Red Hat Training

A Red Hat training course is available for RHEL 8

25.4. Adicionando um usuário da etapa IdM diretamente da CLI usando a ldapmodify

Esta seção descreve como um administrador de um sistema de provisionamento externo pode acessar o LDAP de Gerenciamento de Identidade (IdM) e usar o utilitário ldapmodify para adicionar um usuário em fase.

Pré-requisitos

  • O administrador da IdM criou a conta provisionator e uma senha para ela. Para detalhes, consulte Preparação de contas IdM para ativação automática das contas de usuários em estágio.
  • Você, como administrador externo, sabe a senha da conta provisionator.
  • Você pode SSH para o servidor IdM a partir de seu servidor LDAP.

  • Você é capaz de fornecer o conjunto mínimo de atributos que um usuário da etapa IdM deve ter para permitir o processamento correto do ciclo de vida do usuário, a saber

    • O distinguished name (dn)
    • O common name (cn)
    • O last name (sn)
    • O uid

Procedimento

  1. Use o protocolo SSH para conectar-se ao servidor IdM usando sua identidade e credenciais IdM: 

    $ ssh provisionator@server.idm.example.com
Password:
[provisionator@server ~]$

  2. Obter o TGT da conta provisionator, um usuário IdM com um papel para adicionar novos usuários em palco: 

    Provisor de parentesco

  3. Digite o comando ldapmodify e especifique Generic Security Services API (GSSAPI) como o mecanismo de Autenticação Simples e Camada de Segurança (SASL) a ser usado para autenticação. Especifique o nome do servidor IdM e a porta: 

    # ldapmodify -h server.idm.example.com -p 389 -Y GSSAPI
SASL/GSSAPI authentication started
SASL username: provisionator@IDM.EXAMPLE.COM
SASL SSF: 56
SASL data security layer installed.

  4. Digite o dn do usuário que você está adicionando: 

    dn: uid=usuário de palco,cn=usuário de palco,cn=contas,cn=provisionamento,dc=idm,dc=exemplo,dc=com

  5. Digite add como o tipo de mudança que você está realizando: 

    tipo de mudança: adicionar

  6. Especificar as categorias de classe de objetos LDAP necessárias para permitir o processamento correto do ciclo de vida do usuário: 

    objectClass: top
objectClass: inetorgperson

    Você pode especificar classes de objetos adicionais.

  7. Entre no site uid do usuário: 

    uid: usuário de palco

  8. Entre no site cn do usuário: 

    cn: Babs Jensen

  9. Digite o sobrenome do usuário: 

    sn: Jensen

  10. Pressione Enter novamente para confirmar que este é o fim da entrada: 

    [Enter]

adding new entry "uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com"
  11. Sair da conexão usando Ctrl C .

Etapas de verificação

Verifique o conteúdo da entrada de fase para ter certeza de que seu sistema de provisionamento adicionou todos os atributos POSIX necessários e que a entrada de fase está pronta para ser ativada.

  • Para exibir os novos atributos LDAP do usuário da etapa, digite o comando ipa stageuser-show --all --raw: 

    $ ipa stageuser-show stageuser --all --raw
  dn: uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
  uid: stageuser
  sn: Jensen
  cn: Babs Jensen
  has_password: FALSE
  has_keytab: FALSE
  nsaccountlock: TRUE
  objectClass: top
  objectClass: inetorgperson
  objectClass: organizationalPerson
  objectClass: person
    1. Note que o usuário é explicitamente desabilitado pelo atributo nsaccountlock.