Menu Close
Settings Close

Language and Page Formatting Options

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

13.6.2. automember ルールの追加

automember ルールを追加するには、以下のツールを使用します。
automember ルールを追加すると、以下のようになります。
  • 今後作成されるすべてのエントリーは、指定されたグループのメンバーになります。エントリーが複数の automember ルールで指定された条件を満たすと、対応するグループすべてに追加されます。
  • 既存のエントリーは、指定されたグループのメンバーにはなりません。詳細は、「既存のユーザーおよびホストへの automember ルールの適用」を参照してください。

Web UI: automember ルールの追加

  1. IdentityAutomemberUser group rules または Host group rules を選択します。
  2. Add をクリックします。
  3. Automember rule フィールドで、ルールを適用するグループを選択します。Add and Edit をクリックします。
  4. 1 つ以上の包括的および排他的条件を定義します。詳細は「automember ルール」を参照してください。
    1. Inclusive セクションまたは Exclusive セクションで、Add をクリックします。
    2. Attribute フィールドで、必要な属性を選択します。
    3. Expression フィールドに正規表現を定義します。
    4. Add をクリックします。
    たとえば、以下の条件は、ユーザーログイン属性 (uid) のすべての値 (.*) を対象にしています。

    図13.5 automember ルール条件の追加

    automember ルール条件の追加

コマンドライン: automember ルールの追加

  1. ipa automember-add コマンドを使用して、automember ルールを追加します。プロンプトが表示されたら、以下を指定します。
    • Automember rule: 対象のグループ名と一致します。
    • Grouping Type: ルールのターゲットがユーザーグループか、ホストグループであるかを指定します。ユーザーグループをターゲットにするには、group を入力します。ホストグループをターゲットに設定するには、ホストグループ を入力します。
    たとえば、user_group という名前のユーザーグループの automember ルールを追加するには、以下を実行します。
    $ ipa automember-add
    Automember Rule: user_group
    Grouping Type: group
    --------------------------------
    Added automember rule "user_group"
    --------------------------------
      Automember Rule: user_group
  2. 1 つ以上の包括的および排他的条件を定義します。詳細は「automember ルール」を参照してください。
    1. 条件を追加するには、ipa automember-add-condition コマンドを使用します。プロンプトが表示されたら、以下を指定します。
      • Automember rule: 対象のグループ名と一致します。
      • 属性キー: フィルターが適用されるエントリー属性を指定します。たとえば、ユーザーの manager です。
      • Grouping Type: ルールのターゲットがユーザーグループか、ホストグループであるかを指定します。ユーザーグループをターゲットにするには、group を入力します。ホストグループをターゲットに設定するには、ホストグループ を入力します。
      • 包含正規表現除外正規表現:1 つ以上の条件を正規表現として指定します。ある条件のみを指定する場合は、他の条件が求められたら Enter を押します。
      たとえば、以下の条件は、ユーザーログイン属性 (uid) のすべての値 (.*) を対象にしています。
      $ ipa automember-add-condition
      Automember Rule: user_group
      Attribute Key: uid
      Grouping Type: group
      [Inclusive Regex]: .*
      [Exclusive Regex]:
      ----------------------------------
      Added condition(s) to "user_group"
      ----------------------------------
        Automember Rule: user_group
        Inclusive Regex: uid=.*
      ----------------------------
      Number of conditions added 1
      ----------------------------
    2. 条件を削除するには、ipa automember-remove-condition コマンドを使用します。

例13.5 コマンドライン: すべてのエントリーを 1 つのグループに追加する automember ルールの作成

cn または fqdn など、すべてのユーザーまたはホストエントリーに含まれる属性に包含条件を作成すると、今後作成されるすべてのユーザーまたはホストが 1 つのグループに追加されるようになります。
  1. all_hosts という名前のホストグループなど、グループを作成します。「ユーザーまたはホストグループの追加と削除」を参照してください。
  2. 新規ホストグループの automember ルールを追加します。以下に例を示します。
    $ ipa automember-add
    Automember Rule: all_hosts
    Grouping Type: hostgroup
    -------------------------------------
    Added automember rule "all_hosts"
    -------------------------------------
      Automember Rule: all_hosts
  3. すべてのホストを対象とした包含条件を追加します。以下の例では、包含条件はfqdn 属性に任意の値 (.*) を持つホストを対象にします。
    $ ipa automember-add-condition
    Automember Rule: all_hosts
    Attribute Key: fqdn
    Grouping Type: hostgroup
    [Inclusive Regex]: .*
    [Exclusive Regex]:
    ---------------------------------
    Added condition(s) to "all_hosts"
    ---------------------------------
      Automember Rule: all_hosts
      Inclusive Regex: fqdn=.*
    ----------------------------
    Number of conditions added 1
    ----------------------------
今後追加されるすべてのホストは、自動的に all_hosts グループのメンバーになります。

例13.6 コマンドライン: 同期 AD ユーザーの automember ルールの作成

Active Directory(AD) から同期した Windows ユーザーは、ntUser オブジェクトクラスを共有します。objectclass 属性で ntUser が指定されたすべてのユーザーを対象とした automember 条件を作成すると、今後作成されたすべての同期 AD ユーザーが AD ユーザーの共通グループに含まれるようになります。
  1. ad_users などの、AD ユーザーのユーザーグループを作成します。「ユーザーまたはホストグループの追加と削除」を参照してください。
  2. 新規ユーザーグループの automember ルールを追加します。以下に例を示します。
    $ ipa automember-add
    Automember Rule: ad_users
    Grouping Type: group
    -------------------------------------
    Added automember rule "ad_users"
    -------------------------------------
      Automember Rule: ad_users
  3. AD ユーザーをフィルターする包含条件を追加します。以下の例では、包含条件は、objectclass属性に ntUser の値を持つすべてのユーザーを対象とします。
    $ ipa automember-add-condition
    Automember Rule: ad_users
    Attribute Key: objectclass
    Grouping Type: group
    [Inclusive Regex]: ntUser
    [Exclusive Regex]:
    -------------------------------------
    Added condition(s) to "ad_users"
    -------------------------------------
      Automember Rule: ad_users
      Inclusive Regex: objectclass=ntUser
    ----------------------------
    Number of conditions added 1
    ----------------------------
今後追加されるすべての AD ユーザーは、自動的に ad_users ユーザーグループのメンバーになります。