Red Hat Training

A Red Hat training course is available for RHEL 8

41.4. 使用 ldapmodify 保留 IdM 用户

按照以下流程,使用 ldapmodify 来保留 IdM 用户;即,如何在员工离开公司后停用用户帐户。

先决条件

  • 您可以作为具有角色的 IdM 用户进行身份验证,来保留用户。

流程

  1. 以具有角色的 IdM 用户身份登录,来保留用户:

    $ kinit admin
  2. 输入 ldapmodify 命令,并指定通用安全服务API(GSSAPI)作为用于身份验证的简单身份验证和安全层(SASL)机制:

    # ldapmodify -Y GSSAPI
    SASL/GSSAPI authentication started
    SASL username: admin@IDM.EXAMPLE.COM
    SASL SSF: 256
    SASL data security layer installed.
  3. 输入您要保留的用户的 dn

    dn: uid=user1,cn=users,cn=accounts,dc=idm,dc=example,dc=com
  4. 输入 modrdn 作为您要执行的更改的类型:

    changetype: modrdn
  5. 为用户指定 newrdn

    newrdn: uid=user1
  6. 表示您要保留用户:

    deleteoldrdn: 0
  7. 指定 新的高级 DN:

    newsuperior: cn=deleted users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com

    保存用户会将条目移到目录信息树(DIT)中的新位置。因此,您必须将新父条目的 DN 指定为新的高级 DN。

  8. 再次按 Enter 键确认输入结束:

    [Enter]
    
    modifying rdn of entry "uid=user1,cn=users,cn=accounts,dc=idm,dc=example,dc=com"
  9. 使用 Ctrl + C 退出连接。

验证步骤

  • 通过列出所有 preserved 用户来验证用户是否已保留:

    $ ipa user-find --preserved=true
    --------------
    1 user matched
    --------------
      User login: user1
      First name: First 1
      Last name: Last 1
      Home directory: /home/user1
      Login shell: /bin/sh
      Principal name: user1@IDM.EXAMPLE.COM
      Principal alias: user1@IDM.EXAMPLE.COM
      Email address: user1@idm.example.com
      UID: 1997010003
      GID: 1997010003
      Account disabled: True
      Preserved user: True
    ----------------------------
    Number of entries returned 1
    ----------------------------