Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
第16章 ID: ID ビューおよび既存の環境から信頼への移行
Red Hat Identity Management に含まれる ID ビュー メカニズムにより、管理者はユーザーまたはグループの POSIX 属性を指定できます。新しい ID ビューが作成されると、管理者は上書きするユーザーまたはグループ属性を定義できます。これらの新たに定義された属性はユーザーまたはグループに適用されます。これにより、ID ビューは、他の ID 管理およびシステム統合ソリューションからの移行中に既存の環境を維持するソリューションを提供します。
重要
この機能を活用するには、Red Hat Enterprise Linux 7.1 移行をベースにした IdM にクライアントが登録されている必要があります。
ID ビューは、Red Hat Enterprise Linux 6.7 以降を実行している Red Hat Enterprise Linux 6 クライアントでのみ使用できます。
管理者はサーバー側の ID ビューのみを管理できます。Red Hat Enterprise Linux 6 クライアントでは設定できません。本章では、クライアント側の ID ビューについて説明します。サーバー側の機能を含む ID ビューの詳細は、Windows Integration Guide for Red Hat Enterprise Linux 7 を参照してください。
IdM サーバーで ipa-adtrust-install コマンドを実行すると、デフォルトの Default Trust View が作成されます。Default Trust View は常に Active Directory ユーザーおよびグループに適用されます。AD 自体がどのように定義されているかに関わらず、管理者は AD ユーザーおよびグループの POSIX 属性を定義できます。AD ユーザーまたはグループを上書きするホスト固有の ID ビューを追加する場合、ホスト固有の ID ビューの属性が Default Trust View の上部に適用されます。新しい ID ビューは Default Trust View を上書きしますが、デフォルトのビュー自体は削除できません。特定の ID ビューがクライアントに適用されていない場合は、Default Trust View は常に適用されます。
注記
ipa-adtrust-install が実行されていない場合は、純粋な IdM 環境で ID ビュー機能を使用して IdM ユーザーの ID ビューおよびオーバーライドを管理できます。
同期ベースの AD 統合を使用したセットアップでは、ログイン名、UID、GID、またはシェルなどの生成された POSIX 属性を使用して、すべてのユーザーが IdM サーバーにコピーされます。管理者は、AD ユーザー用に AD が以前に生成した POSIX 属性を変更できるため、ID ビュー機能は、既存の環境を信頼ベースの AD 統合に移行するソリューションを提供します。
注記
同期ベースと信頼ベースのアプローチの比較は、Red Hat Enterprise Linux 7 『Windows Integration Guide』 を参照してください。
ID ビューのユースケースには以下が含まれます。
- AD ユーザーの POSIX 属性と SSH 鍵を保存する
- AD ユーザーの POSIX 属性、SSH キー、および SSH ログイン情報を定義します。そして、ID ビューサポートのある SSSD を実行しているクライアントに対して AD ユーザーが認証する場合や、AD ユーザーが LDAP 互換ツリー を使用して認証する際に適用されるようにします。これにより、レガシークライアントのユーザーおよびグループデータでシンプルな LDAP ツリーが提供されます。この機能は、同期ベースのソリューションからの移行や、Linux 管理者が AD ユーザーの POSIX 属性を手動で定義したい場合に便利ですが、AD ポリシーはこれを許可しません。
- 同期ベースから信頼ベースの統合への移行
- 以前に使用した UID や他のツールを指定する ID ビューオーバーライドを作成して、同期ベースの環境にあるユーザーの POSIX 属性を設定します。次に、ユーザーを AD に戻します。
- IdM ユーザー POSIX 属性のホストごとのグループのオーバーライドを実行する
- AD との IdM 統合に移行している NIS ベースのインフラストラクチャーでは、一部の NIS ドメインで元の POSIX データが変更されていない状態である必要があります。そうでなければ、企業のポリシーにより、AD に元の POSIX データを直接設定できない場合があります。このような状況では、ID ビューを使用して、Identity Management サーバーで直接 POSIX データを設定できます。
- 環境ごとに異なる POSIX 属性または SSH キーを設定する
- 対応するホストグループに応じて、さまざまな POSIX 属性またはさまざまなユーザー SSH 公開鍵を各種プロダクション環境 (開発、テスト、またはプロダクション) に対して設定します。
16.1. ユーザーオーバーライドおよびグループのオーバーライド
各 ID view は、指定したホストに適用されるuser overrides と group overrides のオーバーライドのコレクションです。上書きにより、以前の属性を上書きする新しいユーザーまたはグループ属性が提供されます。これにより、以前に生成された属性を新しい属性に置き換えることができます。すべてのオーバーライドは、AD または IdM のユーザーまたはグループに関連付けられます。
注記
IdM 以外の統合システムは、IdM で使用されるアルゴリズムとは異なるアルゴリズムを使用して、UID および GID 属性を生成できます。以前生成された属性を上書きして、IdM システムに従うようにすることで、別の統合システムのメンバーとなるように使用されたクライアントを IdM と完全に統合できます。
以下のユーザー属性は ID ビューで上書きできます。
uid: ユーザーログイン名uidNumber: ユーザー UID 番号gidNumber: ユーザーの GID 番号loginShell: ユーザーログインシェルGECOS: ユーザー GECOS エントリーhomeDirectory: ユーザーのホームディレクトリーipaSshPubkey: ユーザー SSH 公開鍵またはキー
以下のグループ属性は ID ビューで上書きできます。
cn: グループ名gidNumber: グループの GID 番号
注記
IdM は ID の範囲 を使用して、異なるドメインからの POSIX ID の競合を回避します。IdM は他の種類の ID 範囲との重複を許可する必要があるので、ID ビューの POSIX ID は特別な範囲タイプを使用しません。例えば、同期で作成された AD ユーザーは、IdM ユーザーと同じ ID 範囲からの POSIX ID を持つことになります。競合が発生した場合は、POSIX ID は IdM の ID ビューで手動で管理されるため、競合する ID を変更することで簡単に修正できます。
