Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第13章 ユーザーおよびグループの管理

13.1. IdM でのユーザーおよびグループの仕組み

13.1.1. ユーザーおよびグループの概要

ユーザーグループは、共通の特権、パスワードポリシーなどの持つユーザーのセットです。
ホストグループは、共通のアクセス制御ルールやその他の特性を持つ IdM ホストセットです。
たとえば、企業の部門、物理的な場所、またはアクセス制御要件に関するグループを定義できます。

13.1.2. サポート対象のグループメンバー

IdM のユーザーグループには以下が含まれます。
  • IdM ユーザー
  • 他の IdM ユーザーグループ
  • 外部ユーザー (IdM の外部に存在するユーザー)
IdM のホストグループには以下が含まれます。
  • IdM サーバーおよびクライアント
  • その他の IdM ホストグループ

13.1.3. 直接および間接のグループメンバー

IdM のユーザーおよびホストグループ属性は、直接メンバーと間接メンバーの両方に適用されます。グループ B がグループ A のメンバーである場合、グループ B のすべてのユーザーはグループ A のメンバーと見なされます。
たとえば、図13.1「直接および間接グループメンバーシップ」 では以下のようになります。
  • ユーザー 1 とユーザー 2 は、グループ A の 直接メンバー です。
  • ユーザー 3、ユーザー 4、およびユーザー 5 は、グループ A の 間接メンバー です。

図13.1 直接および間接グループメンバーシップ

直接および間接グループメンバーシップ
ユーザーグループ A にパスワードポリシーを設定すると、そのポリシーはユーザーグループ B のすべてのユーザーにも適用されます。

例13.1 直接および間接グループメンバーの表示

  1. group_Agroup_B の 2 つのグループを作成します。「ユーザーまたはグループの追加と削除」を参照してください。
  2. 以下を追加します。
    • group_Aのメンバーとしての 1 ユーザー
    • group_Bのメンバーとしての別のユーザー
    • group_Aのメンバーとするgroup_B
  3. Web UI で、IdentityGroups を選択します。左側のサイドバーに表示されている個々のグループタイプから、User Groups を選択し、group_A の名前をクリックします。直接メンバーシップ間接メンバーシップ を切り替えます。

    図13.2 グループの直接および間接メンバー

    グループの直接および間接メンバー
  4. コマンドライン: ipa group-show コマンドを使用します。
    $ ipa group-show group_A
      ...
      Member users: user_1
      Member groups: group_B
      Indirect Member users: user_2
間接メンバーの一覧には、信頼された Active Directory ドメインの外部ユーザーが含まれません。Active Directory 信頼ユーザーオブジェクトは、IdM 内に LDAP オブジェクトとして存在しないため、IdM インターフェースには表示されません。

13.1.4. IdM のユーザーグループタイプ

POSIX グループ (デフォルト)
POSIX グループは、メンバーの POSIX 属性に対応します。Active Directory と対話するグループは POSIX 属性を使用できないことに注意してください。
非 POSIX グループ
このタイプのグループのすべてのグループメンバーは、IdM ドメインに属している必要があります。
外部グループ
外部グループを使用すると、IdM ドメイン外の ID ストアに存在するグループメンバーを追加できます。外部ストアは、ローカルシステム、Active Directory ドメイン、またはディレクトリーサービスです。
非 POSIX および外部グループは、POSIX 属性に対応していません。たとえば、これらのグループには GID が定義されていません。

例13.2 各種ユーザーグループの検索

  1. ipa group-find コマンドを実行して、すべてのユーザーグループを表示します。
  2. ipa group-find --posix コマンドを実行して、すべての POSIX グループを表示します。
  3. ipa group-find --nonposix コマンドを実行して、POSIX 以外のグループをすべて表示します。
  4. ipa group-find --external コマンドを実行して、すべての外部グループを表示します。

13.1.5. デフォルトで作成されるユーザーおよびホストグループ

表13.1 デフォルトで作成されるユーザーおよびホストグループ

グループ名 ユーザーまたはホスト デフォルトのグループメンバー
ipausers ユーザーグループ すべての IdM ユーザー
admins ユーザーグループ 管理権限を持つユーザー (初期のデフォルトの admin ユーザー)
editors ユーザーグループ ユーザーは、管理ユーザーの権限がすべてなくても、Web UI で他の IdM ユーザーを編集できます。
trust admins ユーザーグループ Active Directory 信頼を管理する権限を持つユーザー
ipaservers ホストグループ すべての IdM サーバーホスト
ユーザーグループにユーザーを追加すると、そのグループに関連付けられた特権およびポリシーが適用されます。たとえば、ユーザーを admins グループに追加すると、ユーザーに管理者権限が付与されます。
警告
admins グループを削除しないでください。admins は IdM で必要な事前定義グループであるため、この操作により特定のコマンドで問題が生じます。
警告
ホストを ipaservers ホストグループに追加する場合は注意してください。ipaservers のすべてのホストは、それ自体を IdM サーバーにプロモートできます。
さらに、IdM で新しいユーザーが作成されるたびに、IdM は、デフォルトで ユーザーのプライベートグループ を作成します。
  • ユーザープライベートグループは、作成したユーザーと同じ名前を持ちます。
  • ユーザーは、ユーザープライベートグループの唯一のメンバーです。
  • プライベートグループの GID は、ユーザーの UID と一致します。

例13.3 ユーザープライベートグループの表示

ipa group-find --private コマンドを実行して、すべてのユーザープライベートグループを表示します。
$ ipa group-find --private
----------------
2 groups matched
----------------
  Group name: user1
  Description: User private group for user1
  GID: 830400006

  Group name: user2
  Description: User private group for user2
  GID: 830400004
----------------------------
Number of entries returned 2
----------------------------
状況によっては、NIS グループまたは別のシステムグループが、ユーザープライベートグループに割り当てられる GID を既に使用している場合など、ユーザープライベートグループを作成しないようにする方が良い場合があります。「ユーザープライベートグループの無効化」を参照してください。