Red Hat Training

A Red Hat training course is available for RHEL 8

第 11 章 使用 IdM Web UI 管理用户帐户

身份管理(IdM)提供多个阶段,可帮助您管理各种用户工作生命周期情况:

创建用户帐户

在员工在公司职业生涯开始之前创建阶段用户帐户,并在员工办公室出现并想要激活客户时提前做好准备。

您可以省略此步骤并直接创建活跃的用户帐户。这个过程与创建阶段用户帐户类似。

激活用户帐户
激活该帐户是该员工的第一个工作日
禁用用户帐户
如果用户离开了几个月,您将需要临时禁用该帐户
启用用户帐户
用户返回时,您将需要重新启用该帐户
保留用户帐户
如果用户想要离开公司,您将需要删除该帐户,以便能够将其恢复,因为人们可以在一段时间后返回到公司
恢复用户帐户
两年后,用户恢复,您需要恢复保留的帐户
删除用户帐户
如果该员工被终止,您会在没有备份的情况下删除该帐户

11.1. 用户生命周期

IdM(身份管理)支持三个用户帐户状态:

  • 阶段用户不允许进行身份验证。这是初始状态。无法设置活动用户所需的一些用户帐户属性,例如组成员资格。
  • 活动用户被允许进行身份验证。所有必需的用户帐户属性都必须设置为此状态。
  • 保留的用户是以前被视为不活跃且无法向 IdM 进行身份验证的活动用户。保留的用户保留他们作为活动用户的大多数帐户属性,但它们不属于任何用户组。

A flow chart displaying 4 items: Active users - Stage users - Preserved users - Deleted users. Arrows communicate the relationships between each kind of user: Active users can be "preserved" as Preserved users. Preserved users can be "restored" as Active users. Preserved users can be "staged" as Stage users and Stage users can be "activated" into Active users. All users can be deleted to become "Deleted users".

您可以从 IdM 数据库永久删除用户条目。

重要

删除的用户帐户无法恢复。当您删除用户帐户时,与帐户相关的所有信息都将永久丢失。

新管理员只能由具备管理员权限的用户创建,如默认的 admin 用户。如果您意外删除所有管理员帐户,目录管理器必须在 Directory 服务器中手动创建新管理员。

警告

不要删除 admin 用户。由于 admin 是 IdM 所需的预定义用户,因此此操作会导致某些命令出现问题。如果要定义和使用备选 admin 用户,请在为至少一个其他用户授予 admin 权限后,使用 ipa user-disable admin 来禁用预定义的 admin 用户。

警告

不要将本地用户添加到 IdM。在解析本地用户和组前,名称服务切换(NSS)总是解析 IdM 用户和组。这意味着 IdM 组成员资格不适用于本地用户。