
      GID: 1133400009

    Por padrão, ipa group-add adiciona um grupo de usuários POSIX. Para especificar um tipo de grupo diferente, adicione opções a ipa group-add:

    Você pode especificar um GID personalizado ao adicionar um grupo de usuários, usando o --gid=custom_GID opção. Se você fizer isso, tenha cuidado para evitar conflitos de identificação. Se você não especificar um GID personalizado, o IdM atribui automaticamente um GID a partir da faixa de ID disponível.

12.4. Busca de grupos de usuários usando IdM CLI

Esta seção descreve como procurar por grupos de usuários existentes usando IdM CLI.

Procedimento

  • Exibir todos os grupos de usuários usando o comando ipa group-find. Para especificar um tipo de grupo, adicionar opções a ipa group-find:

    • Exibir todos os grupos POSIX usando o comando ipa group-find --posix.
    • Exibir todos os grupos não-POSIX usando o comando ipa group-find --nonposix.
    • Exibir todos os grupos externos usando o comando ipa group-find --external.

      Para mais informações sobre os diferentes tipos de grupos, consulte Os diferentes tipos de grupos na IdM.

12.5. Exclusão de um grupo de usuários usando IdM CLI

Esta seção descreve como excluir um grupo de usuários usando o IdM CLI. Note que a exclusão de um grupo não exclui os membros do grupo do IdM.

Pré-requisitos

Procedimento

  • Eliminar um grupo de usuários usando o ipa group-del group_name comando. Por exemplo, para excluir grupo_a:

    $ ipa group-del group_a
    --------------------------
    Deleted group "group_a"
    --------------------------

12.6. Adicionando um membro a um grupo de usuários usando IdM CLI

Esta seção descreve como adicionar um membro a um grupo de usuários usando o IdM CLI. Você pode adicionar tanto usuários quanto grupos de usuários como membros de um grupo de usuários. Para mais informações, veja Os diferentes tipos de grupo no IdM e Membros diretos e indiretos do grupo.

Pré-requisitos

Procedimento

  • Adicione um membro a um grupo de usuários usando o comando ipa group-add-member.

    Especifique o tipo de membro usando estas opções:

    • --users adiciona um usuário de IdM
    • --external adiciona um usuário que existe fora do domínio IdM, no formato de DOMAIN\user_name ou user_name@domain
    • --groups adiciona um grupo de usuários IdM

    Por exemplo, para adicionar group_b como membro do group_a:

    $ ipa group-add-member group_a --groups=group_b
    Group name: group_a
    GID: 1133400009
    Member users: user_a
    Member groups: group_b
    Indirect Member users: user_b
    -------------------------
    Number of members added 1
    -------------------------

    Os membros do group_b são agora membros indiretos do group_a.

Importante

Ao adicionar um grupo como membro de outro grupo, não crie grupos recursivos. Por exemplo, se o Grupo A for um membro do Grupo B, não adicione o Grupo B como um membro do Grupo A. Grupos recursivos podem causar um comportamento imprevisível.

Nota

Após adicionar um membro a um grupo de usuários, a atualização pode levar algum tempo para se espalhar a todos os clientes em seu ambiente de Gerenciamento de Identidade. Isto porque quando um determinado host resolve usuários, grupos e grupos de rede, o System Security Services Daemon (SSSD) primeiro procura em seu cache e realiza buscas no servidor apenas por registros ausentes ou expirados.

12.7. Adicionando usuários sem um grupo privado de usuários

Por padrão, IdM cria grupos privados de usuários (UPGs) sempre que um novo usuário é criado no IdM. Os UPGs são um tipo específico de grupo:

  • A UPG tem o mesmo nome que o usuário recém-criado.
  • O usuário é o único membro da UPG. A UPG não pode conter nenhum outro membro.
  • O GID do grupo privado combina com o UID do usuário.

Entretanto, é possível adicionar usuários sem criar um UPG.

12.7.1. Usuários sem um grupo privado de usuários

Se um grupo NIS ou outro grupo de sistemas já utiliza o GID que seria atribuído a um grupo privado de usuários, é necessário evitar a criação de um UPG.

Você pode fazer isso de duas maneiras:

Em ambos os casos, a IdM precisará especificar um GID ao adicionar novos usuários, caso contrário, a operação falhará. Isto porque o IdM requer um GID para o novo usuário, mas o grupo de usuários padrão ipausers é um grupo não-POSIX e, portanto, não tem um GID associado. O GID especificado pelo usuário não precisa corresponder a um grupo já existente.

Nota

A especificação do GID não cria um novo grupo. Ele apenas define o atributo GID para o novo usuário, porque o atributo é exigido pelo IdM.

12.7.2. Adicionar um usuário sem um grupo privado de usuários quando grupos privados são globalmente habilitados

Você pode adicionar um usuário sem criar um grupo privado de usuários (UPG) mesmo quando os UPGs estão habilitados no sistema. Isto requer a configuração manual de um GID para o novo usuário. Para detalhes sobre a necessidade disso, veja Seção 12.7.1, “Usuários sem um grupo privado de usuários”.

Procedimento

  • Para evitar que a IdM crie uma UPG, adicione a opção --noprivate ao comando ipa user-add.

    Note que para que o comando tenha sucesso, você deve especificar um GID personalizado. Por exemplo, para adicionar um novo usuário com GID 10000:

    $ ipa user-add jsmith --first=John --last=Smith --noprivate --gid 10000

12.7.3. Desabilitando grupos privados de usuários globalmente para todos os usuários

Você pode desativar grupos privados de usuários (UPGs) globalmente. Isto impede a criação de UPGs para todos os novos usuários. Os usuários existentes não são afetados por esta mudança.

Procedimento

  1. Obter privilégios de administrador:

    $ parentes admin
  2. IdM usa o Plug-in de Entradas Gerenciadas por Servidor de Diretório para gerenciar UPGs. Liste as instâncias do plug-in:

    $ ipa-managed-entries --lista
  3. Para garantir que a IdM não crie UPGs, desabilite a instância plug-in responsável pelo gerenciamento de grupos privados de usuários:

    $ ipa-managed-entries -e "UPG Definition" disable
    Disabling Plugin
    Nota

    Para reativar a instância UPG Definition mais tarde, use o comando ipa-managed-entries -e "UPG Definition" enable.

  4. Reinicie o Servidor de Diretório para carregar a nova configuração.

    $ sudo systemctl restart dirsrv.target

    Para adicionar um usuário após a desativação dos UPGs, é necessário especificar um GID. Para mais informações, veja Adicionar um usuário quando grupos privados de usuários são desativados globalmente

Etapas de verificação

  • Para verificar se as UPGs estão globalmente desativadas, use o comando de desativação novamente:

    $ ipa-managed-entries -e "UPG Definition" disable
    Plugin already disabled

12.7.4. Adicionar um usuário quando grupos privados de usuários são globalmente deficientes

Quando grupos privados de usuários (UPGs) são desativados globalmente, o IdM não atribui um GID a um novo usuário automaticamente. Para adicionar um usuário com sucesso, você deve atribuir um GID manualmente ou usando uma regra de membro automático. Para detalhes sobre o porquê disso, veja Seção 12.7.1, “Usuários sem um grupo privado de usuários”.

Pré-requisitos

Procedimento

  • Para garantir o sucesso da adição de um novo usuário quando a criação de UPGs estiver desativada, escolha uma das seguintes opções:

    • Especifique um GID personalizado ao adicionar um novo usuário. O GID não tem que corresponder a um grupo de usuários já existente.

      Por exemplo, ao adicionar um usuário da linha de comando, adicione a opção --gid ao comando ipa user-add.

    • Use uma regra de membro automático para adicionar o usuário a um grupo existente com um GID.

12.8. Adicionar usuários ou grupos como gerentes membros a um grupo de usuários IdM usando o IdM CLI

Esta seção descreve como adicionar usuários ou grupos como gerentes de membros a um grupo de usuários IdM usando o IdM CLI. Os gerentes membros podem adicionar usuários ou grupos aos grupos de usuários do IdM, mas não podem alterar os atributos de um grupo.

Pré-requisitos

Procedimento

  • Adicione um usuário como gerente membro a um grupo de usuários IdM usando o comando ipa group-add-member-manager.

    Por exemplo, para adicionar o usuário test como gerente membro do group_a:

    $ ipa group-add-member-manager group_a --users=test
    Group name: group_a
    GID: 1133400009
    Membership managed by users: test
    -------------------------
    Number of members added 1
    -------------------------

    O usuário test pode agora gerenciar membros do group_a.

  • Adicione um grupo como gerente membro a um grupo de usuários IdM usando o comando ipa group-add-member-manager.

    Por exemplo, para adicionar o grupo group_admins como gerente membro do group_a:

    $ ipa group-add-member-manager group_a --groups=group_admins
    Group name: group_a
    GID: 1133400009
    Membership managed by groups: group_admins
    Membership managed by users: test
    -------------------------
    Number of members added 1
    -------------------------

    O Grupo group_admins pode agora gerenciar membros do group_a.

Nota

Após adicionar um gerente membro a um grupo de usuários, a atualização pode levar algum tempo para se espalhar a todos os clientes em seu ambiente de Gerenciamento de Identidade.

Etapas de verificação

  • Using the ipa group-show command to verify the user and group were added as member managers.

    $ ipa group-show group_a
    Group name: group_a
    GID: 1133400009
    Membership managed by groups: group_admins
    Membership managed by users: test

Recursos adicionais

  • Veja ipa group-add-member-manager --help para mais detalhes.

12.9. Visualização dos membros do grupo usando IdM CLI

Esta seção descreve como visualizar os membros de um grupo usando o IdM CLI. Você pode visualizar tanto os membros diretos quanto os indiretos do grupo. Para mais informações, consulte Membros diretos e indiretos do grupo.

Procedimento:

  • Para listar os membros de um grupo, use o ipa group-show group_name comando. Por exemplo:

    $ ipa group-show group_a
      ...
      Member users: user_a
      Member groups: group_b
      Indirect Member users: user_b
    Nota

    A lista de membros indiretos não inclui usuários externos de domínios confiáveis do Active Directory. Os objetos de usuários de confiança do Active Directory não são visíveis na interface de Gerenciamento de Identidade porque não existem como objetos LDAP dentro do Gerenciamento de Identidade.

12.10. Removendo um membro de um grupo de usuários usando o IdM CLI

Esta seção descreve como remover um membro de um grupo de usuários usando o IdM CLI.

Pré-requisitos

Procedimento

  1. Optional. Use o comando ipa group-show para confirmar que o grupo inclui o membro que você deseja remover.
  2. Remover um membro de um grupo de usuários usando o comando ipa group-remove-member.

    Especifique os membros a serem removidos usando estas opções:

    • --users remove um usuário de IdM
    • --external remove um usuário que existe fora do domínio IdM, no formato de DOMAIN\user_name ou user_name@domain
    • --groups remove um grupo de usuários da IdM

    Por exemplo, para remover user1, user2, e group1 de um grupo chamado group_name:

    $ ipa group-remove-member group_name --users=user1 --users=user2 --groups=group1

12.11. Remoção de usuários ou grupos como gerentes membros de um grupo de usuários IdM usando o IdM CLI

Esta seção descreve como remover usuários ou grupos como gerentes membros de um grupo de usuários IdM usando o IdM CLI. Os gerentes membros podem remover usuários ou grupos dos grupos de usuários do IdM, mas não podem alterar os atributos de um grupo.

Pré-requisitos

Procedimento

  • Remover um usuário como gerente membro de um grupo de usuários IdM usando o comando ipa group-remove-member-manager.

    Por exemplo, para remover o usuário test como gerente membro do group_a:

    $ ipa group-remove-member-manager group_a --users=test
    Group name: group_a
    GID: 1133400009
    Membership managed by groups: group_admins
    ---------------------------
    Number of members removed 1
    ---------------------------

    O usuário test não pode mais administrar membros do group_a.

  • Remover um grupo como um gerente membro de um grupo de usuários IdM usando o comando ipa group-remove-member-manager.

    Por exemplo, para remover o grupo group_admins como gerente membro do group_a:

    $ ipa group-remove-member-manager group_a --groups=group_admins
    Group name: group_a
    GID: 1133400009
    ---------------------------
    Number of members removed 1
    ---------------------------

    O Grupo group_admins não pode mais administrar membros do group_a.

Nota

Depois de remover um gerente membro de um grupo de usuários, a atualização pode levar algum tempo para se espalhar a todos os clientes em seu ambiente de Gerenciamento de Identidade.

Etapas de verificação

  • Usando o comando ipa group-show para verificar o usuário e o grupo foram removidos como gerentes de membros.

    $ ipa group-show group_a
    Group name: group_a
    GID: 1133400009

Recursos adicionais

  • Veja ipa group-remove-member-manager --help para mais detalhes.

Capítulo 13. Gerenciando grupos de usuários na IDM Web UI

Este capítulo apresenta a gestão de grupos de usuários utilizando a interface web da IdM.

Um grupo de usuários é um conjunto de usuários com privilégios comuns, políticas de senha e outras características.

Um grupo de usuários em Gerenciamento de Identidade (IdM) pode incluir:

  • Usuários da IdM
  • outros grupos de usuários da IdM
  • usuários externos, que são usuários que existem fora da IdM

13.1. Os diferentes tipos de grupos na IdM

IdM suporta os seguintes tipos de grupos:

Grupos POSIX (o padrão)

Os grupos POSIX suportam os atributos POSIX Linux para seus membros. Note que os grupos que interagem com o Active Directory não podem usar os atributos POSIX.

Os atributos POSIX identificam os usuários como entidades separadas. Exemplos de atributos POSIX relevantes para os usuários incluem uidNumber, um número de usuário (UID), e gidNumber, um número de grupo (GID).

Grupos não-POSIX

Os grupos não-POSIX não suportam os atributos POSIX. Por exemplo, estes grupos não têm um GID definido.

Todos os membros deste tipo de grupo devem pertencer ao domínio IdM.

Grupos externos

Use grupos externos para adicionar membros do grupo que existem em uma loja de identidade fora do domínio IdM, como por exemplo:

  • Um sistema local
  • Um domínio de Active Directory
  • Um serviço de diretório

Os grupos externos não suportam os atributos POSIX. Por exemplo, estes grupos não têm um GID definido.

Tabela 13.1. Grupos de usuários criados por padrão

Nome do grupoMembros do grupo padrão

ipausers

Todos os usuários da IdM

admins

Usuários com privilégios administrativos, incluindo o usuário padrão admin

editors

Este é um grupo legado que não tem mais nenhum privilégio especial

trust admins

Usuários com privilégios para gerenciar os trusts do Active Directory

Ao adicionar um usuário a um grupo de usuários, o usuário ganha os privilégios e as políticas associadas ao grupo. Por exemplo, para conceder privilégios administrativos a um usuário, adicione o usuário ao grupo admins.

Atenção

Não exclua o grupo admins. Como admins é um grupo pré-definido exigido pela IdM, esta operação causa problemas com certos comandos.

Além disso, o IdM cria por padrão user private groups sempre que um novo usuário é criado no IdM. Para mais informações sobre grupos privados, veja Adicionar usuários sem um grupo privado.

13.2. Membros diretos e indiretos do grupo

Os atributos do grupo de usuários no IdM aplicam-se tanto aos membros diretos quanto indiretos: quando o grupo B é um membro do grupo A, todos os usuários do grupo B são considerados membros indiretos do grupo A.

Por exemplo, no diagrama a seguir:

  • Usuário 1 e Usuário 2 são direct members do grupo A.
  • Usuário 3, Usuário 4, e Usuário 5 são indirect members do grupo A.

Figura 13.1. Participação direta e indireta em grupos

84 RHEL IdM 0420 user group

Se você definir uma política de senha para o grupo de usuários A, a política também se aplica a todos os usuários do grupo de usuários B.

13.3. Adicionando um grupo de usuários usando IdM Web UI

Esta seção descreve como adicionar um grupo de usuários usando a interface web IdM.

Pré-requisitos

  • Você está logado na IDM Web UI.

Procedimento

  1. Clique em Identity → Groups, e selecione User Groups na barra lateral esquerda.
  2. Clique em Add para começar a adicionar o grupo.
  3. Preencha as informações sobre o grupo. Para mais informações sobre os tipos de grupos de usuários, consulte Os diferentes tipos de grupos na IdM.

    Você pode especificar um GID personalizado para o grupo. Se você fizer isso, tenha cuidado para evitar conflitos de ID. Se você não especificar um GID personalizado, o IdM atribui automaticamente um GID a partir da faixa de ID disponível.

    user group add dialog
  4. Clique em Add para confirmar.

13.4. Eliminação de um grupo de usuários usando IdM Web UI

Esta seção descreve como excluir um grupo de usuários usando a interface web do IdM. Note que a exclusão de um grupo não exclui os membros do grupo da IdM.

Pré-requisitos

  • Você está logado na IDM Web UI.

Procedimento

  1. Clique em Identity → Groups e selecione User Groups.
  2. Selecione o grupo a ser excluído.
  3. Clique em Delete.
  4. Clique em Delete para confirmar.

13.5. Adicionando um membro a um grupo de usuários usando a IDM Web UI

Você pode adicionar tanto usuários quanto grupos de usuários como membros de um grupo de usuários. Para mais informações, veja Os diferentes tipos de grupo em IdM e Membros diretos e indiretos do grupo.

Pré-requisitos

  • Você está logado na IDM Web UI.

Procedimento

  1. Clique em Identity → Groups e selecione User Groups na barra lateral esquerda.
  2. Clique no nome do grupo.
  3. Selecione o tipo de membro do grupo que você deseja adicionar: Users, User Groups, ou External.

    groups add member updated
  4. Clique em Add.
  5. Selecione a caixa de seleção ao lado de um ou mais membros que você deseja adicionar.
  6. Clique na seta para a direita para mover os membros selecionados para o grupo.

    groups add member dialog
  7. Clique em Add para confirmar.

13.6. Adicionar usuários ou grupos como gerentes de membros a um grupo de usuários IdM usando a interface Web

Esta seção descreve como adicionar usuários ou grupos como gerentes de membros a um grupo de usuários IdM usando a interface Web. Os gerentes membros podem adicionar usuários ou grupos a grupos de usuários IdM, mas não podem alterar os atributos de um grupo.

Pré-requisitos

  • Você está logado na IDM Web UI.
  • Você deve ter o nome do usuário ou do grupo que você está adicionando como gerentes membros e o nome do grupo que você quer que eles gerenciem.

Procedimento

  1. Clique em Identity → Groups e selecione User Groups na barra lateral esquerda.
  2. Clique no nome do grupo.
  3. Selecione o tipo de gerente do grupo que você deseja adicionar: Users ou User Groups.

    groups add member manager
  4. Clique em Add.
  5. Selecione a caixa de seleção ao lado de um ou mais membros que você deseja adicionar.
  6. Clique na seta para a direita para mover os membros selecionados para o grupo.

    groups add member managers users
  7. Clique em Add para confirmar.
Nota

Após adicionar um gerente membro a um grupo de usuários, a atualização pode levar algum tempo para se espalhar a todos os clientes em seu ambiente de Gerenciamento de Identidade.

Etapas de verificação

  • Verificar se o usuário ou grupo de usuários recentemente adicionado foi adicionado à lista de usuários ou grupos de usuários do gerente membro:

    groups member manager added

Recursos adicionais

  • Veja ipa group-add-member-manager --help para mais informações.

13.7. Visualizando os membros do grupo usando IdM Web UI

Esta seção descreve como visualizar os membros de um grupo utilizando a interface web da IdM. Você pode visualizar tanto os membros diretos quanto os indiretos do grupo. Para mais informações, consulte Membros diretos e indiretos do grupo.

Pré-requisitos

  • Você está logado na IDM Web UI.

Procedimento

  1. Selecione Identity → Groups.
  2. Selecione User Groups na barra lateral esquerda.
  3. Clique no nome do grupo que você deseja visualizar.
  4. Alternar entre Direct Membership e Indirect Membership.

    groups menu clean

13.8. Removendo um membro de um grupo de usuários usando IdM Web UI

Esta seção descreve como remover um membro de um grupo de usuários usando a IDM Web UI.

Pré-requisitos

  • Você está logado na IDM Web UI.

Procedimento

  1. Clique em Identity → Groups e selecione User Groups na barra lateral esquerda.
  2. Clique no nome do grupo.
  3. Selecione o tipo de membro do grupo que você deseja remover: Users, User Groups, ou External.

    groups add member updated
  4. Selecione a caixa de seleção ao lado do membro que você deseja remover.
  5. Clique em Delete.
  6. Clique em Delete para confirmar.

13.9. Remoção de usuários ou grupos como gerentes membros de um grupo de usuários IdM usando a interface Web

Esta seção descreve como remover usuários ou grupos como gerentes de membros de um grupo de usuários IdM usando a interface web. Os gerentes membros podem remover usuários ou grupos dos grupos de usuários IdM, mas não podem alterar os atributos de um grupo.

Pré-requisitos

  • Você está logado na IDM Web UI.
  • Você deve ter o nome do usuário ou do grupo de membros existentes que você está removendo e o nome do grupo que eles estão gerenciando.

Procedimento

  1. Clique em Identity → Groups e selecione User Groups na barra lateral esquerda.
  2. Clique no nome do grupo.
  3. Selecione o tipo de gerente membro que você deseja remover: Users ou User Groups.

    groups add member manager
  4. Selecione a caixa de seleção ao lado do gerente membro que você deseja remover.
  5. Clique em Delete.
  6. Clique em Delete para confirmar.
Nota

Depois de remover um gerente membro de um grupo de usuários, a atualização pode levar algum tempo para se espalhar a todos os clientes em seu ambiente de Gerenciamento de Identidade.

Etapas de verificação

  • Verificar se o usuário ou grupo de usuários foi removido da lista de usuários ou grupos de usuários do gerente de membros:

    groups member manager removed

Recursos adicionais

  • Veja ipa group-add-member-manager --help para mais detalhes.

Capítulo 14. Gerenciamento de Grupos de Usuários usando Livros Rápidos Ansíveis

Esta seção apresenta a gestão de grupos de usuários utilizando Livros de Jogadas Ansíveis, incluindo o seguinte:

14.1. Assegurar a presença de grupos e membros do grupo IdM usando Livros didáticos Ansíveis

O procedimento a seguir descreve como garantir a presença de grupos e membros do grupo IdM - tanto usuários como grupos de usuários - usando um livro de jogo possível.

Pré-requisitos

Procedimento

  1. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver no mesmo:

    [ipaserver]
    server.idm.example.com
  2. Crie um arquivo de playbook possível com as informações necessárias de usuário e grupo:

    ---
    - name: Playbook to handle groups
      hosts: ipaserver
      become: true
    
      tasks:
      - name: Create group ops with gid 1234
        ipagroup:
          ipaadmin_password: MySecret123
          name: ops
          gidnumber: 1234
    
      - name: Create group sysops
        ipagroup:
          ipaadmin_password: MySecret123
          name: sysops
          user:
          - idm_user
    
      - name: Create group appops
        ipagroup:
          ipaadmin_password: MySecret123
          name: appops
    
      - name: Add group members sysops and appops to group ops
        ipagroup:
          ipaadmin_password: MySecret123
          name: ops
          group:
          - sysops
          - appops
  3. Execute o livro de brincadeiras:

    $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-group-members.yml

Etapas de verificação

Você pode verificar se o grupo ops contém sysops e appops como membros diretos e idm_user como membro indireto, usando o comando ipa group-show:

  1. Acesse ipaserver como administrador:

    $ ssh admin@server.idm.example.com
    Password:
    [admin@server /]$
  2. Mostrar informações sobre ops:

    ipaserver]$ ipa group-show ops
      Group name: ops
      GID: 1234
      Member groups: sysops, appops
      Indirect Member users: idm_user

    Os grupos appops e sysops - este último incluindo o usuário idm_user - existem na IdM.

Recursos adicionais

  • Para mais informações sobre como garantir a presença de grupos de usuários usando o Ansible, consulte o arquivo /usr/share/doc/ansible-freeipa/README-group.md Markdown.

14.2. Assegurar a presença de gerentes membros em grupos de usuários da IdM usando Livros de Jogadas Ansíveis

O procedimento a seguir descreve como garantir a presença dos gerentes membros da IdM - tanto usuários como grupos de usuários - usando um livro de jogo possível.

Pré-requisitos

  • Você sabe a senha do administrador da IdM.
  • Você instalou o pacote ansible-freeipa no controlador Ansible.
  • Você deve ter o nome do usuário ou do grupo que você está adicionando como gerentes membros e o nome do grupo que você quer que eles gerenciem.

Procedimento

  1. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver no mesmo:

    [ipaserver]
    server.idm.example.com
  2. Crie um arquivo de playbook com as informações necessárias de gerenciamento de usuários e membros do grupo:

    ---
    - name: Playbook to handle membership management
      hosts: ipaserver
      become: true
    
      tasks:
      - name: Ensure user test is present for group_a
        ipagroup:
          ipaadmin_password: MySecret123
          name: group_a
          membermanager_user: test
    
      - name: Ensure group_admins is present for group_a
        ipagroup:
          ipaadmin_password: MySecret123
          name: group_a
          membermanager_group: group_admins
  3. Execute o livro de brincadeiras:

    $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-member-managers-user-groups.yml

Etapas de verificação

Você pode verificar se o grupo group_a contém test como gerente membro e group_admins é um gerente membro de group_a usando o comando ipa group-show:

  1. Acesse ipaserver como administrador:

    $ ssh admin@server.idm.example.com
    Password:
    [admin@server /]$
  2. Mostrar informações sobre managergroup1:

    ipaserver]$ ipa group-show group_a
      Group name: group_a
      GID: 1133400009
      Membership managed by groups: group_admins
      Membership managed by users: test

Recursos adicionais

  • Ver ipa host-add-member-manager --help.
  • Veja a página de manual ipa.

14.3. Assegurar a ausência de gerentes membros em grupos de usuários da IdM usando Livros de Jogadas Ansíveis

O procedimento a seguir descreve a garantia da ausência dos gerentes membros da IdM - tanto usuários como grupos de usuários - usando um Livro de Jogadas Possível.

Pré-requisitos

  • Você sabe a senha do administrador da IdM.
  • Você instalou o pacote ansible-freeipa no controlador Ansible.
  • Você deve ter o nome do usuário ou do grupo de membros existentes que você está removendo e o nome do grupo que eles estão gerenciando.

Procedimento

  1. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver no mesmo:

    [ipaserver]
    server.idm.example.com
  2. Crie um arquivo de playbook com as informações necessárias de gerenciamento de usuários e membros do grupo:

    ---
    - name: Playbook to handle membership management
      hosts: ipaserver
      become: true
    
      tasks:
      - name: Ensure member manager user and group members are absent for group_a
        ipagroup:
          ipaadmin_password: MySecret123
          name: group_a
          membermanager_user: test
          membermanager_group: group_admins
          action: member
          state: absent
  3. Execute o livro de brincadeiras:

    $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-member-managers-are-absent.yml

Etapas de verificação

Você pode verificar se o grupo group_a não contém test como gerente membro e group_admins como gerente membro de group_a, usando o comando ipa group-show:

  1. Acesse ipaserver como administrador:

    $ ssh admin@server.idm.example.com
    Password:
    [admin@server /]$
  2. Exibir informações sobre o grupo_a:

    ipaserver]$ ipa group-show group_a
      Group name: group_a
      GID: 1133400009

Recursos adicionais

  • Ver ipa host-remove-member-manager --help.
  • Veja a página de manual ipa.

Capítulo 15. Automatização da filiação em grupo usando IdM CLI

O uso da associação automática a grupos permite atribuir usuários e anfitriões a grupos automaticamente com base em seus atributos. Por exemplo, você pode:

  • Dividir as entradas de usuários dos funcionários em grupos com base no gerente do funcionário, local ou qualquer outro atributo.
  • Dividir os anfitriões com base em sua classe, localização, ou qualquer outro atributo.
  • Adicionar todos os usuários ou todos os anfitriões a um único grupo global.

Este capítulo cobre os seguintes tópicos:

15.1. Benefícios da associação automática em grupo

O uso da associação automática para os usuários permite que você o faça:

  • Reduce the overhead of manually managing group memberships

    Você não precisa mais designar cada usuário e hospedar grupos manualmente.

  • Improve consistency in user and host management

    Os usuários e anfitriões são designados para grupos com base em critérios estritamente definidos e avaliados automaticamente.

  • Simplify the management of group-based settings

    Várias configurações são definidas para grupos e depois aplicadas aos membros individuais do grupo, por exemplo sudo regras, montagem automática, ou controle de acesso. A adição de usuários e anfitriões aos grupos torna o gerenciamento destas configurações mais fácil.

15.2. Regras de membros automáticos

Ao configurar a adesão automática ao grupo, o administrador define as regras de adesão automática. Uma regra de membro automático se aplica a um usuário específico ou a um grupo alvo anfitrião. Ela não pode se aplicar a mais de um grupo de cada vez.

Após criar uma regra, o administrador acrescenta condições a ela. Estas especificam quais usuários ou anfitriões são incluídos ou excluídos do grupo alvo:

  • Inclusive conditions

    Quando um usuário ou anfitrião cumpre uma condição de inclusão, ele será incluído no grupo alvo.

  • Exclusive conditions

    Quando um usuário ou anfitrião cumpre uma condição exclusiva, ele não será incluído no grupo alvo.

As condições são especificadas como expressões regulares no formato Perl-compatible regular expressions (PCRE). Para mais informações sobre PCRE, consulte a página de manual pcresyntax(3).

Nota

IdM avalia as condições exclusivas antes das condições inclusivas. Em caso de conflito, as condições exclusivas prevalecem sobre as condições inclusivas.

Uma regra de membro automático se aplica a cada entrada criada no futuro. Estas entradas serão automaticamente adicionadas ao grupo alvo especificado. Se uma entrada atender às condições especificadas em várias regras de membros automáticos, ela será adicionada a todos os grupos correspondentes.

As entradas existentes são not afetadas pela nova regra. Se você quiser alterar as entradas existentes, consulte Aplicando regras de membros automáticos às entradas existentes usando o IdM CLI.

15.3. Adicionando uma regra de membro automático usando IdM CLI

Esta seção descreve a adição de uma regra de membro automático usando o IdM CLI. Para informações sobre regras de membros automáticos, consulte Regras de membros automáticos.

Depois de adicionar uma regra de membro automático, você pode adicionar condições a ela usando o procedimento descrito em Adição de uma condição a uma regra de membro automático.

Nota

As entradas existentes são not afetadas pela nova regra. Se você quiser alterar as entradas existentes, consulte Aplicando regras de membros automáticos às entradas existentes usando o IdM CLI.

Pré-requisitos

Procedimento

  1. Digite o comando ipa automember-add para adicionar uma regra de membro automático.
  2. Quando solicitado, especifique:

    • Automember rule. Este é o nome do grupo alvo.
    • Grouping Type. Isto especifica se a regra tem como alvo um grupo de usuários ou um grupo anfitrião. Para visar um grupo de usuários, digite group. Para visar um grupo de usuários, digite hostgroup.

    Por exemplo, para adicionar uma regra de membro automático para um grupo de usuários chamado user_group:

    $ ipa automember-add
    Automember Rule: user_group
    Grouping Type: group
    --------------------------------
    Added automember rule "user_group"
    --------------------------------
        Automember Rule: user_group

Etapas de verificação

15.4. Adicionando uma condição a uma regra de membro automático usando IdM CLI

Esta seção descreve como adicionar uma condição a uma regra de membro automático usando o IdM CLI. Para informações sobre regras de membros automáticos, consulte Regras de membros automáticos.

Pré-requisitos

Procedimento

  1. Definir uma ou mais condições inclusivas ou exclusivas usando o comando ipa automember-add-condition.
  2. Quando solicitado, especifique:

    • Automember rule. Este é o nome da regra alvo. Veja as regras do Automember para detalhes.
    • Attribute Key. Isto especifica o atributo de entrada ao qual o filtro será aplicado. Por exemplo, uid para usuários.
    • Grouping Type. Isto especifica se a regra tem como alvo um grupo de usuários ou um grupo anfitrião. Para visar um grupo de usuários, digite group. Para visar um grupo de usuários, digite hostgroup.
    • Inclusive regex e Exclusive regex. Estes especificam uma ou mais condições como expressões regulares. Se você quiser especificar apenas uma condição, pressione Enter quando solicitado pela outra.

    Por exemplo, a seguinte condição visa todos os usuários com qualquer valor (.*) em seu atributo de login de usuário (uid).

    $ ipa automember-add-condition
    Automember Rule: user_group
    Attribute Key: uid
    Grouping Type: group
    [Inclusive Regex]: .*
    [Exclusive Regex]:
    ----------------------------------
    Added condition(s) to "user_group"
    ----------------------------------
      Automember Rule: user_group
      Inclusive Regex: uid=.*
    ----------------------------
    Number of conditions added 1
    ----------------------------

    Como outro exemplo, você pode usar uma regra de associação automática para atingir todos os usuários Windows sincronizados a partir do Active Directory (AD). Para conseguir isso, crie uma condição que vise todos os usuários com ntUser em seu atributo objectClass, que é compartilhado por todos os usuários do AD:

    $ ipa automember-add-condition
    Automember Rule: ad_users
    Attribute Key: objectclass
    Grouping Type: group
    [Inclusive Regex]: ntUser
    [Exclusive Regex]:
    -------------------------------------
    Added condition(s) to "ad_users"
    -------------------------------------
      Automember Rule: ad_users
      Inclusive Regex: objectclass=ntUser
    ----------------------------
    Number of conditions added 1
    ----------------------------

Etapas de verificação

15.5. Visualização das regras existentes de membros automáticos usando IdM CLI

Esta seção descreve como visualizar as regras de membros automáticos existentes usando o IdM CLI.

Pré-requisitos

Procedimento

  1. Digite o comando ipa automember-find.
  2. Quando solicitado, especifique o endereço Grouping type:

    • Para visar um grupo de usuários, digite group.
    • Para visar um grupo anfitrião, digite hostgroup.

      Por exemplo:

    $ ipa automember-find
    Grouping Type: group
    ---------------
    1 rules matched
    ---------------
      Automember Rule: user_group
      Inclusive Regex: uid=.*
    ----------------------------
    Number of entries returned 1
    ----------------------------

15.6. Eliminação de uma regra de membro automático usando IdM CLI

Esta seção descreve como excluir uma regra de membro automático usando o IdM CLI.

A eliminação de uma regra de membro automático também elimina todas as condições associadas com a regra. Para remover apenas condições específicas de uma regra, consulte Remoção de uma condição de uma regra de membro automático usando o IdM CLI.

Pré-requisitos

Procedimento

  1. Digite o comando ipa automember-del.
  2. Quando solicitado, especifique:

    • Automember rule. Esta é a regra que você quer eliminar.
    • Grouping rule. Isto especifica se a regra que você deseja excluir é para um grupo de usuários ou para um grupo anfitrião. Digite group ou hostgroup.

15.7. Removendo uma condição de uma regra de membro automático usando IdM CLI

Esta seção descreve como remover uma condição específica de uma regra de membro automático.

Pré-requisitos

Procedimento

  1. Digite o comando ipa automember-remove-condition.
  2. Quando solicitado, especifique:

    • Automember rule. Este é o nome da regra da qual você quer remover uma condição.
    • Attribute Key. Este é o atributo de entrada de destino. Por exemplo, uid para usuários.
    • Grouping Type. Isto especifica se a condição que você deseja excluir é para um grupo de usuários ou para um grupo anfitrião. Digite group ou hostgroup.
    • Inclusive regex e Exclusive regex. Estes especificam as condições que você deseja remover. Se você quiser especificar apenas uma condição, pressione Enter quando solicitado pela outra.

      Por exemplo:

    $ ipa automember-remove-condition
    Automember Rule: user_group
    Attribute Key: uid
    Grouping Type: group
    [Inclusive Regex]: .*
    [Exclusive Regex]:
    -----------------------------------
    Removed condition(s) from "user_group"
    -----------------------------------
      Automember Rule: user_group
    ------------------------------
    Number of conditions removed 1
    ------------------------------

15.8. Aplicação de regras de membros automáticos às entradas existentes usando IdM CLI

As regras de membro automático se aplicam automaticamente às entradas de usuário e anfitrião criadas após a adição das regras. Elas não são aplicadas retroativamente às entradas que existiam antes de as regras serem adicionadas.

Para aplicar as regras de associação automática às entradas previamente adicionadas, você tem que reconstruir manualmente a associação automática. A reconstrução da associação automática reavalia todas as regras de associação automática existentes e as aplica ou a todas as entradas de usuário ou anfitrião, ou a entradas específicas.

Nota

Reconstruir a associação automática does not remover entradas de usuários ou anfitriões de grupos, mesmo que as entradas não correspondam mais às condições de inclusão do grupo. Para removê-las manualmente, veja Removendo um membro de um grupo de usuários usando o IdM CLI ou Removendo membros do grupo anfitrião IdM usando o CLI.

Pré-requisitos

Procedimento

  • Para reconstruir a associação automática, digite o comando ipa automember-rebuild. Use as seguintes opções para especificar as entradas a serem alvo:

    • Para reconstruir a associação automática para todos os usuários, use a opção --type=group:

      $ ipa automember-rebuild --type=group
      --------------------------------------------------------
      Automember rebuild task finished. Processed (9) entries.
      --------------------------------------------------------
    • Para reconstruir a associação automática para todos os anfitriões, use a opção --type=hostgroup.
    • Para reconstruir a associação automática para um usuário ou usuários específicos, use o --users=target_user opção:

      $ ipa automember-rebuild --users=target_user1 --users=target_user2
      --------------------------------------------------------
      Automember rebuild task finished. Processed (2) entries.
      --------------------------------------------------------
    • Para reconstruir a associação automática para um determinado anfitrião ou anfitriões, use o --hosts=client.idm.example.com opção.

15.9. Configuração de um grupo de membros automáticos padrão usando IdM CLI

Quando você configura um grupo de membros automáticos padrão, novas entradas de usuário ou host que não correspondem a nenhuma regra de membros automáticos são automaticamente adicionadas a este grupo padrão.

Pré-requisitos

Procedimento

  1. Digite o comando ipa automember-default-group-set para configurar um grupo de membros automáticos padrão.
  2. Quando solicitado, especifique:

    • Default (fallback) Group, que especifica o nome do grupo-alvo.
    • Grouping Type, que especifica se o alvo é um grupo de usuários ou um grupo anfitrião. Para visar um grupo de usuários, digite group. Para visar um grupo de usuários, digite hostgroup.

      Por exemplo:

      $ ipa automember-default-group-set
      Default (fallback) Group: default_user_group
      Grouping Type: group
      ---------------------------------------------------
      Set default (fallback) group for automember "default_user_group"
      ---------------------------------------------------
        Default (fallback) Group: cn=default_user_group,cn=groups,cn=accounts,dc=example,dc=com
    Nota

    Para remover o grupo de membros automáticos padrão atual, digite o comando ipa automember-default-group-remove.

Etapas de verificação

  • Para verificar se o grupo está configurado corretamente, digite o comando ipa automember-default-group-show. O comando exibe o grupo de membros automáticos padrão atual. Por exemplo:

    $ ipa automember-default-group-show
    Grouping Type: group
      Default (fallback) Group: cn=default_user_group,cn=groups,cn=accounts,dc=example,dc=com

Capítulo 16. Automatizando a adesão de grupos usando IdM Web UI

O uso da associação automática a grupos permite atribuir usuários e anfitriões a grupos automaticamente com base em seus atributos. Por exemplo, você pode:

  • Dividir as entradas de usuários dos funcionários em grupos com base no gerente do funcionário, local ou qualquer outro atributo.
  • Dividir os anfitriões com base em sua classe, localização, ou qualquer outro atributo.
  • Adicionar todos os usuários ou todos os anfitriões a um único grupo global.

Este capítulo cobre os seguintes tópicos:

16.1. Benefícios da associação automática em grupo

O uso da associação automática para os usuários permite que você o faça:

  • Reduce the overhead of manually managing group memberships

    Você não precisa mais designar cada usuário e hospedar grupos manualmente.

  • Improve consistency in user and host management

    Os usuários e anfitriões são designados para grupos com base em critérios estritamente definidos e avaliados automaticamente.

  • Simplify the management of group-based settings

    Várias configurações são definidas para grupos e depois aplicadas aos membros individuais do grupo, por exemplo sudo regras, montagem automática, ou controle de acesso. A adição de usuários e anfitriões aos grupos torna o gerenciamento destas configurações mais fácil.

16.2. Regras de membros automáticos

Ao configurar a adesão automática ao grupo, o administrador define as regras de adesão automática. Uma regra de membro automático se aplica a um usuário específico ou a um grupo alvo anfitrião. Ela não pode se aplicar a mais de um grupo de cada vez.

Após criar uma regra, o administrador acrescenta condições a ela. Estas especificam quais usuários ou anfitriões são incluídos ou excluídos do grupo alvo:

  • Inclusive conditions

    Quando um usuário ou anfitrião cumpre uma condição de inclusão, ele será incluído no grupo alvo.

  • Exclusive conditions

    Quando um usuário ou anfitrião cumpre uma condição exclusiva, ele não será incluído no grupo alvo.

As condições são especificadas como expressões regulares no formato Perl-compatible regular expressions (PCRE). Para mais informações sobre PCRE, consulte a página de manual pcresyntax(3).

Nota

IdM avalia as condições exclusivas antes das condições inclusivas. Em caso de conflito, as condições exclusivas prevalecem sobre as condições inclusivas.

Uma regra de membro automático se aplica a cada entrada criada no futuro. Estas entradas serão automaticamente adicionadas ao grupo alvo especificado. Se uma entrada atender às condições especificadas em várias regras de membros automáticos, ela será adicionada a todos os grupos correspondentes.

As entradas existentes são not afetadas pela nova regra. Se você quiser alterar as entradas existentes, consulte Aplicando regras de membros automáticos às entradas existentes usando a interface Web do IdM.

16.3. Adicionando uma regra de membro automático usando IdM Web UI

Esta seção descreve a adição de uma regra de membro automático usando a interface de usuário do IdM Web. Para obter informações sobre regras de membros automáticos, consulte Regras de membros automáticos.

Nota

As entradas existentes são not afetadas pela nova regra. Se você quiser alterar as entradas existentes, consulte Aplicando regras de membros automáticos às entradas existentes usando a interface Web do IdM.

Pré-requisitos

  • Você está logado na IDM Web UI.
  • Você deve ser um membro do grupo admins.
  • O grupo alvo da nova regra existe na IdM.

Procedimento

  1. Clique Identity → Automember, e selecione User group rules ou Host group rules.
  2. Clique em Add.
  3. No campo Automember rule, selecione o grupo ao qual a regra será aplicada. Este é o nome do grupo-alvo.

    automember rule add
  4. Clique em Add para confirmar.
  5. Opcional: Você pode adicionar condições à nova regra usando o procedimento descrito em Adicionar uma condição a uma regra de membro automático usando IdM Web UI.

16.4. Adicionando uma condição a uma regra de membro automático usando IdM Web UI

Esta seção descreve como adicionar uma condição a uma regra de membro automático usando a interface de usuário do IdM Web. Para informações sobre regras de membros automáticos, consulte Regras de membros automáticos.

Pré-requisitos

  • Você está logado na IDM Web UI.
  • Você deve ser um membro do grupo admins.
  • A regra do alvo existe na IdM.

Procedimento

  1. Clique Identity → Automember, e selecione User group rules ou Host group rules.
  2. Clique na regra à qual você deseja acrescentar uma condição.
  3. Nas seções Inclusive ou Exclusive, clique em Adicionar.

    automember condition add
  4. No campo Attribute, selecione o atributo desejado, por exemplo uid.
  5. No campo Expression, defina uma expressão regular.
  6. Clique em Add.

    Por exemplo, a seguinte condição visa todos os usuários com qualquer valor (.*) em seu atributo ID de usuário (uid).

    automember add

16.5. Visualizando as regras e condições de membros automáticos existentes usando IdM Web UI

Esta seção descreve como visualizar as regras e condições de membros automáticos existentes usando a IDM Web UI.

Pré-requisitos

  • Você está logado na IDM Web UI.
  • Você deve ser um membro do grupo admins.

Procedimento

  1. Clique em Identity → Automember, e selecione User group rules ou Host group rules para visualizar as respectivas regras de membros automáticos.
  2. Opcional: Clique em uma regra para ver as condições para essa regra nas seções Inclusive ou Exclusive.

    automember conditions

16.6. Eliminação de uma regra de membro automático usando IdM Web UI

Esta seção descreve como excluir uma regra de membro automático usando a interface de usuário do IdM Web.

A eliminação de uma regra de membro automático também elimina todas as condições associadas com a regra. Para remover apenas condições específicas de uma regra, consulte Removendo uma condição de uma regra de membro automático usando a IDM Web UI.

Pré-requisitos

  • Você está logado na IDM Web UI.
  • Você deve ser um membro do grupo admins.

Procedimento

  1. Clique em Identity → Automember, e selecione User group rules ou Host group rules para visualizar as respectivas regras de membros automáticos.
  2. Selecione a caixa de seleção ao lado da regra que você deseja remover.
  3. Clique em Delete.

    automember rule delete
  4. Clique em Delete para confirmar.

16.7. Removendo uma condição de uma regra de membro automático usando IdM Web UI

Esta seção descreve como remover uma condição específica de uma regra de membro automático usando a IDM Web UI.

Pré-requisitos

  • Você está logado na IDM Web UI.
  • Você deve ser um membro do grupo admins.

Procedimento

  1. Clique em Identity → Automember, e selecione User group rules ou Host group rules para visualizar as respectivas regras de membros automáticos.
  2. Clique em uma regra para ver as condições para essa regra nas seções Inclusive ou Exclusive.
  3. Selecione a caixa de seleção ao lado das condições que você deseja remover.
  4. Clique em Delete.

    automember condition remove
  5. Clique em Delete para confirmar.

16.8. Aplicação de regras de membros automáticos às entradas existentes usando a interface Web do IdM

As regras de membro automático se aplicam automaticamente às entradas de usuário e anfitrião criadas após a adição das regras. Elas não são aplicadas retroativamente às entradas que existiam antes de as regras serem adicionadas.

Para aplicar as regras de associação automática às entradas previamente adicionadas, você tem que reconstruir manualmente a associação automática. A reconstrução da associação automática reavalia todas as regras de associação automática existentes e as aplica ou a todas as entradas de usuário ou anfitrião, ou a entradas específicas.

Nota

Reconstruir a associação automática does not remover entradas de usuários ou anfitriões de grupos, mesmo que as entradas não correspondam mais às condições de inclusão do grupo. Para removê-los manualmente, veja Removendo um membro de um grupo de usuários usando a IDM Web UI ou Removendo membros do grupo anfitrião na IDM Web UI.

16.8.1. Reconstruindo a associação automática para todos os usuários ou anfitriões

Esta seção descreve como reconstruir a associação automática para todas as entradas de usuário ou anfitrião.

Pré-requisitos

  • Você está logado na IDM Web UI.
  • Você deve ser um membro do grupo admins.

Procedimento

  1. Selecione IdentityUsers ou Hosts.
  2. Clique ActionsRebuild auto membership.

    automember rebuild

16.8.2. Reconstrução de associação automática apenas para um único usuário ou host

Esta seção descreve como reconstruir a associação automática para um usuário ou host entry específico.

Pré-requisitos

  • Você está logado na IDM Web UI.
  • Você deve ser um membro do grupo admins.

Procedimento

  1. Selecione IdentityUsers ou Hosts.
  2. Clique no nome do usuário ou host desejado.
  3. Clique ActionsRebuild auto membership.

    automember rebuild single

16.9. Configuração de um grupo de usuários padrão usando o IdM Web UI

Quando você configura um grupo de usuários padrão, novas entradas de usuário que não correspondem a nenhuma regra de membro automático são automaticamente adicionadas a este grupo padrão.

Pré-requisitos

  • Você está logado na IDM Web UI.
  • Você deve ser um membro do grupo admins.
  • O grupo de usuários alvo que você deseja definir como padrão existe na IdM.

Procedimento

  1. Clique em Identity → Automember, e selecione User group rules.
  2. No campo Default user group, selecione o grupo que você deseja definir como o grupo de usuário padrão.

    Setting a default user group

16.10. Configuração de um grupo hospedeiro padrão usando o IdM Web UI

Quando você configura um grupo anfitrião padrão, novas entradas de anfitrião que não correspondem a nenhuma regra de membro automático são automaticamente adicionadas a este grupo padrão.

Pré-requisitos

  • Você está logado na IDM Web UI.
  • Você deve ser um membro do grupo admins.
  • O grupo anfitrião alvo que você deseja definir como padrão existe na IdM.

Procedimento

  1. Clique em Identity → Automember, e selecione Host group rules.
  2. No campo Default host group, selecione o grupo que você deseja definir como o grupo anfitrião padrão.

    Setting a default host group

Capítulo 17. Gerenciando regras de auto-serviço na IdM usando o CLI

Este capítulo introduz regras de auto-atendimento no Gerenciamento de Identidade (IdM) e descreve como criar e editar regras de acesso de auto-atendimento na interface de linha de comando (CLI).

17.1. Controle de acesso de auto-atendimento na IdM

As regras de controle de acesso de auto-atendimento definem quais operações uma entidade IdM pode realizar em sua entrada no Servidor de Diretório IdM: por exemplo, os usuários IdM têm a capacidade de atualizar suas próprias senhas

Este método de controle permite que uma entidade IdM autenticada possa editar atributos específicos dentro de sua entrada LDAP, mas não permite add ou delete operações em toda a entrada.

Atenção

Tenha cuidado ao trabalhar com regras de controle de acesso de auto-atendimento: configurar regras de controle de acesso de forma inadequada pode inadvertidamente elevar os privilégios de uma entidade.

17.2. Criação de regras de auto-serviço usando o CLI

Este procedimento descreve a criação de regras de acesso de auto-atendimento no IdM usando a interface de linha de comando (CLI).

Pré-requisitos

Procedimento

  • Para adicionar uma regra de auto-atendimento, use o comando ipa selfservice-add e especifique as duas opções a seguir:

    --permissions
    estabelece o read e write permissões concedidas pela Instrução de Controle de Acesso (ACI).
    --attrs
    define a lista completa de atributos aos quais esta ACI concede permissão.

Por exemplo, criar uma regra de auto-atendimento que permita aos usuários modificar seus próprios detalhes de nome

$ ipa selfservice-add "Users can manage their own name details" --permissions=write --attrs=givenname --attrs=displayname --attrs=title --attrs=initials
-----------------------------------------------------------
Added selfservice "Users can manage their own name details"
-----------------------------------------------------------
    Self-service name: Users can manage their own name details
    Permissions: write
    Attributes: givenname, displayname, title, initials

17.3. Edição de regras de auto-atendimento usando o CLI

Este procedimento descreve a edição das regras de acesso de auto-atendimento no IdM usando a interface de linha de comando (CLI).

Pré-requisitos

Procedimento

  1. Optional: Exibir as regras de auto-atendimento existentes com o comando ipa selfservice-find.
  2. Optional: Mostrar detalhes da regra de autoatendimento que você deseja modificar com o comando ipa selfservice-show.
  3. Use o comando ipa selfservice-mod para editar uma regra de auto-atendimento.

Por exemplo

$ ipa selfservice-mod "Users can manage their own name details" --attrs=givenname --attrs=displayname --attrs=title --attrs=initials --attrs=surname
--------------------------------------------------------------
Modified selfservice "Users can manage their own name details"
--------------------------------------------------------------
Self-service name: Users can manage their own name details
Permissions: write
Attributes: givenname, displayname, title, initials
Importante

Usando o comando ipa selfservice-mod sobrescreve as permissões e atributos previamente definidos, portanto sempre inclua a lista completa das permissões e atributos existentes junto com quaisquer novos que você queira definir.

Etapas de verificação

  • Use o comando ipa selfservice-show para exibir a regra de auto-atendimento que você editou.
$ ipa selfservice-show "Users can manage their own name details"
--------------------------------------------------------------
Self-service name: Users can manage their own name details
Permissions: write
Attributes: givenname, displayname, title, initials

17.4. Eliminação das regras de auto-atendimento usando o CLI

Este procedimento descreve a eliminação das regras de acesso de auto-atendimento no IdM usando a interface de linha de comando (CLI).

Pré-requisitos

Procedimento

  • Use o comando ipa selfservice-del para excluir uma regra de auto-atendimento.

Por exemplo

$ ipa selfservice-del "Users can manage their own name details"
-----------------------------------------------------------
Deleted selfservice "Users can manage their own name details"
-----------------------------------------------------------

Etapas de verificação

  • Use o comando ipa selfservice-find para exibir todas as regras de auto-atendimento. A regra que você acabou de excluir deve estar faltando.

Capítulo 18. Gerenciando regras de auto-atendimento usando a IDM Web UI

Este capítulo introduz regras de auto-atendimento em Gerenciamento de Identidade (IdM) e descreve como criar e editar regras de acesso de auto-atendimento na interface web (IdM Web UI).

18.1. Controle de acesso de auto-atendimento na IdM

As regras de controle de acesso de auto-atendimento definem quais operações uma entidade IdM pode realizar em sua entrada no Servidor de Diretório IdM: por exemplo, os usuários IdM têm a capacidade de atualizar suas próprias senhas

Este método de controle permite que uma entidade IdM autenticada possa editar atributos específicos dentro de sua entrada LDAP, mas não permite add ou delete operações em toda a entrada.

Atenção

Tenha cuidado ao trabalhar com regras de controle de acesso de auto-atendimento: configurar regras de controle de acesso de forma inadequada pode inadvertidamente elevar os privilégios de uma entidade.

18.2. Criando regras de auto-serviço usando a IDM Web UI

Este procedimento descreve como criar regras de acesso de auto-atendimento no IdM usando a interface web (IdM Web UI).

Pré-requisitos

Procedimento

  1. Abra o sub-menu Role-Based Access Control na aba IPA Server e selecione Self Service Permissions.
  2. Clique em Add na parte superior direita da lista das regras de acesso de auto-atendimento:

    Adicionando uma regra de auto-serviço

  3. A janela Add Self Service Permission se abre. Digite o nome da nova regra de auto-atendimento no campo Self-service name. Os espaços são permitidos:

    Formulário para adicionar uma regra de auto-serviço

  4. Selecione as caixas de seleção ao lado dos atributos que você deseja que os usuários sejam capazes de editar.
  5. Optional: Se um atributo ao qual você gostaria de fornecer acesso não estiver listado, você pode adicionar uma listagem para ele:

    1. Clique no botão Add.
    2. Digite o nome do atributo no campo de texto Attribute da seguinte janela Add Custom Attribute.
    3. Clique no botão OK para adicionar o atributo
    4. Verificar se o novo atributo está selecionado
  6. Clique no botão Add na parte inferior do formulário para salvar a nova regra de auto-serviço.
    Alternativamente, você pode salvar e continuar editando a regra de autoatendimento clicando no botão Add and Edit, ou salvar e adicionar outras regras clicando no botão Add and Add another.

18.3. Edição de regras de auto-serviço usando a IDM Web UI

Este procedimento descreve como editar as regras de acesso de auto-atendimento no IdM usando a interface web (IdM Web UI).

Pré-requisitos

Procedimento

  1. Abra o sub-menu Role-Based Access Control na aba IPA Server e selecione Self Service Permissions.
  2. Clique no nome da regra de auto-atendimento que você deseja modificar.

    Edição de uma regra de auto-atendimento existente

  3. A página de edição só permite editar a lista de atributos que você deseja adicionar ou remover à regra de auto-atendimento. Selecione ou desmarque as caixas de seleção apropriadas.
  4. Clique no botão Save para salvar suas mudanças na regra de auto-atendimento.

18.4. Eliminação das regras de auto-serviço usando a IDM Web UI

Este procedimento descreve como excluir as regras de acesso de auto-atendimento no IdM usando a interface web (IdM Web UI).

Pré-requisitos

Procedimento

  1. Abra o sub-menu Role-Based Access Control na aba IPA Server e selecione Self Service Permissions.
  2. Selecione a caixa de seleção ao lado da regra que você deseja excluir, depois clique no botão Delete, à direita da lista.

    Eliminação de uma regra de auto-atendimento

  3. Um diálogo se abre, clique em Delete para confirmar.

Capítulo 19. Delegar permissões sobre os usuários que utilizam o IdM CLI

A delegação é um dos métodos de controle de acesso na IdM, juntamente com regras de auto-serviço e controle de acesso baseado em papéis.

A delegação é semelhante às funções em que um grupo de usuários recebe permissão para administrar as entradas para outro grupo de usuários. Entretanto, a autoridade delegada limita-se a editar os valores de atributos específicos; ela não concede a capacidade de adicionar ou remover entradas inteiras ou controle sobre atributos não especificados. Além disso, os grupos na autoridade delegada são grupos de usuários IdM existentes ao invés de funções especificamente criadas para controles de acesso.

Este capítulo cobre os seguintes tópicos:

19.1. Regras de delegação

Você pode delegar permissões aos usuários, criando regras de delegação.

As regras de delegação permitem que um grupo específico de usuários realize operações de escrita (edição) em atributos específicos para usuários de outro grupo de usuários. Esta forma de regra de controle de acesso é limitada à edição dos valores de atributos específicos; ela não garante a capacidade de adicionar ou remover entradas inteiras ou controle sobre atributos não especificados.

As regras de delegação utilizam os grupos de usuários existentes na IdM. Você pode usar a delegação para, por exemplo, permitir que o grupo de usuários managers gerencie os atributos selecionados dos usuários no grupo de usuários employees.

19.2. Criação de uma regra de delegação utilizando o IdM CLI

Esta seção descreve como criar uma regra de delegação utilizando o IdM CLI.

Pré-requisitos

  • Você está logado como um membro do grupo admins.

Procedimento

  • Digite o comando ipa delegation-add. Especifique as seguintes opções:

    • --group: o grupo que is being granted permissions para as entradas de usuários no grupo de usuários.
    • --membergroup: o grupo whose entries can be edited pelos membros do grupo da delegação.
    • --permissions: se os usuários terão o direito de visualizar os atributos dados (read) e adicionar ou alterar os atributos dados (write). Se você não especificar as permissões, somente a permissão write será adicionada.
    • --attrs: os atributos que os usuários do grupo membro têm permissão para visualizar ou editar.

    Por exemplo:

$ ipa delegation-add "basic manager attributes" --permissions=read --permissions=write --attrs=businesscategory --attrs=departmentnumber --attrs=employeetype --attrs=employeenumber --group=managers --membergroup=employees
-------------------------------------------
Added delegation "basic manager attributes"
-------------------------------------------
  Delegation name: basic manager attributes
  Permissions: read, write
  Attributes: businesscategory, departmentnumber, employeetype, employeenumber
  Member user group: employees
  User group: managers

19.3. Visualização das regras de delegação existentes usando o IdM CLI

Esta seção descreve como visualizar as regras de delegação existentes utilizando o IdM CLI.

Pré-requisitos

  • Você está logado como um membro do grupo admins.

Procedimento

  • Digite o comando ipa delegation-find:
$ ipa delegation-find
--------------------
1 delegation matched
--------------------
  Delegation name: basic manager attributes
  Permissions: read, write
  Attributes: businesscategory, departmentnumber, employeenumber, employeetype
  Member user group: employees
  User group: managers
----------------------------
Number of entries returned 1
----------------------------

19.4. Modificando uma regra de delegação usando IdM CLI

Esta seção descreve como modificar uma regra de delegação existente usando o IdM CLI.

Importante

A opção --attrs sobrescreve qualquer que tenha sido a lista anterior de atributos suportados, portanto sempre inclua a lista completa de atributos junto com quaisquer novos atributos. Isto também se aplica à opção --permissions.

Pré-requisitos

  • Você está logado como um membro do grupo admins.

Procedimento

  • Digite o comando ipa delegation-mod com as mudanças desejadas. Por exemplo, para adicionar o atributo displayname à regra de exemplo basic manager attributes:

    $ ipa delegation-mod "basic manager attributes" --attrs=businesscategory --attrs=departmentnumber --attrs=employeetype --attrs=employeenumber --attrs=displayname
    ----------------------------------------------
    Modified delegation "basic manager attributes"
    ----------------------------------------------
      Delegation name: basic manager attributes
      Permissions: read, write
      Attributes: businesscategory, departmentnumber, employeetype, employeenumber, displayname
      Member user group: employees
      User group: managers

19.5. Eliminação de uma regra de delegação usando IdM CLI

Esta seção descreve como excluir uma regra de delegação existente usando o IdM CLI.

Pré-requisitos

  • Você está logado como um membro do grupo admins.

Procedimento

  • Digite o comando ipa delegation-del.
  • Quando solicitado, digite o nome da regra da delegação que você deseja excluir:

    $ ipa delegation-del
    Delegation name: basic manager attributes
    ---------------------------------------------
    Deleted delegation "basic manager attributes"
    ---------------------------------------------

Capítulo 20. Delegando permissões sobre usuários que utilizam IdM WebUI

A delegação é um dos métodos de controle de acesso na IdM, juntamente com regras de auto-serviço e controle de acesso baseado em papéis.

A delegação é semelhante às funções em que um grupo de usuários recebe permissão para administrar as entradas para outro grupo de usuários. Entretanto, a autoridade delegada limita-se a editar os valores de atributos específicos; ela não concede a capacidade de adicionar ou remover entradas inteiras ou controle sobre atributos não especificados. Além disso, os grupos na autoridade delegada são grupos de usuários IdM existentes ao invés de funções especificamente criadas para controles de acesso.

Este capítulo cobre os seguintes tópicos:

20.1. Regras de delegação

Você pode delegar permissões aos usuários, criando regras de delegação.

As regras de delegação permitem que um grupo específico de usuários realize operações de escrita (edição) em atributos específicos para usuários de outro grupo de usuários. Esta forma de regra de controle de acesso é limitada à edição dos valores de atributos específicos; ela não garante a capacidade de adicionar ou remover entradas inteiras ou controle sobre atributos não especificados.

As regras de delegação utilizam os grupos de usuários existentes na IdM. Você pode usar a delegação para, por exemplo, permitir que o grupo de usuários managers gerencie os atributos selecionados dos usuários no grupo de usuários employees.

20.2. Criando uma regra de delegação usando IdM WebUI

Esta seção descreve como criar uma regra de delegação utilizando a IdM WebUI.

Pré-requisitos

  • Você está logado na IDM Web UI como um membro do grupo admins.

Procedimento

  1. A partir do menu IPA Server, clique Role-Based Access ControlDelegations.
  2. Clique em Add.

    delegation list add
  3. Na janela Add delegation, faça o seguinte:

    1. Nomear a nova regra da delegação.
    2. Defina as permissões selecionando as caixas de seleção que indicam se os usuários terão o direito de visualizar os atributos dados (read) e adicionar ou alterar os atributos dados (write).
    3. No menu suspenso Grupo de usuários, selecione o grupo who is being granted permissions para visualizar ou editar as entradas dos usuários no grupo de membros.
    4. No menu suspenso Member user group, selecione o grupo whose entries can be edited pelos membros do grupo da delegação.
    5. Na caixa de atributos, selecione as caixas de seleção pelos atributos para os quais você deseja conceder permissões.

      delegation add UPDATED
    6. Clique no botão Add para salvar a nova regra da delegação.

20.3. Visualização das regras de delegação existentes usando IdM WebUI

Esta seção descreve como visualizar as regras de delegação existentes utilizando a IdM WebUI.

Pré-requisitos

  • Você está logado na IDM Web UI como um membro do grupo admins.

Procedimento

  1. A partir do menu IPA Server, clique Role-Based Access ControlDelegations.

    delegation list

20.4. Modificando uma regra de delegação usando IdM WebUI

Esta seção descreve como modificar uma regra de delegação existente usando a IdM WebUI.

Pré-requisitos

  • Você está logado na IDM Web UI como um membro do grupo admins.

Procedimento

  1. A partir do menu IPA Server, clique Role-Based Access ControlDelegations.

    delegation list
  2. Clique sobre a regra que você deseja modificar.
  3. Fazer as mudanças desejadas:

    • Mude o nome da regra.
    • Alterar as permissões concedidas selecionando as caixas de seleção que indicam se os usuários terão o direito de visualizar os atributos dados (read) e adicionar ou alterar os atributos dados (write).
    • No menu suspenso Grupo de usuários, selecione o grupo who is being granted permissions para visualizar ou editar as entradas dos usuários no grupo de membros.
    • No menu suspenso Member user group, selecione o grupo whose entries can be edited pelos membros do grupo da delegação.
    • Na caixa de atributos, selecione as caixas de seleção pelos atributos para os quais você deseja conceder permissões. Para remover permissões a um atributo, desmarque a caixa de seleção relevante.

      delegation modify
    • Clique no botão Save para salvar as mudanças.

20.5. Eliminação de uma regra de delegação usando IdM WebUI

Esta seção descreve como excluir uma regra de delegação existente usando a IdM WebUI.

Pré-requisitos

  • Você está logado na IDM Web UI como um membro do grupo admins.

Procedimento

  1. A partir do menu IPA Server, clique Role-Based Access ControlDelegations.
  2. Selecione a caixa de seleção ao lado da regra que você deseja remover.
  3. Clique em Delete.

    delegation delete
  4. Clique em Delete para confirmar.

Capítulo 21. Gerenciando controles de acesso baseados em funções na IdM usando o CLI

Este capítulo introduz o controle de acesso baseado em funções no Gerenciamento de Identidade (IdM) e descreve as seguintes operações na interface de linha de comando (CLI):

21.1. Controle de acesso baseado no papel na IdM

O controle de acesso baseado no papel (RBAC) na IdM concede um tipo muito diferente de autoridade aos usuários em comparação com o auto-serviço e os controles de acesso das delegações.

O controle de acesso baseado no papel é composto de três partes:

  • Permissions conceder o direito de realizar uma tarefa específica, como adicionar ou excluir usuários, modificar um grupo, permitir o acesso de leitura, etc.
  • Privileges combinar permissões, por exemplo, todas as permissões necessárias para adicionar um novo usuário.
  • Roles concede um conjunto de privilégios aos usuários, grupos de usuários, anfitriões ou grupos anfitriões.

21.1.1. Permissões na IdM

As permissões são a unidade de nível mais baixo de controle de acesso baseado em funções, elas definem operações junto com as entradas LDAP às quais essas operações se aplicam. Em comparação com os blocos de construção, as permissões podem ser atribuídas a tantos privilégios quantos forem necessários.
Um ou mais rights definem quais operações são permitidas:

  • write
  • read
  • search
  • compare
  • add
  • delete
  • all

Estas operações aplicam-se a três operações básicas targets:

  • subtree: um nome de domínio (DN); a sub-árvore sob este DN
  • target filter: um filtro LDAP
  • target: DN com possíveis wildcards para especificar as entradas

Além disso, as seguintes opções de conveniência definem o(s) atributo(s) correspondente(s):

  • type: um tipo de objeto (usuário, grupo, etc.); conjuntos subtree e target filter
  • memberof: membros de um grupo; estabelece um target filter
  • targetgroup: concede acesso para modificar um grupo específico (como a concessão dos direitos de administrar a adesão ao grupo); estabelece um target

Com as permissões da IdM, você pode controlar quais usuários têm acesso a quais objetos e até quais atributos desses objetos. IdM permite que você permita ou bloqueie atributos individuais ou altere toda a visibilidade de uma função IdM específica, como usuários, grupos ou sudo, para todos os usuários anônimos, todos os usuários autenticados, ou apenas um certo grupo de usuários privilegiados.
Por exemplo, a flexibilidade desta abordagem de permissões é útil para um administrador que deseja limitar o acesso de usuários ou grupos apenas às seções específicas que estes usuários ou grupos precisam acessar e tornar as outras seções completamente ocultas para eles.

Nota

Uma permissão não pode conter outras permissões.

21.1.2. Permissões gerenciadas por padrão

As permissões gerenciadas são permissões que vêm por padrão com a IdM. Elas se comportam como outras permissões criadas pelo usuário, com as seguintes diferenças:

  • Não é possível apagá-los ou modificar seu nome, localização e atributos de destino.
  • Eles têm três conjuntos de atributos:

    • Default, o usuário não pode modificá-los, pois eles são gerenciados pela IdM
    • Included atributos, que são atributos adicionais adicionados pelo usuário
    • Excluded atributos, que são atributos removidos pelo usuário

Uma permissão administrada se aplica a todos os atributos que aparecem no conjunto de atributos padrão e incluídos, mas não no conjunto excluído.

Nota

Embora você não possa excluir uma permissão administrada, a definição de seu tipo de vinculação à permissão e a remoção da permissão administrada de todos os privilégios efetivamente a desativa.

Os nomes de todas as permissões gerenciadas começam com System:, por exemplo System: Add Sudo rule ou System: Modify Services. As versões anteriores do IdM usavam um esquema diferente para as permissões padrão. Por exemplo, o usuário não podia excluí-las e só podia atribuí-las a privilégios. A maioria destas permissões padrão foi transformada em permissões gerenciadas, entretanto, as seguintes permissões ainda utilizam o esquema anterior:

  • Acrescentar a Tarefa de Associação Automember Rebuild
  • Adicionar subentendimentos de configuração
  • Adicionar Acordos de Replicação
  • Retirada de certificado de retenção
  • Obter o status dos Certificados da CA
  • Ler a gama de DNA
  • Modificar a faixa de DNA
  • Leia a configuração dos gerentes do PassSync
  • Modificar a configuração dos gerentes do PassSync
  • Ler Acordos de Replicação
  • Modificar os Acordos de Replicação
  • Remover Acordos de Replicação
  • Leia Configuração do banco de dados LDBM
  • Solicitar Certificado
  • Solicitar Certificado ignorando as ACLs CA
  • Solicitar certificados de um anfitrião diferente
  • Recuperar Certificados do CA
  • Certificado de Revogação
  • Escreva a configuração IPA
Nota

Se você tentar modificar uma permissão gerenciada da linha de comando, o sistema não permite que você altere os atributos que você não pode modificar, o comando falha. Se você tentar modificar uma permissão gerenciada da Web UI, os atributos que você não pode modificar são desativados.

21.1.3. Privilégios na IdM

Um privilégio é um grupo de permissões aplicáveis a uma função.
Enquanto uma permissão fornece os direitos de fazer uma única operação, existem certas tarefas da IdM que requerem múltiplas permissões para ter sucesso. Portanto, um privilégio combina as diferentes permissões necessárias para realizar uma tarefa específica.
Por exemplo, a adição de um usuário requer as seguintes permissões:

  • Criando uma nova entrada de usuário
  • Redefinição de uma senha de usuário
  • Adicionando o novo usuário ao grupo padrão de usuários IPA

A combinação destas três tarefas de baixo nível em uma tarefa de nível superior na forma de um privilégio chamado Add User facilita a gestão de papéis. Além de usuários e grupos de usuários, os privilégios também são atribuídos a hosts e grupos anfitriões, assim como a serviços de rede. Esta prática permite um controle de operações granulado fino por um conjunto de usuários em um conjunto de hosts que utilizam serviços de rede específicos.

Nota

Um privilégio não pode conter outros privilégios.

21.1.4. Papéis na IdM

Uma função é uma lista de privilégios que os usuários especificados para a função possuem.
Com efeito, as permissões concedem a capacidade de executar determinadas tarefas de baixo nível (criar uma entrada de usuário, adicionar uma entrada a um grupo, etc.), os privilégios combinam uma ou mais dessas permissões necessárias para uma tarefa de nível superior (como a criação de um novo usuário em um determinado grupo). As funções reúnem os privilégios conforme necessário: por exemplo, uma função de Administrador de Usuário seria capaz de adicionar, modificar e excluir usuários.

Importante

Os papéis são usados para classificar as ações permitidas. Eles não são usados como uma ferramenta para implementar a separação de privilégios ou para proteger contra a escalada de privilégios.

Nota

Os papéis não podem conter outros papéis.

21.1.5. Papéis pré-definidos na Gestão da Identidade

A Red Hat Identity Management oferece a seguinte gama de funções pré-definidas:

Tabela 21.1. Papéis pré-definidos na gestão da identidade

PapelPrivilégioDescrição

Helpdesk

Modificar Usuários e Redefinir senhas, Modificar a adesão ao Grupo

Responsável pela execução de tarefas simples de administração de usuários

Especialista em Segurança de TI

Netgroups Administrators, HBAC Administrator, Sudo Administrator

Responsável pelo gerenciamento da política de segurança, tais como controles de acesso baseados em host, regras sudo

Especialista em TI

Administradores Host, Administradores do Grupo Host, Administradores de Serviços, Administradores Automount

Responsável pelo gerenciamento dos anfitriões

Arquiteto de Segurança

Administrador de Delegação, Administrador de Replicação, Administrador de Configuração IPA, Administrador de Política de Senha

Responsável pela gestão do ambiente de Gerenciamento de Identidade, criando trusts, criando acordos de replicação

Administrador do usuário

Administradores de Usuários, Administradores de Grupo, Administradores de Etapa de Usuários

Responsável pela criação de usuários e grupos

21.2. Gerenciando as permissões de IdM no CLI

Esta seção descreve como gerenciar as permissões de Gerenciamento de Identidade (IdM) usando a interface de linha de comando (CLI).

Pré-requisitos

Procedimento

  1. Criar novas entradas de permissão com o comando ipa permission-add.
    Por exemplo, para adicionar uma permissão chamada dns admin:

    $ ipa permission-add "dns admin
  2. Especifique as propriedades da permissão com as seguintes opções

    • --bindtype especifica o tipo de regra de vinculação. Esta opção aceita os argumentos all, anonymous, e permission. O tipo de vinculação permission significa que somente os usuários a quem é concedida esta permissão através de uma função podem exercê-la.
      Por exemplo, o tipo de vinculação:

      $ ipa permission-add {\i1}"dns admin\i} --bindtype=all

      Se você não especificar --bindtype, então permission é o valor padrão.

      Nota

      Não é possível acrescentar aos privilégios permissões com um tipo de regra de vinculação sem falta. Também não é possível definir uma permissão já presente em um privilégio para um tipo de regra de vinculação sem falta.

    • --right lista os direitos concedidos pela permissão, ela substitui a opção depreciada --permissions. Os valores disponíveis são add, delete, read, search, compare, write, all.

      Você pode definir vários atributos usando várias opções do --right ou com uma lista separada por vírgula dentro de chaves de caracóis. Por exemplo:

      $ ipa permission-add {\i}"dns admin\i} --right=read --right=write
      $ ipa permission-add "dns admin" --right={read,write}
      Nota

      add e delete são operações de nível básico (por exemplo, excluir um usuário, adicionar um grupo, etc.) enquanto read, search, compare e write são mais de nível de atributo: você pode escrever para userCertificate mas não ler userPassword.

    • --attrs fornece a lista de atributos sobre os quais a permissão é concedida.
      Você pode definir múltiplos atributos usando múltiplas opções --attrs ou listando as opções em uma lista separada por vírgula dentro de chaves de caracóis. Por exemplo:

      $ ipa permission-add {\i1}"dns admin\i} --attrs=descrição --attrs=automountKey
      $ ipa permission-add "dns admin" --attrs={descrição,automountKey}

      Os atributos fornecidos com --attrs devem existir e ser atributos permitidos para o tipo de objeto em questão, caso contrário o comando falha com erros de sintaxe do esquema.

    • --type define o tipo de objeto de entrada ao qual a permissão se aplica, como usuário, host, ou serviço. Cada tipo tem seu próprio conjunto de atributos permitidos.
      Por exemplo, o tipo de objeto de entrada:

      $ ipa permission-add {\i1}"manage service}" --right=all --type=service --attrs=krbprincipalkey --attrs=krbprincipalname --attrs=managedby
    • --subtree dá uma entrada de sub-árvore; o filtro então visa cada entrada abaixo desta entrada de sub-árvore. Fornecer uma entrada de subárvore existente; --subtree não aceita wildcards ou nomes de domínio inexistentes (DNs). Inclua um DN dentro do diretório.
      Como o IdM usa uma estrutura de árvore de diretório simplificada e plana, --subtree pode ser usado para direcionar alguns tipos de entradas, como locais de montagem automática, que são containers ou entradas pai para outras configurações. Por exemplo:

      $ ipa permission-add "manage automount locations" --subtree="ldap://ldap.example.com:389/cn=automount,dc=example,dc=com --right=write --attrs=automountmapname --attrs=automountkey --attrs=automountInformation
      Nota

      As opções --type e --subtree são mutuamente exclusivas: você pode ver a inclusão de filtros para --type como uma simplificação de --subtree, com a intenção de tornar a vida mais fácil para um administrador.

    • --filter usa um filtro LDAP para identificar a quais entradas a permissão se aplica.
      O IdM verifica automaticamente a validade do filtro dado. O filtro pode ser qualquer filtro LDAP válido, por exemplo:

      $ ipa permission-add "gerenciar grupos Windows" --filter="(!(objectclass=posixgroup)){\i1}" --right=write --attrs=descrição
    • --memberof define o filtro alvo para os membros de um determinado grupo após verificar se o grupo existe. Por exemplo, para permitir que os usuários com esta permissão modifiquem a casca de login dos membros do grupo de engenheiros:

      $ ipa permission-add ManageShell --right="write" --type=user --attr=loginshell --memberof=engineers
    • --targetgroup estabelece a meta para o grupo de usuários especificado após verificar se o grupo existe. Por exemplo, deixar aqueles com a permissão escrever o atributo de membro no grupo de engenheiros (para que eles possam adicionar ou remover membros):

      $ ipa permission-add ManageMembers --right="write" --subtree=cn=groups,cn=accounts,dc=example,dc=test --attr=member --targetgroup=engineers
    • Opcionalmente, você pode especificar um nome de domínio de destino (DN)

      • --target especifica o DN a quem aplicar a permissão. Wildcards são aceitos.
      • --targetto especifica a sub-árvore DN para a qual uma entrada pode ser movida.
      • --targetfrom especifica a sub-árvore DN de onde uma entrada pode ser movida.

21.3. Opções de comando para as permissões existentes

Use as seguintes variantes para modificar as permissões existentes, conforme necessário:

  • Para editar as permissões existentes, use o comando ipa permission-mod. Você pode usar as mesmas opções de comando que para adicionar permissões.
  • Para encontrar as permissões existentes, use o comando ipa permission-find. Você pode usar as mesmas opções de comando que para adicionar permissões.
  • Para visualizar uma permissão específica, use o comando ipa permission-show.
    O argumento --raw mostra o ACI bruto 389-ds que é gerado. Por exemplo:

     $ ipa permission-show <permission> --raw
  • O comando ipa permission-del apaga completamente uma permissão.

Recursos adicionais

Para mais detalhes sobre os comandos ipa permission, consulte a página man do ipa e o comando ipa help.

21.4. Gerenciando privilégios de IdM no CLI

Esta seção descreve como gerenciar privilégios de Gerenciamento de Identidade (IdM) usando a interface de linha de comando (CLI).

Pré-requisitos

Procedimento

  1. Adicionar entradas de privilégio usando o comando ipa privilege-add
    Por exemplo, para adicionar um privilégio chamado managing filesystems com uma descrição:

    $ ipa privilege-add "gerenciando sistemas de arquivos" --desc="para sistemas de arquivos"
  2. Atribuir as permissões necessárias ao grupo de privilégios com o comando privilege-add-permission
    Por exemplo, para adicionar as permissões denominadas managing automount e managing ftp services ao privilégio managing filesystems:

    $ ipa privilegio-add-permission {\i1}"gerenciar sistemas de arquivos" --permissões="gerenciar montagem automática" --permissões="gerenciar serviços ftp"

21.5. Opções de comando para privilégios existentes

Use as seguintes variantes para modificar os privilégios existentes, conforme necessário:

  • Para modificar os privilégios existentes, use o comando ipa privilege-mod.
  • Para encontrar privilégios existentes, use o comando ipa privilege-find.
  • Para visualizar um privilégio específico, use o comando ipa privilege-show.
  • O comando ipa privilege-remove-permission retira uma ou mais permissões de um privilégio.
  • O comando ipa privilege-del elimina completamente um privilégio.

Recursos adicionais

Para mais detalhes sobre os comandos ipa privilege, consulte a página man do ipa e o comando ipa help.

21.6. Gerenciando as funções de IdM no CLI

Esta seção descreve como gerenciar as funções de Gerenciamento de Identidade (IdM) usando a interface de linha de comando (CLI).

Pré-requisitos

Procedimento

  1. Acrescentar novas entradas de funções usando o comando ipa role-add:

    $ ipa role-add --desc="User Administrator" useradmin
    ------------------------
    Added role "useradmin"
    ------------------------
    Role name: useradmin
    Description: User Administrator
  2. Acrescente os privilégios necessários à função usando o comando ipa role-add-privilege:

    $ ipa role-add-privilege --privileges="user administrators" useradmin
    Role name: useradmin
    Description: User Administrator
    Privileges: user administrators
    ----------------------------
    Number of privileges added 1
    ----------------------------
  3. Acrescentar os membros requeridos à função usando o comando ipa role-add-member. Os tipos de membros permitidos são: usuários, grupos, anfitriões e grupos de anfitriões.
    Por exemplo, para adicionar o grupo chamado useradmins à função anteriormente criada useradmin:

    $ ipa role-add-member --groups=useradmins useradmin
    Role name: useradmin
    Description: User Administrator
    Member groups: useradmins
    Privileges: user administrators
    -------------------------
    Number of members added 1
    -------------------------

21.7. Opções de comando para as funções existentes

Use as seguintes variantes para modificar as funções existentes, conforme necessário:

  • Para modificar as funções existentes, use o comando ipa role-mod.
  • Para encontrar funções existentes, use o comando ipa role-find.
  • Para visualizar uma função específica, use o comando ipa role-show.
  • Para remover um membro da função, use o comando ipa role-remove-member.
  • O comando ipa role-remove-privilege retira um ou mais privilégios de um papel.
  • O comando ipa role-del elimina completamente um papel.

Recursos adicionais

Para mais detalhes sobre os comandos ipa role, consulte a página man do ipa e o comando ipa help.

Capítulo 22. Gerenciando controles de acesso baseados em funções usando a IDM Web UI

Este capítulo introduz o controle de acesso baseado em funções no Gerenciamento de Identidade (IdM) e descreve as seguintes operações na interface web (Web UI):

22.1. Controle de acesso baseado no papel na IdM

O controle de acesso baseado no papel (RBAC) na IdM concede um tipo muito diferente de autoridade aos usuários em comparação com o auto-serviço e os controles de acesso das delegações.

O controle de acesso baseado no papel é composto de três partes:

  • Permissions conceder o direito de realizar uma tarefa específica, como adicionar ou excluir usuários, modificar um grupo, permitir o acesso de leitura, etc.
  • Privileges combinar permissões, por exemplo, todas as permissões necessárias para adicionar um novo usuário.
  • Roles concede um conjunto de privilégios aos usuários, grupos de usuários, anfitriões ou grupos anfitriões.

22.1.1. Permissões na IdM

As permissões são a unidade de nível mais baixo de controle de acesso baseado em funções, elas definem operações junto com as entradas LDAP às quais essas operações se aplicam. Em comparação com os blocos de construção, as permissões podem ser atribuídas a tantos privilégios quantos forem necessários.
Um ou mais rights definem quais operações são permitidas:

  • write
  • read
  • search
  • compare
  • add
  • delete
  • all

Estas operações aplicam-se a três operações básicas targets:

  • subtree: um nome de domínio (DN); a sub-árvore sob este DN
  • target filter: um filtro LDAP
  • target: DN com possíveis wildcards para especificar as entradas

Além disso, as seguintes opções de conveniência definem o(s) atributo(s) correspondente(s):

  • type: um tipo de objeto (usuário, grupo, etc.); conjuntos subtree e target filter
  • memberof: membros de um grupo; estabelece um target filter
  • targetgroup: concede acesso para modificar um grupo específico (como a concessão dos direitos de administrar a adesão ao grupo); estabelece um target

Com as permissões da IdM, você pode controlar quais usuários têm acesso a quais objetos e até quais atributos desses objetos. IdM permite que você permita ou bloqueie atributos individuais ou altere toda a visibilidade de uma função IdM específica, como usuários, grupos ou sudo, para todos os usuários anônimos, todos os usuários autenticados, ou apenas um certo grupo de usuários privilegiados.
Por exemplo, a flexibilidade desta abordagem de permissões é útil para um administrador que deseja limitar o acesso de usuários ou grupos apenas às seções específicas que estes usuários ou grupos precisam acessar e tornar as outras seções completamente ocultas para eles.

Nota

Uma permissão não pode conter outras permissões.

22.1.2. Permissões gerenciadas por padrão

As permissões gerenciadas são permissões que vêm por padrão com a IdM. Elas se comportam como outras permissões criadas pelo usuário, com as seguintes diferenças:

  • Não é possível apagá-los ou modificar seu nome, localização e atributos de destino.
  • Eles têm três conjuntos de atributos:

    • Default, o usuário não pode modificá-los, pois eles são gerenciados pela IdM
    • Included atributos, que são atributos adicionais adicionados pelo usuário
    • Excluded atributos, que são atributos removidos pelo usuário

Uma permissão administrada se aplica a todos os atributos que aparecem no conjunto de atributos padrão e incluídos, mas não no conjunto excluído.

Nota

Embora você não possa excluir uma permissão administrada, a definição de seu tipo de vinculação à permissão e a remoção da permissão administrada de todos os privilégios efetivamente a desativa.

Os nomes de todas as permissões gerenciadas começam com System:, por exemplo System: Add Sudo rule ou System: Modify Services. As versões anteriores do IdM usavam um esquema diferente para as permissões padrão. Por exemplo, o usuário não podia excluí-las e só podia atribuí-las a privilégios. A maioria destas permissões padrão foi transformada em permissões gerenciadas, entretanto, as seguintes permissões ainda utilizam o esquema anterior:

  • Acrescentar a Tarefa de Associação Automember Rebuild
  • Adicionar subentendimentos de configuração
  • Adicionar Acordos de Replicação
  • Retirada de certificado de retenção
  • Obter o status dos Certificados da CA
  • Ler a gama de DNA
  • Modificar a faixa de DNA
  • Leia a configuração dos gerentes do PassSync
  • Modificar a configuração dos gerentes do PassSync
  • Ler Acordos de Replicação
  • Modificar os Acordos de Replicação
  • Remover Acordos de Replicação
  • Leia Configuração do banco de dados LDBM
  • Solicitar Certificado
  • Solicitar Certificado ignorando as ACLs CA
  • Solicitar certificados de um anfitrião diferente
  • Recuperar Certificados do CA
  • Certificado de Revogação
  • Escreva a configuração IPA
Nota

Se você tentar modificar uma permissão gerenciada da linha de comando, o sistema não permite que você altere os atributos que você não pode modificar, o comando falha. Se você tentar modificar uma permissão gerenciada da Web UI, os atributos que você não pode modificar são desativados.

22.1.3. Privilégios na IdM

Um privilégio é um grupo de permissões aplicáveis a uma função.
Enquanto uma permissão fornece os direitos de fazer uma única operação, existem certas tarefas da IdM que requerem múltiplas permissões para ter sucesso. Portanto, um privilégio combina as diferentes permissões necessárias para realizar uma tarefa específica.
Por exemplo, a adição de um usuário requer as seguintes permissões:

  • Criando uma nova entrada de usuário
  • Redefinição de uma senha de usuário
  • Adicionando o novo usuário ao grupo padrão de usuários IPA

A combinação destas três tarefas de baixo nível em uma tarefa de nível superior na forma de um privilégio chamado Add User facilita a gestão de papéis. Além de usuários e grupos de usuários, os privilégios também são atribuídos a hosts e grupos anfitriões, assim como a serviços de rede. Esta prática permite um controle de operações granulado fino por um conjunto de usuários em um conjunto de hosts que utilizam serviços de rede específicos.

Nota

Um privilégio não pode conter outros privilégios.

22.1.4. Papéis na IdM

Uma função é uma lista de privilégios que os usuários especificados para a função possuem.
Com efeito, as permissões concedem a capacidade de executar determinadas tarefas de baixo nível (criar uma entrada de usuário, adicionar uma entrada a um grupo, etc.), os privilégios combinam uma ou mais dessas permissões necessárias para uma tarefa de nível superior (como a criação de um novo usuário em um determinado grupo). As funções reúnem os privilégios conforme necessário: por exemplo, uma função de Administrador de Usuário seria capaz de adicionar, modificar e excluir usuários.

Importante

Os papéis são usados para classificar as ações permitidas. Eles não são usados como uma ferramenta para implementar a separação de privilégios ou para proteger contra a escalada de privilégios.

Nota

Os papéis não podem conter outros papéis.

22.1.5. Papéis pré-definidos na Gestão da Identidade

A Red Hat Identity Management oferece a seguinte gama de funções pré-definidas:

Tabela 22.1. Papéis pré-definidos na gestão da identidade

PapelPrivilégioDescrição

Helpdesk

Modificar Usuários e Redefinir senhas, Modificar a adesão ao Grupo

Responsável pela execução de tarefas simples de administração de usuários

Especialista em Segurança de TI

Netgroups Administrators, HBAC Administrator, Sudo Administrator

Responsável pelo gerenciamento da política de segurança, tais como controles de acesso baseados em host, regras sudo

Especialista em TI

Administradores Host, Administradores do Grupo Host, Administradores de Serviços, Administradores Automount

Responsável pelo gerenciamento dos anfitriões

Arquiteto de Segurança

Administrador de Delegação, Administrador de Replicação, Administrador de Configuração IPA, Administrador de Política de Senha

Responsável pela gestão do ambiente de Gerenciamento de Identidade, criando trusts, criando acordos de replicação

Administrador do usuário

Administradores de Usuários, Administradores de Grupo, Administradores de Etapa de Usuários

Responsável pela criação de usuários e grupos

22.2. Gerenciando permissões na IDM Web UI

Esta seção descreve como gerenciar as permissões no Gerenciamento de Identidade (IdM) usando a interface web (IdM Web UI).

Pré-requisitos

Procedimento

  1. Para adicionar uma nova permissão, abra o sub-menu Role-Based Access Control na aba IPA Server e selecione Permissions:

    Tarefa de permissões

  2. A lista de permissões é aberta: Clique no botão Add no topo da lista de permissões:

    Adicionando uma nova permissão

  3. O formulário Add Permission é aberto. Especifique o nome da nova permissão e defina suas propriedades de acordo:

    Formulário para adicionar uma permissão

  4. Selecione o tipo apropriado de regra Bind:

    • permission é o tipo de permissão padrão, concedendo acesso através de privilégios e funções
    • all especifica que a permissão se aplica a todos os usuários autenticados
    • anonymous especifica que a permissão se aplica a todos os usuários, incluindo usuários não autenticados

      Nota

      Não é possível acrescentar aos privilégios permissões com um tipo de regra de vinculação sem falta. Também não é possível definir uma permissão já presente em um privilégio para um tipo de regra de vinculação sem falta.

  5. Escolha os direitos a conceder com esta permissão em Granted rights.
  6. Definir o método para identificar as entradas alvo para a permissão:

    • Type especifica um tipo de entrada, como usuário, host, ou serviço. Se você escolher um valor para a configuração Type, uma lista de todos os atributos possíveis que serão acessíveis através deste ACI para esse tipo de entrada aparece em Effective Attributes. Definindo Type define os conjuntos Subtree e Target DN como um dos valores pré-definidos.
    • Subtree (obrigatório) especifica uma entrada de sub-árvore; cada entrada abaixo dessa sub-árvore é então direcionada. Forneça uma entrada de subárvore existente, pois Subtree não aceita wildcards ou nomes de domínio inexistentes (DNs). Por exemplo cn=automount,dc=example,dc=com
    • Extra target filter usa um filtro LDAP para identificar a quais entradas a permissão se aplica. O filtro pode ser qualquer filtro LDAP válido, por exemplo: (!(objectclass=posixgroup))
      IdM verifica automaticamente a validade do filtro dado. Se você inserir um filtro inválido, o IdM o avisa sobre isso quando você tenta salvar a permissão.
    • Target DN especifica o nome de domínio (DN) e aceita wildcards. Por exemplo uid=*,cn=users,cn=accounts,dc=com
    • Member of group estabelece o filtro alvo para os membros do grupo em questão. Depois de especificar as configurações do filtro e clicar em Add, o IdM valida o filtro. Se todas as configurações de permissão estiverem corretas, o IdM realizará a busca. Se algumas das configurações de permissões estiverem incorretas, o IdM exibirá uma mensagem informando sobre qual configuração está incorreta.
  7. Acrescentar atributos à permissão:

    • Se você definir Type, escolha o Effective attributes da lista de atributos ACI disponíveis.
    • Se você não utilizou Type, adicione os atributos manualmente, escrevendo-os no campo Effective attributes. Adicione um único atributo de cada vez; para adicionar vários atributos, clique em Add para adicionar outro campo de entrada.

      Importante

      Se você não definir nenhum atributo para a permissão, então as permissões incluem todos os atributos por padrão.

  8. Termine de acrescentar as permissões com os botões Add na parte inferior do formulário:

    • Clique no botão Add para salvar a permissão e voltar para a lista de permissões.
    • Alternativamente, você pode salvar a permissão e continuar adicionando permissões adicionais na mesma forma, clicando no botão Add and Add another
    • O botão Add and Edit permite que você salve e continue editando a permissão recém-criada.
  9. Optional. Você também pode editar as propriedades de uma permissão existente clicando em seu nome na lista de permissões para exibir a página Permission settings.
  10. Optional. Se você precisar remover uma permissão existente, clique no botão Delete uma vez marcada a caixa de seleção ao lado de seu nome na lista, para exibir o diálogo Remove permissions.

    Nota

    As operações sobre as permissões gerenciadas padrão são restritas: os atributos que você não pode modificar estão desativados na interface web do IdM e você não pode excluir completamente as permissões gerenciadas.
    Entretanto, você pode efetivamente desativar uma permissão gerenciada que tenha um tipo de vínculo definido para permissão, removendo a permissão gerenciada de todos os privilégios.

Por exemplo, deixar aqueles com permissão escrever o atributo de membro no grupo de engenheiros (para que eles possam adicionar ou remover membros):
Exemplo para adicionar uma permissão

22.3. Privilégios de gestão na IdM WebUI

Esta seção descreve como gerenciar privilégios no IdM usando a interface web (IdM Web UI).

Pré-requisitos

Procedimento

  1. Para adicionar um novo privilégio, abra o sub-menu Role-Based Access Control na aba IPA Server e selecione Privileges:

    Tarefa dos privilégios

  2. A lista de privilégios é aberta. Clique no botão Add no topo da lista de privilégios:

    Adicionando um novo privilégio

  3. O formulário Add Privilege é aberto. Digite o nome e uma descrição do privilégio:

    Formulário para adicionar um privilégio

  4. Clique no botão Add and Edit para salvar o novo privilégio e continue até a página de configuração de privilégios para adicionar permissões.
  5. Edite as propriedades dos privilégios clicando no nome dos privilégios na lista de privilégios. A página de configuração de privilégios é aberta.
  6. A guia Permissions exibe uma lista de permissões incluídas no privilégio selecionado. Clique no botão Add no topo da lista para adicionar permissões ao privilégio:

    Acréscimo de permissões

  7. Marque a caixa de seleção ao lado do nome de cada permissão para adicionar, e use o botão > para mover as permissões para a coluna Prospective:

    Seleção de permissões

  8. Confirme clicando no botão Add.
  9. Optional. Se você precisar remover permissões, clique no botão Delete depois de ter marcado a caixa de seleção ao lado da permissão relevante: o diálogo Remove privileges from permissions se abre.
  10. Optional. Se você precisar excluir um privilégio existente, clique no botão Delete depois de marcar a caixa de seleção ao lado de seu nome na lista: o diálogo Remove privileges se abre.

22.4. Funções de gerenciamento na IDM Web UI

Esta seção descreve como gerenciar papéis na Gestão de Identidade (IdM) usando a interface web (IdM Web UI).

Pré-requisitos

Procedimento

  1. Para adicionar um novo papel, abra o sub-menu Role-Based Access Control na aba IPA Server e selecione Roles:

    Tarefa dos papéis

  2. A lista de papéis se abre. Clique no botão Add no topo da lista das instruções de controle de acesso baseadas em funções.

    Adicionando um novo papel

  3. O formulário Add Role é aberto. Digite o nome da função e uma descrição:

    Formulário para adicionar um papel

  4. Clique no botão Add and Edit para salvar a nova função e vá para a página de configuração de funções para adicionar privilégios e usuários.
  5. Edite as propriedades dos papéis, clicando no nome dos papéis na lista de papéis. A página de configuração de funções é aberta.
  6. Adicione membros usando as guias Users, Users Groups, Hosts, Host Groups ou Services, clicando no botão Add no topo da(s) lista(s) relevante(s).

    Adicionando usuários

  7. Na janela que se abre, selecione os membros à esquerda e use o botão > para movê-los para a coluna Prospective.

    Seleção de usuários

  8. Na parte superior da aba Privileges, clique em Add.

    Acréscimo de Privilégios

  9. Selecione os privilégios à esquerda e use o botão > para movê-los para a coluna Prospective.

    Seleção de Privilégios

  10. Clique no botão Add para salvar.
  11. Optional. Se você precisar remover privilégios ou membros de uma função, clique no botão Delete depois de ter marcado a caixa de seleção ao lado do nome da entidade que você deseja remover. Um diálogo se abre.
  12. Optional. Se você precisar remover uma função existente, clique no botão Delete depois de ter marcado a caixa de seleção ao lado de seu nome na lista, para exibir o diálogo Remove roles.

Capítulo 23. Usando uma visualização ID para anular um valor de atributo de usuário em um cliente IdM

Se um usuário de Gerenciamento de Identidade (IdM) desejar substituir alguns de seus atributos de usuário ou grupo armazenados no servidor LDAP do IdM, por exemplo o nome de login, diretório home, certificado usado para autenticação, ou chaves SSH, você como administrador do IdM pode redefinir estes valores para um cliente IdM específico, usando vistas ID do IdM. Por exemplo, você pode especificar um diretório home diferente para um usuário no cliente IdM que o usuário mais comumente usa para fazer o login no IdM.

Este capítulo descreve como redefinir um valor de atributo POSIX associado a um usuário IdM em um host inscrito na IdM como cliente. Especificamente, o capítulo descreve como redefinir o nome de login do usuário e o diretório home.

Este capítulo inclui as seguintes seções:

23.1. Vistas de identificação

Uma visão ID em Gerenciamento de Identidade (IdM) é uma visão do lado do cliente da IdM especificando as seguintes informações:

  • Novos valores para atributos de usuário ou grupo POSIX definidos centralmente
  • O cliente anfitrião ou anfitriões sobre os quais se aplicam os novos valores.

Uma vista de identificação contém uma ou mais sobreposições. Uma sobreposição é uma substituição específica de um valor de atributo POSIX definido centralmente.

Você só pode definir uma visualização de ID para um cliente IdM centralmente nos servidores IdM. Não é possível configurar localmente as sobreposições do lado do cliente para um cliente IdM.

Por exemplo, você pode usar visões de identificação para alcançar os seguintes objetivos:

  • Definir diferentes valores de atributos para diferentes ambientes. Por exemplo, você pode permitir que o administrador do IdM ou outro usuário IdM tenha diferentes diretórios home em diferentes clientes IdM: você pode configurar /home/encrypted/username para ser o diretório home deste usuário em um cliente IdM e /dropbox/username em outro cliente. O uso de visões ID nesta situação é conveniente, pois alternativamente, por exemplo, alterar fallback_homedir, override_homedir ou outras variáveis do diretório home no arquivo /etc/sssd/sssd.conf do cliente afetaria todos os usuários. Veja Adicionando uma visualização ID para substituir um diretório home de usuário IdM em um cliente IdM para um procedimento de exemplo.
  • Substituir um valor de atributo gerado anteriormente por um valor diferente, tal como anular o UID de um usuário. Esta capacidade pode ser útil quando se deseja alcançar uma mudança em todo o sistema que de outra forma seria difícil de fazer no lado do LDAP, por exemplo, fazer do 1009 o UID de um usuário IdM. As faixas de ID do IdM, que são usadas para gerar um UID de usuário IdM, nunca começam tão baixo quanto 1000 ou mesmo 10000. Se existe uma razão para um usuário IdM fazer-se passar por um usuário local com UID 1009 em todos os clientes IdM, você pode usar vistas de ID para substituir o UID deste usuário IdM que foi gerado quando o usuário foi criado no IdM.
Importante

Você só pode aplicar visões de identificação a clientes IdM, não a servidores IdM.

Recursos adicionais

  • Você também pode usar vistas de identificação em ambientes que envolvam o Active Directory (AD). Para detalhes, consulte o capítulo Vistas de ID e Migração de Ambientes Existentes para Confiança no Windows integration guide.
  • Você também pode configurar visões de identificação para hosts que não fazem parte de um domínio de gerenciamento centralizado de identidade. Para detalhes, consulte o capítulo Vistas do lado do cliente SSSD no System-level authentication guide.

23.2. Potencial impacto negativo das visões de identificação no desempenho da SSSD

Quando você define uma visualização de ID, o IdM coloca o valor de override desejado no cache do Daemon System Security Services (SSSD) do servidor IdM. O SSSD rodando em um cliente IdM então recupera o valor de sobreposição do cache do servidor.

A aplicação de uma visualização ID pode ter um impacto negativo no desempenho do System Security Services Daemon (SSSD), pois certas otimizações e visualizações de ID não podem ser executadas ao mesmo tempo. Por exemplo, as visões de ID impedem o SSSD de otimizar o processo de busca de grupos no servidor:

  • Com vistas de identificação, a SSSD deve verificar cada membro da lista de nomes de membros do grupo retornados se o nome do grupo for substituído.
  • Sem visões de identificação, o SSSD só pode coletar os nomes dos usuários do atributo de membro do objeto do grupo.

Este efeito negativo se torna mais aparente quando o cache SSSD está vazio ou depois que você limpa o cache, o que torna todas as entradas inválidas.

23.3. Atributos que uma vista de identificação pode anular

As visualizações de ID consistem em anulações de ID de usuário e de grupo. As sobreposições definem os novos valores dos atributos POSIX.

As substituições de ID de usuário e grupo podem definir novos valores para os seguintes atributos POSIX:

Atributos do usuário
  • Nome de Login (uid)
  • Entrada GECOS (gecos)
  • Número UID (uidNumber)
  • Número GID (gidNumber)
  • Concha de Login (loginShell)
  • Diretório Home (homeDirectory)
  • Chaves públicas SSH (ipaSshPubkey)
  • Certificado (userCertificate)
Atributos do grupo
  • Nome do grupo (cn)
  • Número GID do grupo (gidNumber)

23.4. Obtendo ajuda para os comandos de visualização de identificação

Você pode obter ajuda para os comandos que envolvam as visões de identificação do Gerenciamento de Identidade (IdM) na interface de linha de comando do IdM (CLI).

Pré-requisitos

  • Você obteve um bilhete Kerberos para um usuário da IdM.

Procedimento

  • Para exibir todos os comandos usados para gerenciar visualizações e sobreposições de ID:

    $ ipa help idviews
    ID Views
    
    Manage ID Views
    
    IPA allows to override certain properties of users and groups[...]
    [...]
    Topic commands:
      idoverridegroup-add          Add a new Group ID override
      idoverridegroup-del          Delete a Group ID override
    [...]
  • Para exibir ajuda detalhada para um determinado comando, adicione a opção --help ao comando:

    $ ipa idview-add --help
    Usage: ipa [global-options] idview-add NAME [options]
    
    Add a new ID View.
    Options:
      -h, --help      show this help message and exit
      --desc=STR      Description
    [...]

23.5. Usando uma visão ID para substituir o nome de login de um usuário IdM em um host específico

Esta seção descreve como criar uma visão ID para um cliente específico de Gerenciamento de Identidade (IdM) que sobrepõe um valor de atributo POSIX associado a um usuário específico de IdM. O procedimento usa o exemplo de uma visualização de ID que permite que um usuário IdM chamado idm_user faça o login em um cliente IdM chamado host1 usando o nome de login user_1234.

Pré-requisitos

  • Você está conectado como um usuário com os privilégios necessários, por exemplo admin.

Procedimento

  1. Criar uma nova visão de identificação. Por exemplo, para criar uma visualização de identificação chamada example_for_host1:

    $ ipa idview-add example_for_host1
    ---------------------------
    Added ID View "example_for_host1"
    ---------------------------
      ID View Name: example_for_host1
  2. Adicione uma substituição de usuário à visualização de ID example_for_host1. Para anular o login do usuário:

    • Digite o comando ipa idoverrideuser-add
    • Adicionar o nome da vista de identificação
    • Adicionar o nome do usuário, também chamado de âncora
    • Adicione a opção --login:

      $ ipa idoverrideuser-add example_for_host1 idm_user --login=user_1234
      -----------------------------
      Added User ID override "idm_user"
      -----------------------------
        Anchor to override: idm_user
        User login: user_1234

      Para obter uma lista das opções disponíveis, execute ipa idoverrideuser-add --help.

      Nota

      O comando ipa idoverrideuser-add --certificate substitui todos os certificados existentes para a conta na visualização de ID especificada. Para anexar um certificado adicional, use o comando ipa idoverrideuser-add-cert em seu lugar:

      $ ipa idoverrideuser-add-cert example_for_host1 user --certificate="MIIEATCC..."
  3. Opcional: Usando o comando ipa idoverrideuser-mod, você pode especificar novos valores de atributos para uma substituição de usuário existente.
  4. Aplique example_for_host1 para o anfitrião host1.idm.example.com:

    $ ipa idview-apply example_for_host1 --hosts=host1.idm.example.com
    -----------------------------
    Applied ID View "example_for_host1"
    -----------------------------
    hosts: host1.idm.example.com
    ---------------------------------------------
    Number of hosts the ID View was applied to: 1
    ---------------------------------------------
    Nota

    O comando ipa idview-apply também aceita a opção --hostgroups. A opção aplica a visão ID aos anfitriões que pertencem ao grupo anfitrião especificado, mas não associa a visão ID com o próprio grupo anfitrião. Em vez disso, a opção --hostgroups expande os membros do grupo anfitrião especificado e aplica a opção --hosts individualmente a cada um deles.

    Isto significa que se um anfitrião for adicionado ao grupo anfitrião no futuro, a visão de identificação não se aplica ao novo anfitrião.

  5. Para aplicar a nova configuração ao sistema host1.idm.example.com imediatamente:

    1. SSH para o sistema como raiz:

      $ ssh root@host1
      Password:
    2. Limpar o cache SSSD:

      root@host1 ~]# sss_cache -E
    3. Reinicie o daemon SSSD:
    root@host1 ~]# systemctl restart sssd

Etapas de verificação

  • Se você tem as credenciais do user_1234, você pode usá-las para fazer o login no IdM em host1:

    1. SSH para host1 usando user_1234 como o nome de login:

      [root@r8server ~]# ssh user_1234@host1.idm.example.com
      Password:
      
      Last login: Sun Jun 21 22:34:25 2020 from 192.168.122.229
      [user_1234@host1 ~]$
    2. Exibir o diretório de trabalho:

      [user_1234@host1 ~]$ pwd
      /home/idm_user/
  • Alternativamente, se você tiver credenciais de root em host1, você pode usá-las para verificar a saída do comando id para idm_user e user_1234:

    [root@host1 ~]# id idm_user
    uid=779800003(user_1234) gid=779800003(idm_user) groups=779800003(idm_user)
    [root@host1 ~]# user_1234
    uid=779800003(user_1234) gid=779800003(idm_user) groups=779800003(idm_user)

23.6. Modificando uma visão de ID de IdM

Uma visualização ID em Gerenciamento de Identidade (IdM) substitui um valor de atributo POSIX associado a um usuário específico de IdM. Esta seção descreve como modificar uma visualização de ID existente. Especificamente, descreve como modificar uma visualização de ID para permitir que o usuário chamado idm_user utilize o diretório /home/user_1234/ como diretório home do usuário em vez de /home/idm_user/ no cliente host1.idm.example.com IdM.

Pré-requisitos

  • Você tem acesso root a host1.idm.example.com.
  • Você está conectado como um usuário com os privilégios necessários, por exemplo admin.
  • Você tem uma visualização de identificação configurada para idm_user que se aplica ao cliente host1 IdM.

Procedimento

  1. Como root, crie o diretório que você deseja que idm_user utilize em host1.idm.example.com como o diretório home do usuário:

    [root@host1 /]# mkdir /home/user_1234/
  2. Alterar a propriedade do diretório:

    [root@host1 /]# chown idm_user:idm_user /home/user_1234/
  3. Exibir a visualização de ID, incluindo os anfitriões aos quais a visualização de ID é aplicada atualmente. Para exibir a visualização de ID com o nome example_for_host1:

    $ ipa idview-show example_for_host1 --all
      dn: cn=example_for_host1,cn=views,cn=accounts,dc=idm,dc=example,dc=com
      ID View Name: example_for_host1
      User object override: idm_user
      Hosts the view applies to: host1.idm.example.com
      objectclass: ipaIDView, top, nsContainer

    A saída mostra que a visualização de identificação se aplica atualmente a host1.idm.example.com.

  4. Modificar a substituição do usuário da visualização de ID example_for_host1. Substituir o diretório pessoal do usuário:

    • Digite o comando ipa idoverrideuser-add
    • Adicionar o nome da vista de identificação
    • Adicionar o nome do usuário, também chamado de âncora
    • Adicione a opção --homedir:

      $ ipa idoverrideuser-mod example_for_host1 idm_user --homedir=/home/user_1234
      -----------------------------
      Modified an User ID override "idm_user"
      -----------------------------
        Anchor to override: idm_user
        User login: user_1234
        Home directory: /home/user_1234/

    Para obter uma lista das opções disponíveis, execute ipa idoverrideuser-mod --help.

  5. Para aplicar a nova configuração ao sistema host1.idm.example.com imediatamente:

    1. SSH para o sistema como raiz:

      $ ssh root@host1
      Password:
    2. Limpar o cache SSSD:

      root@host1 ~]# sss_cache -E
    3. Reinicie o daemon SSSD:
    root@host1 ~]# systemctl restart sssd

Etapas de verificação

  1. SSH a host1 como idm_user:

    [root@r8server ~]# ssh idm_user@host1.idm.example.com
    Password:
    
    Last login: Sun Jun 21 22:34:25 2020 from 192.168.122.229
    [user_1234@host1 ~]$
  2. Imprimir o diretório de trabalho:

    [user_1234@host1 ~]$ pwd
    /home/user_1234/

23.7. Adicionando uma visualização ID para substituir um diretório pessoal de usuário IdM em um cliente IdM

Uma visualização ID em Gerenciamento de Identidade (IdM) substitui um valor de atributo POSIX associado a um usuário específico de IdM. Esta seção descreve como criar uma visualização de ID que se aplica a idm_user em um cliente IdM chamado host1 para permitir que o usuário utilize o diretório /home/user_1234/ como o diretório home do usuário em vez de /home/idm_user/.

Pré-requisitos

  • Você tem acesso root a host1.idm.example.com.
  • Você está conectado como um usuário com os privilégios necessários, por exemplo admin.

Procedimento

  1. Como root, crie o diretório que você deseja que idm_user utilize em host1.idm.example.com como o diretório home do usuário:

    [root@host1 /]# mkdir /home/user_1234/
  2. Alterar a propriedade do diretório:

    [root@host1 /]# chown idm_user:idm_user /home/user_1234/
  3. Criar uma visualização de identificação. Por exemplo, para criar uma visualização de identificação com o nome example_for_host1:

    $ ipa idview-add example_for_host1
    ---------------------------
    Added ID View "example_for_host1"
    ---------------------------
      ID View Name: example_for_host1
  4. Adicione uma substituição de usuário à visualização de ID example_for_host1. Para substituir o diretório pessoal do usuário:

    • Digite o comando ipa idoverrideuser-add
    • Adicionar o nome da vista de identificação
    • Adicionar o nome do usuário, também chamado de âncora
    • Adicione a opção --homedir:
    $ ipa idoverrideuser-add example_for_host1 idm_user --homedir=/home/user_1234
    -----------------------------
    Added User ID override "idm_user"
    -----------------------------
      Anchor to override: idm_user
      Home directory: /home/user_1234/
  5. Aplique example_for_host1 para o anfitrião host1.idm.example.com:

    $ ipa idview-apply example_for_host1 --hosts=host1.idm.example.com
    -----------------------------
    Applied ID View "example_for_host1"
    -----------------------------
    hosts: host1.idm.example.com
    ---------------------------------------------
    Number of hosts the ID View was applied to: 1
    ---------------------------------------------
    Nota

    O comando ipa idview-apply também aceita a opção --hostgroups. A opção aplica a visão ID aos anfitriões que pertencem ao grupo anfitrião especificado, mas não associa a visão ID com o próprio grupo anfitrião. Em vez disso, a opção --hostgroups expande os membros do grupo anfitrião especificado e aplica a opção --hosts individualmente a cada um deles.

    Isto significa que se um anfitrião for adicionado ao grupo anfitrião no futuro, a visão de identificação não se aplica ao novo anfitrião.

  6. Para aplicar a nova configuração ao sistema host1.idm.example.com imediatamente:

    1. SSH para o sistema como raiz:

      $ ssh root@host1
      Password:
    2. Limpar o cache SSSD:

      root@host1 ~]# sss_cache -E
    3. Reinicie o daemon SSSD:
    root@host1 ~]# systemctl restart sssd

Etapas de verificação

  1. SSH a host1 como idm_user:

    [root@r8server ~]# ssh idm_user@host1.idm.example.com
    Password:
    Activate the web console with: systemctl enable --now cockpit.socket
    
    Last login: Sun Jun 21 22:34:25 2020 from 192.168.122.229
    [idm_user@host1 /]$
  2. Imprimir o diretório de trabalho:

    [idm_user@host1 /]$ pwd
    /home/user_1234/

23.8. Aplicando uma visão de identificação a um grupo anfitrião da IdM

O comando ipa idview-apply aceita a opção --hostgroups. Entretanto, a opção atua como uma operação única que aplica a visão ID aos anfitriões que atualmente pertencem ao grupo hospedeiro especificado, mas não associa dinamicamente a visão ID com o próprio grupo hospedeiro. A opção --hostgroups expande os membros do grupo hospedeiro especificado e aplica a opção --hosts individualmente a cada um deles.

Se você adicionar um novo host ao grupo anfitrião mais tarde, você deve aplicar a visualização de ID ao novo host manualmente, usando o comando ipa idview-apply com a opção --hosts.

Da mesma forma, se você remover um anfitrião de um grupo anfitrião, a visão de identificação ainda é atribuída ao anfitrião após a remoção. Para desaplicar a visão ID do hospedeiro removido, você deve executar a ipa idview-unapply id_view_name --hosts=name_of_the_removed_host comando.

Esta seção descreve como atingir os seguintes objetivos:

  1. Como criar um grupo anfitrião e adicionar anfitriões a ele.
  2. Como aplicar uma visão de identificação ao grupo anfitrião.
  3. Como adicionar um novo anfitrião ao grupo anfitrião e aplicar a visão de identificação ao novo anfitrião.

Pré-requisitos

Procedimento

  1. Criar um grupo anfitrião e adicionar anfitriões a ele:

    1. Criar um grupo anfitrião. Por exemplo, para criar um grupo anfitrião chamado baltimore:

      [root@master ~]# ipa hostgroup-add --desc="Baltimore hosts" baltimore
      ---------------------------
      Added hostgroup "baltimore"
      ---------------------------
      Host-group: baltimore
      Description: Baltimore hosts
    2. Acrescentar anfitriões ao grupo anfitrião. Por exemplo, para adicionar o host102 e host103 ao grupo anfitrião baltimore:

      [root@master ~]# ipa hostgroup-add-member --hosts={host102,host103} baltimore
      Host-group: baltimore
      Description: Baltimore hosts
      Member hosts: host102.idm.example.com, host103.idm.example.com
      -------------------------
      Number of members added 2
      -------------------------
  2. Aplicar uma visão de identificação aos anfitriões do grupo anfitrião. Por exemplo, para aplicar a visualização de ID example_for_host1 ao grupo anfitrião baltimore:

    [root@master ~]# ipa idview-apply --hostgroups=baltimore
    ID View Name: example_for_host1
    -----------------------------------------
    Applied ID View "example_for_host1"
    -----------------------------------------
      hosts: host102.idm.example.com, host103.idm.example.com
    ---------------------------------------------
    Number of hosts the ID View was applied to: 2
    ---------------------------------------------
  3. Adicione um novo anfitrião ao grupo anfitrião e aplique a visão de identificação ao novo anfitrião:

    1. Acrescentar um novo anfitrião ao grupo anfitrião. Por exemplo, para adicionar o anfitrião somehost.idm.example.com ao grupo anfitrião baltimore:

      [root@master ~]# ipa hostgroup-add-member --hosts=somehost.idm.example.com baltimore
        Host-group: baltimore
        Description: Baltimore hosts
        Member hosts:  host102.idm.example.com, host103.idm.example.com,somehost.idm.example.com
      -------------------------
      Number of members added 1
      -------------------------
    2. Opcionalmente, exibir as informações de visualização de identificação. Por exemplo, para exibir os detalhes sobre a visualização da ID example_for_host1:

      [root@master ~]# ipa idview-show example_for_host1 --all
        dn: cn=example_for_host1,cn=views,cn=accounts,dc=idm,dc=example,dc=com
        ID View Name: example_for_host1
      [...]
        Hosts the view applies to: host102.idm.example.com, host103.idm.example.com
        objectclass: ipaIDView, top, nsContainer

      A saída mostra que a visão de identificação não é aplicada a somehost.idm.example.com, o recém-adicionado anfitrião no grupo anfitrião baltimore.

    3. Aplique a visão de identificação ao novo anfitrião. Por exemplo, para aplicar a visualização de ID example_for_host1 para somehost.idm.example.com:

      [root@master ~]# ipa idview-apply --host=somehost.idm.example.com
      ID View Name: example_for_host1
      -----------------------------------------
      Applied ID View "example_for_host1"
      -----------------------------------------
        hosts: somehost.idm.example.com
      ---------------------------------------------
      Number of hosts the ID View was applied to: 1
      ---------------------------------------------

Etapas de verificação

  • Exibir novamente as informações de visualização da ID:

    [root@master ~]# ipa idview-show example_for_host1 --all
      dn: cn=example_for_host1,cn=views,cn=accounts,dc=idm,dc=example,dc=com
      ID View Name: example_for_host1
    [...]
      Hosts the view applies to: host102.idm.example.com, host103.idm.example.com, somehost.idm.example.com
      objectclass: ipaIDView, top, nsContainer

    A saída mostra que a visualização de ID é agora aplicada a somehost.idm.example.com, o recém-adicionado anfitrião do grupo anfitrião baltimore.

Capítulo 24. Ajuste manual das faixas de identificação

Um mestre IdM gera números únicos de identificação de usuário (UID) e de grupo (GID). Ao criar e atribuir diferentes faixas de ID para réplicas, ele também garante que elas nunca gerem os mesmos números de ID. Por padrão, este processo é automático. Entretanto, é possível ajustar manualmente a faixa de ID do IdM durante a instalação do mestre IdM, ou definir manualmente a faixa de ID de DNA de uma réplica.

24.1. Faixas de identificação

Os números de identificação estão divididos em ID ranges. Manter intervalos numéricos separados para servidores individuais e réplicas elimina a chance de que um número de identificação emitido para uma entrada já seja utilizado por outra entrada em outro servidor ou réplica.

Observe que existem dois tipos distintos de faixas de identificação:

  • A faixa de ID do IdM, que é atribuída durante a instalação principal do IdM. Esta faixa não pode ser modificada após a sua criação. Entretanto, se for necessário, pode-se criar uma nova faixa de ID do IdM além da faixa original. Para mais informações, consulte Atribuição automática de faixas de ID e Adição de uma nova faixa de ID de IdM.
  • As faixas de ID de Atribuição Numérica Distribuída (ADN), que podem ser modificadas pelo usuário. Estes têm que se encaixar dentro de uma faixa de ID de IdM existente. Para mais informações, consulte Ajuste manual das faixas de ID de DNA.

    As réplicas também podem ter uma faixa de identificação de DNA atribuída a next. Uma réplica usa sua próxima faixa quando ficar sem IDs em sua faixa atual. As próximas faixas são atribuídas automaticamente quando uma réplica é excluída ou você pode defini-las manualmente.

Os intervalos são atualizados e compartilhados entre o master e as réplicas pelo plug-in de DNA, como parte do back end 389 Directory Server, por exemplo, para o domínio.

A definição da faixa de DNA é definida por dois atributos: o próximo número disponível do servidor (a extremidade inferior da faixa de DNA) e seu valor máximo (a extremidade superior da faixa de DNA). A faixa inferior inicial é definida durante a configuração da instância plug-in. Depois disso, o plug-in atualiza o valor inferior. A divisão dos números disponíveis em intervalos permite que os servidores atribuam continuamente números sem sobreposição entre si.

24.2. Atribuição automática de faixas de identificação

Por padrão, uma faixa de ID do IdM é automaticamente atribuída durante a instalação principal do IdM. O comando ipa-server-install seleciona e atribui aleatoriamente uma faixa de 200.000 IDs de um total de 10.000 faixas possíveis. Selecionar uma faixa aleatória desta forma reduz significativamente a probabilidade de conflitos de IDs caso você decida fundir dois domínios IdM separados no futuro.

Nota

Esta faixa de identificação IdM não pode ser modificada após a sua criação. Você só pode ajustar manualmente as faixas de ID de Atribuição Numérica Distribuída (ADN), usando os comandos descritos em Ajustando manualmente as faixas de ID de ADN. Uma faixa de DNA que corresponda à faixa de ID de IdM é criada automaticamente durante a instalação.

Se você tiver um único servidor IdM instalado, ele controla toda a faixa de ID de DNA. Quando você instala uma nova réplica e a réplica solicita sua própria faixa de ID de DNA, a faixa de ID inicial para o master se divide e é distribuída entre o master e a réplica: a réplica recebe metade da faixa de ID de DNA restante que está disponível no master inicial. O mestre e a réplica então usam suas respectivas porções da faixa de ID original para novas entradas de usuário ou grupo. Além disso, se a réplica estiver perto de esgotar sua faixa de ID atribuída e restarem menos de 100 IDs, a réplica contata os outros servidores disponíveis para solicitar uma nova faixa de ID de DNA.

Importante

Quando você instala uma réplica, ela does not recebe imediatamente uma faixa de identificação. Uma réplica recebe uma faixa de ID na primeira vez que o plug-in de DNA é usado, por exemplo, quando você adiciona um usuário pela primeira vez. Até lá, a réplica não tem faixa de ID definida.

Se o mestre inicial parar de funcionar antes que a réplica solicite uma faixa de identificação de DNA, a réplica não poderá entrar em contato com o mestre para solicitar a faixa de identificação. Tentativa de adicionar um novo usuário na réplica então falha. Em tais situações, é possível descobrir qual faixa de ID é atribuída ao mestre desabilitado e atribuir uma faixa de ID à réplica manualmente.

24.3. Atribuição manual da faixa de ID do IdM durante a instalação do servidor

Você pode anular o comportamento padrão e definir uma faixa de IDM manualmente em vez de tê-la atribuída aleatoriamente.

Importante

Não defina faixas de ID que incluam valores UID de 1000 e inferiores; estes valores são reservados para uso no sistema. Além disso, não defina uma faixa de ID que inclua o valor 0; o serviço SSSD não lida com o valor 0 de ID.

Procedimento

  • Você pode definir a faixa de ID do IdM manualmente durante a instalação do servidor, usando as duas opções a seguir com ipa-server-install:

    • --idstart dá o valor inicial para os números UID e GID.
    • --idmax fornece o número máximo de UID e GID; por padrão, o valor é o valor inicial de --idstart mais 199.999.

Etapas de verificação

  • Para verificar se a faixa de ID foi atribuída corretamente, você pode exibir a faixa de ID do IdM atribuído usando o comando ipa idrange-find:

    # ipa idrange-find
    ---------------
    1 range matched
    ---------------
      Range name: IDM.EXAMPLE.COM_id_range
      First Posix ID of the range: 882200000
      Number of IDs in the range: 200000
      Range type: local domain range
    ----------------------------
    Number of entries returned 1
    ----------------------------

24.4. Adicionando uma nova linha IdM ID

Em alguns casos, você pode querer criar uma nova faixa de IDM além da original; por exemplo, quando uma réplica ficar sem IDs e a faixa original de IDM estiver esgotada.

Importante

A adição de uma nova faixa de IDM não cria automaticamente novas faixas de ID de DNA. Você precisa atribuir novas faixas de ID de DNA manualmente, conforme necessário. Para mais informações sobre como fazer isso, consulte Ajustando as faixas de ID de DNA manualmente.

Procedimento

  • Para criar uma nova faixa de ID do IdM, use o comando ipa idrange-add. Você precisa especificar o novo nome do novo intervalo, o primeiro número de identificação do intervalo e o tamanho do intervalo:
# ipa idrange-add IDM.EXAMPLE.COM_new_range --base-id=1000000 --range-size=200000
------------------------------------------
Added ID range "IDM.EXAMPLE.COM_new_range"
------------------------------------------
  Range name: IDM.EXAMPLE.COM_new_range
  First Posix ID of the range: 1000000
  Number of IDs in the range: 200000
  Range type: local domain range

Etapas de verificação

  • Você pode verificar se a nova faixa está definida corretamente usando o comando ipa idrange-find:
# ipa idrange-find
----------------
2 ranges matched
----------------
  Range name: IDM.EXAMPLE.COM_id_range
  First Posix ID of the range: 882200000
  Number of IDs in the range: 200000
  Range type: local domain range

  Range name: IDM.EXAMPLE.COM_new_range
  First Posix ID of the range: 1000000
  Number of IDs in the range: 200000
  Range type: local domain range
----------------------------
Number of entries returned 2
----------------------------

24.5. Exibição das faixas de identificação de DNA atualmente atribuídas

Você pode exibir tanto a faixa de ID de Atribuição Numérica Distribuída (ADN) atualmente ativa em um servidor, como também sua próxima faixa de ADN, caso tenha uma atribuída.

Procedimento

  • Para exibir quais faixas de ID de DNA estão configuradas para os servidores na topologia, use os seguintes comandos:

    • ipa-replica-manage dnarange-show exibe a faixa de ID de DNA atual que está definida em todos os servidores ou, se você especificar um servidor, somente no servidor especificado, por exemplo:

      # ipa-replica-manage dnarange-show
      masterA.example.com: 1001-1500
      masterB.example.com: 1501-2000
      masterC.example.com: No range set
      
      # ipa-replica-manage dnarange-show masterA.example.com
      masterA.example.com: 1001-1500
    • ipa-replica-manage dnanextrange-show exibe a próxima faixa de ID de DNA atualmente definida em todos os servidores ou, se você especificar um servidor, apenas no servidor especificado, por exemplo:

      # ipa-replica-manage dnanextrange-show
      masterA.example.com: 2001-2500
      masterB.example.com: No on-deck range set
      masterC.example.com: No on-deck range set
      
      # ipa-replica-manage dnanextrange-show masterA.example.com
      masterA.example.com: 2001-2500

24.6. Extensão automática da faixa de DNA ID

Ao excluir uma réplica funcional, o comando ipa-replica-manage del recupera as faixas de identificação de DNA que foram atribuídas à réplica e as adiciona como uma próxima faixa a outra réplica IdM disponível. Isto assegura que as faixas de ID de DNA sejam utilizadas de forma eficiente.

Após excluir uma réplica, você pode verificar quais faixas de ID de DNA estão configuradas para outros servidores, usando os comandos descritos em Exibição de faixas de ID de DNA atualmente atribuídas.

24.7. Ajuste manual da faixa de DNA ID

Em certas situações, é necessário ajustar manualmente uma faixa de ID de Atribuição Numérica Distribuída (ADN), por exemplo, quando:

  • Uma réplica ficou sem identificação e a faixa de identificação IdM está esgotada

    Uma réplica esgotou a faixa de ID de DNA que lhe foi atribuída, e solicitar IDs adicionais falhou porque não há mais IDs gratuitas disponíveis na faixa de IDM.

    Para resolver esta situação, ampliar a faixa de identificação de DNA atribuída à réplica. Você pode fazer isso de duas maneiras:

    • Reduzir a faixa de identificação de DNA atribuída a uma réplica diferente e, em seguida, atribuir os novos valores disponíveis para a réplica esgotada.
    • Criar uma nova faixa de ID de IdM e, em seguida, definir uma nova faixa de ID de DNA para a réplica dentro desta faixa IdM criada.

      Para informações sobre como criar uma nova linha IdM ID, consulte Adicionando uma nova linha IdM ID.

  • Uma réplica deixou de funcionar

    A faixa de DNA ID de uma réplica não é automaticamente recuperada quando a réplica morre e precisa ser apagada, o que significa que a faixa de DNA ID previamente atribuída à réplica fica indisponível. Você deseja recuperar a faixa de ID de DNA e disponibilizá-la para outras réplicas.

    Se você quiser recuperar uma faixa de ID de DNA pertencente a uma réplica que parou de funcionar e atribuí-la a outro servidor, você precisa primeiro descobrir quais são os valores da faixa de ID, antes de atribuir manualmente essa faixa a um servidor diferente. Além disso, para evitar duplicação de UIDs ou GIDs, certifique-se de que nenhum valor de ID da faixa recuperada foi previamente atribuído a um usuário ou grupo; você pode fazer isso examinando as UIDs e GIDs dos usuários e grupos existentes.

Você pode ajustar manualmente uma faixa de ID de DNA para uma réplica usando os comandos em Ajustando manualmente as faixas de ID de DNA.

Nota

Se você atribuir uma nova faixa de identificação de DNA, as UIDs das entradas já existentes no servidor ou réplica permanecerão as mesmas. Isto não representa um problema porque mesmo se você mudar a faixa de ID de DNA atual, a IdM mantém um registro de quais faixas foram atribuídas no passado.

24.8. Ajuste manual das faixas de identificação de DNA

Em alguns casos, você pode precisar ajustar manualmente as faixas de ID de Atribuição Numérica Distribuída (ADN) para réplicas existentes, por exemplo, para reatribuir uma faixa de ID de ADN atribuída a uma réplica que não funciona. Para mais informações, consulte Ajuste manual da faixa de ID de DNA.

Ao ajustar uma faixa de ID de DNA manualmente, certifique-se de que a faixa recém ajustada esteja incluída na faixa de ID do IdM; você pode verificar isto usando o comando ipa idrange-find. Caso contrário, o comando irá falhar.

Importante

Tenha cuidado para não criar intervalos de identificação sobrepostos. Se qualquer um dos intervalos de ID que você atribuir a servidores ou réplicas se sobrepuserem, isso pode resultar em dois servidores diferentes atribuindo o mesmo valor de ID a entradas diferentes.

Pré-requisitos

Procedimento

  • Para definir a faixa de ID de DNA atual para um servidor específico, use o site ipa-replica-manage dnarange-set:

    # ipa-replica-gerir dnarange-set masterA.example.com 1250-1499
  • Para definir a próxima faixa de ID de DNA para um servidor específico, use o site ipa-replica-manage dnanextrange-set:

    # ipa-replica-gerir dnanextrange-set masterB.example.com 1500-5000

Etapas de verificação

Capítulo 25. Configuração de IdM para provisionamento externo dos usuários

Como administrador do sistema, você pode configurar o Gerenciamento de Identidade (IdM) para apoiar o provisionamento dos usuários por uma solução externa de gerenciamento de identidades.

Ao invés de usar o utilitário ipa, o administrador do sistema de provisionamento externo pode acessar o IdM LDAP usando o utilitário ldapmodify. O administrador pode adicionar usuários individuais da CLI usando o ldapmodify ou usando um arquivo LDIF.

A suposição é que você, como administrador da IdM, confia plenamente em seu sistema de provisionamento externo para adicionar apenas usuários validados. Entretanto, ao mesmo tempo, você não quer atribuir aos administradores do sistema de provisionamento externo o papel de IdM de User Administrator para permitir que eles adicionem novos usuários ativos diretamente.

Você pode configurar um script para mover automaticamente os usuários encenados criados pelo sistema de provisionamento externo para usuários ativos.

Este capítulo contém estas seções:

  1. Preparando o Gerenciamento de Identidade (IdM ) para usar um sistema de provisionamento externo para adicionar usuários de palco ao IdM.
  2. Criação de um script para mover os usuários adicionados pelo sistema de provisionamento externo do estágio para usuários ativos.
  3. Usando um sistema de provisionamento externo para adicionar um usuário da etapa IdM. Você pode fazer isso de duas maneiras:

Materiais adicionais

Para exemplos e modelos para usar ldapmodify como um administrador completo da IdM para realizar operações de gerenciamento de usuários e grupos que requerem maiores privilégios, veja Usando ldapmodify.

25.1. Preparação de contas IdM para ativação automática de contas de usuários de palco

Este procedimento mostra como configurar duas contas de usuário IdM para serem utilizadas por um sistema de provisionamento externo. Ao adicionar as contas a um grupo com uma política de senha apropriada, você habilita o sistema de provisionamento externo para gerenciar o provisionamento de usuários no IdM. A seguir, a conta de usuário a ser usada pelo sistema externo para adicionar usuários em estágio é denominada provisionator. A conta de usuário a ser usada para ativar automaticamente os usuários da etapa é nomeada activator.

Pré-requisitos

  • O anfitrião no qual você realiza o procedimento está inscrito na IdM.

Procedimento

  1. Entrar como administrador da IdM:

    $ parentes admin
  2. Criar um usuário chamado provisionator com os privilégios de adicionar usuários de palco.

    1. Adicionar a conta de usuário do provisionador:
    $ ipa usuário-adicionador de provisão --first=provisionamento --last=conta --palavra-palavra
    1. Conceder ao usuário do provisionador os privilégios necessários.

      1. Criar uma função personalizada, System Provisioning, para gerenciar a adição de usuários de palco:

        $ ipa role-add --desc "Responsável pelos usuários da fase de provisionamento" "Provisionamento do sistema"
      2. Acrescente o privilégio Stage User Provisioning ao papel. Este privilégio proporciona a capacidade de adicionar usuários de palco:

        $ ipa role-add-privilege" --privileges="Stage User Provisioning"
      3. Adicionar o usuário provisionador à função:

        $ ipa role-add-member --usuários=provisionador {\i1}"System Provisioning
      4. Verificar se o provisionador existe na IdM:
      $ ipa user-find provisionator --all --raw
      --------------
      1 user matched
      --------------
        dn: uid=provisionator,cn=users,cn=accounts,dc=idm,dc=example,dc=com
        uid: provisionator
        [...]
  3. Criar um usuário, activator, com os privilégios de gerenciar contas de usuário.

    1. Adicionar a conta do usuário ativador:

      $ ipa ativador-adicionado pelo usuário --first=ativação --last=conta --palavra-palavra
    2. Conceder ao usuário ativador os privilégios necessários, adicionando o usuário à função padrão User Administrator:

      $ ipa role-add-member --usuários=ativador {\i1}"Administrador de usuários
  4. Criar um grupo de usuários para contas de aplicação:

    Contas de aplicação de $ ipa group-add
  5. Atualizar a política de senhas para o grupo. A seguinte política impede a expiração e bloqueio da conta por senha, mas compensa os riscos potenciais ao exigir senhas complexas:

    $ ipa pwpolicy-add application-accounts --maxlife=10000 --minlife=0 --história=0 --minclasses=4 --minlength=8 --priority=1 --maxfail=0 --failinterval=1 --lockouttime=0
  6. (Opcional) Verificar se a política de senha existe na IdM:

    $ ipa pwpolicy-show application-accounts
      Group: application-accounts
      Max lifetime (days): 10000
      Min lifetime (hours): 0
      History size: 0
    [...]
  7. Adicionar as contas de provisionamento e ativação ao grupo para contas de aplicação:

    $ ipa grupo-add-member application-accounts --usuários={provisionador,ativador}
  8. Alterar as senhas para as contas dos usuários:

    $ kpasswd provisionator
    $ kpasswd activator

    A mudança das senhas é necessária porque as novas senhas de usuários IdM expiram imediatamente.

Recursos adicionais:

25.2. Configuração de ativação automática das contas de usuário do estágio IdM

Este procedimento mostra como criar um roteiro para ativar os usuários do palco. O sistema executa o script automaticamente em intervalos de tempo especificados. Isto assegura que novas contas de usuário sejam ativadas automaticamente e estejam disponíveis para uso logo após a sua criação.

Importante

O procedimento assume que o proprietário do sistema de provisionamento externo já validou os usuários e que eles não precisam de validação adicional no lado do IdM antes que o script os acrescente ao IdM.

É suficiente para ativar o processo em apenas um de seus servidores IdM.

Pré-requisitos

Procedimento

  1. Gerar um arquivo keytab para a conta de ativação:

    # ipa-getkeytab -s server.idm.example.com -p "activator" -k /etc/krb5.ipa-activation.keytab

    Se você quiser habilitar o processo de ativação em mais de um servidor IdM, gere o arquivo keytab em apenas um servidor. Depois copie o arquivo keytab para os outros servidores.

  2. Criar um script, /usr/local/sbin/ipa-activate-all, com o seguinte conteúdo para ativar todos os usuários:

    #!/bin/bash
    
    kinit -k -i activator
    
    ipa stageuser-find --all --raw | grep "  uid:" | cut -d ":" -f 2 | while read uid; do ipa stageuser-activate ${uid}; done
  3. Edite as permissões e a propriedade do script ipa-activate-all para torná-lo executável:

    # chmod 755 /usr/local/sbin/ipa-activate-all
    # chown root:root /usr/local/sbin/ipa-activate-all
  4. Criar um arquivo systemd unit file, /etc/systemd/system/ipa-activate-all.service, com o seguinte conteúdo:

    [Unit]
    Description=Scan IdM every minute for any stage users that must be activated
    
    [Service]
    Environment=KRB5_CLIENT_KTNAME=/etc/krb5.ipa-activation.keytab
    Environment=KRB5CCNAME=FILE:/tmp/krb5cc_ipa-activate-all
    ExecStart=/usr/local/sbin/ipa-activate-all
  5. Criar um temporizador systemd, /etc/systemd/system/ipa-activate-all.timer, com o seguinte conteúdo:

    [Unit]
    Description=Scan IdM every minute for any stage users that must be activated
    
    [Timer]
    OnBootSec=15min
    OnUnitActiveSec=1min
    
    [Install]
    WantedBy=multi-user.target
  6. Recarregar a nova configuração:

    # systemctl daemon-reload
  7. Habilitar ipa-activate-all.timer:

    # systemctl habilita ipa-activate-all.timer
  8. Iniciar ipa-activate-all.timer:

    # systemctl start ipa-activate-all.timer
  9. (Opcional) Verifique se o daemon ipa-activate-all.timer está funcionando:

    # systemctl status ipa-activate-all.timer
    ● ipa-activate-all.timer - Scan IdM every minute for any stage users that must be activated
       Loaded: loaded (/etc/systemd/system/ipa-activate-all.timer; enabled; vendor preset: disabled)
       Active: active (waiting) since Wed 2020-06-10 16:34:55 CEST; 15s ago
      Trigger: Wed 2020-06-10 16:35:55 CEST; 44s left
    
    Jun 10 16:34:55 server.idm.example.com systemd[1]: Started Scan IdM every minute for any stage users that must be activated.

25.3. Adicionando um usuário do estágio IdM definido em um arquivo LDIF

Esta seção descreve como um administrador de um sistema de provisionamento externo pode acessar o IdM LDAP e usar um arquivo LDIF para adicionar usuários de palco. Enquanto o exemplo abaixo mostra a adição de um único usuário, vários usuários podem ser adicionados em um arquivo no modo bulk.

Pré-requisitos

  • O administrador da IdM criou a conta provisionator e uma senha para ela. Para detalhes, consulte Preparação de contas IdM para ativação automática de contas de usuários em estágio.
  • Você, como administrador externo, sabe a senha da conta provisionator.
  • Você pode SSH para o servidor IdM a partir de seu servidor LDAP.
  • Você é capaz de fornecer o conjunto mínimo de atributos que um usuário da etapa IdM deve ter para permitir o processamento correto do ciclo de vida do usuário, a saber

    • O distinguished name (dn)
    • O common name (cn)
    • O last name (sn)
    • O uid

Procedimento

  1. No servidor externo, crie um arquivo LDIF que contenha informações sobre o novo usuário:

    dn: uid=stageidmuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
    changetype: add
    objectClass: top
    objectClass: inetorgperson
    uid: stageidmuser
    sn: surname
    givenName: first_name
    cn: full_name
  2. Transferir o arquivo LDIF do servidor externo para o servidor IdM:

    $ scp add-stageidmuser.ldif provisionator@server.idm.example.com:/provisionator/
    Password:
    add-stageidmuser.ldif                                                                                          100%  364   217.6KB/s   00:00
  3. Use o protocolo SSH para conectar-se ao servidor da IdM como provisionator:

    $ ssh provisionator@server.idm.example.com
    Password:
    [provisionator@server ~]$
  4. No servidor da IdM, obtenha o ticket de concessão de bilhetes Kerberos (TGT) para a conta do provisionador:

    [provisionador@servidor ~]$ parente provisionador
  5. Digite o comando ldapadd com a opção -f e o nome do arquivo LDIF. Especifique o nome do servidor IdM e o número da porta:

    ~]$ ldapadd -h server.idm.example.com -p 389 -f  add-stageidmuser.ldif
    SASL/GSSAPI authentication started
    SASL username: provisionator@IDM.EXAMPLE.COM
    SASL SSF: 256
    SASL data security layer installed.
    adding the entry "uid=stageidmuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com"

25.4. Adicionando um usuário da etapa IdM diretamente da CLI usando a ldapmodify

Esta seção descreve como um administrador de um sistema de provisionamento externo pode acessar o LDAP de Gerenciamento de Identidade (IdM) e usar o utilitário ldapmodify para adicionar um usuário em fase.

Pré-requisitos

  • O administrador da IdM criou a conta provisionator e uma senha para ela. Para detalhes, consulte Preparação de contas IdM para ativação automática das contas de usuários em estágio.
  • Você, como administrador externo, sabe a senha da conta provisionator.
  • Você pode SSH para o servidor IdM a partir de seu servidor LDAP.
  • Você é capaz de fornecer o conjunto mínimo de atributos que um usuário da etapa IdM deve ter para permitir o processamento correto do ciclo de vida do usuário, a saber

    • O distinguished name (dn)
    • O common name (cn)
    • O last name (sn)
    • O uid

Procedimento

  1. Use o protocolo SSH para conectar-se ao servidor IdM usando sua identidade e credenciais IdM:

    $ ssh provisionator@server.idm.example.com
    Password:
    [provisionator@server ~]$
  2. Obter o TGT da conta provisionator, um usuário IdM com um papel para adicionar novos usuários em palco:

    Provisor de parentesco
  3. Digite o comando ldapmodify e especifique Generic Security Services API (GSSAPI) como o mecanismo de Autenticação Simples e Camada de Segurança (SASL) a ser usado para autenticação. Especifique o nome do servidor IdM e a porta:

    # ldapmodify -h server.idm.example.com -p 389 -Y GSSAPI
    SASL/GSSAPI authentication started
    SASL username: provisionator@IDM.EXAMPLE.COM
    SASL SSF: 56
    SASL data security layer installed.
  4. Digite o dn do usuário que você está adicionando:

    dn: uid=usuário de palco,cn=usuário de palco,cn=contas,cn=provisionamento,dc=idm,dc=exemplo,dc=com
  5. Digite add como o tipo de mudança que você está realizando:

    tipo de mudança: adicionar
  6. Especificar as categorias de classe de objetos LDAP necessárias para permitir o processamento correto do ciclo de vida do usuário:

    objectClass: top
    objectClass: inetorgperson

    Você pode especificar classes de objetos adicionais.

  7. Entre no site uid do usuário:

    uid: usuário de palco
  8. Entre no site cn do usuário:

    cn: Babs Jensen
  9. Digite o sobrenome do usuário:

    sn: Jensen
  10. Pressione Enter novamente para confirmar que este é o fim da entrada:

    [Enter]
    
    adding new entry "uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com"
  11. Sair da conexão usando Ctrl C .

Etapas de verificação

Verifique o conteúdo da entrada de fase para ter certeza de que seu sistema de provisionamento adicionou todos os atributos POSIX necessários e que a entrada de fase está pronta para ser ativada.

  • Para exibir os novos atributos LDAP do usuário da etapa, digite o comando ipa stageuser-show --all --raw:

    $ ipa stageuser-show stageuser --all --raw
      dn: uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
      uid: stageuser
      sn: Jensen
      cn: Babs Jensen
      has_password: FALSE
      has_keytab: FALSE
      nsaccountlock: TRUE
      objectClass: top
      objectClass: inetorgperson
      objectClass: organizationalPerson
      objectClass: person
    1. Note que o usuário é explicitamente desabilitado pelo atributo nsaccountlock.

Capítulo 26. Usando ldapmodify para gerenciar usuários IdM externamente

Você pode modificar o Gerenciamento de Identidade (IdM) LDAP diretamente da interface de linha de comando (CLI) usando os utilitários ldapmodify e ldapdelete. Os utilitários oferecem total funcionalidade para adicionar, editar e excluir o conteúdo de seu diretório. Você pode usar estes utilitários para gerenciar tanto as entradas de configuração do servidor quanto os dados nas entradas do usuário. Os utilitários também podem ser usados para escrever scripts para realizar o gerenciamento em massa de um ou mais diretórios.

26.1. Modelos para gerenciar contas de usuários IdM externamente

Esta seção descreve os modelos para várias operações de gerenciamento de usuários na IdM. Os modelos mostram quais atributos você deve modificar usando ldapmodify para alcançar os seguintes objetivos:

  • Adicionando um novo usuário em fase
  • Modificação de um atributo do usuário
  • Habilitando um usuário
  • Desabilitando um usuário
  • Preservar um usuário

Os modelos são formatados no formato LDAP Data Interchange Format (LDIF). LDIF é um formato padrão de intercâmbio de dados em texto simples para representar o conteúdo do diretório LDAP e solicitações de atualização.

Usando os modelos, você pode configurar o fornecedor LDAP de seu sistema de provisionamento para gerenciar as contas de usuários IdM.

Para exemplos de procedimentos detalhados, veja as seções seguintes:

Modelos para adicionar um novo usuário de etapa

  • Um modelo para adicionar um usuário com UID and GID assigned automatically. O nome distinto (DN) da entrada criada deve começar com uid=user_login:

    dn: uid=user_login,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
    changetype: add
    objectClass: top
    objectClass: inetorgperson
    uid: user_login
    sn: surname
    givenName: first_name
    cn: full_name
  • Um modelo para adicionar um usuário com UID and GID assigned statically:

    dn: uid=user_login,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
    changetype: add
    objectClass: top
    objectClass: person
    objectClass: inetorgperson
    objectClass: organizationalperson
    objectClass: posixaccount
    uid: user_login
    uidNumber: UID_number
    gidNumber: GID_number
    sn: surname
    givenName: first_name
    cn: full_name
    homeDirectory: /home/user_login

    Você não é obrigado a especificar nenhuma classe de objeto IdM ao adicionar usuários de palco. IdM adiciona estas classes automaticamente depois que os usuários são ativados.

Modelos para modificação de usuários existentes

  • Modifying a user’s attribute:

    dn: distinguished_name
    changetype: modify
    replace: attribute_to_modify
    attribute_to_modify: new_value
  • Disabling a user:

    dn: distinguished_name
    changetype: modify
    replace: nsAccountLock
    nsAccountLock: TRUE
  • Enabling a user:

    dn: distinguished_name
    changetype: modify
    replace: nsAccountLock
    nsAccountLock: FALSE

    A atualização do atributo nssAccountLock não tem nenhum efeito sobre o palco e os usuários preservados. Mesmo que a operação de atualização seja concluída com sucesso, o valor do atributo permanece nssAccountLock: TRUE.

  • Preserving a user:

    dn: distinguished_name
    changetype: modrdn
    newrdn: uid=user_login
    deleteoldrdn: 0
    newsuperior: cn=deleted users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
Nota

Antes de modificar um usuário, obtenha o nome distinto do usuário (DN) através de uma busca usando o login do usuário. No exemplo a seguir, o usuário user_allowed_to_modify_user_entries é um usuário autorizado a modificar informações de usuário e grupo, por exemplo activator ou administrador da IdM. A senha no exemplo é a senha deste usuário:

[...]
# ldapsearch -LLL -x -D "uid=user_allowed_to_modify_user_entries,cn=users,cn=accounts,dc=idm,dc=example,dc=com" -w "Secret123" -H ldap://r8server.idm.example.com -b "cn=users,cn=accounts,dc=idm,dc=example,dc=com" uid=test_user
dn: uid=test_user,cn=users,cn=accounts,dc=idm,dc=example,dc=com
memberOf: cn=ipausers,cn=groups,cn=accounts,dc=idm,dc=example,dc=com

26.2. Modelos para gerenciar contas do grupo IdM externamente

Esta seção descreve os modelos para várias operações de gerenciamento de grupos de usuários na IdM. Os modelos mostram quais atributos devem ser modificados usando ldapmodify para alcançar os seguintes objetivos:

  • Criação de um novo grupo
  • Eliminação de um grupo existente
  • Acrescentar um membro a um grupo
  • Remoção de um membro de um grupo

Os modelos são formatados no formato LDAP Data Interchange Format (LDIF). LDIF é um formato padrão de intercâmbio de dados em texto simples para representar o conteúdo do diretório LDAP e solicitações de atualização.

Usando os modelos, você pode configurar o fornecedor LDAP de seu sistema de provisionamento para gerenciar as contas do grupo IdM.

Criação de um novo grupo

dn: cn=group_name,cn=groups,cn=accounts,dc=idm,dc=example,dc=com
changetype: add
objectClass: top
objectClass: ipaobject
objectClass: ipausergroup
objectClass: groupofnames
objectClass: nestedgroup
objectClass: posixgroup
uid: group_name
cn: group_name
gidNumber: GID_number

Modificação de grupos

  • Deleting an existing group:

    dn: group_distinguished_name
    changetype: delete
  • Adding a member to a group:

    dn: group_distinguished_name
    changetype: modify
    add: member
    member: uid=user_login,cn=users,cn=accounts,dc=idm,dc=example,dc=com

    Não acrescentar usuários de palco ou preservados a grupos. Mesmo que a operação de atualização seja concluída com sucesso, os usuários não serão atualizados como membros do grupo. Somente usuários ativos podem pertencer a grupos.

  • Removing a member from a group:

    dn: distinguished_name
    changetype: modify
    delete: member
    member: uid=user_login,cn=users,cn=accounts,dc=idm,dc=example,dc=com
Nota

Antes de modificar um grupo, obtenha o nome distinto do grupo (DN), pesquisando usando o nome do grupo.

# ldapsearch -YGSSAPI -H ldap://server.idm.example.com -b "cn=groups,cn=accounts,dc=idm,dc=example,dc=com" "cn=group_name"
dn: cn=group_name,cn=groups,cn=accounts,dc=idm,dc=example,dc=com
ipaNTSecurityIdentifier: S-1-5-21-1650388524-2605035987-2578146103-11017
cn: testgroup
objectClass: top
objectClass: groupofnames
objectClass: nestedgroup
objectClass: ipausergroup
objectClass: ipaobject
objectClass: posixgroup
objectClass: ipantgroupattrs
ipaUniqueID: 569bf864-9d45-11ea-bea3-525400f6f085
gidNumber: 1997010017

26.3. Preservar um usuário IdM com ldapmodify

Esta seção descreve como usar ldapmodify para preservar um usuário IdM; isto é, como desativar uma conta de usuário após o funcionário ter deixado a empresa.

Pré-requisitos

  • Você pode autenticar como um usuário IdM com um papel para preservar os usuários.

Procedimento

  1. Faça o login como um usuário IdM com um papel para preservar os usuários:

    $ parentes admin
  2. Insira o comando ldapmodify e especifique o API de Serviços Genéricos de Segurança (GSSAPI) como o mecanismo de Autenticação Simples e Camada de Segurança (SASL) a ser usado para autenticação:

    # ldapmodify -Y GSSAPI
    SASL/GSSAPI authentication started
    SASL username: admin@IDM.EXAMPLE.COM
    SASL SSF: 256
    SASL data security layer installed.
  3. Entre no site dn do usuário que você deseja preservar:

    dn: uid=user1,cn=users,cn=accounts,dc=idm,dc=example,dc=com
  4. Digite modrdn como o tipo de mudança que você deseja realizar:

    tipo de mudança: modrdn
  5. Especifique o newrdn para o usuário:

    newrdn: uid=usuário1
  6. Indicar que você deseja preservar o usuário:

    deleteoldrdn: 0
  7. Especifique o new superior DN:

    newsuperior: cn=usuários excluídos,cn=contas,cn=provisionamento,dc=idm,dc=exemplo,dc=com

    A preservação de um usuário move a entrada para um novo local na árvore de informações do diretório (DIT). Por este motivo, deve-se especificar o DN da nova entrada pai como o novo DN superior.

  8. Pressione Enter novamente para confirmar que este é o fim da entrada:

    [Enter]
    
    modifying rdn of entry "uid=user1,cn=users,cn=accounts,dc=idm,dc=example,dc=com"
  9. Sair da conexão usando Ctrl C .

Etapas de verificação

  • Verifique se o usuário foi preservado, listando todos os usuários preservados:

    $ ipa user-find --preserved=true
    --------------
    1 user matched
    --------------
      User login: user1
      First name: First 1
      Last name: Last 1
      Home directory: /home/user1
      Login shell: /bin/sh
      Principal name: user1@IDM.EXAMPLE.COM
      Principal alias: user1@IDM.EXAMPLE.COM
      Email address: user1@idm.example.com
      UID: 1997010003
      GID: 1997010003
      Account disabled: True
      Preserved user: True
    ----------------------------
    Number of entries returned 1
    ----------------------------

Capítulo 27. Administração de Anfitriões na IdM CLI

Este capítulo apresenta as entradas de anfitriões e anfitriões no Gerenciamento de Identidade (IdM), e as seguintes operações realizadas ao gerenciar as entradas de anfitriões e anfitriões no IdM CLI:

O capítulo também contém uma tabela geral dos pré-requisitos, do contexto e das conseqüências dessas operações.

27.1. Anfitriões na IdM

A Gestão de Identidade (IdM) gerencia estas identidades:

  • Usuários
  • Serviços
  • Anfitriões

Um anfitrião representa uma máquina. Como uma identidade IdM, um host tem uma entrada no IdM LDAP, ou seja, a instância 389 Directory Server do servidor IdM.

A entrada do host no IdM LDAP é usada para estabelecer relações entre outros hosts e até mesmo serviços dentro do domínio. Estas relações fazem parte da autorização e controle do delegating para hosts dentro do domínio. Qualquer host pode ser usado nas regras do host-based access control (HBAC).

O domínio IdM estabelece uma uniformidade entre as máquinas, com informações de identidade comuns, políticas comuns e serviços compartilhados. Qualquer máquina que pertença a um domínio funciona como cliente do domínio, o que significa que utiliza os serviços que o domínio oferece. O domínio IdM fornece três serviços principais especificamente para máquinas:

  • DNS
  • Kerberos
  • Gestão de certificados

Os anfitriões na IdM estão intimamente ligados com os serviços que funcionam neles:

  • As entradas de serviço estão associadas a um anfitrião.
  • Um anfitrião armazena tanto o anfitrião quanto os diretores de serviço Kerberos.

27.2. Inscrição de anfitriões

Esta seção descreve a inscrição de anfitriões como clientes da IdM e o que acontece durante e após a inscrição. A seção compara a matrícula de hospedeiros IdM e usuários IdM. A seção também descreve os tipos alternativos de autenticação disponíveis para os anfitriões.

A inscrição de um anfitrião consiste em:

  • Criação de uma entrada hospedeira no IdM LDAP: possivelmente usando o comandoipa host-add no IdM CLI, ou a operação equivalente do IdM Web UI.
  • Configurando os serviços IdM no host, por exemplo o System Security Services Daemon (SSSD), Kerberos, e certmonger, e unindo o host ao domínio IdM.

As duas ações podem ser realizadas separadamente ou em conjunto.

Se realizadas separadamente, elas permitem dividir as duas tarefas entre dois usuários com diferentes níveis de privilégio. Isto é útil para implantações em massa.

O comando ipa-client-install pode realizar as duas ações em conjunto. O comando cria uma entrada hospedeira no IdM LDAP se essa entrada ainda não existir, e configura tanto os serviços Kerberos como SSSD para o hospedeiro. O comando traz o host dentro do domínio IdM e permite que ele identifique o servidor IdM com o qual ele se conectará. Se o host pertence a uma zona DNS gerenciada pela IdM, ipa-client-install adiciona registros DNS para o host também. O comando deve ser executado no cliente.

27.2.1. Privilégios de usuário necessários para a inscrição no host

A operação de inscrição no host requer autenticação para evitar que um usuário sem privilégios acrescente máquinas indesejadas ao domínio IdM. Os privilégios requeridos dependem de vários fatores, por exemplo:

  • Se uma entrada de anfitrião for criada separadamente da execução ipa-client-install
  • Se uma senha única (OTP) for usada para a inscrição
Privilégios do usuário para, opcionalmente, criar manualmente uma entrada de host no IdM LDAP

O privilégio do usuário necessário para criar uma entrada no IdM LDAP usando o comando ipa host-add CLI ou o IdM Web UI é Host Administrators. O privilégio Host Administrators pode ser obtido através da função IT Specialist.

Privilégios do usuário para unir o cliente ao domínio IdM

Os anfitriões são configurados como clientes IdM durante a execução do comando ipa-client-install. O nível de credenciais necessárias para executar o comando ipa-client-install depende de qual dos seguintes cenários de cadastro você se encontra:

  • A entrada anfitriã no IdM LDAP não existe. Para este cenário, você precisa de uma credencial completa de administrador ou do papel Host Administrators. Um administrador pleno é um membro do grupo admins. A função Host Administrators fornece privilégios para adicionar anfitriões e cadastrar anfitriões. Para detalhes sobre este cenário, consulte Instalação de um cliente usando credenciais de usuário: instalação interativa.
  • A entrada anfitriã no IdM LDAP existe. Para este cenário, você precisa de uma credencial limitada de administrador para executar com sucesso o ipa-client-install. O administrador limitado neste caso tem o papel de Enrollment Administrator, que fornece o privilégio de Host Enrollment. Para detalhes, consulte Instalação de um cliente usando credenciais de usuário: instalação interativa.
  • A entrada do hospedeiro no IdM LDAP existe, e um OTP foi gerado para o hospedeiro por um administrador completo ou limitado. Para este cenário, você pode instalar um cliente IdM como um usuário comum se executar o comando ipa-client-install com a opção --password, fornecendo o OTP correto. Para detalhes, consulte Instalação de um cliente usando uma senha única: Instalação interativa.

Após a inscrição, os anfitriões da IdM autenticam cada nova sessão para poder acessar os recursos da IdM. A autenticação da máquina é necessária para que o servidor IdM confie na máquina e aceite conexões IdM do software cliente instalado naquela máquina. Após autenticar o cliente, o servidor IdM pode responder a suas solicitações.

27.2.2. Inscrição e autenticação de hosts e usuários IdM: comparação

Há muitas semelhanças entre usuários e anfitriões na IdM. Esta seção descreve algumas das semelhanças que podem ser observadas durante a fase de inscrição, bem como aquelas que dizem respeito à autenticação durante a fase de implantação.

  • A etapa de cadastramento (Tabela 27.1, “Inscrição de usuários e anfitriões”):

    • Um administrador pode criar uma entrada LDAP tanto para um usuário quanto para um host antes de o usuário ou host realmente entrar no IdM: para o usuário em estágio, o comando é ipa stageuser-add; para o host, o comando é ipa host-add.
    • Um arquivo contendo um key table ou, abreviado, keytab, uma chave simétrica parecida em certa medida com uma senha de usuário, é criado durante a execução do comando ipa-client-install no host, resultando na adesão do host ao reino do IdM. Analogicamente, o usuário é solicitado a criar uma senha ao ativar sua conta, juntando-se assim ao domínio do IdM.
    • Enquanto a senha do usuário é o método padrão de autenticação para um usuário, a guia de chave é o método padrão de autenticação para um host. A tabela de chaves é armazenada em um arquivo no host.

    Tabela 27.1. Inscrição de usuários e anfitriões

    AçãoUsuárioAnfitrião

    Pré-inscrição

    $ ipa stageuser-add user_name [--password]

    $ ipa host-add host_name [--random]

    Ativação da conta

    $ ipa stageuser-activate user_name

    US$ ipa-client install [--password] (deve ser executado no próprio anfitrião)

  • A etapa de implantação (Tabela 27.2, “Autenticação do usuário e do anfitrião da sessão”):

    • Quando um usuário inicia uma nova sessão, o usuário se autentica usando uma senha; da mesma forma, toda vez que é ligado, o host se autentica apresentando seu arquivo keytab. O System Security Services Daemon (SSSD) gerencia este processo em segundo plano.
    • Se a autenticação for bem sucedida, o usuário ou anfitrião obtém um bilhete Kerberos de concessão de bilhete (TGT).
    • O TGT é então utilizado para a obtenção de bilhetes específicos para serviços específicos.

    Tabela 27.2. Autenticação do usuário e do anfitrião da sessão

     UsuárioAnfitrião

    Meios padrão de autenticação

    Password

    Keytabs

    Início de uma sessão (usuário comum)

    $ kinit user_name

    [switch on the host]

    O resultado de uma autenticação bem sucedida

    TGT a ser utilizado para obter acesso a serviços específicos

    TGT a ser utilizado para obter acesso a serviços específicos

Os TGTs e outros bilhetes Kerberos são gerados como parte dos serviços e políticas Kerberos definidos pelo servidor. A concessão inicial de um bilhete Kerberos, a renovação das credenciais Kerberos e até mesmo a destruição da sessão Kerberos são todos tratados automaticamente pelos serviços da IdM.

27.2.3. Opções alternativas de autenticação para hosts IdM

Além das fichas-chave, a IdM suporta dois outros tipos de autenticação de máquinas:

  • Chaves SSH. A chave pública SSH para o host é criada e carregada para a entrada do host. A partir daí, o System Security Services Daemon (SSSD) usa IdM como um provedor de identidade e pode trabalhar em conjunto com OpenSSH e outros serviços para referenciar as chaves públicas localizadas centralmente no IdM.
  • Certificados de máquinas. Neste caso, a máquina usa um certificado SSL que é emitido pela autoridade certificadora do servidor da IdM e depois armazenado no Servidor de Diretório da IdM. O certificado é então enviado à máquina para apresentar quando ela se autentica ao servidor. No cliente, os certificados são gerenciados por um serviço chamado certmonger.

27.3. Operações de hospedagem

Esta seção lista as operações mais comuns relacionadas à inscrição e habilitação do hospedeiro, e explica os pré-requisitos, o contexto e as conseqüências da sua realização.

Tabela 27.3. Operações de hospedagem parte 1

AçãoQuais são os pré-requisitos para a ação?Quando faz sentido executar o comando?Como a ação é executada por um administrador de sistemas? Que comando(s) é(são) executado(s)?

Enrolling a client

ver Preparando o sistema para a instalação do cliente de Gerenciamento de Identidade em Installing_Identity_Management

Quando você quiser que o anfitrião se junte ao reino da IdM.

A inscrição de máquinas como clientes no domínio da IdM é um processo em duas partes. Uma entrada de host é criada para o cliente (e armazenada na instância 389 Directory Server) quando o comando ipa host-add é executado, e então é criada uma tabela de chaves para provisionar o cliente. Ambas as partes são executadas automaticamente pelo comando ipa-client-install. Também é possível executar estas etapas separadamente; isto permite aos administradores preparar as máquinas e a IdM antes de realmente configurar os clientes. Isto permite cenários de configuração mais flexíveis, incluindo implantações em massa.

Disabling a client

O anfitrião deve ter uma entrada na IdM. O anfitrião precisa ter um keytab ativo.

Quando você quiser remover temporariamente o hospedeiro do domínio da IdM, talvez para fins de manutenção.

ipa host-disable host_name

Enabling a client

O anfitrião deve ter uma entrada na IdM.

Quando você quiser que o anfitrião temporariamente incapacitado torne-se ativo novamente.

ipa-getkeytab

Re-enrolling a client

O anfitrião deve ter entrado na IdM.

Quando o anfitrião original se perdeu, mas você instalou um anfitrião com o mesmo nome de anfitrião.

ipa-client-install --keytab ou ipa-client-install --force-join

Un-enrolling a client

O anfitrião deve ter uma entrada na IdM.

Quando você quiser remover o anfitrião do reino da IdM permanentemente.

ipa-client-install --uninstall

Tabela 27.4. Operações de hospedagem parte 2

AçãoEm qual máquina o administrador pode executar o(s) comando(s)?O que acontece quando a ação é executada? Quais são as conseqüências para o funcionamento do hospedeiro na IdM? Quais limitações são introduzidas/removidas?

Enrolling a client

No caso de uma inscrição em duas etapas: ipa host-add pode ser executado em qualquer cliente IdM; a segunda etapa de ipa-client-install deve ser executada no próprio cliente

Por padrão, isto configura o SSSD para conexão a um servidor IdM para autenticação e autorização. Opcionalmente, pode-se configurar o Módulo de Autenticação Plugável (PAM) e o Serviço de Comutação de Nomes (NSS) para trabalhar com um servidor IdM sobre Kerberos e LDAP.

Disabling a client

Qualquer máquina na IdM, mesmo o próprio host

A chave Kerberos e o certificado SSL do host são invalidados, e todos os serviços executados no host são desativados.

Enabling a client

Qualquer máquina na IdM. Se rodar no host com deficiência, as credenciais LDAP precisam ser fornecidas.

A chave Kerberos do host e o certificado SSL são validados novamente, e todos os serviços IdM rodando no host são reativados.

Re-enrolling a client

O anfitrião a ser reconduzido. As credenciais LDAP precisam ser fornecidas.

Uma nova chave Kerberos é gerada para o anfitrião, substituindo a anterior.

Un-enrolling a client

O anfitrião a ser desenrolado.

O comando desfigura o IdM e tenta devolver a máquina ao seu estado anterior. Parte deste processo é desenrolar o host a partir do servidor IdM. A desinscrição consiste em desabilitar a chave principal no servidor IdM. A chave principal da máquina em /etc/krb5.keytab (host/<fqdn>@REALM) é usada para autenticar no servidor de IdM para se desenrolar. Se este principal não existir, a desinscrição falhará e um administrador precisará desabilitar o principal do host (ipa host-disable <fqdn>).

27.4. Entrada de anfitrião em IdM LDAP

Esta seção descreve como é uma entrada anfitriã em Gerenciamento de Identidade (IdM) e quais atributos ela pode conter.

Uma entrada de anfitrião LDAP contém todas as informações relevantes sobre o cliente dentro da IdM:

  • Entradas de serviço associadas com o anfitrião
  • O anfitrião e diretor de serviços
  • Regras de controle de acesso
  • Informações da máquina, tais como sua localização física e sistema operacional
Nota

Note que a guia IdM Web UI IdentityHosts não mostra todas as informações sobre um determinado host armazenado no IdM LDAP.

27.4.1. Propriedades de configuração de entrada do host

Uma entrada de host pode conter informações sobre o host que está fora de sua configuração de sistema, tais como sua localização física, endereço MAC, chaves e certificados.

Esta informação pode ser definida quando a entrada do host é criada, se for criada manualmente. Alternativamente, a maior parte destas informações pode ser adicionada à entrada do host depois que o host é registrado no domínio.

Tabela 27.5. Propriedades de configuração do host

Campo UIOpção de Linha de ComandoDescrição

Descrição

--desc=description

Uma descrição do anfitrião.

Localidade

--locality=locality

A localização geográfica do anfitrião.

Localização

--location=location

A localização física do host, tal como seu rack do centro de dados.

Plataforma

--platform=string

O hardware ou arquitetura do host.

Sistema operacional

--os=string

O sistema operacional e a versão para o host.

Endereço MAC

--macaddress=address

O endereço MAC para o anfitrião. Este é um atributo multivalorizado. O endereço MAC é usado pelo plug-in NIS para criar um mapa NIS ethers para o host.

Chaves públicas SSH

--sshpubkey=string

A chave pública SSH completa para o anfitrião. Este é um atributo multivalorizado, portanto, várias chaves podem ser definidas.

Nome principal (não editável)

--principalname=principal

O nome principal de Kerberos para o anfitrião. Este padrão é o nome principal do host durante a instalação do cliente, a menos que um nome principal diferente seja explicitamente definido no site -p. Isto pode ser alterado usando as ferramentas de linha de comando, mas não pode ser alterado na interface de usuário.

Definir senha única

--password=string

Esta opção define uma senha para o anfitrião que pode ser usada na inscrição em massa.

-

--random

Esta opção gera uma senha aleatória para ser usada na inscrição em massa.

-

--certificate=string

Uma bolha de certificado para o anfitrião.

-

--updatedns

Isto define se o host pode atualizar dinamicamente suas entradas DNS se seu endereço IP mudar.

27.5. Adicionando entradas do host IdM da IdM CLI

Esta seção descreve como adicionar entradas de host no Gerenciamento de Identidade (IdM) usando a interface de linha de comando (CLI).

As entradas do host são criadas usando o comando host-add. Este comando adiciona a entrada do host ao Servidor de Diretório IdM. Consulte o manpage ipa host digitando ipa help host em seu CLI para obter a lista completa de opções disponíveis com host-add.

Há alguns cenários diferentes quando se adiciona um anfitrião à IdM:

  • Em sua forma mais básica, especifique apenas o nome do host cliente para adicionar o cliente ao reino Kerberos e para criar uma entrada no servidor LDAP da IdM:

    $ ipa host-add client1.example.com
  • Se o servidor IdM estiver configurado para gerenciar o DNS, adicione o host aos registros de recursos DNS usando a opção --ip-address.

    Exemplo 27.1. Criação de entradas de host com endereços IP estáticos

    $ ipa host-add --ip-address=192.168.166.31 client1.example.com
  • Se o host a ser adicionado não tiver um endereço IP estático ou se o endereço IP não for conhecido no momento em que o cliente for configurado, use a opção --force com o comando ipa host-add.

    Exemplo 27.2. Criação de entradas de hospedagem com DHCP

    $ ipa host-add --force client1.example.com

    Por exemplo, os laptops podem ser pré-configurados como clientes IdM, mas eles não têm endereços IP no momento em que são configurados. O uso de --force cria essencialmente uma entrada de espaço no serviço DNS da IdM. Quando o serviço DNS atualiza dinamicamente seus registros, o endereço IP atual do host é detectado e seu registro DNS é atualizado.

27.6. Eliminação de entradas do anfitrião do IdM CLI

  • Use o comando host-del para excluir registros do host. Se seu domínio IdM tem DNS integrado, use a opção --updatedns para remover do DNS os registros associados de qualquer tipo para o host:

    $ ipa host-del --updatedns client1.example.com

27.7. Recrutamento de um cliente de Gerenciamento de Identidade

27.7.1. Recrutamento de clientes na IdM

Esta seção descreve como re-inscrever um cliente de Gerenciamento de Identidade (IdM).

Se uma máquina cliente foi destruída e perdeu a conexão com os servidores da IdM, por exemplo, devido a falha de hardware do cliente, e ainda tem sua chave de acesso, você pode re-inscrever o cliente. Neste cenário, você quer colocar o cliente de volta no ambiente IdM com o mesmo hostname.

Durante a reinscrição, o cliente gera uma nova chave Kerberos e chaves SSH, mas a identidade do cliente no banco de dados LDAP permanece inalterada. Após a reinscrição, o host tem suas chaves e outras informações no mesmo objeto LDAP com o mesmo FQDN como anteriormente, antes da perda da conexão da máquina com os servidores IdM.

Importante

Você só pode re-inscrever clientes cuja entrada de domínio ainda esteja ativa. Se você desinstalou um cliente (usando ipa-client-install --uninstall) ou desabilitou sua entrada no host (usando ipa host-disable), você não pode re-inscrevê-lo.

Não é possível matricular novamente um cliente depois de renomeá-lo. Isto porque na Gestão de Identidade, o atributo chave da entrada do cliente no LDAP é o nome de anfitrião do cliente, seu FQDN. Ao contrário de reinscrever um cliente, durante o qual o objeto LDAP do cliente permanece inalterado, o resultado da renomeação de um cliente é que o cliente tem suas chaves e outras informações em um objeto LDAP diferente com um novo FQDN. Assim, a única maneira de renomear um cliente é desinstalar o host da IdM, mudar o nome do host e instalá-lo como um cliente IdM com um novo nome. Para detalhes sobre como renomear um cliente, veja Seção 27.8, “Renomeação de sistemas de gerenciamento de identidade de clientes”.

27.7.1.1. O que acontece durante a re-inscrição do cliente

Durante a re-inscrição, Gerenciamento de Identidade:

  • Revoga o certificado original do anfitrião
  • Cria novas chaves SSH
  • Gera um novo keytab

27.7.2. Recrutamento de um cliente através de credenciais de usuário: Re-inscrição interativa

Este procedimento descreve a reinscrição interativa de um cliente de Gerenciamento de Identidade, utilizando as credenciais de um usuário autorizado.

  1. Re-criar a máquina do cliente com o mesmo nome de host.
  2. Execute o comando ipa-client-install --force-join na máquina do cliente:

    # ipa-client-install --force-join
  3. O roteiro solicita um usuário cuja identidade será usada para re-inscrever o cliente. Este poderia ser, por exemplo, um usuário hostadmin com a função de Administrador de Inscrição:

    User authorized to enroll computers: hostadmin
    Password for hostadmin@EXAMPLE.COM:

Recursos adicionais

27.7.3. Recrutamento de um cliente usando a tecla client keytab: Recrutamento não-interativo

Pré-requisitos

  • Faça backup do arquivo keytab original do cliente, por exemplo, no diretório /tmp ou /root.

Procedimento

Este procedimento descreve a reinscrição de um cliente de Gerenciamento de Identidade (IdM) não-interativamente usando o keytab do sistema do cliente. Por exemplo, a reinscrição usando o keytab do cliente é apropriada para uma instalação automatizada.

  1. Re-criar a máquina do cliente com o mesmo nome de host.
  2. Copie o arquivo keytab do local de backup para o diretório /etc/ na máquina do cliente recriada.
  3. Use o utilitário ipa-client-install para reinscrever o cliente, e especifique a localização da tabela de chaves com a opção --keytab:

    # ipa-client-install --keytab /etc/krb5.keytab
    Nota

    A tabela de chaves especificada na opção --keytab é usada somente quando se autentica para iniciar a inscrição. Durante o recadastramento, a IdM gera uma nova tabela de chaves para o cliente.

27.7.4. Teste de um cliente de Gerenciamento de Identidade após a instalação

A Interface da Linha de Comando informa que a ipa-client-install foi bem sucedida, mas você também pode fazer seu próprio teste.

Para testar se o cliente de Gerenciamento de Identidade pode obter informações sobre os usuários definidos no servidor, verifique se você é capaz de resolver um usuário definido no servidor. Por exemplo, para verificar o usuário padrão admin:

[user@client1 ~]$ id admin
uid=1254400000(admin) gid=1254400000(admins) groups=1254400000(admins)

Para testar se a autenticação funciona corretamente, su - como outro usuário da IdM:

[user@client1 ~]$ su - idm_user
Last login: Thu Oct 18 18:39:11 CEST 2018 from 192.168.122.1 on pts/0
[idm_user@client1 ~]$

27.8. Renomeação de sistemas de gerenciamento de identidade de clientes

As seções seguintes descrevem como mudar o nome do host de um sistema cliente de Gerenciamento de Identidade.

Atenção

A renomeação de um cliente é um procedimento manual. Não o realize a menos que seja absolutamente necessária a mudança do nome do anfitrião.

Renomear um cliente de Gerenciamento de Identidade envolve:

  1. Preparando o anfitrião. Para detalhes, veja Seção 27.8.1, “Pré-requisitos”
  2. Desinstalando o cliente IdM do anfitrião. Para detalhes, veja Seção 27.8.2, “Desinstalando um cliente de Gerenciamento de Identidade”
  3. Renomeando o anfitrião. Para detalhes, veja Seção 27.8.3, “Renomeando o sistema hospedeiro”
  4. Instalando o cliente IdM no host com o novo nome. Para detalhes, veja Seção 27.8.4, “Re-instalação de um cliente de Gerenciamento de Identidade”
  5. Configuração do host após a instalação do cliente IdM. Para detalhes, veja Seção 27.8.5, “Serviços de readmissão, re-geração de certificados, e readmissão de grupos anfitriões”

27.8.1. Pré-requisitos

Antes de desinstalar o cliente atual, tome nota de certas configurações para o cliente. Esta configuração será aplicada após a reinscrição da máquina com um novo nome de host.

  • Identificar quais serviços estão funcionando na máquina:

    • Use o comando ipa service-find, e identifique os serviços com certificados na saída:

      $ ipa service-find old-client-name.example.com
    • Além disso, cada host tem um padrão host service que não aparece na saída do ipa service-find. O principal serviço para o serviço de hospedagem, também chamado host principal, é host/old-client-name.example.com.
  • Para todos os principais serviços exibidos por ipa service-find old-client-name.example.comdeterminar a localização das fichas-chave correspondentes no old-client-name.example.com sistema:

    # find / -name "*.keytab"

    Cada serviço no sistema do cliente tem um Kerberos principal no formulário service_name/host_name@REALM, como por exemplo ldap/old-client-name.example.com@EXAMPLE.COM.

  • Identificar todos os grupos anfitriões aos quais a máquina pertence.

    # ipa hostgroup-find old-client-name.example.com

27.8.2. Desinstalando um cliente de Gerenciamento de Identidade

A desinstalação de um cliente remove o cliente do domínio de Gerenciamento de Identidade, juntamente com toda a configuração específica de Gerenciamento de Identidade de serviços de sistema, tais como System Security Services Daemon (SSSD). Isto restaura a configuração anterior do sistema do cliente.

Procedimento

  1. Execute o comando ipa-client-install --uninstall:

    [root@client]# ipa-client-install --uninstall
  2. Remover manualmente do servidor as entradas DNS para o host cliente:

    [root@server]# ipa dnsrecord-del
    Record name: old-client-client
    Zone name: idm.example.com
    No option to delete specific record provided.
    Delete all? Yes/No (default No): yes
    ------------------------
    Deleted record "old-client-name"
  3. Para cada chaveta identificada que não seja /etc/krb5.keytab, remova os antigos diretores:

    [root@client ~]# ipa-rmkeytab -k /path/to/keytab -r EXAMPLE.COM
  4. Em um servidor IdM, remova a entrada do host. Isto remove todos os serviços e revoga todos os certificados emitidos para aquele host:

    [root@server ~]# ipa host-del client.example.com

27.8.3. Renomeando o sistema hospedeiro

Renomear a máquina conforme necessário. Por exemplo:

[root@client]# hostnamectl set-hostname new-client-name.example.com

Agora você pode reinstalar o cliente de Gerenciamento de Identidade para o domínio de Gerenciamento de Identidade com o novo nome do host.

27.8.4. Re-instalação de um cliente de Gerenciamento de Identidade

Instale um cliente em seu host renomeado seguindo o procedimento descrito em Instalação de um cliente de Gerenciamento de Identidade: Cenário básico em Installing Identity Management.

27.8.5. Serviços de readmissão, re-geração de certificados, e readmissão de grupos anfitriões

  1. No servidor de Gerenciamento de Identidade (IdM), adicionar um novo keytab para cada serviço identificado em Seção 27.8.1, “Pré-requisitos”.

    [root@server ~]# ipa service-add service_name/new-client-name
  2. Gerar certificados para serviços que tiveram um certificado atribuído em Seção 27.8.1, “Pré-requisitos”. Você pode fazer isso:

    • Usando as ferramentas de administração da IdM
    • Usando a utilidade certmonger
  3. Rele Relembrar o cliente aos grupos anfitriões identificados em Seção 27.8.1, “Pré-requisitos”.

27.9. Desativação e reativação de entradas de hospedagem

Esta seção descreve como desativar e reativar hospedeiros no Gerenciamento de Identidade (IdM).

27.9.1. Anfitriões incapacitantes

Complete este procedimento para desativar uma entrada de anfitrião na IdM.

Serviços de domínio, hosts e usuários podem acessar um host ativo. Pode haver situações em que é necessário remover temporariamente um host ativo, por razões de manutenção, por exemplo. A exclusão do host em tais situações não é desejada, pois remove a entrada do host e toda a configuração associada permanentemente. Ao invés disso, escolha a opção de desativar o host.

A desativação de um host impede que os usuários do domínio tenham acesso a ele sem removê-lo permanentemente do domínio. Isto pode ser feito usando o comando host-disable. A desativação de um host mata as chaves ativas e atuais do host.

Por exemplo:

$ kinit admin
$ ipa host-disable client.example.com

Como resultado da desativação de um host, o host fica indisponível para todos os usuários, hosts e serviços da IdM.

Importante

Desabilitar a entrada de um host não só desabilita esse host. Ele também desabilita todos os serviços configurados nesse host.

27.9.2. Hóspedes de reativação

Esta seção descreve como reativar um host IdM deficiente.

A desativação de um host matou suas fichas-chave ativas, que removeram o host do domínio IdM sem tocar de outra forma em sua entrada de configuração.

Para reativar um host, use o comando ipa-getkeytab, adicionando:

  • a opção -s para especificar a qual servidor IdM solicitar o keytab de
  • a opção -p para especificar o nome principal
  • a opção -k para especificar o arquivo para o qual salvar a tabela de chaves.

Por exemplo, para solicitar uma nova keytab do host server.example.com para client.example.com, e armazenar a keytab no arquivo /etc/krb5.keytab:

$  ipa-getkeytab -s server.example.com -p host/client.example.com -k /etc/krb5.keytab -D "cn=directory manager" -w password
Nota

Você também pode usar as credenciais do administrador, especificando -D "uid=admin,cn=users,cn=accounts,dc=example,dc=com". É importante que as credenciais correspondam a um usuário autorizado a criar o keytab para o host.

Se o comando ipa-getkeytab for executado em um cliente ou servidor IdM ativo, então ele pode ser executado sem nenhuma credencial LDAP (-D e -w) se o usuário tiver um TGT obtido usando, por exemplo, kinit admin. Para executar o comando diretamente no host desativado, forneça credenciais LDAP para autenticar no servidor IdM.

Capítulo 28. Adicionando entradas de host da IdM Web UI

Este capítulo apresenta os anfitriões no Gerenciamento de Identidade (IdM) e a operação de adicionar uma entrada de anfitrião na interface web do IdM.

28.1. Anfitriões na IdM

A Gestão de Identidade (IdM) gerencia estas identidades:

  • Usuários
  • Serviços
  • Anfitriões

Um anfitrião representa uma máquina. Como uma identidade IdM, um host tem uma entrada no IdM LDAP, ou seja, a instância 389 Directory Server do servidor IdM.

A entrada do host no IdM LDAP é usada para estabelecer relações entre outros hosts e até mesmo serviços dentro do domínio. Estas relações fazem parte da autorização e controle do delegating para hosts dentro do domínio. Qualquer host pode ser usado nas regras do host-based access control (HBAC).

O domínio IdM estabelece uma uniformidade entre as máquinas, com informações de identidade comuns, políticas comuns e serviços compartilhados. Qualquer máquina que pertença a um domínio funciona como cliente do domínio, o que significa que utiliza os serviços que o domínio oferece. O domínio IdM fornece três serviços principais especificamente para máquinas:

  • DNS
  • Kerberos
  • Gestão de certificados

Os anfitriões na IdM estão intimamente ligados com os serviços que funcionam neles:

  • As entradas de serviço estão associadas a um anfitrião.
  • Um anfitrião armazena tanto o anfitrião quanto os diretores de serviço Kerberos.

28.2. Inscrição de anfitriões

Esta seção descreve a inscrição de anfitriões como clientes da IdM e o que acontece durante e após a inscrição. A seção compara a matrícula de hospedeiros IdM e usuários IdM. A seção também descreve os tipos alternativos de autenticação disponíveis para os anfitriões.

A inscrição de um anfitrião consiste em:

  • Criação de uma entrada hospedeira no IdM LDAP: possivelmente usando o comandoipa host-add no IdM CLI, ou a operação equivalente do IdM Web UI.
  • Configurando os serviços IdM no host, por exemplo o System Security Services Daemon (SSSD), Kerberos, e certmonger, e unindo o host ao domínio IdM.

As duas ações podem ser realizadas separadamente ou em conjunto.

Se realizadas separadamente, elas permitem dividir as duas tarefas entre dois usuários com diferentes níveis de privilégio. Isto é útil para implantações em massa.

O comando ipa-client-install pode realizar as duas ações em conjunto. O comando cria uma entrada hospedeira no IdM LDAP se essa entrada ainda não existir, e configura tanto os serviços Kerberos como SSSD para o hospedeiro. O comando traz o host dentro do domínio IdM e permite que ele identifique o servidor IdM com o qual ele se conectará. Se o host pertence a uma zona DNS gerenciada pela IdM, ipa-client-install adiciona registros DNS para o host também. O comando deve ser executado no cliente.

28.2.1. Privilégios de usuário necessários para a inscrição no host

A operação de inscrição no host requer autenticação para evitar que um usuário sem privilégios acrescente máquinas indesejadas ao domínio IdM. Os privilégios requeridos dependem de vários fatores, por exemplo:

  • Se uma entrada de anfitrião for criada separadamente da execução ipa-client-install
  • Se uma senha única (OTP) for usada para a inscrição
Privilégios do usuário para, opcionalmente, criar manualmente uma entrada de host no IdM LDAP

O privilégio do usuário necessário para criar uma entrada no IdM LDAP usando o comando ipa host-add CLI ou o IdM Web UI é Host Administrators. O privilégio Host Administrators pode ser obtido através da função IT Specialist.

Privilégios do usuário para unir o cliente ao domínio IdM

Os anfitriões são configurados como clientes IdM durante a execução do comando ipa-client-install. O nível de credenciais necessárias para executar o comando ipa-client-install depende de qual dos seguintes cenários de cadastro você se encontra:

  • A entrada anfitriã no IdM LDAP não existe. Para este cenário, você precisa de uma credencial completa de administrador ou do papel Host Administrators. Um administrador pleno é um membro do grupo admins. A função Host Administrators fornece privilégios para adicionar anfitriões e cadastrar anfitriões. Para detalhes sobre este cenário, consulte Instalação de um cliente usando credenciais de usuário: instalação interativa.
  • A entrada anfitriã no IdM LDAP existe. Para este cenário, você precisa de uma credencial limitada de administrador para executar com sucesso o ipa-client-install. O administrador limitado neste caso tem o papel de Enrollment Administrator, que fornece o privilégio de Host Enrollment. Para detalhes, consulte Instalação de um cliente usando credenciais de usuário: instalação interativa.
  • A entrada do hospedeiro no IdM LDAP existe, e um OTP foi gerado para o hospedeiro por um administrador completo ou limitado. Para este cenário, você pode instalar um cliente IdM como um usuário comum se executar o comando ipa-client-install com a opção --password, fornecendo o OTP correto. Para detalhes, consulte Instalação de um cliente usando uma senha única: Instalação interativa.

Após a inscrição, os anfitriões da IdM autenticam cada nova sessão para poder acessar os recursos da IdM. A autenticação da máquina é necessária para que o servidor IdM confie na máquina e aceite conexões IdM do software cliente instalado naquela máquina. Após autenticar o cliente, o servidor IdM pode responder a suas solicitações.

28.2.2. Inscrição e autenticação de hosts e usuários IdM: comparação

Há muitas semelhanças entre usuários e anfitriões na IdM. Esta seção descreve algumas das semelhanças que podem ser observadas durante a fase de inscrição, bem como aquelas que dizem respeito à autenticação durante a fase de implantação.

  • A etapa de cadastramento (Tabela 28.1, “Inscrição de usuários e anfitriões”):

    • Um administrador pode criar uma entrada LDAP tanto para um usuário quanto para um host antes de o usuário ou host realmente entrar no IdM: para o usuário em estágio, o comando é ipa stageuser-add; para o host, o comando é ipa host-add.
    • Um arquivo contendo um key table ou, abreviado, keytab, uma chave simétrica parecida em certa medida com uma senha de usuário, é criado durante a execução do comando ipa-client-install no host, resultando na adesão do host ao reino do IdM. Analogicamente, o usuário é solicitado a criar uma senha ao ativar sua conta, juntando-se assim ao domínio do IdM.
    • Enquanto a senha do usuário é o método padrão de autenticação para um usuário, a guia de chave é o método padrão de autenticação para um host. A tabela de chaves é armazenada em um arquivo no host.

    Tabela 28.1. Inscrição de usuários e anfitriões

    AçãoUsuárioAnfitrião

    Pré-inscrição

    $ ipa stageuser-add user_name [--password]

    $ ipa host-add host_name [--random]

    Ativação da conta

    $ ipa stageuser-activate user_name

    US$ ipa-client install [--password] (deve ser executado no próprio anfitrião)

  • A etapa de implantação (Tabela 28.2, “Autenticação do usuário e do anfitrião da sessão”):

    • Quando um usuário inicia uma nova sessão, o usuário se autentica usando uma senha; da mesma forma, toda vez que é ligado, o host se autentica apresentando seu arquivo keytab. O System Security Services Daemon (SSSD) gerencia este processo em segundo plano.
    • Se a autenticação for bem sucedida, o usuário ou anfitrião obtém um bilhete Kerberos de concessão de bilhete (TGT).
    • O TGT é então utilizado para a obtenção de bilhetes específicos para serviços específicos.

    Tabela 28.2. Autenticação do usuário e do anfitrião da sessão

     UsuárioAnfitrião

    Meios padrão de autenticação

    Password

    Keytabs

    Início de uma sessão (usuário comum)

    $ kinit user_name

    [switch on the host]

    O resultado de uma autenticação bem sucedida

    TGT a ser utilizado para obter acesso a serviços específicos

    TGT a ser utilizado para obter acesso a serviços específicos

Os TGTs e outros bilhetes Kerberos são gerados como parte dos serviços e políticas Kerberos definidos pelo servidor. A concessão inicial de um bilhete Kerberos, a renovação das credenciais Kerberos e até mesmo a destruição da sessão Kerberos são todos tratados automaticamente pelos serviços da IdM.

28.2.3. Opções alternativas de autenticação para hosts IdM

Além das fichas-chave, a IdM suporta dois outros tipos de autenticação de máquinas:

  • Chaves SSH. A chave pública SSH para o host é criada e carregada para a entrada do host. A partir daí, o System Security Services Daemon (SSSD) usa IdM como um provedor de identidade e pode trabalhar em conjunto com OpenSSH e outros serviços para referenciar as chaves públicas localizadas centralmente no IdM.
  • Certificados de máquinas. Neste caso, a máquina usa um certificado SSL que é emitido pela autoridade certificadora do servidor da IdM e depois armazenado no Servidor de Diretório da IdM. O certificado é então enviado à máquina para apresentar quando ela se autentica ao servidor. No cliente, os certificados são gerenciados por um serviço chamado certmonger.

28.3. Entrada de anfitrião em IdM LDAP

Esta seção descreve como é uma entrada anfitriã em Gerenciamento de Identidade (IdM) e quais atributos ela pode conter.

Uma entrada de anfitrião LDAP contém todas as informações relevantes sobre o cliente dentro da IdM:

  • Entradas de serviço associadas com o anfitrião
  • O anfitrião e diretor de serviços
  • Regras de controle de acesso
  • Informações da máquina, tais como sua localização física e sistema operacional
Nota

Note que a guia IdM Web UI IdentityHosts não mostra todas as informações sobre um determinado host armazenado no IdM LDAP.

28.3.1. Propriedades de configuração de entrada do host

Uma entrada de host pode conter informações sobre o host que está fora de sua configuração de sistema, tais como sua localização física, endereço MAC, chaves e certificados.

Esta informação pode ser definida quando a entrada do host é criada, se for criada manualmente. Alternativamente, a maior parte destas informações pode ser adicionada à entrada do host depois que o host é registrado no domínio.

Tabela 28.3. Propriedades de configuração do host

Campo UIOpção de Linha de ComandoDescrição

Descrição

--desc=description

Uma descrição do anfitrião.

Localidade

--locality=locality

A localização geográfica do anfitrião.

Localização

--location=location

A localização física do host, tal como seu rack do centro de dados.

Plataforma

--platform=string

O hardware ou arquitetura do host.

Sistema operacional

--os=string

O sistema operacional e a versão para o host.

Endereço MAC

--macaddress=address

O endereço MAC para o anfitrião. Este é um atributo multivalorizado. O endereço MAC é usado pelo plug-in NIS para criar um mapa NIS ethers para o host.

Chaves públicas SSH

--sshpubkey=string

A chave pública SSH completa para o anfitrião. Este é um atributo multivalorizado, portanto, várias chaves podem ser definidas.

Nome principal (não editável)

--principalname=principal

O nome principal de Kerberos para o anfitrião. Este padrão é o nome principal do host durante a instalação do cliente, a menos que um nome principal diferente seja explicitamente definido no site -p. Isto pode ser alterado usando as ferramentas de linha de comando, mas não pode ser alterado na interface de usuário.

Definir senha única

--password=string

Esta opção define uma senha para o anfitrião que pode ser usada na inscrição em massa.

-

--random

Esta opção gera uma senha aleatória para ser usada na inscrição em massa.

-

--certificate=string

Uma bolha de certificado para o anfitrião.

-

--updatedns

Isto define se o host pode atualizar dinamicamente suas entradas DNS se seu endereço IP mudar.

28.4. Adição de entradas de hospedagem da Web UI

  1. Abra a guia Identity, e selecione a subguia Hosts.
  2. Clique em Adicionar no topo da lista de anfitriões.

    Figura 28.1. Adicionando entradas de anfitrião

    hosts list
  3. Insira o nome da máquina e selecione o domínio a partir das zonas configuradas na lista suspensa. Se o host já tiver sido atribuído um endereço IP estático, então inclua-o com a entrada do host para que a entrada DNS seja totalmente criada.

    O campo Class não tem nenhuma finalidade específica no momento.

    Figura 28.2. Adicionar Host Wizard

    host add

    As zonas DNS podem ser criadas em IdM. Se o servidor IdM não gerenciar o servidor DNS, a zona pode ser inserida manualmente na área do menu, como um campo de texto regular.

    Nota

    Selecione a caixa de seleção Force se você quiser pular a verificação se o host é resolúvel via DNS.

  4. Clique no botão Add and Edit para ir diretamente para a página de entrada expandida e inserir mais informações de atributos. Informações sobre o hardware e localização física do host podem ser incluídas com a entrada do host.

    Figura 28.3. Página de Entrada Expandida

    host attr

Capítulo 29. Gerenciamento de anfitriões usando Livros didáticos Ansíveis

Ansible é uma ferramenta de automação usada para configurar sistemas, implantar software e realizar atualizações rolantes. Ansible inclui suporte para Gerenciamento de Identidade (IdM), e você pode usar os módulos Ansible para automatizar o gerenciamento do host.

Este capítulo descreve as seguintes operações realizadas na administração de anfitriões e entradas de anfitriões usando Livros de Brinquedos Ansíveis:

29.1. Assegurar a presença de uma entrada de um host IdM com FQDN usando Livros de Jogadas Ansíveis

Esta seção descreve como garantir a presença de entradas de anfitriões no Gerenciamento de Identidade (IdM) usando Livros de Jogadas Ansíveis. As entradas do host são definidas apenas por seus fully-qualified domain names (FQDNs).

A especificação do nome FQDN do anfitrião é suficiente se pelo menos uma das seguintes condições se aplicar:

  • O servidor IdM não está configurado para gerenciar o DNS.
  • O host não tem um endereço IP estático ou o endereço IP não é conhecido no momento em que o host é configurado. A adição de um host definido apenas por um FQDN cria essencialmente uma entrada de espaço reservado no serviço DNS do IdM. Por exemplo, os laptops podem ser pré-configurados como clientes IdM, mas não possuem endereços IP no momento em que são configurados. Quando o serviço DNS atualiza dinamicamente seus registros, o endereço IP atual do host é detectado e seu registro DNS é atualizado.
Nota

Sem Ansible, as entradas do host são criadas no IdM usando o comando ipa host-add. O resultado da adição de um host ao IdM é o estado do host que está presente no IdM. Devido à possível dependência do Idempotence, para adicionar um host ao IdM usando o Ansible, você deve criar um playbook no qual você define o estado do host como presente: state: present.

Pré-requisitos

  • Você sabe a senha do administrador da IdM.
  • O pacote ansible-freeipa é instalado no controlador Ansible.

Procedimento

  1. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver no mesmo:

    [ipaserver]
    server.idm.example.com
  2. Crie um arquivo de playbook possível com o FQDN do anfitrião cuja presença na IdM você quer garantir. Para simplificar esta etapa, você pode copiar e modificar o exemplo no arquivo /usr/share/doc/ansible-freeipa/playbooks/host/add-host.yml:

    ---
    - name: Host present
      hosts: ipaserver
      become: true
    
      tasks:
      - name: Host host01.idm.example.com present
        ipahost:
          ipaadmin_password: MySecret123
          name: host01.idm.example.com
          state: present
          force: yes
  3. Execute o livro de brincadeiras:

    $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-host-is-present.yml
Nota

O procedimento resulta na criação de uma entrada de host no servidor LDAP da IdM, mas não na inscrição do host no reino da IdM Kerberos. Para isso, deve-se implantar o host como um cliente IdM. Para detalhes, consulte Instalando um cliente de Gerenciamento de Identidade usando um livro de exercícios.

Etapas de verificação

  1. Faça o login em seu servidor IdM como administrador:

    $ ssh admin@server.idm.example.com
    Password:
  2. Digite o comando ipa host-show e especifique o nome do anfitrião:

    $ ipa host-show host01.idm.example.com
      Host name: host01.idm.example.com
      Principal name: host/host01.idm.example.com@IDM.EXAMPLE.COM
      Principal alias: host/host01.idm.example.com@IDM.EXAMPLE.COM
      Password: False
      Keytab: False
      Managed by: host01.idm.example.com

A saída confirma que host01.idm.example.com existe na IdM.

29.2. Assegurar a presença de uma entrada de um host IdM com informações DNS usando Livros de Jogadas Ansíveis

Esta seção descreve como garantir a presença de entradas de anfitriões no Gerenciamento de Identidade (IdM) usando Livros de Jogadas Ansíveis. As entradas do host são definidas por seus fully-qualified domain names (FQDNs) e seus endereços IP.

Nota

Sem Ansible, as entradas do host são criadas no IdM usando o comando ipa host-add. O resultado da adição de um host ao IdM é o estado do host que está presente no IdM. Devido à possível dependência do Idempotence, para adicionar um host ao IdM usando o Ansible, você deve criar um playbook no qual você define o estado do host como presente: state: present.

Pré-requisitos

  • Você sabe a senha do administrador da IdM.
  • O pacote ansible-freeipa é instalado no controlador Ansible.

Procedimento

  1. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver no mesmo:

    [ipaserver]
    server.idm.example.com
  2. Crie um arquivo de playbook possível com o fully-qualified domain name (FQDN) do anfitrião cuja presença na IdM você quer garantir. Além disso, se o servidor IdM estiver configurado para gerenciar o DNS e você conhecer o endereço IP do host, especifique um valor para o parâmetro ip_address. O endereço IP é necessário para que o host exista nos registros de recursos DNS. Para simplificar esta etapa, você pode copiar e modificar o exemplo no arquivo /usr/share/doc/ansible-freeipa/playbooks/host/host-present.yml. Você também pode incluir outras informações adicionais:

    ---
    - name: Host present
      hosts: ipaserver
      become: true
    
      tasks:
      - name: Ensure host01.idm.example.com is present
        ipahost:
          ipaadmin_password: MySecret123
          name: host01.idm.example.com
          description: Example host
          ip_address: 192.168.0.123
          locality: Lab
          ns_host_location: Lab
          ns_os_version: CentOS 7
          ns_hardware_platform: Lenovo T61
          mac_address:
          - "08:00:27:E3:B1:2D"
          - "52:54:00:BD:97:1E"
          state: present
  3. Execute o livro de brincadeiras:

    $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-host-is-present.yml
Nota

O procedimento resulta na criação de uma entrada de host no servidor LDAP da IdM, mas não na inscrição do host no reino da IdM Kerberos. Para isso, deve-se implantar o host como um cliente IdM. Para detalhes, consulte Instalando um cliente de Gerenciamento de Identidade usando um livro de exercícios.

Etapas de verificação

  1. Faça o login em seu servidor IdM como administrador:

    $ ssh admin@server.idm.example.com
    Password:
  2. Digite o comando ipa host-show e especifique o nome do anfitrião:

    $ ipa host-show host01.idm.example.com
      Host name: host01.idm.example.com
      Description: Example host
      Locality: Lab
      Location: Lab
      Platform: Lenovo T61
      Operating system: CentOS 7
      Principal name: host/host01.idm.example.com@IDM.EXAMPLE.COM
      Principal alias: host/host01.idm.example.com@IDM.EXAMPLE.COM
      MAC address: 08:00:27:E3:B1:2D, 52:54:00:BD:97:1E
      Password: False
      Keytab: False
      Managed by: host01.idm.example.com

A saída confirma que host01.idm.example.com existe na IdM.

29.3. Garantir a presença de múltiplas entradas no host IdM com senhas aleatórias usando Livros de Jogadas Ansíveis

O módulo ipahost permite ao administrador do sistema garantir a presença ou ausência de múltiplas entradas no IdM usando apenas uma tarefa possível. Esta seção descreve como garantir a presença de múltiplas entradas de host que são definidas apenas por seus fully-qualified domain names (FQDNs). A execução do Ansible playbook gera senhas aleatórias para os hosts.

Nota

Sem Ansible, as entradas do host são criadas no IdM usando o comando ipa host-add. O resultado da adição de um host ao IdM é o estado do host que está presente no IdM. Devido à possível dependência do Idempotence, para adicionar um host ao IdM usando o Ansible, você deve criar um playbook no qual você define o estado do host como presente: state: present.

Pré-requisitos

  • Você sabe a senha do administrador da IdM.
  • O pacote ansible-freeipa é instalado no controlador Ansible.

Procedimento

  1. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver no mesmo:

    [ipaserver]
    server.idm.example.com
  2. Crie um arquivo de playbook possível com o fully-qualified domain name (FQDN) dos anfitriões cuja presença na IdM você quer garantir. Para fazer com que o Ansible playbook gere uma senha aleatória para cada host mesmo quando o host já existe na IdM e update_password está limitado a on_create, adicione as opções random: yes e force: yes. Para simplificar esta etapa, você pode copiar e modificar o exemplo do arquivo Markdown de /usr/share/doc/ansible-freeipa/README-host.md:

    ---
    - name: Ensure hosts with random password
      hosts: ipaserver
      become: true
    
      tasks:
      - name: Hosts host01.idm.example.com and host02.idm.example.com present with random passwords
        ipahost:
          ipaadmin_password: MySecret123
          hosts:
          - name: host01.idm.example.com
            random: yes
            force: yes
          - name: host02.idm.example.com
            random: yes
            force: yes
        register: ipahost
  3. Execute o livro de brincadeiras:

    $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-hosts-are-present.yml
    [...]
    TASK [Hosts host01.idm.example.com and host02.idm.example.com present with random passwords]
    changed: [r8server.idm.example.com] => {"changed": true, "host": {"host01.idm.example.com": {"randompassword": "0HoIRvjUdH0Ycbf6uYdWTxH"}, "host02.idm.example.com": {"randompassword": "5VdLgrf3wvojmACdHC3uA3s"}}}

Etapas de verificação

  1. Faça o login em seu servidor IdM como administrador:

    $ ssh admin@server.idm.example.com
    Password:
  2. Digite o comando ipa host-show e especifique o nome de um dos anfitriões:

    $ ipa host-show host01.idm.example.com
      Host name: host01.idm.example.com
      Password: True
      Keytab: False
      Managed by: host01.idm.example.com

A saída confirma que host01.idm.example.com existe na IdM com uma senha aleatória.

29.4. Assegurar a presença de um host IdM com múltiplos endereços IP usando Livros de Jogadas Ansíveis

Esta seção descreve como garantir a presença de uma entrada anfitriã no Gerenciamento de Identidade (IdM) usando Livros de Brincadeiras Ansíveis. A entrada do host é definida por seu fully-qualified domain name (FQDN) e seus múltiplos endereços IP.

Nota

Em contraste com a utilidade ipa host, o módulo Ansible ipahost pode garantir a presença ou ausência de vários endereços IPv4 e IPv6 para um host. O comando ipa host-mod não pode tratar de endereços IP.

Pré-requisitos

  • Você sabe a senha do administrador da IdM.
  • O pacote ansible-freeipa é instalado no controlador Ansible.

Procedimento

  1. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver no mesmo:

    [ipaserver]
    server.idm.example.com
  2. Crie um arquivo de livro de brincar possível. Especifique, como o name da variável ipahost, o fully-qualified domain name (FQDN) do anfitrião cuja presença na IdM você quer garantir. Especifique cada um dos múltiplos valores IPv4 e IPv6 ip_address em uma linha separada, usando o - ip_address sintaxe. Para simplificar esta etapa, você pode copiar e modificar o exemplo no arquivo /usr/share/doc/ansible-freeipa/playbooks/host/host-member-ipaddresses-present.yml. Você também pode incluir informações adicionais:

    ---
    - name: Host member IP addresses present
      hosts: ipaserver
      become: true
    
      tasks:
      - name: Ensure host101.example.com IP addresses present
        ipahost:
          ipaadmin_password: MySecret123
          name: host01.idm.example.com
          ip_address:
          - 192.168.0.123
          - fe80::20c:29ff:fe02:a1b3
          - 192.168.0.124
          - fe80::20c:29ff:fe02:a1b4
          force: yes
  3. Execute o livro de brincadeiras:

    $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-host-with-multiple-IP-addreses-is-present.yml
Nota

O procedimento cria uma entrada de host no servidor LDAP da IdM, mas não inscreve o host no reino da IdM Kerberos. Para isso, é necessário implantar o host como um cliente IdM. Para detalhes, consulte Instalando um cliente de Gerenciamento de Identidade usando um livro de exercícios possível.

Etapas de verificação

  1. Faça o login em seu servidor IdM como administrador:

    $ ssh admin@server.idm.example.com
    Password:
  2. Digite o comando ipa host-show e especifique o nome do anfitrião:

    $ ipa host-show host01.idm.example.com
      Principal name: host/host01.idm.example.com@IDM.EXAMPLE.COM
      Principal alias: host/host01.idm.example.com@IDM.EXAMPLE.COM
      Password: False
      Keytab: False
      Managed by: host01.idm.example.com

    A saída confirma que host01.idm.example.com existe na IdM.

  3. Para verificar se os múltiplos endereços IP do host existem nos registros DNS do IdM, digite o comando ipa dnsrecord-show e especifique as seguintes informações:

    • O nome do domínio IdM
    • O nome do anfitrião

      $ ipa dnsrecord-show idm.example.com host01
      [...]
        Record name: host01
        A record: 192.168.0.123, 192.168.0.124
        AAAA record: fe80::20c:29ff:fe02:a1b3, fe80::20c:29ff:fe02:a1b4

    A saída confirma que todos os endereços IPv4 e IPv6 especificados no playbook estão corretamente associados com a entrada do host host01.idm.example.com.

29.5. Garantir a ausência de uma entrada de um host IdM usando Livros de Jogadas Ansíveis

Esta seção descreve como garantir a ausência de entradas de anfitriões no Gerenciamento de Identidade (IdM) usando Livros de Jogadas Ansíveis.

Pré-requisitos

  • Credenciais do administrador da IdM

Procedimento

  1. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver no mesmo:

    [ipaserver]
    server.idm.example.com
  2. Crie um arquivo de playbook possível com o fully-qualified domain name (FQDN) do anfitrião cuja ausência da IdM você quer garantir. Se seu domínio IdM tem DNS integrado, use a opção updatedns: yes para remover do DNS os registros associados de qualquer tipo para o host.

    Para simplificar esta etapa, você pode copiar e modificar o exemplo no arquivo /usr/share/doc/ansible-freeipa/playbooks/host/delete-host.yml:

    ---
    - name: Host absent
      hosts: ipaserver
      become: true
    
      tasks:
      - name: Host host01.idm.example.com absent
        ipahost:
          ipaadmin_password: MySecret123
          name: host01.idm.example.com
          updatedns: yes
          state: absent
  3. Execute o livro de brincadeiras:

    $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-host-absent.yml
Nota

O procedimento resulta em:

  • O anfitrião não estar presente no reino de IdM Kerberos.
  • A entrada do host não estar presente no servidor LDAP da IdM.

Para remover a configuração específica do IdM dos serviços do sistema, tais como System Security Services Daemon (SSSD), do próprio host do cliente, é necessário executar o comando ipa-client-install --uninstall no cliente. Para detalhes, veja Uninstalling an IdM client.

Etapas de verificação

  1. Acesse ipaserver como administrador:

    $ ssh admin@server.idm.example.com
    Password:
    [admin@server /]$
  2. Mostrar informações sobre host01.idm.example.com:

    $ ipa host-show host01.idm.example.com
    ipa: ERROR: host01.idm.example.com: host not found

A saída confirma que o hospedeiro não existe na IdM.

Recursos adicionais

  • Você pode ver as definições das variáveis ipahost, bem como exemplos de playbooks possíveis para garantir a presença, ausência e desativação de anfitriões no arquivo Markdown /usr/share/doc/ansible-freeipa/README-host.md.
  • Os playbooks adicionais estão no diretório /usr/share/doc/ansible-freeipa/playbooks/host.

Capítulo 30. Gerenciamento de grupos anfitriões utilizando o IdM CLI

Este capítulo introduz grupos anfitriões no Gerenciamento de Identidade (IdM) e descreve as seguintes operações para gerenciar grupos anfitriões e seus membros na interface de linha de comando (CLI):

  • Visualização dos grupos anfitriões e seus membros
  • Criação de grupos anfitriões
  • Eliminação de grupos anfitriões
  • Acréscimo de membros do grupo anfitrião
  • Remoção de membros do grupo anfitrião
  • Acréscimo de gerentes de membros do grupo anfitrião
  • Remoção dos gerentes dos membros do grupo anfitrião

30.1. Grupos anfitriões na IdM

Os grupos anfitriões da IdM podem ser usados para centralizar o controle sobre importantes tarefas de gerenciamento, particularmente o controle de acesso.

Definição de grupos anfitriões

Um grupo anfitrião é uma entidade que contém um conjunto de anfitriões IdM com regras comuns de controle de acesso e outras características. Por exemplo, é possível definir grupos anfitriões com base nos departamentos da empresa, locais físicos ou requisitos de controle de acesso.

Um grupo anfitrião na IdM pode incluir:

  • Servidores e clientes da IdM
  • Outros grupos anfitriões da IdM

Grupos anfitriões criados por padrão

Por padrão, o servidor IdM cria o grupo hospedeiro ipaservers para todos os hospedeiros do servidor IdM.

Membros diretos e indiretos do grupo

Os atributos do grupo na IdM aplicam-se tanto aos membros diretos como indiretos: quando o grupo anfitrião B é membro do grupo anfitrião A, todos os membros do grupo anfitrião B são considerados membros indiretos do grupo anfitrião A.

30.2. Visualização de grupos anfitriões IdM usando o CLI

Esta seção descreve como visualizar grupos host IdM usando a interface de linha de comando (CLI).

Pré-requisitos

Procedimento

  1. Encontre todos os grupos anfitriões usando o comando ipa hostgroup-find.

    $ ipa hostgroup-find
    -------------------
    1 hostgroup matched
    -------------------
      Host-group: ipaservers
      Description: IPA server hosts
    ----------------------------
    Number of entries returned 1
    ----------------------------

    Para exibir todos os atributos de um grupo anfitrião, adicione a opção --all. Por exemplo:

    $ ipa hostgroup-find --all
    -------------------
    1 hostgroup matched
    -------------------
      dn: cn=ipaservers,cn=hostgroups,cn=accounts,dc=idm,dc=local
      Host-group: ipaservers
      Description: IPA server hosts
      Member hosts: xxx.xxx.xxx.xxx
      ipauniqueid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
      objectclass: top, groupOfNames, nestedGroup, ipaobject, ipahostgroup
    ----------------------------
    Number of entries returned 1
    ----------------------------

30.3. Criação de grupos anfitriões IdM usando o CLI

Esta seção descreve como criar grupos host IdM usando a interface de linha de comando (CLI).

Pré-requisitos

Procedimento

  1. Adicione um grupo anfitrião usando o comando ipa hostgroup-add.
    Por exemplo, para criar um grupo hospedeiro IdM chamado group_name e dar-lhe uma descrição:

    $ ipa hostgroup-add --desc 'My new host group' group_name
    ---------------------
    Added hostgroup "group_name"
    ---------------------
      Host-group: group_name
      Description: My new host group
    ---------------------

30.4. Eliminação de grupos anfitriões IdM usando o CLI

Esta seção descreve como excluir grupos host IdM usando a interface de linha de comando (CLI).

Pré-requisitos

Procedimento

  1. Eliminar um grupo hospedeiro usando o comando ipa hostgroup-del.
    Por exemplo, para excluir o grupo hospedeiro do IdM chamado group_name:

    $ ipa hostgroup-del group_name
    --------------------------
    Deleted hostgroup "group_name"
    --------------------------
Nota

A remoção de um grupo não exclui os membros do grupo da IdM.

30.5. Adicionando membros do grupo anfitrião IdM usando o CLI

Você pode adicionar tanto anfitriões quanto grupos anfitriões como membros de um grupo anfitrião IdM usando um único comando.

Pré-requisitos

  • Privilégios de administrador para gerenciar o papel de IdM ou Administrador de usuários.
  • Um bilhete Kerberos ativo. Para obter detalhes, consulte Utilizando o kinit para fazer o login na IdM manualmente.
  • Optional. Use o comando ipa hostgroup-find para encontrar anfitriões e grupos anfitriões.

Procedimento

  1. Para adicionar um membro a um grupo anfitrião, use o site ipa hostgroup-add-member e forneça as informações relevantes. Você pode especificar o tipo de membro a ser adicionado usando estas opções

    • Use a opção --hosts para adicionar um ou mais anfitriões a um grupo anfitrião da IdM.
      Por exemplo, para adicionar o anfitrião chamado example_member ao grupo chamado group_name:

      $ ipa hostgroup-add-member group_name --hosts example_member
      Host-group: group_name
      Description: My host group
      Member hosts: example_member
      -------------------------
      Number of members added 1
      -------------------------
    • Use a opção --hostgroups para adicionar um ou mais grupos anfitriões a um grupo anfitrião da IdM.
      Por exemplo, para adicionar o grupo de anfitriões chamado nested_group ao grupo chamado group_name:

      $ ipa hostgroup-add-member group_name --hostgroups nested_group
      Host-group: group_name
      Description: My host group
      Member host-groups: nested_group
      -------------------------
      Number of members added 1
      -------------------------
    • Você pode adicionar vários hosts e vários grupos host a um grupo host IdM em um único comando usando a seguinte sintaxe:

      $ ipa hostgroup-add-member group_name --hosts={host1,host2} --hostgroups={group1,group2}
Importante

Ao adicionar um grupo anfitrião como membro de outro grupo anfitrião, não crie grupos recursivos. Por exemplo, se o Grupo A for um membro do Grupo B, não adicione o Grupo B como um membro do Grupo A. Grupos recursivos podem causar um comportamento imprevisível.

30.6. Remoção de membros do grupo anfitrião IdM usando o CLI

Você pode remover os anfitriões, bem como os grupos anfitriões de um grupo anfitrião da IdM usando um único comando.

Pré-requisitos

  • Privilégios de administrador para gerenciar o papel de IdM ou Administrador de usuários.
  • Um bilhete Kerberos ativo. Para obter detalhes, consulte Utilizando o kinit para fazer o login na IdM manualmente.
  • Optional. Use o comando ipa hostgroup-find para confirmar que o grupo inclui o membro que você deseja remover.

Procedimento

  1. Para remover um membro do grupo anfitrião, use o comando ipa hostgroup-remove-member e forneça as informações relevantes. Você pode especificar o tipo de membro a ser removido usando estas opções

    • Use a opção --hosts para remover um ou mais anfitriões de um grupo anfitrião da IdM.
      Por exemplo, para remover o anfitrião chamado example_member do grupo chamado group_name:

      $ ipa hostgroup-remove-member group_name --hosts example_member
      Host-group: group_name
      Description: My host group
      -------------------------
      Number of members removed 1
      -------------------------
    • Use a opção --hostgroups para remover um ou mais grupos anfitriões de um grupo anfitrião da IdM.
      Por exemplo, para remover o grupo de anfitriões chamado nested_group do grupo chamado group_name:

      $ ipa hostgroup-remove-member group_name --hostgroups example_member
      Host-group: group_name
      Description: My host group
      -------------------------
      Number of members removed 1
      -------------------------
Nota

A remoção de um grupo não exclui os membros do grupo da IdM.

  • Você pode remover vários hosts e vários grupos host de um grupo host IdM em um único comando usando a seguinte sintaxe:

    $ ipa hostgroup-remove-member group_name --hosts={host1,host2} --hostgroups={group1,group2}

30.7. Adicionando os gerentes do grupo anfitrião da IdM usando o CLI

Você pode adicionar anfitriões, bem como grupos anfitriões como gerentes de membros, a um grupo anfitrião da IdM usando um único comando. Os gerentes membros podem adicionar anfitriões ou grupos de anfitriões a grupos de anfitriões IdM, mas não podem alterar os atributos de um grupo de anfitriões.

Pré-requisitos

  • Privilégios de administrador para gerenciar o papel de IdM ou Administrador de usuários.
  • Um bilhete Kerberos ativo. Para obter detalhes, consulte Utilizando o kinit para fazer o login na IdM manualmente.
  • Você deve ter o nome do grupo anfitrião ou do grupo anfitrião que você está adicionando como gerentes membros e o nome do grupo anfitrião que você quer que eles gerenciem.

Procedimento

  1. Optional. Use o comando ipa hostgroup-find para encontrar anfitriões e grupos anfitriões.
  2. Para adicionar um gerente membro a um grupo anfitrião, use o site ipa hostgroup-add-member-manager.

    Por exemplo, para adicionar o usuário example_member como gerente membro ao grupo chamado group_name:

    $ ipa hostgroup-add-member-manager group_name --user example_member
    Host-group: group_name
    Member hosts: server.idm.example.com
    Member host-groups: project_admins
    Member of netgroups: group_name
    Membership managed by users: example_member
    -------------------------
    Number of members added 1
    -------------------------
  3. Use a opção --groups para adicionar um ou mais grupos anfitriões como um gerente membro a um grupo anfitrião da IdM.

    Por exemplo, para adicionar o grupo anfitrião chamado admin_group como gerente membro ao grupo chamado group_name:

    $ ipa hostgroup-add-member-manager group_name --groups admin_group
    Host-group: group_name
    Member hosts: server.idm.example.com
    Member host-groups: project_admins
    Member of netgroups: group_name
    Membership managed by groups: admin_group
    Membership managed by users: example_member
    -------------------------
    Number of members added 1
    -------------------------
Nota

Após adicionar um gerente membro a um grupo anfitrião, a atualização pode levar algum tempo para se espalhar a todos os clientes em seu ambiente de Gerenciamento de Identidade.

Etapas de verificação

  • Usando o comando ipa group-show para verificar o usuário anfitrião e o grupo anfitrião foram adicionados como gerentes membros.

    $ ipa hostgroup-show group_name
    Host-group: group_name
    Member hosts: server.idm.example.com
    Member host-groups: project_admins
    Membership managed by groups: admin_group
    Membership managed by users: example_member

Recursos adicionais

  • Veja ipa hostgroup-add-member-manager --help para mais detalhes.
  • Veja ipa hostgroup-show --help para mais detalhes.

30.8. Removendo os gerentes do grupo anfitrião da IdM usando o CLI

Você pode remover os anfitriões, assim como os grupos anfitriões como gerentes membros de um grupo anfitrião da IdM usando um único comando. Os gerentes membros podem remover os gerentes membros do grupo anfitrião de um grupo anfitrião IdM, mas não podem alterar os atributos de um grupo anfitrião.

Pré-requisitos

  • Privilégios de administrador para gerenciar o papel de IdM ou Administrador de usuários.
  • Um bilhete Kerberos ativo. Para obter detalhes, consulte Utilizando o kinit para fazer o login na IdM manualmente.
  • Você deve ter o nome do grupo anfitrião existente que você está removendo e o nome do grupo anfitrião que eles estão gerenciando.

Procedimento

  1. Optional. Use o comando ipa hostgroup-find para encontrar anfitriões e grupos anfitriões.
  2. Para remover um gerente membro de um grupo anfitrião, use o comando ipa hostgroup-remove-member-manager.

    Por exemplo, para remover o usuário chamado example_member como gerente membro do grupo chamado group_name:

    $ ipa hostgroup-remove-member-manager group_name --user example_member
    Host-group: group_name
    Member hosts: server.idm.example.com
    Member host-groups: project_admins
    Member of netgroups: group_name
    Membership managed by groups: nested_group
    ---------------------------
    Number of members removed 1
    ---------------------------
  3. Use a opção --groups para remover um ou mais grupos anfitriões como um gerente membro de um grupo anfitrião da IdM.

    Por exemplo, para remover o grupo anfitrião chamado nested_group como gerente membro do grupo chamado group_name:

    $ ipa hostgroup-remove-member-manager group_name --groups nested_group
    Host-group: group_name
    Member hosts: server.idm.example.com
    Member host-groups: project_admins
    Member of netgroups: group_name
    ---------------------------
    Number of members removed 1
    ---------------------------
Nota

Após remover um gerente membro de um grupo anfitrião, a atualização pode levar algum tempo para se espalhar a todos os clientes em seu ambiente de Gerenciamento de Identidade.

Etapas de verificação

  • Use o comando ipa group-show para verificar se o usuário host e o grupo host foram removidos como gerentes membros.

    $ ipa hostgroup-show group_name
    Host-group: group_name
    Member hosts: server.idm.example.com
    Member host-groups: project_admins

Recursos adicionais

  • Veja ipa hostgroup-remove-member-manager --help para mais detalhes.
  • Veja ipa hostgroup-show --help para mais detalhes.

Capítulo 31. Gerenciando grupos anfitriões usando a IDM Web UI

Este capítulo apresenta os grupos anfitriões no Gerenciamento de Identidade (IdM) e descreve as seguintes operações para gerenciar grupos anfitriões e seus membros na interface Web (Web UI):

  • Visualização dos grupos anfitriões e seus membros
  • Criação de grupos anfitriões
  • Eliminação de grupos anfitriões
  • Acréscimo de membros do grupo anfitrião
  • Remoção de membros do grupo anfitrião
  • Acréscimo de gerentes de membros do grupo anfitrião
  • Remoção dos gerentes dos membros do grupo anfitrião

31.1. Grupos anfitriões na IdM

Os grupos anfitriões da IdM podem ser usados para centralizar o controle sobre importantes tarefas de gerenciamento, particularmente o controle de acesso.

Definição de grupos anfitriões

Um grupo anfitrião é uma entidade que contém um conjunto de anfitriões IdM com regras comuns de controle de acesso e outras características. Por exemplo, é possível definir grupos anfitriões com base nos departamentos da empresa, locais físicos ou requisitos de controle de acesso.

Um grupo anfitrião na IdM pode incluir:

  • Servidores e clientes da IdM
  • Outros grupos anfitriões da IdM

Grupos anfitriões criados por padrão

Por padrão, o servidor IdM cria o grupo hospedeiro ipaservers para todos os hospedeiros do servidor IdM.

Membros diretos e indiretos do grupo

Os atributos do grupo na IdM aplicam-se tanto aos membros diretos como indiretos: quando o grupo anfitrião B é membro do grupo anfitrião A, todos os membros do grupo anfitrião B são considerados membros indiretos do grupo anfitrião A.

31.2. Visualização de grupos anfitriões na IDM Web UI

Esta seção descreve como visualizar grupos host IdM usando a interface Web (Web UI).

Pré-requisitos

Procedimento

  1. Clique em Identity → Groups, e selecione a aba Host Groups.

    • A página lista os grupos anfitriões existentes e suas descrições.
    • Você pode procurar por um grupo anfitrião específico.

    grupos hospedeiros de visualização idm

  2. Clique em um grupo da lista para exibir os anfitriões que pertencem a este grupo. Você pode limitar os resultados aos membros diretos ou indiretos.

    idm vendo os membros do grupo anfitrião

  3. Selecione a guia Host Groups para exibir os grupos anfitriões que pertencem a este grupo (grupos anfitriões aninhados). Você pode limitar os resultados aos membros diretos ou indiretos.

    idm vendo os membros do grupo anfitrião aninhados no grupo

31.3. Criação de grupos anfitriões na IDM Web UI

Esta seção descreve como criar grupos anfitriões IdM usando a interface Web (Web UI).

Pré-requisitos

Procedimento

  1. Clique em Identity → Groups, e selecione a aba Host Groups.
  2. Clique em Add. O diálogo Add host group aparece.
  3. Fornecer as informações sobre o grupo: nome (obrigatório) e descrição (opcional).
  4. Clique em Add para confirmar.

    idm criando grupos anfitriões

31.4. Eliminação de grupos anfitriões na IDM Web UI

Esta seção descreve como excluir grupos host IdM usando a interface Web (Web UI).

Pré-requisitos

Procedimento

  1. Clique em Identity → Groups e selecione a guia Host Groups.
  2. Selecione o grupo hospedeiro IdM para remover, e clique em Delete. Aparece um diálogo de confirmação.
  3. Clique em Delete para confirmar

    idm apagando grupos anfitriões

Nota

A remoção de um grupo anfitrião não exclui os membros do grupo da IdM.

31.5. Acréscimo de membros do grupo anfitrião na IDM Web UI

Esta seção descreve como adicionar membros do grupo anfitrião no IdM usando a interface web (Web UI).

Pré-requisitos

Procedimento

  1. Clique em Identity → Groups e selecione a guia Host Groups.
  2. Clique no nome do grupo ao qual você deseja adicionar membros.
  3. Clique na guia Hosts ou Host groups, dependendo do tipo de membros que você deseja adicionar. O diálogo correspondente aparece.
  4. Selecione os anfitriões ou grupos de anfitriões para adicionar, e clique no botão > seta para movê-los para a coluna Prospective.
  5. Clique em Add para confirmar.

    idm adicionando membros do grupo anfitrião

31.6. Remoção de membros do grupo anfitrião na IDM Web UI

Esta seção descreve como remover membros do grupo anfitrião no IdM usando a interface web (Web UI).

Pré-requisitos

Procedimento

  1. Clique em Identity → Groups e selecione a guia Host Groups.
  2. Clique no nome do grupo do qual você deseja remover membros.
  3. Clique na guia Hosts ou Host groups, dependendo do tipo de membros que você deseja remover.
  4. Selecione a caixa de seleção ao lado do membro que você deseja remover.
  5. Clique em Excluir. Aparece um diálogo de confirmação.

    idm removendo os membros do grupo anfitrião

  6. Clique em Excluir para confirmar. Os membros selecionados são excluídos.

31.7. Adicionando gerentes de grupo anfitriões da IdM usando a interface Web

Esta seção descreve como adicionar usuários ou grupos de usuários como gerentes de membros do grupo anfitrião no IdM usando a interface web (Web UI). Os gerentes de membros podem adicionar gerentes de membros do grupo anfitrião aos grupos anfitriões do IdM, mas não podem alterar os atributos de um grupo anfitrião.

Pré-requisitos

  • Privilégios de administrador para gerenciar o papel de IdM ou Administrador de usuários.
  • Você está logado na IDM Web UI. Para obter detalhes, consulte Acessando a IDM Web UI em um navegador da web.
  • Você deve ter o nome do grupo anfitrião que você está adicionando como gerentes membros e o nome do grupo anfitrião que você quer que eles gerenciem.

Procedimento

  1. Clique em Identity → Groups e selecione a guia Host Groups.

    hostgroups
  2. Clique no nome do grupo ao qual você deseja adicionar gerentes membros.
  3. Clique na guia gerentes membros User Groups ou Users, dependendo do tipo de gerentes membros que você deseja adicionar. O diálogo correspondente aparece.
  4. Clique em Add.

    group membermanagers
  5. Selecione os usuários ou grupos de usuários para adicionar, e clique no botão > seta para movê-los para a coluna Prospective.
  6. Clique em Add para confirmar.
Nota

Após adicionar um gerente membro a um grupo anfitrião, a atualização pode levar algum tempo para se espalhar a todos os clientes em seu ambiente de Gerenciamento de Identidade.

Etapas de verificação

  • No diálogo do Grupo hospedeiro, verifique se o grupo de usuários ou usuário foi adicionado à lista de grupos ou usuários de gerentes membros.

    membermanager added

31.8. Removendo os gerentes do grupo anfitrião da IdM usando a interface Web

Esta seção descreve como remover usuários ou grupos de usuários como gerentes de membros do grupo anfitrião no IdM usando a interface web (Web UI). Os gerentes de membros podem remover os gerentes de membros do grupo anfitrião do IdM, mas não podem alterar os atributos de um grupo anfitrião.

Pré-requisitos

  • Privilégios de administrador para gerenciar o papel de IdM ou Administrador de usuários.
  • Você está logado na IDM Web UI. Para obter detalhes, consulte Acessando a IDM Web UI em um navegador da web.
  • Você deve ter o nome do grupo anfitrião existente que você está removendo e o nome do grupo anfitrião que eles estão gerenciando.

Procedimento

  1. Clique em Identity → Groups e selecione a guia Host Groups.

    hostgroup tab
  2. Clique no nome do grupo do qual você deseja remover os gerentes membros.
  3. Clique na guia gerentes membros User Groups ou Users, dependendo do tipo de gerentes membros que você deseja remover. O diálogo correspondente aparece.
  4. Selecione o usuário ou grupos de usuários a remover e clique em Delete.
  5. Clique em Delete para confirmar.

    idm removing host group member managers
    Nota

    Após remover um gerente membro de um grupo anfitrião, a atualização pode levar algum tempo para se espalhar a todos os clientes em seu ambiente de Gerenciamento de Identidade.

Etapas de verificação

  • No diálogo do Grupo hospedeiro, verifique se o grupo de usuários ou usuário foi removido da lista de membros gerentes de grupos ou usuários.

    remove membermanager verification

Capítulo 32. Gerenciamento de grupos anfitriões utilizando Livros didáticos Ansíveis

Este capítulo descreve o uso do Ansible para realizar as seguintes operações envolvendo grupos anfitriões em Gerenciamento de Identidade (IdM):

32.1. Garantindo a presença de grupos anfitriões da IdM usando Livros de Brincadeiras Ansíveis

Esta seção descreve como garantir a presença de grupos anfitriões no Gerenciamento de Identidade (IdM) usando Livros de Brincadeiras Ansíveis.

Nota

Sem Ansible, as entradas do grupo anfitrião são criadas no IdM usando o comando ipa hostgroup-add. O resultado de adicionar um grupo hospedeiro ao IdM é o estado do grupo hospedeiro que está presente no IdM. Devido à possível dependência do Idempotence, para adicionar um grupo hospedeiro ao IdM usando o Ansible, você deve criar um playbook no qual você define o estado do grupo hospedeiro como presente: state: present.

Pré-requisitos

  • Você sabe a senha do administrador da IdM.
  • Você instalou o pacote ansible-freeipa no controlador Ansible.

Procedimento

  1. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver nele com a lista de servidores IdM a serem alvo:

    [ipaserver]
    server.idm.example.com
  2. Criar um arquivo de livro de jogo com as informações necessárias do grupo anfitrião. Por exemplo, para garantir a presença de um grupo anfitrião chamado databases, especifique name: databases na tarefa - ipahostgroup. Para simplificar esta etapa, você pode copiar e modificar o exemplo no arquivo /usr/share/doc/ansible-freeipa/playbooks/user/ensure-hostgroup-is-present.yml.

    ---
    - name: Playbook to handle hostgroups
      hosts: ipaserver
      become: true
    
      tasks:
      # Ensure host-group databases is present
      - ipahostgroup:
          ipaadmin_password: MySecret123
          name: databases
          state: present

    No playbook, state: present significa um pedido para adicionar o grupo anfitrião à IdM, a menos que ele já exista lá.

  3. Execute o livro de brincadeiras:

    $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-hostgroup-is-present.yml

Etapas de verificação

  1. Acesse ipaserver como administrador:

    $ ssh admin@server.idm.example.com
    Password:
    [admin@server /]$
  2. Solicite um bilhete Kerberos para administração:

    $ kinit admin
    Password for admin@IDM.EXAMPLE.COM:
  3. Mostrar informações sobre o grupo anfitrião cuja presença na IdM você queria garantir:

    $ ipa hostgroup-show databases
      Host-group: databases

O grupo anfitrião databases existe na IdM.

32.2. Assegurar a presença de anfitriões em grupos anfitriões da IdM usando Livros de Brincadeiras Ansíveis

Esta seção descreve como garantir a presença de anfitriões em grupos anfitriões no Gerenciamento de Identidade (IdM) usando Livros de Brincadeiras Ansíveis.

Pré-requisitos

Procedimento

  1. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver nele com a lista de servidores IdM a serem alvo:

    [ipaserver]
    server.idm.example.com
  2. Crie um arquivo de playbook possível com as informações necessárias do anfitrião. Especificar o nome do grupo hospedeiro usando o parâmetro name da variável ipahostgroup. Especificar o nome do anfitrião com o parâmetro host da variável ipahostgroup. Para simplificar esta etapa, você pode copiar e modificar os exemplos no arquivo /usr/share/doc/ansible-freeipa/playbooks/hostgroup/ensure-hosts-and-hostgroups-are-present-in-hostgroup.yml:

    ---
    - name: Playbook to handle hostgroups
      hosts: ipaserver
      become: true
    
      tasks:
      # Ensure host-group databases is present
      - ipahostgroup:
          ipaadmin_password: MySecret123
          name: databases
          host:
          - db.idm.example.com
          action: member

    Este playbook acrescenta o anfitrião db.idm.example.com ao grupo anfitrião databases. A linha action: member indica que quando o playbook é executado, nenhuma tentativa é feita para adicionar o próprio grupo databases. Em vez disso, apenas é feita uma tentativa de adicionar db.idm.example.com a databases.

  3. Execute o livro de brincadeiras:

    $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-hosts-or-hostgroups-are-present-in-hostgroup.yml

Etapas de verificação

  1. Acesse ipaserver como administrador:

    $ ssh admin@server.idm.example.com
    Password:
    [admin@server /]$
  2. Solicite um bilhete Kerberos para administração:

    $ kinit admin
    Password for admin@IDM.EXAMPLE.COM:
  3. Mostrar informações sobre um grupo anfitrião para ver quais anfitriões estão presentes no mesmo:

    $ ipa hostgroup-show databases
      Host-group: databases
      Member hosts: db.idm.example.com

O anfitrião db.idm.example.com está presente como um membro do grupo anfitrião databases.

32.3. Aninhamento de grupos hospedeiros IdM usando Livros de Brinquedos Ansíveis

Esta seção descreve como garantir a presença de grupos anfitriões aninhados em grupos anfitriões de Gerenciamento de Identidade (IdM) usando Livros de Brincadeiras Ansíveis.

Pré-requisitos

Procedimento

  1. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver nele com a lista de servidores IdM a serem alvo:

    [ipaserver]
    server.idm.example.com
  2. Criar um arquivo de livro de jogo com as informações necessárias do grupo anfitrião. Para garantir que um grupo anfitrião aninhado A exista em um grupo anfitrião B: no Livro de jogo possível, especifique, entre as variáveis - ipahostgroup, o nome do grupo anfitrião B usando a variável name. Especificar o nome do grupo anfitrião aninhado A com a variável hostgroup. Para simplificar esta etapa, você pode copiar e modificar os exemplos no arquivo /usr/share/doc/ansible-freeipa/playbooks/hostgroup/ensure-hosts-and-hostgroups-are-present-in-hostgroup.yml:

    ---
    - name: Playbook to handle hostgroups
      hosts: ipaserver
      become: true
    
      tasks:
      # Ensure hosts and hostgroups are present in existing databases hostgroup
      - ipahostgroup:
          ipaadmin_password: MySecret123
          name: databases
          hostgroup:
          - mysql-server
          - oracle-server
          action: member

    Este caderno de exercícios possível garante a presença dos grupos anfitriões myqsl-server e oracle-server no grupo anfitrião databases. A linha action: member indica que quando o playbook é executado, nenhuma tentativa é feita para adicionar o próprio grupo databases à IdM.

  3. Execute o livro de brincadeiras:

    $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-hosts-or-hostgroups-are-present-in-hostgroup.yml

Etapas de verificação

  1. Acesse ipaserver como administrador:

    $ ssh admin@server.idm.example.com
    Password:
    [admin@server /]$
  2. Solicite um bilhete Kerberos para administração:

    $ kinit admin
    Password for admin@IDM.EXAMPLE.COM:
  3. Mostrar informações sobre o grupo anfitrião no qual os grupos anfitriões aninhados estão presentes:

    $ ipa hostgroup-show databases
      Host-group: databases
      Member hosts: db.idm.example.com
      Member host-groups: mysql-server, oracle-server

Os grupos anfitriões mysql-server e oracle-server existem no grupo anfitrião databases.

32.4. Assegurar a presença de gerentes membros em grupos anfitriões IDM usando Livros de Brincadeiras Ansíveis

O procedimento a seguir descreve como garantir a presença de gerentes membros nos anfitriões e grupos anfitriões da IdM usando um livro de jogo possível.

Pré-requisitos

  • Você sabe a senha do administrador da IdM.
  • Você instalou o pacote ansible-freeipa no controlador Ansible.
  • Você deve ter o nome do grupo anfitrião ou do grupo anfitrião que você está adicionando como gerentes membros e o nome do grupo anfitrião que você quer que eles gerenciem.

Procedimento

  1. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver no mesmo:

    [ipaserver]
    server.idm.example.com
  2. Criar um arquivo de livro de jogo possível com as informações necessárias de gerenciamento do anfitrião e dos membros do grupo anfitrião:

    ---
    
    - name: Playbook to handle host group membership management
      hosts: ipaserver
      become: true
    
      tasks:
      - name: Ensure member manager user example_member is present for group_name
          ipahostgroup:
            ipaadmin_password: MySecret123
            name: group_name
            membermanager_user: example_member
    
      - name: Ensure member manager group project_admins is present for group_name
          ipahostgroup:
            ipaadmin_password: MySecret123
            name: group_name
            membermanager_group: project_admins
  3. Execute o livro de brincadeiras:

    $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-member-managers-host-groups.yml

Etapas de verificação

Você pode verificar se o grupo group_name contém example_member e project_admins como gerentes membros, usando o comando ipa group-show:

  1. Acesse ipaserver como administrador:

    $ ssh admin@server.idm.example.com
    Password:
    [admin@server /]$
  2. Mostrar informações sobre testhostgroup:

    ipaserver]$ ipa hostgroup-show group_name
      Host-group: group_name
      Member hosts: server.idm.example.com
      Member host-groups: testhostgroup2
      Membership managed by groups: project_admins
      Membership managed by users: example_member

Recursos adicionais

  • Ver ipa hostgroup-add-member-manager --help.
  • Veja a página de manual ipa.

32.5. Garantir a ausência de anfitriões de grupos anfitriões da IdM usando Livros de Brincadeiras Ansíveis

Esta seção descreve como garantir a ausência de anfitriões de grupos anfitriões no Gerenciamento de Identidade (IdM) usando Livros de Brincadeiras Ansíveis.

Pré-requisitos

Procedimento

  1. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver nele com a lista de servidores IdM a serem alvo:

    [ipaserver]
    server.idm.example.com
  2. Criar um arquivo de livro de jogo com as informações necessárias sobre o anfitrião e o grupo anfitrião. Especificar o nome do grupo de anfitrião usando o parâmetro name da variável ipahostgroup. Especificar o nome do anfitrião cuja ausência do grupo anfitrião você deseja garantir usando o parâmetro host da variável ipahostgroup. Para simplificar esta etapa, você pode copiar e modificar os exemplos no arquivo /usr/share/doc/ansible-freeipa/playbooks/hostgroup/ensure-hosts-and-hostgroups-are-absent-in-hostgroup.yml:

    ---
    - name: Playbook to handle hostgroups
      hosts: ipaserver
      become: true
    
      tasks:
      # Ensure host-group databases is absent
      - ipahostgroup:
          ipaadmin_password: MySecret123
          name: databases
          host:
          - db.idm.example.com
          action: member
          state: absent

    Este playbook garante a ausência do anfitrião db.idm.example.com do grupo anfitrião databases. A linha action: member indica que quando o playbook é executado, nenhuma tentativa é feita para remover o grupo databases em si.

  3. Execute o livro de brincadeiras:

    $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-hosts-or-hostgroups-are-absent-in-hostgroup.yml

Etapas de verificação

  1. Acesse ipaserver como administrador:

    $ ssh admin@server.idm.example.com
    Password:
    [admin@server /]$
  2. Solicite um bilhete Kerberos para administração:

    $ kinit admin
    Password for admin@IDM.EXAMPLE.COM:
  3. Mostrar informações sobre o grupo anfitrião e os anfitriões que ele contém:

    $ ipa hostgroup-show databases
      Host-group: databases
      Member host-groups: mysql-server, oracle-server

O grupo anfitrião db.idm.example.com não existe no grupo anfitrião databases.

32.6. Assegurar a ausência de grupos anfitriões aninhados de grupos anfitriões da IdM usando Livros de Brincadeiras Ansíveis

Esta seção descreve como garantir a ausência de grupos anfitriões aninhados de grupos anfitriões externos em Gerenciamento de Identidade (IdM) usando Livros de Brincadeiras Ansíveis.

Pré-requisitos

Procedimento

  1. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver nele com a lista de servidores IdM a serem alvo:

    [ipaserver]
    server.idm.example.com
  2. Criar um arquivo de livro de jogo com as informações necessárias do grupo anfitrião. Especifique, entre as variáveis - ipahostgroup, o nome do grupo hospedeiro externo usando a variável name. Especifique o nome do grupo de anfitrião aninhado com a variável hostgroup. Para simplificar esta etapa, você pode copiar e modificar os exemplos no arquivo /usr/share/doc/ansible-freeipa/playbooks/hostgroup/ensure-hosts-and-hostgroups-are-absent-in-hostgroup.yml:

    ---
    - name: Playbook to handle hostgroups
      hosts: ipaserver
      become: true
    
      tasks:
      # Ensure hosts and hostgroups are absent in existing databases hostgroup
      - ipahostgroup:
          ipaadmin_password: MySecret123
          name: databases
          hostgroup:
          - mysql-server
          - oracle-server
          action: member
          state: absent

    Este playbook garante que os grupos anfitriões mysql-server e oracle-server estejam ausentes do grupo anfitrião databases. A linha action: member indica que quando o playbook é executado, nenhuma tentativa é feita para garantir que o próprio grupo databases seja excluído do IdM.

  3. Execute o livro de brincadeiras:

    $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-hosts-or-hostgroups-are-absent-in-hostgroup.yml

Etapas de verificação

  1. Acesse ipaserver como administrador:

    $ ssh admin@server.idm.example.com
    Password:
    [admin@server /]$
  2. Solicite um bilhete Kerberos para administração:

    $ kinit admin
    Password for admin@IDM.EXAMPLE.COM:
  3. Mostrar informações sobre o grupo anfitrião do qual os grupos anfitriões aninhados devem estar ausentes:

    $ ipa hostgroup-show databases
      Host-group: databases

A saída confirma que os grupos anfitriões mysql-server e oracle-server estão ausentes do grupo anfitrião databases externo.

32.7. Assegurando a ausência de grupos anfitriões da IdM usando Livros de Brincadeiras Ansíveis

Esta seção descreve como garantir a ausência de grupos anfitriões no Gerenciamento de Identidade (IdM) usando Livros de Brincadeiras Ansíveis.

Nota

Sem Ansible, as entradas do grupo anfitrião são removidas do IdM usando o comando ipa hostgroup-del. O resultado da remoção de um grupo hospedeiro do IdM é o estado do grupo hospedeiro estando ausente do IdM. Devido à possível dependência da idempotência, para remover um grupo hospedeiro do IdM usando o Ansible, você deve criar um playbook no qual você define o estado do grupo hospedeiro como ausente: state: absent.

Pré-requisitos

  • Você sabe a senha do administrador da IdM.
  • Você instalou o pacote ansible-freeipa no controlador Ansible.

Procedimento

  1. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver nele com a lista de servidores IdM a serem alvo:

    [ipaserver]
    server.idm.example.com
  2. Criar um arquivo de livro de jogo com as informações necessárias do grupo anfitrião. Para simplificar esta etapa, você pode copiar e modificar o exemplo no arquivo /usr/share/doc/ansible-freeipa/playbooks/user/ensure-hostgroup-is-absent.yml.

    ---
    - name: Playbook to handle hostgroups
      hosts: ipaserver
      become: true
    
      tasks:
      - Ensure host-group databases is absent
        ipahostgroup:
          ipaadmin_password: MySecret123
          name: databases
          state: absent

    Este playbook garante a ausência do grupo anfitrião databases da IdM. O state: absent significa uma solicitação para excluir o grupo anfitrião da IdM, a menos que já tenha sido excluído.

  3. Execute o livro de brincadeiras:

    $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-hostgroup-is-absent.yml

Etapas de verificação

  1. Acesse ipaserver como administrador:

    $ ssh admin@server.idm.example.com
    Password:
    [admin@server /]$
  2. Solicite um bilhete Kerberos para administração:

    $ kinit admin
    Password for admin@IDM.EXAMPLE.COM:
  3. Mostrar informações sobre o grupo anfitrião cuja ausência você garantiu:

    $ ipa hostgroup-show databases
    ipa: ERROR: databases: host group not found

O grupo anfitrião databases não existe na IdM.

32.8. Assegurar a ausência dos gerentes membros dos grupos anfitriões da IdM usando Livros de Brincadeiras Ansíveis

O procedimento a seguir descreve como garantir a ausência dos gerentes membros nos anfitriões e grupos anfitriões da IdM usando um livro de jogo possível.

Pré-requisitos

  • Você sabe a senha do administrador da IdM.
  • Você instalou o pacote ansible-freeipa no controlador Ansible.
  • Você deve ter o nome do usuário ou grupo de usuários que você está removendo como gerentes membros e o nome do grupo anfitrião que eles estão gerenciando.

Procedimento

  1. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver no mesmo:

    [ipaserver]
    server.idm.example.com
  2. Criar um arquivo de livro de jogo possível com as informações necessárias de gerenciamento do anfitrião e dos membros do grupo anfitrião:

    ---
    
    - name: Playbook to handle host group membership management
      hosts: ipaserver
      become: true
    
      tasks:
      - name: Ensure member manager host and host group members are absent for group_name
        ipahostgroup:
          ipaadmin_password: MySecret123
          name: group_name
          membermanager_user: example_member
          membermanager_group: project_admins
          action: member
          state: absent
  3. Execute o livro de brincadeiras:

    $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-member-managers-host-groups-are-absent.yml

Etapas de verificação

Você pode verificar se o grupo group_name não contém example_member ou project_admins como gerentes membros, usando o comando ipa group-show:

  1. Acesse ipaserver como administrador:

    $ ssh admin@server.idm.example.com
    Password:
    [admin@server /]$
  2. Mostrar informações sobre testhostgroup:

    ipaserver]$ ipa hostgroup-show group_name
      Host-group: group_name
      Member hosts: server.idm.example.com
      Member host-groups: testhostgroup2

Recursos adicionais

  • Ver ipa hostgroup-add-member-manager --help.
  • Veja a página de manual ipa.

Capítulo 33. Gerenciando as políticas de ingressos da Kerberos

As políticas de bilhetes Kerberos em Gerenciamento de Identidade (IdM) estabelecem restrições ao acesso, duração e renovação dos bilhetes Kerberos. Você pode configurar as políticas de bilhetes Kerberos para o Key Distribution Center (KDC) rodando no seu servidor IdM.

Este capítulo apresenta os seguintes tópicos e tarefas de gerenciamento de bilhetes Kerberos:

33.1. O papel da IdM KDC

Os mecanismos de autenticação da Gerência de Identidade utilizam a infra-estrutura Kerberos estabelecida pelo Key Distribution Center (KDC). O KDC é a autoridade confiável que armazena informações de credenciais e garante a autenticidade dos dados provenientes de entidades dentro da rede IdM.

Cada usuário, serviço e host da IdM atua como um cliente Kerberos e é identificado por um único Kerberos principal:

  • Para usuários: identifier@REALM, tais como admin@EXAMPLE.COM
  • Para serviços: service/fully-qualified-hostname@REALM, tais como http/master.example.com@EXAMPLE.COM
  • Para anfitriões: host/fully-qualified-hostname@REALM, tais como host/client.example.com@EXAMPLE.COM

A seguinte imagem é uma simplificação da comunicação entre um cliente Kerberos, o KDC, e uma aplicação Kerberizada com a qual o cliente deseja se comunicar.

Kerberos KDC flow of communication
  1. Um cliente Kerberos se identifica com o KDC autenticando-se como um diretor Kerberos. Por exemplo, um usuário da IdM realiza kinit username e fornece sua senha.
  2. O KDC verifica o principal em seu banco de dados, autentica o cliente e avalia as políticas de ingressos da Kerberos para determinar se o pedido deve ser atendido.
  3. O KDC emite ao cliente um ticket de concessão de bilhetes (TGT) com um ciclo de vida e indicadores de autenticação de acordo com a política de bilhetes apropriada.
  4. Com o TGT, o cliente solicita um service ticket do KDC para se comunicar com um serviço Kerberized em um host alvo.
  5. O KDC verifica se o TGT do cliente ainda é válido, e avalia a solicitação de bilhetes de serviço em relação às políticas de bilhetes.
  6. O KDC emite ao cliente um service ticket.
  7. Com o bilhete de serviço, o cliente pode iniciar uma comunicação criptografada com o serviço no host alvo.

33.2. Tipos de política de bilhetes da IdM Kerberos

As políticas de bilhetes da IdM Kerberos implementam os seguintes tipos de políticas de bilhetes:

Política de conexão

Para proteger os serviços Kerberized com diferentes níveis de segurança, é possível definir políticas de conexão para aplicar regras baseadas em qual mecanismo de pré-autenticação um cliente usou para recuperar um bilhete de passagem (TGT).

Por exemplo, você pode requerer autenticação de cartão inteligente para se conectar a client1.example.com, e requerer autenticação de dois fatores para acessar o aplicativo testservice em client2.example.com.

Para impor políticas de conexão, associar authentication indicators aos serviços. Somente clientes que possuem os indicadores de autenticação necessários em suas solicitações de tíquetes de serviço podem ter acesso a esses serviços. Para mais informações, consulte os indicadores de autenticação Kerberos.

Política de ciclo de vida dos bilhetes

Cada bilhete Kerberos tem um lifetime e um potencial renewal age: você pode renovar um bilhete antes que ele atinja sua vida útil máxima, mas não depois que ele exceda sua idade máxima de renovação.

A duração padrão do bilhete global é de um dia (86400 segundos) e a idade máxima de renovação padrão global é de uma semana (604800 segundos). Para ajustar estes valores globais, consulte Configurando a política global do ciclo de vida do bilhete.

Você também pode definir suas próprias políticas de ciclo de vida de bilhetes:

33.3. Indicadores de autenticação Kerberos

O Kerberos Key Distribution Center (KDC) anexa authentication indicators a um ticket de concessão de bilhetes (TGT) com base no qual o mecanismo de pré-autenticação utilizado pelo cliente comprova sua identidade:

otp
autenticação de dois fatores (senha One-Time Password)
radius
Autenticação RADIUS (comumente para autenticação 802.1x)
pkinit
PKINIT, cartão inteligente, ou autenticação de certificado
hardened
senhas endurecidas (SPAKE ou FAST)[1]

O KDC então anexa os indicadores de autenticação do TGT a qualquer pedido de tíquetes de serviço que dele resulte. O KDC aplica políticas tais como controle de acesso a serviços, duração máxima do bilhete e idade máxima renovável com base nos indicadores de autenticação.

33.3.1. Indicadores de autenticação e serviços IdM

Se você associar um serviço ou um host com um indicador de autenticação, somente os clientes que utilizaram o mecanismo de autenticação correspondente para obter um TGT poderão acessá-lo. O KDC, não o aplicativo ou serviço, verifica os indicadores de autenticação nos pedidos de bilhetes de serviço, e concede ou nega pedidos com base nas políticas de conexão Kerberos.

Por exemplo, para exigir autenticação de dois fatores para conectar ao host secure.example.com, associar o indicador de autenticação otp ao principal host/secure.example.com@EXAMPLE.COM Kerberos. Somente usuários que utilizaram uma senha One-Time para obter seu TGT inicial do KDC poderão fazer o login.

Se um serviço ou um host não tiver indicadores de autenticação atribuídos a ele, ele aceitará bilhetes autenticados por qualquer mecanismo.

Recursos adicionais



[1] Uma senha endurecida é protegida contra ataques de dicionário de senhas de força bruta utilizando a Troca de Chaves Autenticadas por Chaves Públicas (SPAKE) pré-autenticação e/ou Autenticação Flexível via Túnel Seguro (FAST) blindagem.

33.4. Aplicação de indicadores de autenticação para um serviço IdM

Este procedimento descreve a criação de um serviço IdM e sua configuração para exigir determinados indicadores de autenticação Kerberos a partir de solicitações de tickets de serviço recebidos.

Ao associar indicadores de autenticação com um serviço IdM, somente clientes que utilizaram esses mecanismos específicos de pré-autenticação para obter seu bilhete inicial de passagem (TGT) poderão ter acesso ao serviço.

33.4.1. Criação de uma entrada de serviço IdM e seu keytab Kerberos

Adicionar uma entrada IdM service ao IdM para um serviço executado em um host IdM cria um Kerberos principal correspondente, e permite que o serviço solicite um certificado SSL, um Kerberos keytab, ou ambos.

O procedimento a seguir descreve a criação de uma entrada de serviço IdM e a geração de um keytab Kerberos associado para criptografar a comunicação com esse serviço.

Pré-requisitos

  • Seu serviço pode armazenar um Kerberos principal, um certificado SSL, ou ambos.

Procedimento

  1. Adicione um serviço IdM com o comando ipa service-add para criar um Kerberos principal associado a ele. Por exemplo, para criar a entrada do serviço IdM para a aplicação testservice que roda no host client.example.com:

    [root@client ~]# ipa service-add testservice/client.example.com
    -------------------------------------------------------------
    Modified service "testservice/client.example.com@EXAMPLE.COM"
    -------------------------------------------------------------
      Principal name: testservice/client.example.com@EXAMPLE.COM
      Principal alias: testservice/client.example.com@EXAMPLE.COM
      Managed by: client.example.com
  2. Gerar e armazenar um keytab Kerberos para o serviço no cliente.

    [root@client ~]# ipa-getkeytab -k /etc/testservice.keytab -p testservice/client.example.com
    Keytab successfully retrieved and stored in: /etc/testservice.keytab

Etapas de verificação

  1. Exibir informações sobre um serviço IdM com o comando ipa service-show.

    [root@server ~]# ipa service-show testservice/client.example.com
      Principal name: testservice/client.example.com@EXAMPLE.COM
      Principal alias: testservice/client.example.com@EXAMPLE.COM
      Keytab: True
      Managed by: client.example.com
  2. Exibir o conteúdo do keytab do serviço Kerberos com o comando klist.

    [root@server etc]# klist -ekt /etc/testservice.keytab
    Keytab name: FILE:/etc/testservice.keytab
    KVNO Timestamp           Principal
    ---- ------------------- ------------------------------------------------------
       2 04/01/2020 17:52:55 testservice/client.example.com@EXAMPLE.COM (aes256-cts-hmac-sha1-96)
       2 04/01/2020 17:52:55 testservice/client.example.com@EXAMPLE.COM (aes128-cts-hmac-sha1-96)
       2 04/01/2020 17:52:55 testservice/client.example.com@EXAMPLE.COM (camellia128-cts-cmac)
       2 04/01/2020 17:52:55 testservice/client.example.com@EXAMPLE.COM (camellia256-cts-cmac)

33.4.2. Associando indicadores de autenticação com um serviço IdM

Este procedimento descreve a configuração de um serviço para exigir determinados indicadores de autenticação Kerberos a partir de solicitações de tickets de serviço recebidos.

Pré-requisitos

Atenção

Faça not atribuir indicadores de autenticação aos serviços internos da IdM. Os seguintes serviços de IdM não podem executar os passos de autenticação interativa exigidos pelo PKINIT e métodos de autenticação multi-fator:

host/server.example.com@EXAMPLE.COM
HTTP/server.example.com@EXAMPLE.COM
ldap/server.example.com@EXAMPLE.COM
DNS/server.example.com@EXAMPLE.COM
cifs/server.example.com@EXAMPLE.COM

Procedimento

  • Use o comando ipa service-mod para especificar um ou mais indicadores de autenticação necessários para um serviço, identificados com o argumento --auth-ind.

    Método de autenticação--auth-ind valor

    Autenticação de dois fatores

    otp

    Autenticação RADIUS

    radius

    PKINIT, cartão inteligente, ou autenticação de certificado

    pkinit

    Senhas temperadas (SPAKE ou FAST)

    hardened

    Por exemplo, para exigir que um usuário seja autenticado com cartão inteligente ou autenticação OTP para recuperar um tíquete de serviço para o principal testservice no host client.example.com:

    [root@server ~]# ipa service-mod testservice/client.example.com@EXAMPLE.COM --auth-ind otp --auth-ind pkinit
    -------------------------------------------------------------
    Modified service "testservice/client.example.com@EXAMPLE.COM"
    -------------------------------------------------------------
      Principal name: testservice/client.example.com@EXAMPLE.COM
      Principal alias: testservice/client.example.com@EXAMPLE.COM
      Authentication Indicators: otp, pkinit
      Managed by: client.example.com
Nota

Para remover todos os indicadores de autenticação de um serviço, forneça uma lista vazia de indicadores:

[root@server ~]# ipa service-mod testservice/client.example.com@EXAMPLE.COM --auth-ind ''
------------------------------------------------------
Modified service "testservice/client.example.com@EXAMPLE.COM"
------------------------------------------------------
  Principal name: testservice/client.example.com@EXAMPLE.COM
  Principal alias: testservice/client.example.com@EXAMPLE.COM
  Managed by: client.example.com

Etapas de verificação

  • Mostrar informações sobre um serviço IdM, incluindo os indicadores de autenticação necessários, com o comando ipa service-show.

    [root@server ~]# ipa service-show testservice/client.example.com
      Principal name: testservice/client.example.com@EXAMPLE.COM
      Principal alias: testservice/client.example.com@EXAMPLE.COM
      Authentication Indicators: otp, pkinit
      Keytab: True
      Managed by: client.example.com

Recursos adicionais

33.4.3. Obtenção de um bilhete de serviço Kerberos para um serviço IdM

O procedimento a seguir descreve a recuperação de um bilhete de serviço Kerberos para um serviço IdM. Você pode usar este procedimento para testar as políticas de bilhetes Kerberos.

Pré-requisitos

Procedimento

  • Use o comando kvno com a opção -S para recuperar um ticket de serviço e especifique o nome do serviço IdM e o nome de domínio totalmente qualificado do host que o administra.

    [root@server ~]# kvno -S testservice client.example.com
    testservice/client.example.com@EXAMPLE.COM: kvno = 1
Nota

Se você precisar acessar um serviço IdM e seu ticket de concessão de bilhetes (TGT) atual não possuir os indicadores de autenticação necessários associados a ele, limpe seu cache de credenciais Kerberos atual com o comando kdestroy e recupere um novo TGT:

[root@server ~]# kdestroy

Por exemplo, se você inicialmente recuperou um TGT autenticando com uma senha, e precisa acessar um serviço IdM que tenha o indicador de autenticação pkinit associado a ele, destruir seu cache de credenciais atual e re-autenticar com um cartão inteligente. Veja os indicadores de autenticação Kerberos.

Etapas de verificação

  • Use o comando klist para verificar se o ticket de serviço está no cache de credenciais padrão da Kerberos.

    [root@server etc]# klist_
    Ticket cache: KCM:1000
    Default principal: admin@EXAMPLE.COM
    
    Valid starting       Expires              Service principal
    04/01/2020 12:52:42  04/02/2020 12:52:39  krbtgt/EXAMPLE.COM@EXAMPLE.COM
    04/01/2020 12:54:07 04/02/2020 12:52:39 testservice/client.example.com@EXAMPLE.COM

33.4.4. Recursos adicionais

33.5. Configurando a política global do ciclo de vida dos bilhetes

A política global de bilhetes se aplica a todos os bilhetes de serviço e aos usuários que não têm nenhuma política de bilhetes por usuário definida.

O procedimento a seguir descreve o ajuste da duração máxima do bilhete e da idade máxima de renovação do bilhete para a política global de bilhetes da Kerberos usando o comando ipa krbtpolicy-mod.

Ao utilizar o comando ipa krbtpolicy-mod, especifique pelo menos um dos seguintes argumentos:

  • --maxlife para a vida útil máxima do bilhete em segundos
  • --maxrenew para a idade máxima renovável em segundos

Procedimento

  1. Modificar a política global de bilhetes:

    [root@server ~]# ipa krbtpolicy-mod --maxlife=$((8*60*60)) --maxrenew=$((24*60*60))
      Max life: 28800
      Max renew: 86400

    In this example, the maximum lifetime is set to eight hours (8 * 60 minutes * 60 seconds) and the maximum renewal age is set to one day (24 * 60 minutes * 60 seconds).

  2. Opcional: Para redefinir a política global de ingressos Kerberos para os valores padrão de instalação:

    [root@server ~]# ipa krbtpolicy-reset
      Max life: 86400
      Max renew: 604800

Etapas de verificação

  • Exibir a política global de bilhetes:

    [root@server ~]# ipa krbtpolicy-show
      Max life: 28800
      Max renew: 86640

Recursos adicionais

33.6. Configuração de políticas de bilhetes globais por indicador de autenticação

Este procedimento descreve o ajuste da duração máxima global do bilhete e da idade máxima renovável para cada indicador de autenticação. Estas configurações se aplicam aos usuários que não têm políticas de bilhetes por usuário definidas.

Use o comando ipa krbtpolicy-mod para especificar a duração máxima global ou a idade máxima renovável para os bilhetes Kerberos, dependendo dos indicadores de autenticação anexados a eles.

Procedimento

  • Por exemplo, para definir os valores globais de dois fatores de duração e idade de renovação do bilhete para uma semana, e os valores globais de duração e idade de renovação do bilhete de cartão inteligente para duas semanas:

    [root@server ~]# ipa krbtpolicy-mod --otp-maxlife=604800 --otp-maxrenew=604800 --pkinit-maxlife=172800 --pkinit-maxrenew=172800

Etapas de verificação

  • Exibir a política global de bilhetes:

    [root@server ~]# ipa krbtpolicy-show
      Max life: 86400
      OTP max life: 604800
      PKINIT max life: 172800
      Max renew: 604800
      OTP max renew: 604800
      PKINIT max renew: 172800

    Observe que os valores OTP e PKINIT são diferentes dos valores padrão globais Max life e Max renew.

Recursos adicionais

33.7. Configurando a política padrão de bilhetes para um usuário

Você pode definir uma política única de bilhetes Kerberos que se aplica somente a um único usuário. Estas configurações por usuário substituem a política global de bilhetes, para todos os indicadores de autenticação.

Use o ipa krbtpolicy-mod username e especificar pelo menos um dos seguintes argumentos:

  • --maxlife para a vida útil máxima do bilhete em segundos
  • --maxrenew para a idade máxima renovável em segundos

Procedimento

  1. Por exemplo, para definir a vida útil máxima do bilhete do usuário do IdM admin para dois dias e a idade máxima de renovação para duas semanas:

    [root@server ~]# ipa krbtpolicy-mod admin --maxlife=172800 --maxrenew=1209600
      Max life: 172800
      Max renew: 1209600
  2. Opcional: Para redefinir a política de ingressos para um usuário:

    [root@server ~]# ipa krbtpolicy-reset admin

Etapas de verificação

  • Exibir a política eficaz de bilhetes Kerberos que se aplica a um usuário:

    [root@server ~]# ipa krbtpolicy-show admin
      Max life: 172800
      Max renew: 1209600

Recursos adicionais

33.8. Configuração de políticas de bilhetes indicadores de autenticação individuais para um usuário

Como administrador, você pode definir políticas de bilhetes Kerberos para um usuário que diferem por indicador de autenticação. Por exemplo, você pode configurar uma política para permitir ao usuário do IdM admin renovar um bilhete por dois dias se ele foi obtido com autenticação OTP, e por uma semana se foi obtido com autenticação por cartão inteligente.

Estas configurações de indicadores de autenticação por autenticação anularão a política de bilhetes padrão user’s, a política de bilhetes padrão global, e qualquer política de bilhetes indicadores de autenticação global.

Use o ipa krbtpolicy-mod username para definir valores máximos personalizados de vida útil e de idade máxima renovável para os bilhetes Kerberos de um usuário, dependendo dos indicadores de autenticação anexados a eles.

Procedimento

  1. Por exemplo, para permitir ao usuário do IdM admin renovar um bilhete Kerberos por dois dias se ele foi obtido com autenticação One-Time Password, defina a opção --otp-maxrenew:

    [root@server ~]# ipa krbtpolicy-mod admin --otp-maxrenew=$((2*24*60*60))
      OTP max renew: 172800
  2. Opcional: Para redefinir a política de ingressos para um usuário:

    [root@server ~]# ipa krbtpolicy-reset username

Etapas de verificação

  • Exibir a política eficaz de bilhetes Kerberos que se aplica a um usuário:

    [root@server ~]# ipa krbtpolicy-show admin
      Max life: 28800
      Max renew: 86640

Recursos adicionais

33.9. Opções de indicadores de autenticação para o comando krbtpolicy-mod

Especificar valores para os indicadores de autenticação com os seguintes argumentos.

Tabela 33.1. Opções de indicadores de autenticação para o comando krbtpolicy-mod

Indicador de autenticaçãoArgumento para uma vida útil máximaArgumento para a idade máxima de renovação

otp

--otp-maxlife

--otp-maxrenew

radius

--radius-maxlife

--radius-maxrenew

pkinit

--pkinit-maxlife

--pkinit-maxrenew

hardened

--hardened-maxlife

--hardened-maxrenew

Capítulo 34. Definindo as políticas de senhas da IdM

Este capítulo descreve as políticas de senha do Gerenciamento de Identidade (IdM) e como adicionar uma nova política de senha no IdM usando um livro de exercícios.

34.1. O que é uma política de senha

Uma política de senhas é um conjunto de regras que as senhas devem cumprir. Por exemplo, uma política de senha pode definir a duração mínima e a duração máxima da senha. Todos os usuários afetados por esta política são obrigados a definir uma senha suficientemente longa e alterá-la com freqüência suficiente para atender às condições especificadas. Desta forma, as políticas de senhas ajudam a reduzir o risco de alguém descobrir e usar indevidamente a senha de um usuário.

34.2. Políticas de senhas na IdM

As senhas são a forma mais comum de autenticação dos usuários do Gerenciamento de Identidade (IdM) para o domínio IdM Kerberos. As políticas de senhas definem os requisitos que estas senhas de usuários IdM devem atender.

Nota

A política de senha da IdM é definida no diretório LDAP subjacente, mas o Kerberos Key Distribution Center (KDC) reforça a política de senha.

Os atributos da política de s