Jump To Close Expand all Collapse all Table of contents 管理 IdM 用户、组、主机和访问控制规则 使开源包含更多 对红帽文档提供反馈 1. IdM 命令行工具简介 Expand section "1. IdM 命令行工具简介" Collapse section "1. IdM 命令行工具简介" 1.1. 什么是 IPA 命令行界面 1.2. IPA 帮助是什么 1.3. 使用 IPA 帮助主题 1.4. 使用 IPA help 命令 1.5. IPA 命令的结构 1.6. 使用 IPA 命令将用户帐户添加到 IdM 1.7. 使用 IPA 命令修改 IdM 中的用户帐户 1.8. 如何为 IdM 工具提供值列表 1.9. 如何在 IdM 工具中使用特殊字符 2. 使用命令行管理用户帐户 Expand section "2. 使用命令行管理用户帐户" Collapse section "2. 使用命令行管理用户帐户" 2.1. 用户生命周期 2.2. 使用命令行添加用户 2.3. 使用命令行激活用户 2.4. 使用命令行保留用户 2.5. 使用命令行删除用户 2.6. 使用命令行恢复用户 3. 使用 IdM Web UI 管理用户帐户 Expand section "3. 使用 IdM Web UI 管理用户帐户" Collapse section "3. 使用 IdM Web UI 管理用户帐户" 3.1. 用户生命周期 3.2. 在 Web UI 中添加用户 3.3. 在 IdM Web UI 中 stage 用户 3.4. 在 Web UI 中禁用用户帐户 3.5. 在 Web UI 中启用用户帐户 3.6. 在 IdM Web UI 中保留活动的用户 3.7. 在 IdM Web UI 中恢复用户 3.8. 在 IdM Web UI 中删除用户 4. 使用 Ansible playbook 管理用户帐户 Expand section "4. 使用 Ansible playbook 管理用户帐户" Collapse section "4. 使用 Ansible playbook 管理用户帐户" 4.1. 用户生命周期 4.2. 使用 Ansible playbook 确保存在一个 IdM 用户 4.3. 使用 Ansible playbook 确保存在多个 IdM 用户 4.4. 使用 Ansible playbook 确保存在 JSON 文件中的多个 IdM 用户 4.5. 确保没有用户使用 Ansible playbook 4.6. 其他资源 5. 在 IdM 中管理用户密码 Expand section "5. 在 IdM 中管理用户密码" Collapse section "5. 在 IdM 中管理用户密码" 5.1. 谁可以更改 IdM 用户密码以及如何去做 5.2. 在 IdM Web UI 中更改用户密码 5.3. 在 IdM Web UI 中重置另一个用户的密码 5.4. 重置目录管理器用户密码 5.5. 在 IdM CLI 中更改您的用户密码或重置另一个用户的密码 5.6. 在 IdM 中启用密码重置,而不会在下一次登录时提示用户更改密码 5.7. 检查 IdM 用户帐户是否已被锁住 5.8. 在 IdM 中密码失败后解锁用户帐户 5.9. 为 IdM 中的用户启用最后一次成功 Kerberos 验证的跟踪 6. 定义 IdM 密码策略 Expand section "6. 定义 IdM 密码策略" Collapse section "6. 定义 IdM 密码策略" 6.1. 什么是密码策略 6.2. IdM 中的密码策略 6.3. 使用 Ansible playbook 在 IdM 中存在密码策略 6.4. IdM 中的附加密码策略选项 6.5. 将其他密码策略选项应用到 IdM 组 6.6. 使用 Ansible playbook 将额外的密码策略选项应用到 IdM 组 7. 管理过期密码通知 Expand section "7. 管理过期密码通知" Collapse section "7. 管理过期密码通知" 7.1. 什么是过期的密码通知工具 7.2. 安装过期的密码通知工具 7.3. 运行 EPN 工具,向密码即将过期的用户发送电子邮件 7.4. 启用 ipa-epn.timer ,向密码即将过期的所有用户发送电子邮件 7.5. 修改过期密码通知电子邮件模板 8. 为 IdM 客户端上的 IdM 用户授予 sudo 访问权限 Expand section "8. 为 IdM 客户端上的 IdM 用户授予 sudo 访问权限" Collapse section "8. 为 IdM 客户端上的 IdM 用户授予 sudo 访问权限" 8.1. IdM 客户端上的 sudo 访问权限 8.2. 使用 CLI 向 IdM 客户端上的 IdM 用户授予 sudo 访问权限 8.3. 使用 CLI 向 IdM 客户端上的 AD 用户授予 sudo 访问权限 8.4. 使用 IdM Web UI 向 IdM 客户端上的 IdM 用户授予 sudo 访问权限 8.5. 在 CLI 上创建 sudo 规则,以作为 IdM 客户端上的服务帐户运行命令 8.6. 在 IdM WebUI 中创建一个 sudo 规则,该规则以 IdM 客户端上服务帐户的身份运行命令 8.7. 在 IdM 客户端上为 sudo 启用 GSSAPI 身份验证 8.8. 在 IdM 客户端上启用 GSSAPI 身份验证,并为 sudo 强制使用 Kerberos 身份验证指示符 8.9. SSSD 选项控制 PAM 服务的 GSSAPI 身份验证 8.10. sudo 的 GSSAPI 身份验证故障排除 8.11. 使用 Ansible playbook 来确保 IdM 客户端上 IdM 用户的 sudo 访问权限 9. 使用 ldapmodify 在外部管理 IdM 用户 Expand section "9. 使用 ldapmodify 在外部管理 IdM 用户" Collapse section "9. 使用 ldapmodify 在外部管理 IdM 用户" 9.1. 在外部管理 IdM 用户帐户的模板 9.2. 在外部管理 IdM 组帐户的模板 9.3. 以互动方式使用 ldapmodify 命令 9.4. 使用 ldapmodify 保留 IdM 用户 10. 使用 ldapsearch 命令搜索 IdM 条目 Expand section "10. 使用 ldapsearch 命令搜索 IdM 条目" Collapse section "10. 使用 ldapsearch 命令搜索 IdM 条目" 10.1. 使用 ldapsearch 命令 10.2. 使用 ldapsearch 过滤器 11. 为用户的外部调配配置 IdM Expand section "11. 为用户的外部调配配置 IdM" Collapse section "11. 为用户的外部调配配置 IdM" 11.1. 为 stage 用户帐户的自动激活准备 IdM 帐户 11.2. 配置 IdM stage用户帐户的自动激活 11.3. 添加 LDIF 文件中定义的 IdM stage 用户 11.4. 使用 ldapmodify 直接从 CLI 添加 IdM stage 用户 11.5. 其他资源 12. 为用户、主机和服务管理 Kerberos 主体别名 Expand section "12. 为用户、主机和服务管理 Kerberos 主体别名" Collapse section "12. 为用户、主机和服务管理 Kerberos 主体别名" 12.1. 添加一个 Kerberos 主体别名 12.2. 删除一个 Kerberos 主体别名 12.3. 添加一个 Kerberos 企业主体别名 12.4. 删除 Kerberos 企业主体别名 13. 使用 PAC 信息增强 Kerberos 安全性 Expand section "13. 使用 PAC 信息增强 Kerberos 安全性" Collapse section "13. 使用 PAC 信息增强 Kerberos 安全性" 13.1. IdM 中使用特权属性证书 (PAC) 13.2. 在 IdM 中启用安全标识符 (SID) 14. 管理 Kerberos 票据策略 Expand section "14. 管理 Kerberos 票据策略" Collapse section "14. 管理 Kerberos 票据策略" 14.1. IdM KDC 的角色 14.2. IdM Kerberos 票据策略类型 14.3. Kerberos 认证指示符 14.4. 为 IdM 服务强制执行身份验证指标 Expand section "14.4. 为 IdM 服务强制执行身份验证指标" Collapse section "14.4. 为 IdM 服务强制执行身份验证指标" 14.4.1. 创建 IdM 服务条目及其 Kerberos keytab 14.4.2. 使用 IdM CLI 将身份验证指示符与 IdM 服务相关联 14.4.3. 使用 IdM Web UI 将验证指标与 IdM 服务关联 14.4.4. 为 IdM 服务检索 Kerberos 服务票据 14.4.5. 其他资源 14.5. 配置全局票据生命周期策略 14.6. 根据身份验证指标配置全局票据策略 14.7. 为用户配置默认的票据策略 14.8. 为用户配置单独的身份验证指标票据策略 14.9. krbtpolicy-mod 命令的身份验证指标选项 15. IdM 中的 Kerberos PKINIT 身份验证 Expand section "15. IdM 中的 Kerberos PKINIT 身份验证" Collapse section "15. IdM 中的 Kerberos PKINIT 身份验证" 15.1. 默认 PKINIT 配置 15.2. 显示当前的 PKINIT 配置 15.3. 在 IdM 中配置 PKINIT 15.4. 其他资源 16. 维护 IdM Kerberos keytab 文件 Expand section "16. 维护 IdM Kerberos keytab 文件" Collapse section "16. 维护 IdM Kerberos keytab 文件" 16.1. Identity Management 如何使用 Kerberos keytab 文件 16.2. 验证 Kerberos keytab 文件是否与 IdM 数据库同步 16.3. IdM Kerberos keytab 文件内容列表 16.4. 查看 IdM 主密钥的加密类型 17. 在 IdM 中使用 KDC 代理 Expand section "17. 在 IdM 中使用 KDC 代理" Collapse section "17. 在 IdM 中使用 KDC 代理" 17.1. 配置 IdM 客户端以使用 KKDCP 17.2. 验证 IdM 服务器上是否启用了 KKDCP 17.3. 在 IdM 服务器上禁用 KKDCP 17.4. 在 IdM 服务器上重新启用 KKDCP 17.5. 配置 KKDCP 服务器 I 17.6. 配置 KKDCP 服务器 II 18. 使用 CLI 管理 IdM 中的自助服务规则 Expand section "18. 使用 CLI 管理 IdM 中的自助服务规则" Collapse section "18. 使用 CLI 管理 IdM 中的自助服务规则" 18.1. IdM 中的自助服务访问控制 18.2. 使用 CLI 创建自助服务规则 18.3. 使用 CLI 编辑自助服务规则 18.4. 使用 CLI 删除自助服务规则 19. 使用 IdM Web UI 管理自助服务规则 Expand section "19. 使用 IdM Web UI 管理自助服务规则" Collapse section "19. 使用 IdM Web UI 管理自助服务规则" 19.1. IdM 中的自助服务访问控制 19.2. 使用 IdM Web UI 创建自助服务规则 19.3. 使用 IdM Web UI 编辑自助服务规则 19.4. 使用 IdM Web UI 删除自助服务规则 20. 使用 Ansible playbook 管理 IdM 中的自助服务规则 Expand section "20. 使用 Ansible playbook 管理 IdM 中的自助服务规则" Collapse section "20. 使用 Ansible playbook 管理 IdM 中的自助服务规则" 20.1. IdM 中的自助服务访问控制 20.2. 使用 Ansible 确保存在自助服务规则 20.3. 使用 Ansible 确保缺少自助服务规则 20.4. 使用 Ansible 确保自助服务规则具有特定属性 20.5. 使用 Ansible 确保自助服务规则没有特定属性 21. 在 IdM CLI 中管理用户组 Expand section "21. 在 IdM CLI 中管理用户组" Collapse section "21. 在 IdM CLI 中管理用户组" 21.1. IdM 中的不同组类型 21.2. 直接和间接组成员 21.3. 使用 IdM CLI 添加用户组 21.4. 使用 IdM CLI 搜索用户组 21.5. 使用 IdM CLI 删除用户组 21.6. 使用 IdM CLI 将成员添加到用户组中 21.7. 添加没有用户私有组的用户 Expand section "21.7. 添加没有用户私有组的用户" Collapse section "21.7. 添加没有用户私有组的用户" 21.7.1. 没有用户私有组的用户 21.7.2. 在全局启用私有组时添加没有用户私有组的用户 21.7.3. 对所有用户全局禁用用户私有组 21.7.4. 当全局禁用用户私有组时添加用户 21.8. 使用 IdM CLI 将用户或组作为成员管理者添加到 IdM 用户组中 21.9. 使用 IdM CLI 查看组成员 21.10. 使用 IdM CLI 从用户组中删除成员 21.11. 使用 IdM CLI 从 IdM 用户组中删除作为成员管理者的用户或组 21.12. 为 IdM 中的本地和远程组启用组合并 21.13. 使用 Ansible 为用户提供 ID 覆盖对 IdM 客户端上本地声音卡的访问权限 22. 在 IdM Web UI 中管理用户组 Expand section "22. 在 IdM Web UI 中管理用户组" Collapse section "22. 在 IdM Web UI 中管理用户组" 22.1. IdM 中的不同组类型 22.2. 直接和间接组成员 22.3. 使用 IdM Web UI 添加用户组 22.4. 使用 IdM Web UI 删除用户组 22.5. 使用 IdM Web UI 将成员添加到用户组中 22.6. 使用 Web UI 将用户或组作为成员管理者添加到 IdM 用户组中 22.7. 使用 IdM Web UI 查看组成员 22.8. 使用 IdM Web UI 从用户组中删除成员 22.9. 使用 Web UI 从 IdM 用户组中删除作为成员管理者的用户或组 23. 使用 Ansible playbook 管理用户组 Expand section "23. 使用 Ansible playbook 管理用户组" Collapse section "23. 使用 Ansible playbook 管理用户组" 23.1. IdM 中的不同组类型 23.2. 直接和间接组成员 23.3. 使用 Ansible playbook 确保存在 IdM 组和组成员 23.4. 使用 Ansible 在单个任务中添加多个 IdM 组 23.5. 使用 Ansible 启用 AD 用户管理 IdM 23.6. 使用 Ansible playbook 确保 IdM 用户组中存在成员管理器 23.7. 使用 Ansible playbook 确保 IdM 用户组中没有成员管理者 24. 使用 IdM CLI 自动化组成员资格 Expand section "24. 使用 IdM CLI 自动化组成员资格" Collapse section "24. 使用 IdM CLI 自动化组成员资格" 24.1. 自动化组成员资格的好处 24.2. 自动成员规则 24.3. 使用 IdM CLI 添加自动成员规则 24.4. 使用 IdM CLI 将条件添加到自动成员规则中 24.5. 使用 IdM CLI 查看现有的自动成员规则 24.6. 使用 IdM CLI 删除自动成员规则 24.7. 使用 IdM CLI 从自动成员规则中删除条件 24.8. 使用 IdM CLI 将自动成员规则应用到现有条目 24.9. 使用 IdM CLI 配置默认的自动成员组 25. 使用 IdM Web UI 自动化组成员资格 Expand section "25. 使用 IdM Web UI 自动化组成员资格" Collapse section "25. 使用 IdM Web UI 自动化组成员资格" 25.1. 自动化组成员资格的好处 25.2. 自动成员规则 25.3. 使用 IdM Web UI 添加自动成员规则 25.4. 使用 IdM Web UI 向自动成员规则中添加条件 25.5. 使用 IdM Web UI 查看现有的自动成员规则和条件 25.6. 使用 IdM Web UI 删除自动成员规则 25.7. 使用 IdM Web UI 从自动成员规则中删除条件 25.8. 使用 IdM Web UI 将自动成员规则应用到现有条目 Expand section "25.8. 使用 IdM Web UI 将自动成员规则应用到现有条目" Collapse section "25.8. 使用 IdM Web UI 将自动成员规则应用到现有条目" 25.8.1. 为所有用户或主机重建自动成员资格 25.8.2. 只为单个用户或主机重建自动成员资格 25.9. 使用 IdM Web UI 配置默认的用户组 25.10. 使用 IdM Web UI 配置默认的主机组 26. 使用 Ansible 在 IdM 中自动化组成员资格 Expand section "26. 使用 Ansible 在 IdM 中自动化组成员资格" Collapse section "26. 使用 Ansible 在 IdM 中自动化组成员资格" 26.1. 准备 Ansible 控制节点来管理 IdM 26.2. 使用 Ansible 确保 IdM 用户组的自动成员规则存在 26.3. 使用 Ansible 确保指定的条件在 IdM 用户组自动成员规则中存在 26.4. 使用 Ansible 确保条件在 IdM 用户组自动成员规则中不存在 26.5. 使用 Ansible 确保 IdM 用户组的自动成员规则不存在 26.6. 使用 Ansible 确保 IdM 主机组自动成员规则中存在条件 26.7. 其他资源 27. 将权限委派给用户组,来使用 IdM CLI 管理用户 Expand section "27. 将权限委派给用户组,来使用 IdM CLI 管理用户" Collapse section "27. 将权限委派给用户组,来使用 IdM CLI 管理用户" 27.1. 委派规则 27.2. 使用 IdM CLI 创建委派规则 27.3. 使用 IdM CLI 查看现有的委派规则 27.4. 使用 IdM CLI 修改委派规则 27.5. 使用 IdM CLI 删除委派规则 28. 将权限委派给用户组,来使用 IdM Web UI 管理用户 Expand section "28. 将权限委派给用户组,来使用 IdM Web UI 管理用户" Collapse section "28. 将权限委派给用户组,来使用 IdM Web UI 管理用户" 28.1. 委派规则 28.2. 使用 IdM WebUI 创建委派规则 28.3. 使用 IdM WebUI 查看现有的委派规则 28.4. 使用 IdM WebUI 修改委派规则 28.5. 使用 IdM WebUI 删除委派规则 29. 委派权限到用户组,以使用 Ansible playbook 管理用户 Expand section "29. 委派权限到用户组,以使用 Ansible playbook 管理用户" Collapse section "29. 委派权限到用户组,以使用 Ansible playbook 管理用户" 29.1. 委派规则 29.2. 为 IdM 创建 Ansible 清单文件 29.3. 使用 Ansible 确保存在委派规则 29.4. 使用 Ansible 确保没有委派规则 29.5. 使用 Ansible 确保委派规则具有特定属性 29.6. 使用 Ansible 确保委派规则没有特定属性 30. 使用 CLI 在 IdM 中管理基于角色的访问控制 Expand section "30. 使用 CLI 在 IdM 中管理基于角色的访问控制" Collapse section "30. 使用 CLI 在 IdM 中管理基于角色的访问控制" 30.1. IdM 中的基于角色的访问控制 Expand section "30.1. IdM 中的基于角色的访问控制" Collapse section "30.1. IdM 中的基于角色的访问控制" 30.1.1. IdM 中的权限 30.1.2. 默认管理的权限 30.1.3. IdM 中的特权 30.1.4. IdM 中的角色 30.1.5. Identity Management 中的预定义角色 30.2. 在 CLI 中管理 IdM 权限 30.3. 现有权限的命令选项 30.4. 在 CLI 中管理 IdM 特权 30.5. 现有权限的命令选项 30.6. 在 CLI 中管理 IdM 角色 30.7. 现有角色的命令选项 31. 使用 IdM Web UI 管理基于角色的访问控制 Expand section "31. 使用 IdM Web UI 管理基于角色的访问控制" Collapse section "31. 使用 IdM Web UI 管理基于角色的访问控制" 31.1. IdM 中的基于角色的访问控制 Expand section "31.1. IdM 中的基于角色的访问控制" Collapse section "31.1. IdM 中的基于角色的访问控制" 31.1.1. IdM 中的权限 31.1.2. 默认管理的权限 31.1.3. IdM 中的特权 31.1.4. IdM 中的角色 31.1.5. Identity Management 中的预定义角色 31.2. 在 IdM Web UI 中管理权限 31.3. 在 IdM Web UI 中管理特权 31.4. 在 IdM Web UI 中管理角色 32. 准备您的环境以使用 Ansible playbook 管理 IdM 33. 在 IdM 中使用 Ansible playbook 管理基于角色的访问控制 Expand section "33. 在 IdM 中使用 Ansible playbook 管理基于角色的访问控制" Collapse section "33. 在 IdM 中使用 Ansible playbook 管理基于角色的访问控制" 33.1. IdM 中的权限 33.2. 默认管理的权限 33.3. IdM 中的特权 33.4. IdM 中的角色 33.5. Identity Management 中的预定义角色 33.6. 使用 Ansible 确保存在带有特权的 IdM RBAC 角色 33.7. 使用 Ansible 确保缺少 IdM RBAC 角色 33.8. 使用 Ansible 确保为一组用户分配 IdM RBAC 角色 33.9. 使用 Ansible 确保没有将特定用户分配给 IdM RBAC 角色 33.10. 使用 Ansible 确保服务是 IdM RBAC 角色的成员 33.11. 使用 Ansible 确保主机是 IdM RBAC 角色的成员 33.12. 使用 Ansible 确保主机组是 IdM RBAC 角色的成员 34. 使用 Ansible playbook 管理 RBAC 特权 Expand section "34. 使用 Ansible playbook 管理 RBAC 特权" Collapse section "34. 使用 Ansible playbook 管理 RBAC 特权" 34.1. 使用 Ansible 确保存在自定义 IdM RBAC 特权 34.2. 使用 Ansible 确保自定义 IdM RBAC 特权中存在成员权限 34.3. 使用 Ansible 确保 IdM RBAC 特权不包括权限 34.4. 使用 Ansible 重命名自定义 IdM RBAC 特权 34.5. 使用 Ansible 确保缺少 IdM RBAC 特权 34.6. 其他资源 35. 使用 Ansible playbook 在 IdM 中管理 RBAC 权限 Expand section "35. 使用 Ansible playbook 在 IdM 中管理 RBAC 权限" Collapse section "35. 使用 Ansible playbook 在 IdM 中管理 RBAC 权限" 35.1. 使用 Ansible 确保存在 RBAC 权限 35.2. 使用 Ansible 确保存在带有属性的 RBAC 权限 35.3. 使用 Ansible 确保缺少 RBAC 权限 35.4. 使用 Ansible 确保属性是 IdM RBAC 权限的成员 35.5. 使用 Ansible 确保属性不是 IdM RBAC 权限的成员 35.6. 使用 Ansible 重命名 IdM RBAC 权限 35.7. 其他资源 36. 使用 ID 视图来覆盖 IdM 客户端上的用户属性值 Expand section "36. 使用 ID 视图来覆盖 IdM 客户端上的用户属性值" Collapse section "36. 使用 ID 视图来覆盖 IdM 客户端上的用户属性值" 36.1. ID 视图 36.2. ID 视图对 SSSD 性能的潜在负面影响 36.3. ID 视图可以覆盖的属性 36.4. 获取 ID 视图命令的帮助信息 36.5. 使用 ID 视图来覆盖特定主机上 IdM 用户的登录名称 36.6. 修改 IdM ID 视图 36.7. 添加 ID 视图来覆盖 IdM 客户端上的 IdM 用户主目录 36.8. 将 ID 视图应用到 IdM 主机组 36.9. 将 NIS 域迁移到身份管理 37. 为活动目录用户使用 ID 视图 Expand section "37. 为活动目录用户使用 ID 视图" Collapse section "37. 为活动目录用户使用 ID 视图" 37.1. Default Trust View 是如何工作的 37.2. 通过修改 Default Trust View 为 AD 用户定义全局属性 37.3. 对带有 ID 视图的 IdM 客户端上的 AD 用户覆盖 Default Trust View 属性 37.4. 将 ID 视图应用到 IdM 主机组 38. 手动调整 ID 范围 Expand section "38. 手动调整 ID 范围" Collapse section "38. 手动调整 ID 范围" 38.1. ID 范围 38.2. 自动 ID 范围分配 38.3. 在服务器安装过程中手动分配 IdM ID 范围 38.4. 添加新的 IdM ID 范围 38.5. IdM ID 范围中的安全性和相对标识符的角色 38.6. 使用 Ansible 添加新的本地 IdM ID 范围 38.7. 删除对 AD 的信任后删除 ID 范围 38.8. 显示当前分配的 DNA ID 范围 38.9. 手动 ID 范围分配 38.10. 手动分配 DNA ID 范围 39. 手动管理 subID 范围 Expand section "39. 手动管理 subID 范围" Collapse section "39. 手动管理 subID 范围" 39.1. 使用 IdM CLI 生成子 subID 范围 39.2. 使用 IdM WebUI 接口生成 subID 范围 39.3. 使用 IdM CLI 管理现有的 subID 范围 39.4. 使用 getsubid 命令列出 subID 范围 40. 在 IdM CLI 中管理主机 Expand section "40. 在 IdM CLI 中管理主机" Collapse section "40. 在 IdM CLI 中管理主机" 40.1. IdM 中的主机 40.2. 主机注册 40.3. 主机注册所需的用户权限 40.4. IdM 主机和用户的注册和身份验证:比较 40.5. 主机操作 40.6. IdM LDAP 中的主机条目 40.7. 从 IdM CLI 添加 IdM 主机条目 40.8. 从 IdM CLI 删除主机条目 40.9. 重新注册身份管理客户端 Expand section "40.9. 重新注册身份管理客户端" Collapse section "40.9. 重新注册身份管理客户端" 40.9.1. IdM 中的客户端重新注册 40.9.2. 使用用户凭证重新注册客户端: 交互式重新注册 40.9.3. 使用 client keytab: Non-interactive reenrollment 重新注册客户端 40.9.4. 安装后测试身份管理客户端 40.10. 重命名身份管理客户端系统 Expand section "40.10. 重命名身份管理客户端系统" Collapse section "40.10. 重命名身份管理客户端系统" 40.10.1. 准备 IdM 客户端以进行重命名 40.10.2. 卸载身份管理客户端 40.10.3. 重命名主机系统 40.10.4. 重新添加服务、重新生成证书和重新添加主机组 40.11. 禁用和重新启用主机条目 Expand section "40.11. 禁用和重新启用主机条目" Collapse section "40.11. 禁用和重新启用主机条目" 40.11.1. 禁用主机 40.11.2. 重新启用主机 41. 从 IdM Web UI 添加主机条目 Expand section "41. 从 IdM Web UI 添加主机条目" Collapse section "41. 从 IdM Web UI 添加主机条目" 41.1. IdM 中的主机 41.2. 主机注册 41.3. 主机注册所需的用户权限 41.4. IdM 主机和用户的注册和身份验证:比较 41.5. IdM LDAP 中的主机条目 41.6. 从 Web UI 添加主机条目 42. 使用 Ansible playbook 管理主机 Expand section "42. 使用 Ansible playbook 管理主机" Collapse section "42. 使用 Ansible playbook 管理主机" 42.1. 使用 Ansible playbook 确保存在带有 FQDN 的 IdM 主机条目 42.2. 使用 Ansible playbook 确保存在含有 DNS 信息的 IdM 主机条目 42.3. 使用 Ansible playbook 确保存在带有随机密码的多个 IdM 主机条目 42.4. 使用 Ansible playbook 确保存在具有多个 IP 地址的 IdM 主机条目 42.5. 使用 Ansible playbook 确保没有 IdM 主机条目 42.6. 其他资源 43. 使用 IdM CLI 管理主机组 Expand section "43. 使用 IdM CLI 管理主机组" Collapse section "43. 使用 IdM CLI 管理主机组" 43.1. IdM 中的主机组 43.2. 使用 CLI 查看 IdM 主机组 43.3. 使用 CLI 创建 IdM 主机组 43.4. 使用 CLI 删除 IdM 主机组 43.5. 使用 CLI 添加 IdM 主机组成员 43.6. 使用 CLI 删除 IdM 主机组成员 43.7. 使用 CLI 添加 IdM 主机组成员管理者 43.8. 使用 CLI 删除 IdM 主机组成员管理者 44. 使用 IdM Web UI 管理主机组 Expand section "44. 使用 IdM Web UI 管理主机组" Collapse section "44. 使用 IdM Web UI 管理主机组" 44.1. IdM 中的主机组 44.2. 在 IdM Web UI 中查看主机组 44.3. 在 IdM Web UI 中创建主机组 44.4. 在 IdM Web UI 中删除主机组 44.5. 在 IdM Web UI 中添加主机组成员 44.6. 在 IdM Web UI 中删除主机组成员 44.7. 使用 Web UI 添加 IdM 主机组成员管理者 44.8. 使用 Web UI 删除 IdM 主机组成员管理者 45. 使用 Ansible playbook 管理主机组 Expand section "45. 使用 Ansible playbook 管理主机组" Collapse section "45. 使用 Ansible playbook 管理主机组" 45.1. IdM 中的主机组 45.2. 使用 Ansible playbook 确保存在 IdM 主机组 45.3. 确保使用 Ansible playbook 在 IdM 主机组中存在主机 45.4. 使用 Ansible playbook 嵌套 IdM 主机组 45.5. 使用 Ansible Playbook 在 IDM 主机组中存在成员管理器 45.6. 使用 Ansible playbook 确保 IdM 主机组中没有主机 45.7. 使用 Ansible playbook 确保 IdM 主机组没有嵌套的主机组 45.8. 使用 Ansible playbook 确保没有 IdM 主机组 45.9. 使用 Ansible playbook 确保 IdM 主机组中没有成员管理器 46. 配置基于主机的访问控制规则 Expand section "46. 配置基于主机的访问控制规则" Collapse section "46. 配置基于主机的访问控制规则" 46.1. 使用 WebUI 在 IdM 域中配置 HBAC 规则 Expand section "46.1. 使用 WebUI 在 IdM 域中配置 HBAC 规则" Collapse section "46.1. 使用 WebUI 在 IdM 域中配置 HBAC 规则" 46.1.1. 在 IdM WebUI 中创建 HBAC 规则 46.1.2. 在 IdM WebUI 中测试 HBAC 规则 46.1.3. 在 IdM WebUI 中禁用 HBAC 规则 46.2. 使用 CLI 在 IdM 域中配置 HBAC 规则 Expand section "46.2. 使用 CLI 在 IdM 域中配置 HBAC 规则" Collapse section "46.2. 使用 CLI 在 IdM 域中配置 HBAC 规则" 46.2.1. 在 IdM CLI 中创建 HBAC 规则 46.2.2. 在 IdM CLI 中测试 HBAC 规则 46.2.3. 在 IdM CLI 中禁用 HBAC 规则 46.3. 为自定义 HBAC 服务添加 HBAC 服务条目 Expand section "46.3. 为自定义 HBAC 服务添加 HBAC 服务条目" Collapse section "46.3. 为自定义 HBAC 服务添加 HBAC 服务条目" 46.3.1. 在 IdM Web UI 中为自定义 HBAC 服务添加 HBAC 服务条目 46.3.2. 在 IdM CLI 中为自定义 HBAC 服务添加 HBAC 服务条目 46.4. 添加 HBAC 服务组 Expand section "46.4. 添加 HBAC 服务组" Collapse section "46.4. 添加 HBAC 服务组" 46.4.1. 在 IdM WebUI 中添加 HBAC 服务组 46.4.2. 在 IdM CLI 中添加 HBAC 服务组 47. 使用 Ansible playbook 确保在 IdM 中存在基于主机的访问控制规则 Expand section "47. 使用 Ansible playbook 确保在 IdM 中存在基于主机的访问控制规则" Collapse section "47. 使用 Ansible playbook 确保在 IdM 中存在基于主机的访问控制规则" 47.1. IdM 中的基于主机的访问控制规则 47.2. 使用 Ansible playbook 确保在 IdM 中存在 HBAC 规则 48. 管理用户和主机的公共 SSH 密钥 Expand section "48. 管理用户和主机的公共 SSH 密钥" Collapse section "48. 管理用户和主机的公共 SSH 密钥" 48.1. 关于 SSH 密钥格式 48.2. 关于 IdM 和 OpenSSH 48.3. 生成 SSH 密钥 48.4. 管理主机的公共 SSH 密钥 Expand section "48.4. 管理主机的公共 SSH 密钥" Collapse section "48.4. 管理主机的公共 SSH 密钥" 48.4.1. 使用 IdM Web UI 上传主机的 SSH 密钥 48.4.2. 使用 IdM CLI 上传主机的 SSH 密钥 48.4.3. 使用 IdM Web UI 删除主机的 SSH 密钥 48.4.4. 使用 IdM CLI 删除主机的 SSH 密钥 48.5. 管理用户的公共 SSH 密钥 Expand section "48.5. 管理用户的公共 SSH 密钥" Collapse section "48.5. 管理用户的公共 SSH 密钥" 48.5.1. 使用 IdM Web UI 上传用户的 SSH 密钥 48.5.2. 使用 IdM CLI 上传用户的 SSH 密钥 48.5.3. 使用 IdM Web UI 删除用户的 SSH 密钥 48.5.4. 使用 IdM CLI 删除用户的 SSH 密钥 49. 配置域解析顺序来解析简短的 AD 用户名 Expand section "49. 配置域解析顺序来解析简短的 AD 用户名" Collapse section "49. 配置域解析顺序来解析简短的 AD 用户名" 49.1. 域解析顺序的工作方式 49.2. 在 IdM 服务器上设置全局域解析顺序 49.3. 为 IdM 服务器上的 ID 视图设置域解析顺序 49.4. 在 IdM 客户端上的 SSSD 中设置域解析顺序 49.5. 其他资源 50. 在 IdM 中使用 AD User Principal Names 启用身份验证 Expand section "50. 在 IdM 中使用 AD User Principal Names 启用身份验证" Collapse section "50. 在 IdM 中使用 AD User Principal Names 启用身份验证" 50.1. IdM 信任的 AD 林中的用户主体名称 50.2. 确保 AD UPN 在 IdM 中是最新的 50.3. 为 AD UPN 身份验证问题收集故障排除数据 51. 启用 AD 用户管理 IdM Expand section "51. 启用 AD 用户管理 IdM" Collapse section "51. 启用 AD 用户管理 IdM" 51.1. AD 用户的 ID 覆盖 51.2. 使用 ID 覆盖来启用 AD 用户管理 IdM 51.3. 使用 Ansible 启用 AD 用户管理 IdM 51.4. 验证 AD 用户是否可以在 IdM CLI 中执行正确的命令 52. 使用外部身份提供程序向 IdM 进行身份验证 Expand section "52. 使用外部身份提供程序向 IdM 进行身份验证" Collapse section "52. 使用外部身份提供程序向 IdM 进行身份验证" 52.1. 将 IdM 连接到外部 IdP 的好处 Expand section "52.1. 将 IdM 连接到外部 IdP 的好处" Collapse section "52.1. 将 IdM 连接到外部 IdP 的好处" 52.1.1. IdM 如何通过外部 IdP 融合登录 52.2. 创建对外部身份提供程序的引用 52.3. 管理对外部 IdP 的引用 52.4. 启用 IdM 用户通过外部 IdP 进行身份验证 52.5. 以 IdP 用户身份检索 IdM ticket-granting ticket 52.6. 以 IdP 用户身份通过 SSH 登录到 IdM 客户端 52.7. 外部身份提供程序的模板列表 法律通告 Settings Close Language: 简体中文 日本語 한국어 English Language: 简体中文 日本語 한국어 English Format: Multi-page Single-page Format: Multi-page Single-page Language and Page Formatting Options Language: 简体中文 日本語 한국어 English Language: 简体中文 日本語 한국어 English Format: Multi-page Single-page Format: Multi-page Single-page 第 6 章 定义 IdM 密码策略 本章论述了 Identity Management (IdM) 密码策略,以及如何使用 Ansible playbook 在 IdM 中添加新的密码策略。 6.1. 什么是密码策略 密码策略是密码必须满足的一组规则。例如,password 策略可以定义最小密码长度和最大密码生命周期。受此策略影响的所有用户都必须设置足够长的密码,并经常更改密码以满足指定条件。这样,密码策略有助于降低某人发现和滥用用户密码的风险。 Previous Next