Red Hat Training

A Red Hat training course is available for Red Hat Virtualization

15.7. 通过命令行管理用户任务

15.7.1. 管理用户

您可以使用 ovirt-aaa-jdbc-tool 工具程序管理内部域中的用户账户。使用这个工具程序对账户所做的修改可以马上生效,而不需要重启 ovirt-engine 服务。运行 ovirt-aaa-jdbc-tool user --help 可以获得完整的用户选项列表。本节给出了一些常见的示例。

过程 15.11. 创建用户

以下介绍了如何创建一个用户、为用户设置密码并把它加入到 Red Hat Virtualization 环境中。
  1. 登录到 Red Hat Virtualization Manager 所在的机器。
  2. 创建一个新用户账户。另外,还可以使用 --attribute 来设置账户的详细信息。运行 ovirt-aaa-jdbc-tool user add --help 可以获得相关的帮助信息。 
    # ovirt-aaa-jdbc-tool user add test1 --attribute=firstName=John --attribute=lastName=Doe 
adding user test1...
user added successfully
  3. 设置密码。您需要为 --password-valid-to 设置一个值,否则密码的过期时间会被默认设置为当前的时间。日期的格式是 yyyy-MM-dd HH:mm:ssX。在这个示例中,-0800 代表 GMT -8 小时。运行 ovirt-aaa-jdbc-tool user password-reset --help 可以获得更多选项信息。 
    # ovirt-aaa-jdbc-tool user password-reset test1 --password-valid-to="2025-08-01 12:00:00-0800"
Password:
updating user test1...
user updated successfully

    注意

    在默认情况下,内部域中的用户账户的密码策略有以下限制:
    • 最少 6 个字符。
    • 修改密码时不能使用以前使用过的密码。
    如需了解与密码策略相关的信息,以及其它默认的设置,请运行 ovirt-aaa-jdbc-tool settings show
  4. 把新创建的用户添加到管理门户中,并为用户分配适当的角色和权限。如需了解更多相关信息,请参阅 第 15.6.1 节 “添加用户并为用户分配门户权限”

过程 15.12. 查看用户信息

以下介绍了如何查看用户账户信息。它所显示的信息比管理门户中用户标签页中的信息更多。
  1. 登录到 Red Hat Virtualization Manager 所在的机器。
  2. 运行下列命令: 
    # ovirt-aaa-jdbc-tool user show test1

过程 15.13. 编辑用户信息

以下介绍了如何更新用户账户信息。
  1. 登录到 Red Hat Virtualization Manager 所在的机器。
  2. 运行以下命令编辑用户信息。这个示例会更新电子邮件地址。 
    # ovirt-aaa-jdbc-tool user edit test1 --attribute=email=jdoe@example.com

过程 15.14. 删除用户

以下介绍了如何删除用户账户
  1. 登录到 Red Hat Virtualization Manager 所在的机器。
  2. 删除用户: 
    # ovirt-aaa-jdbc-tool user delete test1
  3. 从管理门户中删除用户。相关信息请参阅 第 15.6.4 节 “删除用户”

15.7.2. 修改内部管理员用户的密码

使用 ovirt-aaa-jdbc-tool 工具程序可以重置内部管理用户(admin@internal)的密码。修改后不需要重启 ovirt-engine 服务就可以使修改的密码生效。
在默认情况下,内部域中的用户账户的密码策略有以下限制:
  • 最少 6 个字符。
  • 修改密码时不能使用以前使用过的密码。
如需了解与密码策略相关的信息,以及其它默认的设置,请运行 ovirt-aaa-jdbc-tool settings show

过程 15.15. 为内部管理员用户重设密码

  1. 登录到 Red Hat Virtualization Manager 所在的机器。
  2. 要使用交互模式修改密码,运行以下命令。您需要为 --password-valid-to 设置一个值,否则密码的过期时间会被默认设置为当前的时间。日期的格式是 yyyy-MM-dd HH:mm:ssX。在这个示例中,Z 代表 UTC 时间。如需了解更多选项信息,请运行 ovirt-aaa-jdbc-tool user password-reset --help
    # ovirt-aaa-jdbc-tool user password-reset admin --password-valid-to="2025-08-01 12:00:00Z"

15.7.3. 禁用内部管理员用户

您可以在本地域中禁用包括在运行 engine-setup 时创建的 admin@internal 用户在内的用户。在禁用默认的 admin 用户前,请确保在环境中最少有一个具有完全管理权限的用户。

过程 15.16. 禁用内部管理员用户

  1. 登录到 Red Hat Virtualization Manager 所在的机器。
  2. 确认另外一个具有 SuperUser 角色的用户已被加入到环境中。相关信息请参阅 第 15.6.1 节 “添加用户并为用户分配门户权限”
  3. 禁用默认的 admin 用户: 
    # ovirt-aaa-jdbc-tool user edit admin --flag=+disabled

    注意

    要启用一个已禁用的用户,运行 ovirt-aaa-jdbc-tool user edit username --flag=-disabled

15.7.4. 管理组

您可以使用 ovirt-aaa-jdbc-tool 工具程序管理您的本地域中的组账户。管理组和管理用户相似。运行 ovirt-aaa-jdbc-tool group --help 可以列出组的所有选项。本节提供了一些常见的任务示例。

过程 15.17. 创建一个组

以下介绍了如何创建组账户、为组添加用户以及查看组详情的步骤。
  1. 登录到 Red Hat Virtualization Manager 所在的机器。
  2. 创建一个新组 
    # ovirt-aaa-jdbc-tool group add group1
  3. 为组添加用户。这些用户需要已存在。 
    # ovirt-aaa-jdbc-tool group-manage useradd group1 --user=test1

    注意

    运行 ovirt-aaa-jdbc-tool group-manage --help 可以显示 group-manage 的完整选项列表。
  4. 查看组账户详情: 
    # ovirt-aaa-jdbc-tool group show group1
  5. 在管理门户中添加新创建的组,并为组分配适当的角色和权限。组中的用户会继承组的角色和权限。如需了解更多相关信息,请参阅 第 15.6.1 节 “添加用户并为用户分配门户权限”

过程 15.18. 创建嵌套的组

以下介绍了在组中创建其它组的步骤。
  1. 登录到 Red Hat Virtualization Manager 所在的机器。
  2. 创建第一个组: 
    # ovirt-aaa-jdbc-tool group add group1
  3. 创建第二个组: 
    # ovirt-aaa-jdbc-tool group add group1-1
  4. 把第二个组添加到第一个组中: 
    # ovirt-aaa-jdbc-tool group-manage groupadd group1 --group=group1-1
  5. 把第一个组添加到管理门户中,并为组分配适当的角色和权限。如需了解更多相关信息,请参阅 第 15.6.1 节 “添加用户并为用户分配门户权限”

15.7.5. 查询用户和组

使用 query 模块可以对用户和组信息进行查询。如需了解这个模块的所有选项,请运行 ovirt-aaa-jdbc-tool query --help

过程 15.19. 列出所有用户或组账户的信息

以下步骤会显示所有账户的信息。
  1. 登录到 Red Hat Virtualization Manager 所在的机器。
    • 列出所有用户账户信息: 
      # ovirt-aaa-jdbc-tool query --what=user
    • 列出所有组账户信息: 
      # ovirt-aaa-jdbc-tool query --what=group

过程 15.20. 列出过滤的账户信息

以下步骤会显示经过过滤的账户信息。
  1. 登录到 Red Hat Virtualization Manager 所在的机器。
    • 列出名字以字母 j 开头的用户账户信息。 
      # ovirt-aaa-jdbc-tool query --what=user --pattern="name=j*"
    • 列出部门属性被设置为 marketing 的组的信息: 
      # ovirt-aaa-jdbc-tool query --what=group --pattern="department=marketing"

15.7.6. 管理帐户设置

使用 ovirt-aaa-jdbc-tool settings 模块卡以改变默认账户的设置。

过程 15.21. 更新账户设置

以下介绍了更新默认账户设置的步骤。
  1. 登录到 Red Hat Virtualization Manager 所在的机器。
  2. 运行以下命令显示所有设置: 
    # ovirt-aaa-jdbc-tool setting show
  3. 修改相关设置:
    • 以下命令把所有用户账户的默认登录会话时间改为 60 分钟。它的默认值时 10080 分钟。 
      # ovirt-aaa-jdbc-tool setting set --name=MAX_LOGIN_MINUTES --value=60
    • 以下命令更新了把用户账户被锁定前可以进行登录操作的失败次数。它的默认值是 5。 
      # ovirt-aaa-jdbc-tool setting set --name=MAX_FAILURES_SINCE_SUCCESS --value=3

      注意

      运行 ovirt-aaa-jdbc-tool user unlock test1 可以取消锁定这个已被锁定的用户。