Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

13.6.2. Automember ルールの追加

以下のコマンドを使用して automember ルールを追加するには、以下を実行します。
automember ルールを追加した後、以下を実行します。
  • 今後作成されるすべてのエントリーは、指定されたグループのメンバーになります。エントリーが複数の automember ルールで指定された条件を満たすと、対応するグループすべてに追加されます。
  • 既存のエントリーは、指定されたグループのメンバーにはなりません。詳細は、「既存のユーザーおよびホストへの Automember ルールの適用」を参照してください。

Web UI: Automember ルールの追加

  1. IdentityAutomemberUser group rules または Host group rules を選択します。
  2. 追加 をクリックします。
  3. Automember rule フィールドで、ルールを適用するグループを選択します。Add and Edit をクリックします。
  4. 1つ以上の包括的および排他的条件を定義します。詳細は「automember ルール」を参照してください。
    1. Inclusive セクションまたは Exclusive セクションで、Add をクリックします。
    2. Attribute フィールドで、必要な属性を選択します。
    3. Expression フィールドに正規表現を定義します。
    4. 追加 をクリックします。
    たとえば、以下の条件は、ユーザーログイン属性 (uid) のすべての値 (.*) を対象にしています。

    図13.5 Automember ルール条件の追加

    Automember ルール条件の追加

コマンドライン: Automember ルールの追加

  1. ipa automember-add コマンドを使用して、automember ルールを追加します。プロンプトが表示されたら、以下を指定します。
    • Automember rule: 対象のグループ名と一致します。
    • Grouping Type: ルールのターゲットがユーザーグループか、ホストグループであるかを指定します。ユーザーグループをターゲットにするには、group を入力します。ホストグループをターゲットに設定するには、ホストグループ を入力します。
    たとえば、user_group という名前のユーザーグループの automember ルールを追加するには、以下を実行します。
    $ ipa automember-add
    Automember Rule: user_group
    Grouping Type: group
    --------------------------------
    Added automember rule "user_group"
    --------------------------------
      Automember Rule: user_group
  2. 1つ以上の包括的および排他的条件を定義します。詳細は「automember ルール」を参照してください。
    1. 条件を追加するには、ipa automember-add-condition コマンドを使用します。プロンプトが表示されたら、以下を指定します。
      • Automember rule: 対象のグループ名と一致します。
      • 属性 Key。フィルターが適用されるエントリー属性を指定します。たとえば、ユーザーの manager です。
      • Grouping Type: ルールのターゲットがユーザーグループか、ホストグループであるかを指定します。ユーザーグループをターゲットにするには、group を入力します。ホストグループをターゲットに設定するには、ホストグループ を入力します。
      • 包含正規表現 および Exclusive 正規表現。正規表現として複数の条件を指定します。ある条件のみを指定する場合は、他の条件が求められたら Enter を押します。
      たとえば、以下の条件は、ユーザーログイン属性 (uid) のすべての値 (.*) を対象にしています。
      $ ipa automember-add-condition
      Automember Rule: user_group
      Attribute Key: uid
      Grouping Type: group
      [Inclusive Regex]: .*
      [Exclusive Regex]:
      ----------------------------------
      Added condition(s) to "user_group"
      ----------------------------------
        Automember Rule: user_group
        Inclusive Regex: uid=.*
      ----------------------------
      Number of conditions added 1
      ----------------------------
    2. 条件を削除するには、ipa automember-remove-condition コマンドを使用します。

例13.5 コマンドライン: 自動メンバールールを作成してすべてのエントリーを 1 つのグループに追加する

cnfqdn などのすべてのユーザーまたはホストエントリーに含まれる属性に包含条件を作成すると、今後作成されるすべてのユーザーまたはホストが単一グループに追加されるようにすることができます。
  1. all_hosts という名前のホストグループなど、グループを作成します。「ユーザーまたはグループの追加と削除」を参照してください。
  2. 新規ホストグループの automember ルールを追加します。以下は例になります。
    $ ipa automember-add
    Automember Rule: all_hosts
    Grouping Type: hostgroup
    -------------------------------------
    Added automember rule "all_hosts"
    -------------------------------------
      Automember Rule: all_hosts
  3. 全ホストをターゲットとする包含条件を追加します。以下の例では、fqdn 属性に 値(.*)を持つホストを包含 してターゲットとします。
    $ ipa automember-add-condition
    Automember Rule: all_hosts
    Attribute Key: fqdn
    Grouping Type: hostgroup
    [Inclusive Regex]: .*
    [Exclusive Regex]:
    ---------------------------------
    Added condition(s) to "all_hosts"
    ---------------------------------
      Automember Rule: all_hosts
      Inclusive Regex: fqdn=.*
    ----------------------------
    Number of conditions added 1
    ----------------------------
今後追加されるすべてのホストは、自動的に all_hosts グループのメンバーになります。

例13.6 コマンドライン: 同期した AD ユーザーを同期する自動メンバールールの作成

Active Directory(AD)から同期した Windows ユーザーは、nt User オブジェクトクラスを共有します。ntUser が指定された全ユーザーを objectclass 属性にターゲットとする automember 条件を作成することで、今後作成されたすべての同期 AD ユーザーが AD ユーザーの共通グループに含まれるようにすることができます。
  1. ad_users などの、AD ユーザーのユーザーグループを作成します。「ユーザーまたはグループの追加と削除」を参照してください。
  2. 新規ユーザーグループの automember ルールを追加します。以下は例になります。
    $ ipa automember-add
    Automember Rule: ad_users
    Grouping Type: group
    -------------------------------------
    Added automember rule "ad_users"
    -------------------------------------
      Automember Rule: ad_users
  3. AD ユーザーをフィルタリングするための包含条件を追加します。以下の例では、包含条件は、objectclass 属性に ntUser 値を持つすべてのユーザーを対象にし ています
    $ ipa automember-add-condition
    Automember Rule: ad_users
    Attribute Key: objectclass
    Grouping Type: group
    [Inclusive Regex]: ntUser
    [Exclusive Regex]:
    -------------------------------------
    Added condition(s) to "ad_users"
    -------------------------------------
      Automember Rule: ad_users
      Inclusive Regex: objectclass=ntUser
    ----------------------------
    Number of conditions added 1
    ----------------------------
今後追加されるすべての AD ユーザーは、自動的に ad_users ユーザーグループのメンバーであることになります。