Red Hat Training

A Red Hat training course is available for Red Hat Linux

第13章 ユーザーおよびホストグループの管理

13.1. ユーザーおよびホストグループの IdM での機能

13.1.1. ユーザーおよびホストグループとは

ユーザーグループは、一般的な権限、パスワードポリシー、その他の特長を持つユーザーセットです。
ホストグループは、一般的なアクセス制御ルールやその他の特長を持つ IdM ホストです。
たとえば、企業の部門、物理的な場所、アクセス制御要件をもとにグループを定義することができます。

13.1.2. サポートされるグループメンバー

IdM のユーザーグループには以下が含まれます。
  • IdM ユーザー
  • その他の IdM ユーザーグループ
  • IdM 以外に所属する外部ユーザー
IdM のホストグループには、以下が含まれます。
  • IdM サーバーおよびクライアント
  • その他の IdM ホストグループ

13.1.3. グループの直接および間接メンバー

IdM のユーザーおよびホストグループ属性は、直接および間接メンバー両方に適用されます。たとえば、グループ B がグループ A に所属している場合には、グループ B の全ユーザーは、グループ A のメンバーと見なされます。
  • ユーザー 1 およびユーザー 2 は、グループ A の 直接メンバー です。
  • ユーザー 3、ユーザー 4 およびユーザー 5 は、グループ A の 間接メンバー です。
グループの直接および間接メンバー

図13.1 グループの直接および間接メンバー

ユーザーグループ A にパスワードポリシーを設定した場合に、このポリシーは、ユーザーグループ B の全ユーザーにも適用されます。

例13.1 グループの直接および間接メンバーの表示

  1. group_Agroup_B の 2 つのグループを作成します。「ユーザーまたはホストグループの追加および削除」を参照してください。
  2. 以下を追加します。
    • group_A のメンバーとしてユーザーを 1 つ追加します。
    • 別のユーザーを group_B のメンバーとして追加します。
    • group_A メンバーとして group_B を追加します。
  3. Web UI で、IdentityGroups を選択します。左側のサイドバーに表示されている各グループタイプから、User Groups を選択し、group_A の名前をクリックします。Direct MembershipIndirect Membership を切り替えます。
    グループの直接および間接メンバー

    図13.2 グループの直接および間接メンバー

  4. コマンドラインを使用する場合は ipa group-show コマンドを実行します。
    $ ipa group-show group_A
      ...
      Member users: user_1
      Member groups: group_B
      Indirect Member users: user_2

13.1.4. IdM のユーザーグループタイプ

POSIX グループ (デフォルト)
POSIX グループは、所属メンバーの POSIX 属性をサポートします。Active Directory と対話するグループは POSIX の属性を使用できない点に注意してください。
POSIX 以外のグループ
このタイプのグループメンバーはすべて、IdM ドメインに所属する必要があります。
外部グループ
外部グループにより、IdM ドメイン以外のアイデンティティーストアに存在するグループメンバーを追加できます。外部ストアは、ローカルシステム、Active Directory ドメイン、ディレクトリーサービスのいずれかを指定できます。
POSIX 以外の外部グループは、POSIX 属性をサポートしません。たとえば、これらのグループには、GID は定義されません。

例13.2 異なるタイプのユーザーグループの検索

  1. 全ユーザーグループを表示するには、ipa group-find コマンドを実行します。
  2. また、全 POSIX グループを表示するには、ipa group-find --posix コマンドを実行します。
  3. POSIX グループ以外のグループをすべて表示するには ipa group-find --nonposix コマンドを実行します。
  4. 全外部グループを表示するには ipa group-find --external コマンドを実行します。

13.1.5. デフォルトで作成されるユーザーおよびホストグループ

表13.1 デフォルトで作成されるユーザーおよびホストグループ

グループ名ユーザーまたはホストデフォルトのグループメンバー
ipausersユーザーグループ全 IdM ユーザー
adminsユーザーグループ管理者権限のあるユーザー。デフォルトでは最初は admin ユーザーです。
editorsユーザーグループ管理者ユーザーの権限なしに Web UI で他の IdM ユーザーを編集できるユーザー
trust adminsユーザーグループActive Directory トラストを管理する権限のあるユーザー
ipaserversホストグループ全 IdM サーバーホスト
ユーザーグループにユーザーを追加すると、グループに関連付けられた特権およびポリシーが適用されます。たとえば、admins グループにユーザーを追加するには、ユーザーに管理者権限が割り当てられます。

警告

ipaservers ホストグループにホストを追加するときは注意してください。ipaservers のホストにはすべて、IdM サーバーにプロモートする機能が割り当てられています。
さらに IdM では、新規ユーザーが IdM に作成されると、デフォルトで ユーザープライベートグループ が作成されます。
  • ユーザープライベートグループは、作成したユーザーと同じ名前が指定されます。
  • このユーザーは、ユーザープライベートグループにのみ所属します。
  • プライベートグループの GID は、ユーザーの UID と同じです。

例13.3 ユーザープライベートグループの表示

全ユーザープライベートグループを表示するには、ipa group-find --private コマンドを実行します。
$ ipa group-find --private
----------------
2 groups matched
----------------
  Group name: user1
  Description: User private group for user1
  GID: 830400006

  Group name: user2
  Description: User private group for user2
  GID: 830400004
----------------------------
Number of entries returned 2
----------------------------
NIS グループや別のシステムグループがユーザーのプライベートグループに割り当てられた GID をすでに使用している場合など、ユーザーのプライベートグループを作成しないほうが良い場合があります。「ユーザープライベートグループの無効化」を参照してください。