Show Table of Contents
13.6. ユーザーおよびホストの自動グループメンバーシップの定義
13.6.1. IdM での自動グループメンバーシップの機能方法
13.6.1.1. 自動グループメンバーシップとは
自動グループメンバーシップを使用して、属性をもとに自動的にユーザーとホストをグループに割り当てることができます。たとえば、以下が可能です。
- 従業員のマネージャー、場所またはその他の属性をもとに従業員のユーザーエントリーを複数のグループに分割することができます。
- クラス、場所、またはその他の属性をもとにホストを分割できます。
- 全ユーザーまたは全ホストを単一のグローバグループに追加できます。
13.6.1.2. 自動グループメンバーシップの利点
- グループメンバーシップの手動管理によるオーバーヘッドの削減
- 自動グループメンバーシップでは、管理者はユーザーとホストをグループに手動で割り当てる必要がありません。
- ユーザーおよびホスト管理での一貫性向上
- 自動グループメンバーシップでは、厳密に定義され、自動評価された基準をもとに、ユーザーおよびホストが割り当てられます。
- グループベースの設定管理の容易化
- 様々な設定がグループに定義されており、
sudoルール、automount、またはアクセス制御など、個別のグループメンバーに適用されます。自動グループメンバーを使用する場合には、ユーザーおよびホストは自動的に特定のグループに追加され、グループベースの設定の管理が簡素化されます。
13.6.1.3. Automember ルール
自動グループメンバーシップを設定する際には、管理者は automember ルール を定義します。automember ルールは、特定ユーザーまたはホストグループに適用されます。このルールには、ユーザーまたはホストが満たす必要のある 条件 が含まれており、それをもとにグループに追加、グループから除外されます。
- 包含条件
- ユーザーまたはホストのエントリーが包含ルールを満たす場合には、グループに含まれます。
- 除外の条件
- ユーザーまたはホストのエントリーが除外の条件を満たす場合にはグループに追加 されません。
これらの条件は、Perl-compatible regular expressions (PCRE) 形式の正規表現で指定します。PCRE に関する詳しい情報は、pcresyntax(3) の man ページを参照してください。
IdM は除外の条件を先に評価してから、包含条件を評価します。競合がある場合には、除外の条件が包含の条件より優先されます。
13.6.2. automember ルールの追加
以下を使用して、automember ルールを追加してください。
- IdM web UI を使用する場合は「Web UI: Automember ルールの追加」を参照してください。
- コマンドラインを使用する場合は「コマンドライン: Automember ルールの追加」を参照してください。
automember ルールを追加した後に、以下を実行します。
- 今後作成されるエントリーはすべて、指定したグループに所属します。エントリーが複数の automember ルールで指定した条件を満たす場合には、該当するすべてのグループに追加されます。
- 既存のエントリーは、指定のグループのメンバーには追加されません。詳しい情報は、「automember ルールの既存のユーザーおよびホストへの適用」を参照してください。
Web UI: Automember ルールの追加
- → → または を選択します。
- をクリックします。
- Automember rule フィールで、ルールを適用するグループを選択します。 をクリックします。
- 包含および除外条件を 1 つ以上定義します。詳細は「Automember ルール」を参照してください。
- Inclusive または Exclusive セクションで をクリックします。
- Attribute フィールドで、必要な属性を選択します。
- Expression フィールドで、正規表現を定義します。
- をクリックします。
たとえば、以下の条件は、ユーザーログインの属性 (uid) のすべての値 (.*) を対象としています。
図13.5 Automember ルール条件の追加
コマンドライン: Automember ルールの追加
ipa automember-addコマンドを使用して、automember ルールを追加します。プロンプトが表示されたら、以下を指定します。- 対象のグループ名と一致する
Automember rule - ルールの対象がユーザーグループか、ホストグループかを指定する
Grouping Type。ユーザーグループを対象とするにはgroup、ホストグループを対象とする場合はhostgroupを入力してください。
たとえばuser_groupという名前のユーザーグループの automember ルールを追加するには以下を実行します。$ ipa automember-addAutomember Rule:user_groupGrouping Type:group-------------------------------- Added automember rule "user_group" -------------------------------- Automember Rule: user_group- 包含および除外条件を 1 つ以上定義します。詳細は「Automember ルール」を参照してください。
- 条件を追加するには
ipa automember-add-conditionコマンドを使用します。プロンプトが表示されたら、以下を指定します。- 対象のグループ名と一致する
Automember rule - フィルターを適用するエントリー属性を指定する
Attribute Key。たとえば、ユーザーのmanagerなどです。 - ルールの対象がユーザーグループか、ホストグループかを指定する
Grouping Type。ユーザーグループを対象とするにはgroup、ホストグループを対象とする場合はhostgroupを入力してください。 - 正規表現として 1 つまたは複数の条件を指定する
Inclusive regexおよびExclusive regex。条件を 1 つだけ指定する場合は、他の条件を指定するようにプロンプトが表示されたら、Enter を押してください。
たとえば、以下の条件は、ユーザーログインの属性 (uid) のすべての値 (.*) を対象としています。$ ipa automember-add-conditionAutomember Rule:user_groupAttribute Key:uidGrouping Type:group[Inclusive Regex]:.*[Exclusive Regex]: ---------------------------------- Added condition(s) to "user_group" ---------------------------------- Automember Rule: user_group Inclusive Regex: uid=.* ---------------------------- Number of conditions added 1 ---------------------------- - 条件を削除するには
ipa automember-remove-conditionコマンドを使用します。
例13.4 コマンドライン: 単一のグループに全エントリーを追加する Automember ルールの作成
cn または fqdn など、全ユーザーまたはホストエントリーが含む属性の包含条件を作成すると、今後作成されるユーザーまたはホストのすべてが単一のグループに追加されるようになります。
all_hosts当名前のホストグループなど、グループを作成します。「ユーザーまたはホストグループの追加および削除」を参照してください。- 以下のように、新規ホストグループの automember ルールを追加します。
$ ipa automember-addAutomember Rule:all_hostsGrouping Type:hostgroup------------------------------------- Added automember rule "all_hosts" ------------------------------------- Automember Rule: all_hosts - 全ホストを対象とする包含条件を追加します。以下の例では、包含条件は
fqdn属性に含まれるホストすべて (.*) を対象としています。$ ipa automember-add-conditionAutomember Rule:all_hostsAttribute Key:fqdnGrouping Type:hostgroup[Inclusive Regex]:.*[Exclusive Regex]: --------------------------------- Added condition(s) to "all_hosts" --------------------------------- Automember Rule: all_hosts Inclusive Regex: fqdn=.* ---------------------------- Number of conditions added 1 ----------------------------
今後追加されるホストはすべて自動的に
all_hosts グループに所属します。
例13.5 コマンドライン: 同期済みの AD ユーザー用の Automember ルールの作成
Active Directory (AD) から同期された Windows ユーザーは
ntUser オブジェクトクラスを共有します。objectclass 属性に ntUser が含まれる全ユーザーを対象とする automember の条件を作成すると、今後作成される同期済みの AD ユーザーは AD ユーザーの共通グループに追加されるようになります。
ad_usersなどの AD ユーザーのユーザーグループを作成します。「ユーザーまたはホストグループの追加および削除」を参照してください。- 以下のように、新規ユーザーグループの automember ルールを追加します。
$ ipa automember-addAutomember Rule:ad_usersGrouping Type:group------------------------------------- Added automember rule "ad_users" ------------------------------------- Automember Rule: ad_users - AD ユーザーを絞り込む包含条件を追加します。以下の例では、
objectclass属性にntUserの値が含まれる全ユーザーを対象とします。$ ipa automember-add-conditionAutomember Rule:ad_usersAttribute Key:objectclassGrouping Type:group[Inclusive Regex]:ntUser[Exclusive Regex]: ------------------------------------- Added condition(s) to "ad_users" ------------------------------------- Automember Rule: ad_users Inclusive Regex: objectclass=ntUser ---------------------------- Number of conditions added 1 ----------------------------
今後追加される AD ユーザーはすべて自動的に
ad_users ユーザーグループに所属します。
13.6.3. automember ルールの既存のユーザーおよびホストへの適用
Automember ルールは、ルールの追加後に作成されたユーザーおよびホストエントリーに自動的に適用されます。ルールの適用前に存在するエントリーについては遡って適用されません。
ルールの追加前に存在するエントリーに automember のルールを適用するには、自動メンバーシップを手動で再構築してください。自動メンバーシップを再構築すると、既存の automember ルールがすべて再評価され、全エントリーまたは固有のエントリーにルールが適用されます。
Web UI: 既存のエントリーの自動メンバーシップの再構築
全ユーザーまたはホストの自動メンバーシップを再構築するには以下を実行します。
- → または を選択します。
- → をクリックします。
図13.6 全ユーザーまたはホストの自動メンバーシップの再構築
単一ユーザーまたはホストだけに自動メンバーシップを再構築するには、以下を実行します。
- → または を選択して、必要なユーザーログインまたはホスト名をクリックします。
- → をクリックします。
図13.7 単一のユーザーまたはホストの自動メンバーシップの再構築
コマンドライン: 既存のエントリーの自動メンバーシップの再構築
全ユーザーの自動メンバーシップを再構築するには
ipa automember-rebuild --type=group コマンドを使用します。
$ ipa automember-rebuild --type=group
--------------------------------------------------------
Automember rebuild task finished. Processed (9) entries.
--------------------------------------------------------
全ユーザーの自動メンバーシップを再構築するには、
ipa automember-rebuild --type=hostgroup コマンドを使用します。
指定のユーザーの自動メンバーシップを再構築するには、
ipa automember-rebuild --users=user コマンドを使用します。
$ ipa automember-rebuild --users=user1 --users=user2 -------------------------------------------------------- Automember rebuild task finished. Processed (2) entries. --------------------------------------------------------
指定のホストの自動メンバーシップを再構築するには
ipa automember-rebuild --hosts=example.com コマンドを使用します。
13.6.4. デフォルトの Automember グループ設定
デフォルトの automember グループを設定すると、automember ルールに一致しないユーザーまたはホストエントリーは自動的にデフォルトのグループに追加されます。
ipa automember-default-group-setコマンドを使用して、デフォルトの automember グループを設定します。プロンプトが表示されたら、以下を指定します。- 対象となるグループ名を指定する
Default (fallback) Group - 対象がユーザーグループか、ホストグループかを指定する
Grouping Type。ユーザーグループを対象とするにはgroup、ホストグループを対象とする場合はhostgroupを入力してください。
以下に例を示します。$ ipa automember-default-group-setDefault (fallback) Group:default_user_groupGrouping Type:group--------------------------------------------------- Set default (fallback) group for automember "default_user_group" --------------------------------------------------- Default (fallback) Group: cn=default_user_group,cn=groups,cn=accounts,dc=example,dc=com- グループが正しく設定されていることを確認するには、
ipa automember-default-group-showコマンドを使用します。このコマンドでは、現在のデフォルト automember グループが表示されます。以下に例を示します。$ ipa automember-default-group-showGrouping Type:groupDefault (fallback) Group: cn=default_user_group,cn=groups,cn=accounts,dc=example,dc=com
現在のデフォルトの automember グループを削除するには、
ipa automember-default-group-remove コマンドを使用します。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.