Red Hat Training

A Red Hat training course is available for RHEL 8

33.4. 使用 ldapmodify 直接从 CLI 添加 IdM 暂存用户

本节论述了外部调配系统的管理员如何访问身份管理(IdM)LDAP,并使用 ldapmodify 实用程序添加暂存用户。

先决条件

  • IdM 管理员已为其创建了调配器帐户及其密码详情请参阅为自动激活暂存用户帐户准备 IdM 帐户
  • 作为外部管理员,您知道调配器帐户的密码
  • 您可以从 LDAP 服务器通过 SSH 连接到 IdM 服务器。
  • 您可以提供 IdM 阶段用户必须允许正确处理用户生命周期的最小属性集,即:

    • 分辨名称 (dn)
    • 通用名称 (cn)
    • 姓氏 (sn)
    • The uid

流程

  1. 使用 SSH 协议使用您的 IdM 身份和凭证连接到 IdM 服务器:

    $ ssh provisionator@server.idm.example.com
    Password:
    [provisionator@server ~]$
  2. 获取置备程序帐户的 TGT,这是具有角色的 IdM 用户来添加新阶段用户:

    $ kinit provisionator
  3. 输入 ldapmodify 命令,并将 Generic Security Services API(GSSAPI)指定为用于身份验证的简单身份验证和安全层(SASL)机制。指定 IdM 服务器的名称和端口:

    # ldapmodify -h server.idm.example.com -p 389 -Y GSSAPI
    SASL/GSSAPI authentication started
    SASL username: provisionator@IDM.EXAMPLE.COM
    SASL SSF: 56
    SASL data security layer installed.
  4. 输入您要添加的用户的 The dn

    dn: uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
  5. 输入 add 作为您要执行的更改类型:

    changetype: add
  6. 指定允许正确处理用户生命周期所需的 LDAP 对象类类别:

    objectClass: top
    objectClass: inetorgperson

    您可以指定其他对象类。

  7. 输入用户的 uid

    uid: stageuser
  8. 输入用户的 cn:

    cn: Babs Jensen
  9. 输入用户的姓氏:

    sn: Jensen
  10. 再次按 Enter 键确认这是条目的末尾:

    [Enter]
    
    adding new entry "uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com"
  11. 使用 Ctrl + C 退出连接。

验证步骤

验证暂存条目的内容,以确保您的调配系统添加了所有必需的 POSIX 属性,并且暂存条目已就绪,可激活。

  • 要显示新阶段用户的 LDAP 属性,请输入 ipa stageuser-show --all --raw 命令:

    $ ipa stageuser-show stageuser --all --raw
      dn: uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
      uid: stageuser
      sn: Jensen
      cn: Babs Jensen
      has_password: FALSE
      has_keytab: FALSE
      nsaccountlock: TRUE
      objectClass: top
      objectClass: inetorgperson
      objectClass: organizationalPerson
      objectClass: person
    1. 请注意,通过 then saccountlock 属性明确禁用该用户。