Product SiteDocumentation Site

Глава 29. Управление пользователями

29.1. Управление пользователями в командной строке
29.2. Управление пользователями в веб-интерфейсе
29.2.1. Добавление нового пользователя
29.2.2. Активация неподтверждённого пользователя
29.2.3. Отключение/Включение учётной записи
29.2.4. Сохранение учётной записи
29.2.5. Восстановление учётной записи
29.2.6. Удаление учётной записи
FreeIPA поддерживает три состояния учётной записи пользователя:
  • Неподтверждённые пользователи (Stage Users) — учётные записи в стадии подготовки. Аутентификация запрещена, невозможно назначить членство в группах. Используются для предварительного создания записей с последующей активацией.
  • Активные пользователи — полноценные учётные записи, которым разрешена аутентификация. Все атрибуты (группы, пароли, ключи) должны быть настроены.
  • Сохранённые пользователи (Preserved Users) — бывшие активные пользователи, переведённые в неактивное состояние. Аутентификация запрещена, членство в группах удалено, но основные атрибуты сохраняются для возможного восстановления.
Имя учётной записи (логин) должно соответствовать следующему регулярному выражению: 
[a-zA-Z0-9_.][a-zA-Z0-9_.-]{0,252}[a-zA-Z0-9_.$-]?

Примечание

FreeIPA не позволяет создавать пользователей с именами, отличающимися только регистром (например, user и User).
При аутентификации имена обрабатываются без учёта регистра.
Максимальная длина имени учётной записи по умолчанию составляет 32 символа. Для изменения длины используется команда ipa config-mod --maxusername. Пример увеличения максимальной длины логина до 64 символов: 
$ ipa config-mod --maxusername=64
  Максимальная длина имени пользователя: 64
  Максимальная длина имени узла: 64
  Основа домашних каталогов: /home
  Оболочка по умолчанию: /bin/bash
  Группа пользователей по умолчанию: ipausers
  Почтовый домен по умолчанию: example.test
  …

Важно

Удалённые учётные записи не подлежат восстановлению, если не были сохранены с помощью флага --preserve. Вся связанная информация (пароли, ключи, членство в группах) безвозвратно удаляется.

Важно

Не следует удалять пользователя admin. Если требуется использовать другого администратора, необходимо сначала назначить права администратора другому пользователю, затем отключить учётную запись admin: ipa user-disable admin.

29.1. Управление пользователями в командной строке

Для работы с пользователями требуются:
  • права администратора или роль User Administrator;
  • действительный Kerberos-билет.

Примечание

FreeIPA автоматически назначает UID. Ручное указание возможно, но не проверяется на уникальность.
Основные команды:
  • Добавление активного пользователя: 
    $ ipa user-add kim --first=Эдуард --last=Ким --email=kim@example.test
---------------------------
Добавлен пользователь "kim"
---------------------------
  Имя учётной записи пользователя: kim
  Имя: Эдуард
  Фамилия: Ким
  Полное имя: Эдуард Ким
  Отображаемое имя: Эдуард Ким
  Инициалы: ЭК
  Домашний каталог: /home/kim
  GECOS: Эдуард Ким
  Оболочка входа: /bin/bash
  Имя учётной записи: kim@EXAMPLE.TEST
  Псевдоним учётной записи: kim@EXAMPLE.TEST
  Адрес электронной почты: kim@example.test
  UID: 593200005
  ID группы: 593200005
  Пароль: False
  Участник групп: ipausers
  Доступные ключи Kerberos: False

    Примечание

    Просмотр всех параметров команды ipa user-add: 
    $ ipa help user-add
  • Добавление неподтверждённого пользователя: 
    $ ipa stageuser-add markov --first=Илья --last=Марков --email=markov@example.test
-----------------------------------------------
Добавлен неподтверждённый пользователь "markov"
-----------------------------------------------
  Имя учётной записи пользователя: markov
  Имя: Илья
  Фамилия: Марков
  Полное имя: Илья Марков
  Отображаемое имя: Илья Марков
  Инициалы: ИМ
  Домашний каталог: /home/markov
  GECOS: Илья Марков
  Оболочка входа: /bin/bash
  Имя учётной записи: markov@EXAMPLE.TEST
  Псевдоним учётной записи: markov@EXAMPLE.TEST
  Адрес электронной почты: markov@example.test
  UID: -1
  ID группы: -1
  Пароль: False
  Доступные ключи Kerberos: False
  • Активация неподтверждённого пользователя: 
    $ ipa stageuser-activate markov
---------------------------
Stage user markov activated
---------------------------
  Имя учётной записи пользователя: markov
  Имя: Илья
  Фамилия: Марков
  Домашний каталог: /home/markov
  Оболочка входа: /bin/bash
  Имя учётной записи: markov@EXAMPLE.TEST
  Псевдоним учётной записи: markov@EXAMPLE.TEST
  Адрес электронной почты: markov@example.test
  UID: 948000005
  ID группы: 948000005
  Пароль: False
  Участник групп: ipausers
  Доступные ключи Kerberos: False
  • Просмотр списка всех пользователей с подробной информацией: 
    $ ipa user-find
  • Сохранение учётной записи: 
    $ ipa user-del --preserve markov
-----------------------
Preserved user "markov"
-----------------------
  • Удаление учётной записи (без сохранения): 
    $ ipa user-del markov      # удаление активного или хранимого пользователя
----------------------------
Удален пользователь "markov"
----------------------------
$ ipa stageuser-del ivanov # удаление неподтверждённого пользователя
  • Массовое удаление пользователей: 
    $ ipa user-del --continue user1 user2 user3
-----------------------
Удален пользователь "user1,user2,user3"
-----------------------
  • Восстановление сохранённого пользователя: 
    $ ipa user-undel markov
--------------------------------------------------------------
Учётная запись пользователя "markov" возвращена после удаления
--------------------------------------------------------------

    Примечание

    Пароль не восстанавливается — его нужно задать заново.