Show Table of Contents
15.4. デフォルトのユーザーおよびグループ属性の指定
Identity Management は新規エントリー作成の際にテンプレートを使用します。
ユーザーにとっては、テンプレートは非常に特定のものです。Identity Management は、IdM ユーザーアカウントの中核となる属性のいくつかにはデフォルト値を使用します。これらのデフォルト値はユーザーアカウント属性 (ホームディレクトリーの場所など) の実際の値を定義するか、ユーザー名の長さなどの属性値の形式を定義します。これらの設定は、ユーザーに割り当てられるオブジェクトクラスも定義します。
グループの場合、テンプレートが定義するのは割り当てられたオブジェクトクラスのみです。
これらのデフォルト定義はすべて、IdM サーバーの単一の設定エントリーである
cn=ipaconfig,cn=etc,dc=example,dc=com に含まれています。
この設定は、
ipa config-mod コマンドで変更することが可能です。
表15.3 デフォルトのユーザーパラメーター
| フィールド | コマンドラインオプション | 説明 |
|---|---|---|
| Maximum user name length | --maxusername | ユーザー名の最大文字数を設定します。デフォルトは 32 文字です。 |
| Root for home directories | --homedirectory | ユーザーのホームディレクトリーに使用するデフォルトのディレクトリーを設定します。デフォルト値は、/home です。 |
| Default shell | --defaultshell | ユーザーに使用するデフォルトのシェルを設定します。デフォルト値は、/bin/sh です。 |
| Default user group | --defaultgroup | 新規作成のアカウントを追加するデフォルトグループを設定します。デフォルト値は ipausers で、これは IdM サーバーのインストールプロセスで自動的に作成されます。 |
| Default e-mail domain | --emaildomain | 新規アカウントに基づいて電子メールアドレスを作成するために使用する電子メールドメインを設定します。デフォルトは IdM サーバードメインです。 |
| Search time limit | --searchtimelimit | サーバー検索結果を返すまでに費やす最長時間を秒単位で設定します。 |
| Search size limit | --searchrecordslimit | 返される検索結果の最大数を設定します。 |
| User search fields | --usersearch | 検索文字列として使用可能なユーザーエントリー内のフィールドを設定します。記載される属性にはインデックスがその属性のために維持されるので、多く設定しすぎるとサーバーのパフォーマンスに影響が出る場合があります。 |
| Group search fields | --groupsearch | 検索文字列として使用可能なグループエントリー内のフィールドを設定します。 |
| Certificate subject base | クライアント証明書用にサブジェクト DN を作成する際に使用するベース DN を設定します。これはサーバーのセットアップ時に設定されます。 | |
| Default user object classes | --userobjectclasses | IdM ユーザーアカウント作成に使用されるオブジェクトクラスを定義します。これは、複数回使用することができます。このリストはコマンド実行時に上書きされるので、オブジェクトクラスの完全一覧を提供する必要があります。 |
| Default group object classes | --groupobjectclasses | IdM グループアカウント作成に使用されるオブジェクトクラスを定義します。これは、複数回使用することができます。このリストはコマンド実行時に上書きされるので、オブジェクトクラスの完全一覧を提供する必要があります。 |
| Password expiration notification | --pwdexpnotify | パスワードの有効期限が切れる何日前にサーバーが通知を送信するかを設定します |
| Password plug-in features | ユーザーが使用可能なパスワードの形式を設定します。 |
15.4.1. Web UI で属性を表示する
- IPA Server タブを開きます。
- Configuration サブタブを選択します。
- 設定エントリーは、全検索の制限、ユーザーテンプレート、およびグループテンプレートの 3 つのセクションで表示されます。
図15.4 検索での制限設定
図15.5 ユーザー属性
図15.6 グループ属性
15.4.2. コマンドラインで属性を表示する
config-show コマンドを使うと、すべての新規ユーザーアカウントに適用される現行設定が表示されます。デフォルトでは、最も一般的な属性のみが表示されます。--all オプションを使うと、完全な設定が表示されます。
[bjensen@server ~]$ kinit admin [bjensen@server ~]$ ipa config-show --all dn: cn=ipaConfig,cn=etc,dc=example,dc=com Maximum username length: 32 Home directory base: /home Default shell: /bin/sh Default users group: ipausers Default e-mail domain: example.com Search time limit: 2 Search size limit: 100 User search fields: uid,givenname,sn,telephonenumber,ou,title Group search fields: cn,description Enable migration mode: FALSE Certificate Subject base: O=EXAMPLE.COM Default group objectclasses: top, groupofnames, nestedgroup, ipausergroup, ipaobject Default user objectclasses: top, person, organizationalperson, inetorgperson, inetuser, posixaccount, krbprincipalaux, krbticketpolicyaux, ipaobject, ipasshuser Password Expiration Notification (days): 4 Password plugin features: AllowNThash SELinux user map order: guest_u:s0$xguest_u:s0$user_u:s0$staff_u:s0-s0:c0.c1023$unconfined_u:s0-s0:c0.c1023 Default SELinux user: unconfined_u:s0-s0:c0.c1023 Default PAC types: MS-PAC, nfs:NONE cn: ipaConfig objectclass: nsContainer, top, ipaGuiConfig, ipaConfigObject