Red Hat Training

A Red Hat training course is available for RHEL 8

40.4. 使用 ldapmodify 直接从 CLI 添加 IdM stage 用户

按照以下流程访问身份管理(IdM) LDAP,并使用 ldapmodify 工具添加 stage 用户。

先决条件

  • IdM 管理员已为其创建了 provisionator 帐户和密码。详情请参阅 为 stage 用户帐户的自动激活准备 IdM 帐户
  • 作为外部管理员,您知道 provisionator 帐户的密码。
  • 您可以从 LDAP 服务器通过 SSH 连接到 IdM 服务器。
  • 您可以提供 IdM stage 用户必须有的最小的属性集来允许正确处理用户生命周期,即:

    • 可区分的名称 (dn)
    • 通用名称 (cn)
    • 姓氏 (sn)
    • uid

流程

  1. 使用您的 IdM 身份和凭证,通过 SSH 协议连接到 IdM 服务器:

    $ ssh provisionator@server.idm.example.com
    Password:
    [provisionator@server ~]$
  2. 获取 provisionator 帐户的 TGT,这是具有添加新 stage 用户角色的 IdM 用户:

    $ kinit provisionator
  3. 输入 ldapmodify 命令,并将通用安全服务 API(GSSAPI)指定为用于身份验证的简单身份验证和安全层(SASL)机制。指定 IdM 服务器的名称和端口:

    # ldapmodify -h server.idm.example.com -p 389 -Y GSSAPI
    SASL/GSSAPI authentication started
    SASL username: provisionator@IDM.EXAMPLE.COM
    SASL SSF: 56
    SASL data security layer installed.
  4. 输入您要添加的用户的 dn

    dn: uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
  5. 输入 add 作为您要执行的更改的类型:

    changetype: add
  6. 指定允许正确处理用户生命周期所需的 LDAP 对象类类别:

    objectClass: top
    objectClass: inetorgperson

    您可以指定其他对象类。

  7. 输入用户的 uid

    uid: stageuser
  8. 输入用户的 cn:

    cn: Babs Jensen
  9. 输入用户的姓氏:

    sn: Jensen
  10. 再次按 Enter 键确认输入结束:

    [Enter]
    
    adding new entry "uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com"
  11. 使用 Ctrl + C 退出连接。

验证步骤

验证 stage 条目的内容,以确保您的调配系统添加了所有必需的 POSIX 属性,并且 stage 条目已准备好被激活。

  • 要显示新 stage 用户的 LDAP 属性,请输入 ipa stageuser-show --all --raw 命令:

    $ ipa stageuser-show stageuser --all --raw
      dn: uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
      uid: stageuser
      sn: Jensen
      cn: Babs Jensen
      has_password: FALSE
      has_keytab: FALSE
      nsaccountlock: TRUE
      objectClass: top
      objectClass: inetorgperson
      objectClass: organizationalPerson
      objectClass: person
    1. 请注意,通过 saccountlock 属性,用户被显式禁用了。