Red Hat Training

A Red Hat training course is available for RHEL 8

68.3. 以 AD 用户身份管理 IdM CLI

此流程检查 Active Directory(AD)用户可以登录到 Identity Management(IdM)命令行界面(CLI),并运行适合其角色的命令。

  1. 销毁 IdM 管理员的当前 Kerberos ticket:

    # kdestroy -A
    注意

    Kerberos ticket 的破坏是必需的,因为 MIT Kerberos 中的 GSSAPI 实施首选项从目标服务域选择凭证,本例中为 IdM 域。这意味着,如果凭据缓存集合(即 KCM:、KEYRING: 或 DIR: 使用的是凭证缓存类型),则会使用之前获取 的管理员 或任何其他 IdM 主体的凭据来访问 IdM API,而不是 AD 用户的凭据。

  2. 获取已为其创建 ID 覆盖的 AD 用户的 Kerberos 凭证:

    # kinit ad_user@AD.EXAMPLE.COM
    Password for ad_user@AD.EXAMPLE.COM:
  3. 测试 AD 用户的 ID 覆盖是否因 IdM 组成员资格而获得与该组中的任何 IdM 用户相同的权限。如果 AD 用户的 ID 覆盖已添加到 admins 组中,AD 用户可以在 IdM 中创建组:

    # ipa group-add some-new-group
    ----------------------------
    Added group "some-new-group"
    ----------------------------
      Group name: some-new-group
      GID: 1997000011