FreeIPA делегирование прав пользователю на ввод в домен

Как сделать делегирование прав во FreeIPA на ввод компьютеров в домен обычному пользователю.

Для этого от разработчиков FreeIPA есть рекомендация создать отдельную группу и роль безопасности на базе существующей.

# Все команды выполнять в консоли сервера FreeIPA
1. ipa privilege-add 'Add Host Enrollment' --desc='Ввод новых хостов в домен'
2. ipa privilege-add-permission 'Add Host Enrollment' --permissions='System: Add Hosts' --permissions='System: Add krbPrincipalName to a Host' --permissions='System: Enroll a Host' --permissions='System: Manage Host Certificates' --permissions='System: Manage Host Enrollment Password' --permissions='System: Manage Host Keytab' --permissions='System: Manage Host Principals'
3. ipa role-add 'Add Host Enrollment Administrator' --desc='Участники роли имеют привилегии, необходимые для регистрации новых компьютеров в домене'
4. ipa role-add-privilege 'Add Host Enrollment Administrator' --privileges='Add Host Enrollment'
5. ipa role-add-member 'Add Host Enrollment Administrator' --users=hosts_admin

Если вдруг у Вас возникнут сложности с настройкой FreeIPA, Вы всегда можете обратиться ко мне за консультацией.

Благодарность за статью 100 рублей.