Show Table of Contents
第13章 ユーザーおよびホストグループの管理
13.1. ユーザーおよびホストグループの IdM での機能
13.1.1. ユーザーおよびホストグループとは
ユーザーグループは、一般的な権限、パスワードポリシー、その他の特長を持つユーザーセットです。
ホストグループは、一般的なアクセス制御ルールやその他の特長を持つ IdM ホストです。
たとえば、企業の部門、物理的な場所、アクセス制御要件をもとにグループを定義することができます。
13.1.2. サポートされるグループメンバー
IdM のユーザーグループには以下が含まれます。
- IdM ユーザー
- その他の IdM ユーザーグループ
- IdM 以外に所属する外部ユーザー
IdM のホストグループには、以下が含まれます。
- IdM サーバーおよびクライアント
- その他の IdM ホストグループ
13.1.3. グループの直接および間接メンバー
IdM のユーザーおよびホストグループ属性は、直接および間接メンバー両方に適用されます。たとえば、グループ B がグループ A に所属している場合には、グループ B の全ユーザーは、グループ A のメンバーと見なされます。
たとえば、図13.1「グループの直接および間接メンバー」では:
- ユーザー 1 およびユーザー 2 は、グループ A の 直接メンバー です。
- ユーザー 3、ユーザー 4 およびユーザー 5 は、グループ A の 間接メンバー です。
図13.1 グループの直接および間接メンバー
ユーザーグループ A にパスワードポリシーを設定した場合に、このポリシーは、ユーザーグループ B の全ユーザーにも適用されます。
例13.1 グループの直接および間接メンバーの表示
- 以下を追加します。
group_Aのメンバーとしてユーザーを 1 つ追加します。- 別のユーザーを
group_Bのメンバーとして追加します。 group_Aメンバーとしてgroup_Bを追加します。
「ユーザーまたはホストグループメンバーの追加および削除」を参照してください。 - Web UI で、 → を選択します。左側のサイドバーに表示されている各グループタイプから、 を選択し、
group_Aの名前をクリックします。Direct Membership と Indirect Membership を切り替えます。
図13.2 グループの直接および間接メンバー
- コマンドラインを使用する場合は
ipa group-showコマンドを実行します。$ ipa group-show group_A ... Member users: user_1 Member groups: group_B Indirect Member users: user_2
13.1.4. IdM のユーザーグループタイプ
- POSIX グループ (デフォルト)
- POSIX グループは、所属メンバーの POSIX 属性をサポートします。Active Directory と対話するグループは POSIX の属性を使用できない点に注意してください。
- POSIX 以外のグループ
- このタイプのグループメンバーはすべて、IdM ドメインに所属する必要があります。
- 外部グループ
- 外部グループにより、IdM ドメイン以外のアイデンティティーストアに存在するグループメンバーを追加できます。外部ストアは、ローカルシステム、Active Directory ドメイン、ディレクトリーサービスのいずれかを指定できます。
POSIX 以外の外部グループは、POSIX 属性をサポートしません。たとえば、これらのグループには、GID は定義されません。
例13.2 異なるタイプのユーザーグループの検索
- 全ユーザーグループを表示するには、
ipa group-findコマンドを実行します。 - また、全 POSIX グループを表示するには、
ipa group-find --posixコマンドを実行します。 - POSIX グループ以外のグループをすべて表示するには
ipa group-find --nonposixコマンドを実行します。 - 全外部グループを表示するには
ipa group-find --externalコマンドを実行します。
13.1.5. デフォルトで作成されるユーザーおよびホストグループ
表13.1 デフォルトで作成されるユーザーおよびホストグループ
| グループ名 | ユーザーまたはホスト | デフォルトのグループメンバー |
|---|---|---|
ipausers | ユーザーグループ | 全 IdM ユーザー |
admins | ユーザーグループ | 管理者権限のあるユーザー。デフォルトでは最初は admin ユーザーです。 |
editors | ユーザーグループ | 管理者ユーザーの権限なしに Web UI で他の IdM ユーザーを編集できるユーザー |
trust admins | ユーザーグループ | Active Directory トラストを管理する権限のあるユーザー |
ipaservers | ホストグループ | 全 IdM サーバーホスト |
ユーザーグループにユーザーを追加すると、グループに関連付けられた特権およびポリシーが適用されます。たとえば、
admins グループにユーザーを追加するには、ユーザーに管理者権限が割り当てられます。
警告
ipaservers ホストグループにホストを追加するときは注意してください。ipaservers のホストにはすべて、IdM サーバーにプロモートする機能が割り当てられています。
さらに IdM では、新規ユーザーが IdM に作成されると、デフォルトで ユーザープライベートグループ が作成されます。
- ユーザープライベートグループは、作成したユーザーと同じ名前が指定されます。
- このユーザーは、ユーザープライベートグループにのみ所属します。
- プライベートグループの GID は、ユーザーの UID と同じです。
例13.3 ユーザープライベートグループの表示
全ユーザープライベートグループを表示するには、
ipa group-find --private コマンドを実行します。
$ ipa group-find --private ---------------- 2 groups matched ---------------- Group name: user1 Description: User private group for user1 GID: 830400006 Group name: user2 Description: User private group for user2 GID: 830400004 ---------------------------- Number of entries returned 2 ----------------------------
NIS グループや別のシステムグループがユーザーのプライベートグループに割り当てられた GID をすでに使用している場合など、ユーザーのプライベートグループを作成しないほうが良い場合があります。「ユーザープライベートグループの無効化」を参照してください。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.