Глава 30. Управление пользователями

⁠Глава 30. Управление пользователями

FreeIPA поддерживает три состояния учётной записи пользователя:

Неподтверждённые пользователи — на этом этапе пользователям не разрешено проходить аутентификацию. Некоторые свойства учётной записи пользователя, необходимые для активных пользователей, например, членство в группе, не могут быть установлены. Данное состояние можно использовать, если нужно подготовить новые учетные записи пользователей, затем их можно будет активировать.
Активные пользователи — это пользователи, которым разрешено проходить аутентификацию. В этом состоянии должны быть установлены все свойства учетной записи пользователя.
Xранимые пользователи — это бывшие активные пользователи, которые считаются неактивными и не могут аутентифицироваться в FreeIPA. У сохранённых пользователей сохраняется большая часть свойств учётных записей, но они не входят ни в какие группы пользователей.

Имя учётной записи (логин) должно соответствовать следующему регулярному выражению:

[a-zA-Z0-9_.][a-zA-Z0-9_.-]{0,252}[a-zA-Z0-9_.$-]?

При сохранении FreeIPA переводит все символы имени учётной записи в нижний регистр (поэтому при входе пользователя используются только строчные буквы и нельзя создать пользователей, у которых имя учётной записи отличается только регистром букв).

Максимальная длина имени учётной записи по умолчанию составляет 32 символа. Для изменения длины используется команда ipa config-mod --maxusername. Например, увеличение максимальной длины имени учётной записи до 64 символов:

$ ipa config-mod --maxusername=64
  Максимальная длина имени пользователя: 64
  Максимальная длина имени узла: 64
  Основа домашних каталогов: /home
  Оболочка по умолчанию: /bin/bash
  Группа пользователей по умолчанию: ipausers
  Почтовый домен по умолчанию: example.test
  …

Важно

Удаленные учетные записи пользователей не могут быть восстановлены. При удалении учетной записи пользователя вся информация, связанная с учетной записью, безвозвратно теряется.

Важно

Не удаляйте пользователя admin. Если вы хотите определить и использовать альтернативного пользователя-администратора, следует после того, как вы предоставили права администратора хотя бы одному другому пользователю, отключить предопределенного пользователя-администратора с помощью команды ipa user-disable admin.

⁠30.1. Управление пользователями в командной строке

Команда ipa user-add используется для добавления активных пользователей. Для создания неподтверждённых учётных записей используется команда ipa stageuser-add.

Примечание

FreeIPA автоматически присваивает уникальный идентификатор пользователя (UID) новым учётным записям пользователей. Можно присвоить UID вручную, но так как сервер не проверяет уникальность номера UID, нескольким пользователям может быть назначен один и тот же UID.

Для возможности выполнения команд должны выполняться следующие условия:

пользователь должен обладать административными привилегиями или иметь роль User Administrator;
получен билет Kerberos.

Команда добавления нового пользователя:

$ ipa user-add <логин> --first=<имя> --last=<фамилия> --email=<email>

Пример добавления неподтверждённого пользователя:

$ ipa stageuser-add markov --first=Илья --last=Марков --email=markov@example.test
-----------------------------------------------
Добавлен неподтверждённый пользователь "markov"
-----------------------------------------------
  Имя учётной записи пользователя: markov
  Имя: Илья
  Фамилия: Марков
  Полное имя: Илья Марков
  Отображаемое имя: Илья Марков
  Инициалы: ИМ
  Домашний каталог: /home/markov
  GECOS: Илья Марков
  Оболочка входа: /bin/bash
  Имя учётной записи: markov@EXAMPLE.TEST
  Псевдоним учётной записи: markov@EXAMPLE.TEST
  Адрес электронной почты: markov@example.test
  UID: -1
  ID группы: -1
  Пароль: False
  Доступные ключи Kerberos: False

Просмотр всех параметров команды ipa user-add:

$ ipa help user-add

Просмотр списка всех пользователей с подробной информацией:

$ ipa user-find

Активация пользователя:

$ ipa stageuser-activate <логин>

Пример активации пользователя:

$ ipa stageuser-activate markov
---------------------------
Stage user markov activated
---------------------------
  Имя учётной записи пользователя: markov
  Имя: Илья
  Фамилия: Марков
  Домашний каталог: /home/markov
  Оболочка входа: /bin/bash
  Имя учётной записи: markov@EXAMPLE.TEST
  Псевдоним учётной записи: markov@EXAMPLE.TEST
  Адрес электронной почты: markov@example.test
  UID: 948000005
  ID группы: 948000005
  Пароль: False
  Участник групп: ipausers
  Доступные ключи Kerberos: False

Для сохранения возможности восстановить учётную запись после удаления, её можно сохранить. Для сохранения учётной записи используется параметр --preserve команды ipa user-del:

$ ipa user-del --preserve <логин>

Например:

$ ipa user-del --preserve markov
-----------------------
Preserved user "markov"
-----------------------

Для удаления пользователей используются команды:

ipa user-del <логин> — удалить активного или хранимого пользователя;
ipa stageuser-del <логин> — удалить неподтверждённого пользователя.

Чтобы удалить сразу нескольких пользователей используется параметр --continue:

$ ipa user-del --continue user1 user2 user3
-----------------------
Preserved user "markov"
-----------------------

Пример удаления пользователя:

$ ipa user-del markov
----------------------------
Удален пользователь "markov"
----------------------------

Для восстановления сохранённых пользователей используется команда ipa user-undel <логин>. При восстановлении учётной записи восстанавливаются не все предыдущие атрибуты учетной записи. Например, пароль пользователя не восстанавливается и должен быть установлен заново.

Пример восстановления активного пользователя:

$ ipa user-undel markov
--------------------------------------------------------------
Учётная запись пользователя "markov" возвращена после удаления
--------------------------------------------------------------