Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
9.11.2. グループオブジェクトクラス
グループエントリーが作成されると、自動的に特定の LDAP オブジェクトクラスが割り当てられます。(LDAP オブジェクトクラスおよび属性については、『『Directory Server Deployment Guide』』および『『Directory ServerSchema Reference』』を参照してください。) 実際には、グループで重要な属性は名前と説明の 2 つのみです。
表9.4 デフォルトの Identity Management グループオブジェクトクラス
| 詳細 | オブジェクトクラス | |||
|---|---|---|---|---|
| IdM オブジェクトクラス |
| |||
| グループオブジェクトクラス | groupofnames |
9.11.2.1. ユーザーグループの作成
9.11.2.1.1. Web UI の使用
- Identity タブを開き、サブタブの User Groups を選択します。
- グループ一覧上部にある Add をクリックします。
- グループの全情報を入力します。
- 一意な名前。これは、IdM ドメインのグループに使用される ID で、作成後に変更できません。この名前にはスペースを含めることはできませんが、アンダースコア (_) のような他の区切り文字は使用できます。
- グループの文字での説明。
- グループが POSIX グループかどうか。エントリーに Linux 固有の情報を追加します。デフォルトでは、明示的に設定されない限り、すべてのグループは POSIX グループになります。POSIX 以外のグループを作成して、Windows または Samba との相互運用性を確保できます。
- グループの GID 番号 (任意)。すべての POSIX グループには GID 番号が必要ですが、IdM では GID 番号は自動的に割り当てられます。競合のリスクがあるため、GID 番号を設定する必要はありません。GID 番号を手動で指定すると、IdM は指定した GID 番号を上書きしません (一意でない場合でも)。
- ボタンをクリックすると、すぐにメンバー選択ページに移動します。
- 「Web UI (グループページ) の使用」で説明されているようにメンバーを選択します。
9.11.2.1.2. コマンドラインの使用
新規グループは、group-add コマンドを使用して作成します。(このコマンドではグループだけが追加され、メンバーは別に追加します。)
グループ名とグループの説明の 2 つの属性が常に必要になります。これらの属性が引数として指定されていない場合には、スクリプトでグループ名と説明を入力するように求められます。
[bjensen@server ~]$ ipa group-add groupName --desc="description" [--nonposix]
さらに、他にもう 1 つ
--nonposix という設定オプションがあります。(デフォルトでは、グループはすべて POSIX グループとして作成されます。) Samba などの Windows ユーザーおよびグループおよびプログラムとの相互運用性を確保するため、この --nonposix オプションを使用して POSIX 以外のグループを作成できます。このオプションは、スクリプトで posixGroup のオブジェクトクラスがエントリーに追加されないように指示します。
たとえば、以下のようになります。
[bjensen@server ~]$ ipa group-add examplegroup --desc="for examples" --nonposix ---------------------- Added group "examplegroup" ---------------------- Group name: examplegroup Description: for examples GID: 855800010
引数を使用しない場合には、このコマンドにより、必要なグループアカウント情報の入力が求められます。
[bjensen@server ~]$ ipa group-add Group name: engineering Description: for engineers ------------------------- Added group "engineering" ------------------------- Group name: engineering Description: for engineers GID: 387115842
重要
GID 番号を指定せずにグループを作成すると、グループエントリーには、サーバーまたはレプリカ範囲で次に利用可能な ID 番号が割り当てられます。(数値の範囲は「一意の UID および GID 番号の割り当て管理」で詳述されています。) つまり、グループには必ず、一意の GID 番号を割り当てられます。
数値がグループエントリーに 手動で 割り当てられると、サーバーでは
gidNumber が一意であるかどうかは検証されません。ID を重複させることができます。POSIX エントリーでは、想定されている動作 (非推奨) です。
2 つのエントリーに同じ ID 番号が割り当てられている場合に、検索では、対象の ID 番号の最初のエントリーだけが返されます。ただし、他の属性の検索時や、 ipa group-find --all を使用時には、両方のエントリーが返されます。
注記
グループ名は編集できません。グループ名はプライマリーキーであるため、グループ名の変更は、グループを削除して新しいキーを作成する操作と同じです。
