Gestion des utilisateurs et groupes sur FreeIPA |
Article original Publié le : 31 octobre 2020 Mise a jour le : – |
Quelques commandes de base en cli
Créer un utilisateur
1 |
$ ipa user-add <strong>utilisateur </strong>--first=<strong>Prenom </strong>--last=<strong>Nom</strong> --password |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
Password: Enter Password again to verify: ------------------------ Added user "utilisateur" ------------------------ User login: utilisateur First name: Prenom Last name: Nom Full name: Prenom Nom Display name: Prenom Nom Initials: PN Home directory: /home/utilisateur GECOS: Prenom Nom Login shell: /bin/bash Principal name: utilisateur@IZERO.LAN Principal alias: utilisateur@IZERO.LAN User password expiration: 20201024201605Z Email address: utilisateur@izero.lan UID: 69200013 GID: 69200013 Password: True Member of groups: ipausers Kerberos keys available: True |
/!\ L’utilisateur est invité a changer son mot de passe a la première connexion.
Se rendre sur l’interface graphique https://fqdn/ipa/ui et y entrer le login/mdp
Ajouter l’utilisateur a un groupe existant
1 |
ipa group-add-member <strong>nom_du_groupe</strong> --users=<strong>utilisateur</strong> |
1 2 3 4 5 6 7 |
Group name: nom_du_groupe Description: description_du_groupe GID: 69200016 Member users: utilisateur ------------------------- Number of members added 1 ------------------------- |
Ajouter l’utilisateur a un groupe existant et membre d’un autre groupe
1 |
$ ipa group-add-member <strong>nom_du_groupe</strong> --users=<strong>utilisateur</strong> --groups=<strong>autre_groupe</strong> |
1 2 3 4 5 6 7 8 9 |
Group name: nom_du_groupe Description: description_du_groupe GID: 69200012 Member users: utilisateur Member groups: <strong>autre_groupe</strong> Indirect Member users: user_noadmin, test ------------------------- Number of members added 2 ------------------------- |
Supprimer l’utilisateur d’un groupe existant
1 |
$ ipa group-remove-member <strong>nom_du_groupe</strong> --users=<strong>utilisateur</strong> |
1 2 3 4 5 6 |
Group name: nom_du_groupe Description: description_du_groupe GID: 69200012 --------------------------- Number of members removed 1 --------------------------- |
Désactiver un compte utilisateur
1 |
$ ipa user-disable <strong>utilisateur</strong> |
1 2 3 |
----------------------------------- Disabled user account "utilisateur" ----------------------------------- |
Réactiver un compte utilisateur
1 |
$ ipa user-enable <strong>utilisateur</strong> |
1 2 3 |
---------------------------------- Enabled user account "utilisateur" ---------------------------------- |
Supprimer un utilisateur
1 |
$ ipa user-del <strong>utilisateur </strong> |
1 2 3 |
-------------------------- Deleted user "utilisateur" -------------------------- |
Créer un nouveau groupe
1 |
$ ipa group-add --desc='<strong>description_du_groupe</strong>' <strong>nom_du_groupe</strong> |
1 2 3 4 5 6 |
--------------------------- Added group "nom_du_groupe" --------------------------- Group name: nom_du_groupe Description: description_du_groupe GID: 69200012 |
Supprimer un groupe
1 |
$ ipa group-del <strong>nom_du_groupe</strong> |
1 2 3 |
----------------------------- Deleted group "nom_du_groupe" ----------------------------- |
Renommer un groupe
1 |
$ ipa group-mod nom_du_groupe --rename="nouveau_nom_du_groupe" |
1 2 3 |
----------------------------- Modified group "nouveau_nom_du_groupe" ----------------------------- |
Lister un utilisateur en détail
1 |
$ ipa user-show <strong>utilisateur</strong> |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
User login: utilisateur First name: Prenom Last name: Nom Home directory: /home/utilisateur Login shell: /bin/bash Principal name: utilisateur@IZERO.LAN Principal alias: utilisateur@IZERO.LAN Email address: utilisateur@izero.lan UID: 69200015 GID: 69200015 Account disabled: False Password: True Member of groups: ipausers, nom_du_groupe Kerberos keys available: True |
Sur un replica la commande ipa user-status nom_user peut s’averer utilie pour déceler un soucis sur une instance
Cela faisait suite au Directory Service qui etait ko (systemctl status dirsrv@IZERO-LAN.service)
1 2 |
Serveur: freeipa03.izero.lan en échec : cannot connect to 'ldap://freeipa03.izero.lan': Serveur: freeipa05.izero.lan en échec : cannot connect to 'ldap://freeipa05.izero.lan': |
FAQ
FreeIPA ne semble pas aimer les accents
1 |
$ ipa user-add Utilisateur --first='<strong>Prénom</strong>' --last=Nom --password |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
ipa: ERROR: UnicodeDecodeError: 'ascii' codec can't decode byte 0xc3 in position 2: ordinal not in range(128) Traceback (most recent call last): File "/usr/lib/python2.7/site-packages/ipalib/cli.py", line 1466, in run sys.exit(api.Backend.cli.run(argv)) File "/usr/lib/python2.7/site-packages/ipalib/cli.py", line 1206, in run kw = self.parse(cmd, argv[1:]) File "/usr/lib/python2.7/site-packages/ipalib/cli.py", line 1231, in parse return dict(self.parse_iter(cmd, kw)) File "/usr/lib/python2.7/site-packages/ipalib/cli.py", line 1240, in parse_iter yield (key, self.Backend.textui.decode(value)) File "/usr/lib/python2.7/site-packages/ipalib/cli.py", line 162, in decode return value.decode(encoding) UnicodeDecodeError: 'ascii' codec can't decode byte 0xc3 in position 2: ordinal not in range(128) ipa: ERROR: an internal error has occurred |
Tester un utilisateur
1 |
$ sudo ldapsearch -x -b "uid=utilisateur_a_rechercher,cn=users,cn=accounts,dc=domaine_a_rechercher,dc=tld_a_rechercher" |
Pour aller plus loin
https://docs.fedoraproject.org/en-US/Fedora/18/html/FreeIPA_Guide/trust-groups.html