2 часа назад
История
README.md
Плагин FreeIPA для клонирования ролей в ALD Pro
Описание
Плагин для FreeIPA, позволяющий создавать новые роли в системе ALD Pro на основе существующих через API с использованием Kerberos-аутентификации. Плагин выполняет полный цикл клонирования роли:
- Проверка Kerberos-билета
- Аутентификация в ALD Pro
- Получение данных исходной роли
- Создание новой роли
- Обновление параметров роли
- Активация роли (опционально)
Требования
- Установленный и настроенный ALD Pro сервер
- Действующий Kerberos-билет (выполнить
kinit <username>) - Доступ к серверу ALD Pro по HTTPS
- Права доступа для создания ролей в ALD Pro
Установка плагина
- Скопируйте файл плагина в директорию плагинов FreeIPA на контроллере домена ALD Pro:
cp plugin_without_req.py /usr/lib/python3/dist-packages/ipaserver/plugins/
- Перезапустите службу IPA:
sudo ipactl restart
- Проверьте доступность команды:
ipa role-clone --help
Использование
Базовый синтаксис
ipa role-clone --srcrole="Исходная роль" --newrole="Новая роль" --server=<URL сервера ALD Pro>
Обязательные параметры
| Параметр | Описание | Пример |
|---|---|---|
--srcrole |
Имя существующей роли для копирования | "ALDPRO - Automation Tasks Administrators" |
--newrole |
Имя новой создаваемой роли | "New Role" |
--server |
Hostname сервера ALD Pro | aldprodc2.ald.pro |
Опциональные параметры
| Параметр | Описание | По умолчанию |
|---|---|---|
--targetou |
Полный DN путь для OU | Используется OU из исходной роли |
--description |
Кастомное описание роли | Описание из исходной роли |
--status |
Статус роли (active/inactive) | active |
Примеры использования
Пример 1: Простое клонирование роли
ipa role-clone --srcrole="ALDPRO - Automation Tasks Administrators" --newrole="New Role" --server="aldprodc2.ald.pro"
Пример 2: Клонирование с указанием OU
ipa role-clone --srcrole="ALDPRO - Automation Tasks Administrators" --newrole="New Role OU1" --targetou="ou=ou1,ou=ald.pro,cn=orgunits,cn=accounts,dc=ald,dc=pro" --server="aldprodc2.ald.pro"
Пример 3: Клонирование с кастомным описанием и неактивным статусом
ipa role-clone --srcrole="ALDPRO - Automation Tasks Administrators" --newrole="New Role" --description="Тестовая роль для отдела IT" --status="inactive" --server="aldprodc2.ald.pro"
Пример 4: Полный пример со всеми параметрами
ipa role-clone --srcrole="ALDPRO - Automation Tasks Administrators" --newrole="New Role IT Dept" --targetou="ou=it,ou=ald.pro,cn=orgunits,cn=accounts,dc=ald,dc=pro" --description="Роль для автоматизации задач отдела IT" --status="active" --server="aldprodc2.ald.pro"
Формат OU (Organizational Unit)
OU указывается в формате Distinguished Name (DN). Примеры:
ou=buh,ou=ald.pro,cn=orgunits,cn=accounts,dc=ald,dc=pro
ou=it,ou=company,cn=orgunits,cn=accounts,dc=example,dc=com
Работа с Kerberos
Получение Kerberos-билета
Перед использованием плагина необходимо получить Kerberos-билет:
kinit <username>
Проверка билета
Убедитесь, что билет действителен:
klist
Примечания
- Аутентификация: Плагин использует Kerberos-аутентификацию (SPNEGO). Убедитесь, что у вас есть действующий билет.
- Имена ролей: Имена ролей с пробелами должны быть заключены в кавычки.
- Права доступа: Убедитесь, что пользователь, от имени которого выполняется команда, имеет права на создание ролей в ALD Pro.
- Статус роли: При создании неактивной роли (
--status=inactive) активация не выполняется. - Логирование: Все операции логируются сервером ALD Pro в соответствующих логах.
Обработка ошибок
Плагин предоставляет подробные сообщения об ошибках:
- Отсутствие Kerberos-билета
- Ошибки аутентификации
- Ненайденная исходная роль
- Ошибки создания/обновления роли
Описание
Кастомный плагин для freeipa. Позволяет клонировать роли через API ALD Pro
Конвейеры
0
успешных
0
с ошибкой