第13章 ユーザーおよびホストグループの管理

13.1. ユーザーおよびホストグループの IdM での機能

13.1.1. ユーザーおよびホストグループとは

ユーザーグループは、一般的な権限、パスワードポリシー、その他の特長を持つユーザーセットです。
ホストグループは、一般的なアクセス制御ルールやその他の特長を持つ IdM ホストです。
たとえば、企業の部門、物理的な場所、アクセス制御要件をもとにグループを定義することができます。

13.1.2. サポートされるグループメンバー

IdM のユーザーグループには以下が含まれます。
  • IdM ユーザー
  • その他の IdM ユーザーグループ
  • IdM 以外に所属する外部ユーザー
IdM のホストグループには、以下が含まれます。
  • IdM サーバーおよびクライアント
  • その他の IdM ホストグループ

13.1.3. グループの直接および間接メンバー

IdM のユーザーおよびホストグループ属性は、直接および間接メンバー両方に適用されます。たとえば、グループ B がグループ A に所属している場合には、グループ B の全ユーザーは、グループ A のメンバーと見なされます。
  • ユーザー 1 およびユーザー 2 は、グループ A の 直接メンバー です。
  • ユーザー 3、ユーザー 4 およびユーザー 5 は、グループ A の 間接メンバー です。
グループの直接および間接メンバー

図13.1 グループの直接および間接メンバー

ユーザーグループ A にパスワードポリシーを設定した場合に、このポリシーは、ユーザーグループ B の全ユーザーにも適用されます。

例13.1 グループの直接および間接メンバーの表示

  1. group_Agroup_B の 2 つのグループを作成します。「ユーザーまたはホストグループの追加および削除」を参照してください。
  2. 以下を追加します。
    • group_A のメンバーとしてユーザーを 1 つ追加します。
    • 別のユーザーを group_B のメンバーとして追加します。
    • group_A メンバーとして group_B を追加します。
  3. Web UI で、IdentityGroups を選択します。左側のサイドバーに表示されている各グループタイプから、User Groups を選択し、group_A の名前をクリックします。Direct MembershipIndirect Membership を切り替えます。
    グループの直接および間接メンバー

    図13.2 グループの直接および間接メンバー

  4. コマンドラインを使用する場合は ipa group-show コマンドを実行します。
    $ ipa group-show group_A
      ...
      Member users: user_1
      Member groups: group_B
      Indirect Member users: user_2
間接メンバーのリストには、信頼されている Active Directory ドメインの外部ユーザーが含まれません。Active Directory の信頼されているユーザーオブジェクトは、IdM 内の LDAP オブジェクトとして存在しないため、IdM インターフェースに表示されません。

13.1.4. IdM のユーザーグループタイプ

POSIX グループ (デフォルト)
POSIX グループは、所属メンバーの POSIX 属性をサポートします。Active Directory と対話するグループは POSIX の属性を使用できない点に注意してください。
POSIX 以外のグループ
このタイプのグループメンバーはすべて、IdM ドメインに所属する必要があります。
外部グループ
外部グループにより、IdM ドメイン以外のアイデンティティーストアに存在するグループメンバーを追加できます。外部ストアは、ローカルシステム、Active Directory ドメイン、ディレクトリーサービスのいずれかを指定できます。
POSIX 以外の外部グループは、POSIX 属性をサポートしません。たとえば、これらのグループには、GID は定義されません。

例13.2 異なるタイプのユーザーグループの検索

  1. 全ユーザーグループを表示するには、ipa group-find コマンドを実行します。
  2. また、全 POSIX グループを表示するには、ipa group-find --posix コマンドを実行します。
  3. POSIX グループ以外のグループをすべて表示するには ipa group-find --nonposix コマンドを実行します。
  4. 全外部グループを表示するには ipa group-find --external コマンドを実行します。

13.1.5. デフォルトで作成されるユーザーおよびホストグループ

表13.1 デフォルトで作成されるユーザーおよびホストグループ

グループ名ユーザーまたはホストデフォルトのグループメンバー
ipausersユーザーグループ全 IdM ユーザー
adminsユーザーグループ管理者権限のあるユーザー。デフォルトでは最初は admin ユーザーです。
editorsユーザーグループ管理者ユーザーの権限なしに Web UI で他の IdM ユーザーを編集できるユーザー
trust adminsユーザーグループActive Directory トラストを管理する権限のあるユーザー
ipaserversホストグループ全 IdM サーバーホスト
ユーザーグループにユーザーを追加すると、グループに関連付けられた特権およびポリシーが適用されます。たとえば、admins グループにユーザーを追加するには、ユーザーに管理者権限が割り当てられます。

警告

ipaservers ホストグループにホストを追加するときは注意してください。ipaservers のホストにはすべて、IdM サーバーにプロモートする機能が割り当てられています。
さらに IdM では、新規ユーザーが IdM に作成されると、デフォルトで ユーザープライベートグループ が作成されます。
  • ユーザープライベートグループは、作成したユーザーと同じ名前が指定されます。
  • このユーザーは、ユーザープライベートグループにのみ所属します。
  • プライベートグループの GID は、ユーザーの UID と同じです。

例13.3 ユーザープライベートグループの表示

全ユーザープライベートグループを表示するには、ipa group-find --private コマンドを実行します。
$ ipa group-find --private
----------------
2 groups matched
----------------
  Group name: user1
  Description: User private group for user1
  GID: 830400006

  Group name: user2
  Description: User private group for user2
  GID: 830400004
----------------------------
Number of entries returned 2
----------------------------
NIS グループや別のシステムグループがユーザーのプライベートグループに割り当てられた GID をすでに使用している場合など、ユーザーのプライベートグループを作成しないほうが良い場合があります。「ユーザープライベートグループの無効化」を参照してください。