第25章 ポリシー: ユーザーおよびホストの自動グループメンバーシップの定義

ポリシー、アイデンティティー、およびセキュリティーをの最も重要なタスクの 1 つは、Identity Management でグループメンバーシップを管理することです。グループは、ほとんどのポリシー設定の中核となります。

デフォルトでは、ホストは作成時にグループに属しません。ユーザーは catchall ipausers グループに追加されます。カスタムグループが設定され、すべてのポリシー設定が行われても、ユーザーとホストはグループに参加するまでこれらのポリシーを利用することはできません。当然、これは手動で実行できますが、グループメンバーシップが自動的に割り当てられる場合は効率的で一貫性が高まります。

これは、automembership グループで行われます。

Automembership は基本的に、特定の基準に基づいて少なくともある程度エントリーを整理する自動グローバルエントリーフィルターです。この場合、automember ルールはフィルターの指定方法になります。

たとえば、IT および組織環境内のアイデンティティーを分類するための反復可能な方法が多数あります。

Automembers は、これらのエントリーを事前分類する方法を提供します。これにより、異なるサブネット上の異なるユーザータイプまたはマシンに異なる sudo ルールを付与したり、ユーザーごとに異なる自動マウント設定など、設定したい実際の動作の設定が容易になります。

Automembership は、既存のユーザーグループまたはホストグループに設定したターゲットです。ポリシーとして 自動メンバールール が作成されます。これは、実際のグループエントリーへの参加エントリーで、指定のグループが自動グループメンバーシップに使用されることを示します。

ルールが作成された場合、グループがターゲットとして特定されると、次のステップは automember 条件 を定義することとなります。Condition は、グループメンバーを識別するために使用される正規表現フィルターです。条件は包含または排他的にすることができます。つまり、これらの条件に基づいて一致するエントリーを追加または無視することができます。

1 つのルールに複数の条件がある可能性があります。ユーザーエントリーまたはホストエントリーは、複数のルールに一致し、複数のグループに追加できます。

Automembership は、ユーザーおよびホストのエントリーを作成する際に、それらをグループに追加することによって信頼性の高い順序を課す手段です。

automember グループを効果的に使用する鍵は、アクセス制御ポリシー、sudo ルール、ホスト/サービス管理ルール、ホストグループ、およびユーザーグループ全体 (Identity Management 全体の構造の計画) を計画することです。

構造が開始されたら、いくつかの構造が明確になります。