Linux ドメイン ID、認証、およびポリシーガイド
I. Red Hat Identity Management の概要
Expand section "I. Red Hat Identity Management の概要" Collapse section "I. Red Hat Identity Management の概要"
1. 1. Red Hat Identity Management の概要
  Expand section "1. Red Hat Identity Management の概要" Collapse section "1. Red Hat Identity Management の概要"
  1. 1.1. Red Hat Identity Management の目的
    
    Expand section "1.1. Red Hat Identity Management の目的" Collapse section "1.1. Red Hat Identity Management の目的"
    
    1.1.1. IdM による利点の例
    
    1.1.2. Identity Management と標準 LDAP ディレクトリーの比較
  2. 1.2. Identity Management ドメイン
    
    Expand section "1.2. Identity Management ドメイン" Collapse section "1.2. Identity Management ドメイン"
    
    1.2.1. Identity Management サーバー
    
    Expand section "1.2.1. Identity Management サーバー" Collapse section "1.2.1. Identity Management サーバー"
    
    1.2.1.1. IdM サーバーがホストするサービス
    
    1.2.2. Identity Management クライアント
    
    Expand section "1.2.2. Identity Management クライアント" Collapse section "1.2.2. Identity Management クライアント"
    
    1.2.2.1. IdM クライアントがホストするサービス
II. Identity Management のインストール
Expand section "II. Identity Management のインストール" Collapse section "II. Identity Management のインストール"
1. 2. Identity Management サーバーのインストールおよびアンインストール
  Expand section "2. Identity Management サーバーのインストールおよびアンインストール" Collapse section "2. Identity Management サーバーのインストールおよびアンインストール"
  1. 2.1. サーバーのインストールの前提条件
    
    Expand section "2.1. サーバーのインストールの前提条件" Collapse section "2.1. サーバーのインストールの前提条件"
    
    2.1.1. 最小ハードウェア要件
    
    2.1.2. ハードウェア推奨事項
    
    2.1.3. システム要件
    
    2.1.4. FIPS 環境にサーバーをインストールする場合の前提条件
    
    2.1.5. ホスト名および DNS 設定
    
    2.1.6. ポートの要件
  2. 2.2. IdM サーバーのインストールに必要なパッケージ
  3. 2.3. IdM サーバーのインストール: 概要
    
    Expand section "2.3. IdM サーバーのインストール: 概要" Collapse section "2.3. IdM サーバーのインストール: 概要"
    
    2.3.1. 統合 DNS を使用するかどうかの決定
    
    2.3.2. 使用する CA 設定の決定
    
    2.3.3. 統合 DNS を使用したサーバーのインストール
    
    2.3.4. 統合 DNS を使用しないサーバーのインストール
    
    2.3.5. 外部 CA をルート CA として使用するサーバーのインストール
    
    2.3.6. CA なしでのインストール
    
    2.3.7. 非対話形式でのサーバーのインストール
  4. 2.4. IdM サーバーのアンインストール
  5. 2.5. サーバーの名前変更
2. 3. Identity Management クライアントのインストールおよびアンインストール
  Expand section "3. Identity Management クライアントのインストールおよびアンインストール" Collapse section "3. Identity Management クライアントのインストールおよびアンインストール"
  1. 3.1. クライアントのインストールの前提条件
    
    Expand section "3.1. クライアントのインストールの前提条件" Collapse section "3.1. クライアントのインストールの前提条件"
    
    3.1.1. FIPS 環境にクライアントをインストールする場合の前提条件
  2. 3.2. クライアントのインストールに必要なパッケージ
  3. 3.3. クライアントのインストール:
    
    Expand section "3.3. クライアントのインストール:" Collapse section "3.3. クライアントのインストール:"
    
    3.3.1. クライアントの対話型インストール
    
    3.3.2. クライアントの非対話型インストール
  4. 3.4. キックスタートでの IdM クライアントの設定
    
    Expand section "3.4. キックスタートでの IdM クライアントの設定" Collapse section "3.4. キックスタートでの IdM クライアントの設定"
    
    3.4.1. IdM サーバーでクライアントホストエントリーの事前作成
    
    3.4.2. クライアントのキックスタートファイルの作成
  5. 3.5. クライアントのインストール後の考慮事項
    
    Expand section "3.5. クライアントのインストール後の考慮事項" Collapse section "3.5. クライアントのインストール後の考慮事項"
    
    3.5.1. Identity Management 設定の削除
  6. 3.6. 新規クライアントのテスト
  7. 3.7. クライアントのアンインストール
  8. 3.8. クライアントの IdM ドメインへの再登録
    
    Expand section "3.8. クライアントの IdM ドメインへの再登録" Collapse section "3.8. クライアントの IdM ドメインへの再登録"
    
    3.8.1. 管理者アカウントを使用したクライアントの対話的な再登録
    
    3.8.2. クライアントキータブを使用したクライアントの非対話的な再登録
  9. 3.9. クライアントマシンの名前変更
3. 4. Identity Management のレプリカのインストールとアンインストール
  Expand section "4. Identity Management のレプリカのインストールとアンインストール" Collapse section "4. Identity Management のレプリカのインストールとアンインストール"
  1. 4.1. IdM レプリカの説明
  2. 4.2. レプリカのデプロイメントに関する考慮事項
    
    Expand section "4.2. レプリカのデプロイメントに関する考慮事項" Collapse section "4.2. レプリカのデプロイメントに関する考慮事項"
    
    4.2.1. トポロジーでのサーバーサービスの分散
    
    4.2.2. レプリカトポロジーの推奨事項
    
    Expand section "4.2.2. レプリカトポロジーの推奨事項" Collapse section "4.2.2. レプリカトポロジーの推奨事項"
    
    4.2.2.1. 密接なセルトポロジー
    
    4.2.3. 非表示のレプリカモード
  3. 4.3. レプリカのインストールの前提条件
  4. 4.4. レプリカのインストールに必要なパッケージ
  5. 4.5. レプリカの作成: 概要
    
    Expand section "4.5. レプリカの作成: 概要" Collapse section "4.5. レプリカの作成: 概要"
    
    4.5.1. ホストキータブを使用したクライアントのレプリカへのプロモート
    
    4.5.2. 無作為のパスワードを使用したレプリカのインストール
    
    4.5.3. DNS のあるレプリカのインストール
    
    4.5.4. CA のあるレプリカのインストール
    
    4.5.5. CA のないサーバーからのレプリカのインストール
  6. 4.6. 新規レプリカのテスト
  7. 4.7. レプリカのアンインストール
III. 管理: サーバーの管理
Expand section "III. 管理: サーバーの管理" Collapse section "III. 管理: サーバーの管理"
1. 5. IdM サーバーおよびサービスの基本的な管理
  Expand section "5. IdM サーバーおよびサービスの基本的な管理" Collapse section "5. IdM サーバーおよびサービスの基本的な管理"
  1. 5.1. IdM サーバーの起動と停止
  2. 5.2. Kerberos を使用した IdM へのログイン
  3. 5.3. IdM コマンドラインユーティリティー
    
    Expand section "5.3. IdM コマンドラインユーティリティー" Collapse section "5.3. IdM コマンドラインユーティリティー"
    
    5.3.1. ipa コマンドのヘルプの取得
    
    5.3.2. 値の一覧の設定
    
    5.3.3. 特殊文字の使用
    
    5.3.4. IdM エントリーの検索
    
    Expand section "5.3.4. IdM エントリーの検索" Collapse section "5.3.4. IdM エントリーの検索"
    
    5.3.4.1. 検索サイズおよび時間制限の調整
  4. 5.4. IdM Web UI
    
    Expand section "5.4. IdM Web UI" Collapse section "5.4. IdM Web UI"
    
    5.4.1. サポートされる Web ブラウザー
    
    5.4.2. Web UI へのアクセスおよび認証
    
    Expand section "5.4.2. Web UI へのアクセスおよび認証" Collapse section "5.4.2. Web UI へのアクセスおよび認証"
    
    5.4.2.1. Web UI へのアクセス
    
    5.4.2.2. 利用可能なログイン方法
    
    5.4.2.3. Web UI セッションの長さ
    
    5.4.2.4. AD ユーザーとしての IdM Web UI への認証
    
    5.4.3. Kerberos 認証用のブラウザーの設定
    
    5.4.4. Web UI への Kerberos 認証のための外部システムの設定
    
    5.4.5. プロキシーサーバーおよび Web UI でのポート転送
2. 6. レプリケーショントポロジーの管理
  Expand section "6. レプリケーショントポロジーの管理" Collapse section "6. レプリケーショントポロジーの管理"
  1. 6.1. レプリカ合意、トポロジーサフィックス、およびトポロジーセグメントの説明
  2. 6.2. Web UI: トポロジーグラフを使用したレプリケーショントポロジーの管理
    
    Expand section "6.2. Web UI: トポロジーグラフを使用したレプリケーショントポロジーの管理" Collapse section "6.2. Web UI: トポロジーグラフを使用したレプリケーショントポロジーの管理"
    
    6.2.1. 2 台のサーバー間のレプリケーションの設定
    
    6.2.2. 2 台のサーバー間のレプリケーションの停止
  3. 6.3. コマンドライン: ipa topology* コマンドを使用したトポロジーの管理
    
    Expand section "6.3. コマンドライン: ipa topology* コマンドを使用したトポロジーの管理" Collapse section "6.3. コマンドライン: ipa topology* コマンドを使用したトポロジーの管理"
    
    6.3.1. トポロジー管理コマンドのヘルプの取得
    
    6.3.2. 2 台のサーバー間のレプリケーションの設定
    
    6.3.3. 2 台のサーバー間のレプリケーションの停止
  4. 6.4. トポロジーからのサーバーの削除
    
    Expand section "6.4. トポロジーからのサーバーの削除" Collapse section "6.4. トポロジーからのサーバーの削除"
    
    6.4.1. Web UI: トポロジーからのサーバーの削除
    
    6.4.2. コマンドライン：トポロジーからのサーバーの削除
  5. 6.5. サーバーロールの管理
    
    Expand section "6.5. サーバーロールの管理" Collapse section "6.5. サーバーロールの管理"
    
    6.5.1. サーバーロールの表示
    
    6.5.2. レプリカのマスター CA サーバーへのプロモート
    
    Expand section "6.5.2. レプリカのマスター CA サーバーへのプロモート" Collapse section "6.5.2. レプリカのマスター CA サーバーへのプロモート"
    
    6.5.2.1. 現在の CA 更新マスターの変更
    
    6.5.2.2. CRL を生成するサーバーの変更
    
    6.5.2.3. 新規マスター CA サーバーが正しく設定されたことの確認
    
    6.5.3. 非表示のレプリカのデモートおよびプロモート
3. 7. ドメインレベルの表示と引き上げ
  Expand section "7. ドメインレベルの表示と引き上げ" Collapse section "7. ドメインレベルの表示と引き上げ"
  1. 7.1. 現在のドメインレベルの表示
  2. 7.2. ドメインレベルの引き上げ
4. 8. Identity Management の更新および移行
  Expand section "8. Identity Management の更新および移行" Collapse section "8. Identity Management の更新および移行"
  1. 8.1. Identity Management の更新
    
    Expand section "8.1. Identity Management の更新" Collapse section "8.1. Identity Management の更新"
    
    8.1.1. Identity Management の更新に関する考慮事項
    
    8.1.2. yum を使用した Identity Management パッケージの更新
  2. 8.2. Red Hat Enterprise Linux 6 からバージョン 7 への Identity Management の移行
    
    Expand section "8.2. Red Hat Enterprise Linux 6 からバージョン 7 への Identity Management の移行" Collapse section "8.2. Red Hat Enterprise Linux 6 からバージョン 7 への Identity Management の移行"
    
    8.2.1. Red Hat Enterprise Linux 6 から 7 への Identity Management の移行の前提条件
    
    8.2.2. Red Hat Enterprise Linux 6 での Identity Management スキーマの更新
    
    8.2.3. Red Hat Enterprise Linux 7 レプリカのインストール
    
    8.2.4. CA サービスの Red Hat Enterprise Linux 7 サーバーへの移行
    
    8.2.5. Red Hat Enterprise Linux 6 サーバーの停止
    
    8.2.6. マスター CA サーバーの移行後の次のステップ
5. 9. Identity Management のバックアップおよび復元
  Expand section "9. Identity Management のバックアップおよび復元" Collapse section "9. Identity Management のバックアップおよび復元"
  1. 9.1. サーバーのフルバックアップおよびデータのみのバックアップ
    
    Expand section "9.1. サーバーのフルバックアップおよびデータのみのバックアップ" Collapse section "9.1. サーバーのフルバックアップおよびデータのみのバックアップ"
    
    9.1.1. バックアップの作成
    
    Expand section "9.1.1. バックアップの作成" Collapse section "9.1.1. バックアップの作成"
    
    9.1.1.1. バックアップ中ボリューム上に十分な領域がない場合の回避策
    
    9.1.2. バックアップの暗号化
    
    9.1.3. バックアップ中にコピーされたディレクトリーおよびファイルの一覧
  2. 9.2. バックアップの復元
    
    Expand section "9.2. バックアップの復元" Collapse section "9.2. バックアップの復元"
    
    9.2.1. サーバーのフルバックアップまたはデータのみのバックアップからの復元
    
    9.2.2. 複数のマスターサーバーでの復元
    
    9.2.3. 暗号化されたバックアップからの復元
6. 10. IdM ユーザーのアクセス制御の定義
  Expand section "10. IdM ユーザーのアクセス制御の定義" Collapse section "10. IdM ユーザーのアクセス制御の定義"
  1. 10.1. IdM エントリーのアクセス制御
    
    Expand section "10.1. IdM エントリーのアクセス制御" Collapse section "10.1. IdM エントリーのアクセス制御"
    
    10.1.1. IdentityIdentity Management のアクセス制御メソッド
  2. 10.2. セルフサービス設定の定義
    
    Expand section "10.2. セルフサービス設定の定義" Collapse section "10.2. セルフサービス設定の定義"
    
    10.2.1. Web UI でのセルフサービスルールの作成
    
    10.2.2. コマンドラインでのセルフサービスルールの作成
    
    10.2.3. セルフサービスルールの編集
  3. 10.3. ユーザーへのパーミッションの委任
    
    Expand section "10.3. ユーザーへのパーミッションの委任" Collapse section "10.3. ユーザーへのパーミッションの委任"
    
    10.3.1. Web UI でのユーザーグループへのアクセス委任
    
    10.3.2. コマンドラインでのユーザーグループへのアクセス委任
  4. 10.4. ロールベースのアクセス制御の定義
    
    Expand section "10.4. ロールベースのアクセス制御の定義" Collapse section "10.4. ロールベースのアクセス制御の定義"
    
    10.4.1. ロール
    
    Expand section "10.4.1. ロール" Collapse section "10.4.1. ロール"
    
    10.4.1.1. Web UI でのロールの作成
    
    10.4.1.2. コマンドラインでのロールの作成
    
    10.4.2. パーミッション
    
    Expand section "10.4.2. パーミッション" Collapse section "10.4.2. パーミッション"
    
    10.4.2.1. Web UI での新規パーミッションの作成
    
    10.4.2.2. コマンドラインでの新規パーミッションの作成
    
    10.4.2.3. デフォルトの管理パーミッション
    
    10.4.2.4. 以前のバージョンのIdentity Management におけるパーミッション
    
    10.4.3. 権限
    
    Expand section "10.4.3. 権限" Collapse section "10.4.3. 権限"
    
    10.4.3.1. Web UI での新規権限の作成
    
    10.4.3.2. コマンドラインでの新規権限の作成
IV. 管理：アイデンティティーの管理
Expand section "IV. 管理：アイデンティティーの管理" Collapse section "IV. 管理：アイデンティティーの管理"
1. 11. ユーザーアカウントの管理
  Expand section "11. ユーザーアカウントの管理" Collapse section "11. ユーザーアカウントの管理"
  1. 11.1. ユーザーホームディレクトリーの設定
    
    Expand section "11.1. ユーザーホームディレクトリーの設定" Collapse section "11.1. ユーザーホームディレクトリーの設定"
    
    11.1.1. PAM ホームディレクトリーモジュールを使用したホームディレクトリーの自動マウント
    
    11.1.2. ホームディレクトリーの手動マウント
  2. 11.2. ユーザーのライフサイクル
    
    Expand section "11.2. ユーザーのライフサイクル" Collapse section "11.2. ユーザーのライフサイクル"
    
    11.2.1. stage または Active ユーザーの追加
    
    Expand section "11.2.1. stage または Active ユーザーの追加" Collapse section "11.2.1. stage または Active ユーザーの追加"
    
    11.2.1.1. ユーザー名の要件
    
    11.2.1.2. カスタム UID または GID 番号の定義
    
    11.2.2. ユーザーの一覧表示およびユーザーの検索
    
    11.2.3. ユーザーのアクティベート、保存、削除、および復元
  3. 11.3. ユーザーの編集
  4. 11.4. ユーザーアカウントの有効化、無効化
  5. 11.5. 管理者以外のユーザーによるユーザーエントリー管理の許可
  6. 11.6. ユーザーおよびグループへの外部プロビジョニングシステムの使用
    
    Expand section "11.6. ユーザーおよびグループへの外部プロビジョニングシステムの使用" Collapse section "11.6. ユーザーおよびグループへの外部プロビジョニングシステムの使用"
    
    11.6.1. 外部プロビジョニングシステムが使用するユーザーアカウントの設定
    
    11.6.2. ステージユーザーアカウントを自動的にアクティベートするための IdM の設定
    
    11.6.3. IdM アイデンティティーを管理するための外部プロビジョニングシステムの LDAP プロバイダーの設定
2. 12. ホストの管理
  Expand section "12. ホストの管理" Collapse section "12. ホストの管理"
  1. 12.1. ホスト、サービス、およびマシン ID と認証
  2. 12.2. ホストエントリー設定のプロパティー
  3. 12.3. ホストエントリーの追加
    
    Expand section "12.3. ホストエントリーの追加" Collapse section "12.3. ホストエントリーの追加"
    
    12.3.1. Web UI でホストエントリーの追加
    
    12.3.2. コマンドラインでのホストエントリーの追加
  4. 12.4. ホストエントリーの無効化と再有効化
    
    Expand section "12.4. ホストエントリーの無効化と再有効化" Collapse section "12.4. ホストエントリーの無効化と再有効化"
    
    12.4.1. ホストエントリーの無効化
    
    12.4.2. ホストの再有効化
  5. 12.5. ホストの公開 SSH 鍵の管理
    
    Expand section "12.5. ホストの公開 SSH 鍵の管理" Collapse section "12.5. ホストの公開 SSH 鍵の管理"
    
    12.5.1. SSH 鍵の形式
    
    12.5.2. ipa-client-install および OpenSSH
    
    12.5.3. ホスト SSH 鍵の Web UI でのアップロード
    
    12.5.4. コマンドラインからのホストキーの追加
    
    12.5.5. ホストキーの削除
  6. 12.6. ホストの Ethers 情報の設定
3. 13. ユーザーおよびホストグループの管理
  Expand section "13. ユーザーおよびホストグループの管理" Collapse section "13. ユーザーおよびホストグループの管理"
  1. 13.1. IdM でのユーザーおよびグループの仕組み
    
    Expand section "13.1. IdM でのユーザーおよびグループの仕組み" Collapse section "13.1. IdM でのユーザーおよびグループの仕組み"
    
    13.1.1. ユーザーおよびホストグループとは
    
    13.1.2. サポートされるグループメンバー
    
    13.1.3. 直接および間接のグループメンバー
    
    13.1.4. IdM のユーザーグループタイプ
    
    13.1.5. デフォルトで作成されるユーザーおよびホストグループ
  2. 13.2. ユーザーまたはホストグループの追加と削除
  3. 13.3. ユーザーまたはホストグループメンバーの追加と削除
  4. 13.4. ユーザープライベートグループの無効化
    
    Expand section "13.4. ユーザープライベートグループの無効化" Collapse section "13.4. ユーザープライベートグループの無効化"
    
    13.4.1. ユーザープライベートグループのないユーザーの作成
    
    13.4.2. すべてのユーザーに対してユーザープライベートグループをグローバルに無効にする
    
    13.4.3. ユーザープライベートグループが無効であるユーザーの追加
  5. 13.5. ユーザーおよびユーザーグループの検索属性の設定
  6. 13.6. ユーザーおよびホストの自動グループメンバーシップの定義
    
    Expand section "13.6. ユーザーおよびホストの自動グループメンバーシップの定義" Collapse section "13.6. ユーザーおよびホストの自動グループメンバーシップの定義"
    
    13.6.1. IdM で自動グループメンバーシップが機能する仕組み
    
    Expand section "13.6.1. IdM で自動グループメンバーシップが機能する仕組み" Collapse section "13.6.1. IdM で自動グループメンバーシップが機能する仕組み"
    
    13.6.1.1. 自動グループメンバーシップとは
    
    13.6.1.2. 自動グループメンバーシップの利点
    
    13.6.1.3. automember ルール
    
    13.6.2. automember ルールの追加
    
    13.6.3. 既存のユーザーおよびホストへのautomemberルールの適用
    
    13.6.4. デフォルトの automember グループの設定
4. 14. 一意の UID および GID 番号の割り当て
  Expand section "14. 一意の UID および GID 番号の割り当て" Collapse section "14. 一意の UID および GID 番号の割り当て"
5. 15. ユーザーおよびグループスキーマ
  Expand section "15. ユーザーおよびグループスキーマ" Collapse section "15. ユーザーおよびグループスキーマ"
  1. 15.1. デフォルトのユーザーおよびグループスキーマの変更
  2. 15.2. カスタムのオブジェクトクラスを新規ユーザーエントリーに適用する
    
    Expand section "15.2. カスタムのオブジェクトクラスを新規ユーザーエントリーに適用する" Collapse section "15.2. カスタムのオブジェクトクラスを新規ユーザーエントリーに適用する"
    
    15.2.1. Web UI での操作
    
    15.2.2. コマンドラインでの操作
  3. 15.3. カスタムのオブジェクトクラスを新規グループエントリーに適用する
    
    Expand section "15.3. カスタムのオブジェクトクラスを新規グループエントリーに適用する" Collapse section "15.3. カスタムのオブジェクトクラスを新規グループエントリーに適用する"
    
    15.3.1. Web UI での操作
    
    15.3.2. コマンドラインでの操作
  4. 15.4. デフォルトのユーザーおよびグループ属性の指定
    
    Expand section "15.4. デフォルトのユーザーおよびグループ属性の指定" Collapse section "15.4. デフォルトのユーザーおよびグループ属性の指定"
    
    15.4.1. Web UI で属性を表示する
    
    15.4.2. コマンドラインでの属性表示
6. 16. サービスの管理
  Expand section "16. サービスの管理" Collapse section "16. サービスの管理"
  1. 16.1. サービスエントリーおよびキータブの追加と編集
    
    Expand section "16.1. サービスエントリーおよびキータブの追加と編集" Collapse section "16.1. サービスエントリーおよびキータブの追加と編集"
    
    16.1.1. Web UI でのサービスとキータブの追加
    
    16.1.2. コマンドラインでのサービスとキータブの追加
  2. 16.2. クラスタサービスの設定
  3. 16.3. 複数サービスでの同一サービスプリンシパルの使用
  4. 16.4. 複数サーバーの既存キータブの取得
  5. 16.5. サービスエントリーの無効化および再有効化
    
    Expand section "16.5. サービスエントリーの無効化および再有効化" Collapse section "16.5. サービスエントリーの無効化および再有効化"
    
    16.5.1. サービスエントリーの無効化
    
    16.5.2. サービスの再有効化
7. 17. ホストおよびサービスへのアクセス委譲
  Expand section "17. ホストおよびサービスへのアクセス委譲" Collapse section "17. ホストおよびサービスへのアクセス委譲"
8. 18. ID ビュー
  Expand section "18. ID ビュー" Collapse section "18. ID ビュー"
  1. 18.1. ID ビューが上書きできる属性
  2. 18.2. ID view コマンドのヘルプの取得
  3. 18.3. 異なるホストのユーザーアカウントに対する異なる属性値の定義
    
    Expand section "18.3. 異なるホストのユーザーアカウントに対する異なる属性値の定義" Collapse section "18.3. 異なるホストのユーザーアカウントに対する異なる属性値の定義"
    
    18.3.1. Web UI: 特定ホストの属性値の上書き
    
    18.3.2. コマンドライン: 特定ホストの属性値の上書き
9. 19. IdM ユーザーのアクセス制御の定義
10. 20. Kerberos フラグおよびプリンシパルエイリアスの管理
  Expand section "20. Kerberos フラグおよびプリンシパルエイリアスの管理" Collapse section "20. Kerberos フラグおよびプリンシパルエイリアスの管理"
  1. 20.1. サービスおよびホスト向けの Kerberos フラグ
    
    Expand section "20.1. サービスおよびホスト向けの Kerberos フラグ" Collapse section "20.1. サービスおよびホスト向けの Kerberos フラグ"
    
    20.1.1. Web UI からの Kerberos フラグの設定
    
    20.1.2. コマンドラインからの Kerberos フラグの設定および削除
    
    20.1.3. コマンドラインからの Kerberos フラグの表示
  2. 20.2. ユーザー、ホスト、およびサービス用の Kerberos プリンシパルエイリアスの管理
    
    Expand section "20.2. ユーザー、ホスト、およびサービス用の Kerberos プリンシパルエイリアスの管理" Collapse section "20.2. ユーザー、ホスト、およびサービス用の Kerberos プリンシパルエイリアスの管理"
    
    20.2.1. Kerberos プリンシパルエイリアス
    
    20.2.2. Kerberos Enterprise Principal Alias
11. 21. NIS ドメインおよびネットグループとの統合
  Expand section "21. NIS ドメインおよびネットグループとの統合" Collapse section "21. NIS ドメインおよびネットグループとの統合"
  1. 21.1. NIS および IdentityIdentity Management について
    
    Expand section "21.1. NIS および IdentityIdentity Management について" Collapse section "21.1. NIS および IdentityIdentity Management について"
    
    21.1.1. IdentityIdentity Management の NIS Netgroups
    
    Expand section "21.1.1. IdentityIdentity Management の NIS Netgroups" Collapse section "21.1.1. IdentityIdentity Management の NIS Netgroups"
    
    21.1.1.1. NIS ネットグループエントリーの表示
  2. 21.2. IdentityIdentity Management で NIS の有効化
  3. 21.3. Netgroups の作成
    
    Expand section "21.3. Netgroups の作成" Collapse section "21.3. Netgroups の作成"
    
    21.3.1. ネットグループの追加
    
    21.3.2. ネットグループへのメンバーの追加
  4. 21.4. 自動マウントマップの NIS クライアントへの公開
    
    Expand section "21.4. 自動マウントマップの NIS クライアントへの公開" Collapse section "21.4. 自動マウントマップの NIS クライアントへの公開"
    
    21.4.1. 自動マウントマップの追加
  5. 21.5. NIS から IdM への移行
    
    Expand section "21.5. NIS から IdM への移行" Collapse section "21.5. NIS から IdM への移行"
    
    21.5.1. IdM での netgroup エントリーの準備
    
    21.5.2. IdentityIdentity Management での NIS リスナーの有効化
    
    21.5.3. 既存 NIS データのインポートおよびエクスポート
    
    Expand section "21.5.3. 既存 NIS データのインポートおよびエクスポート" Collapse section "21.5.3. 既存 NIS データのインポートおよびエクスポート"
    
    21.5.3.1. ユーザーエントリーの移行
    
    21.5.3.2. グループエントリーの移行
    
    21.5.3.3. ホストエントリーの移行
    
    21.5.3.4. ネットグループエントリーの移行
    
    21.5.3.5. 自動マウントマップの移行
    
    21.5.4. NIS ユーザー認証用の脆弱なパスワードハッシュ化の有効化
V. 管理：認証の管理
Expand section "V. 管理：認証の管理" Collapse section "V. 管理：認証の管理"
1. 22. ユーザー認証
  Expand section "22. ユーザー認証" Collapse section "22. ユーザー認証"
  1. 22.1. ユーザーパスワード
    
    Expand section "22.1. ユーザーパスワード" Collapse section "22.1. ユーザーパスワード"
    
    22.1.1. ユーザーパスワードの変更およびリセット
    
    Expand section "22.1.1. ユーザーパスワードの変更およびリセット" Collapse section "22.1.1. ユーザーパスワードの変更およびリセット"
    
    22.1.1.1. Web UI: 独自の個人パスワードの変更
    
    22.1.1.2. Web UI: 別のユーザーのパスワードの設定
    
    22.1.1.3. コマンドライン：別のユーザーのパスワードの変更または再設定
    
    22.1.2. Next login でパスワード変更を要求しないパスワードリセットの有効化
    
    22.1.3. ログイン失敗後のユーザーアカウントのロック解除
    
    Expand section "22.1.3. ログイン失敗後のユーザーアカウントのロック解除" Collapse section "22.1.3. ログイン失敗後のユーザーアカウントのロック解除"
    
    22.1.3.1. ユーザーアカウントのステータスの確認
  2. 22.2. 最後に成功した Kerberos 認証の追跡の有効化
  3. 22.3. ワンタイムパスワード
    
    Expand section "22.3. ワンタイムパスワード" Collapse section "22.3. ワンタイムパスワード"
    
    22.3.1. IdM での OTP 認証の仕組み
    
    Expand section "22.3.1. IdM での OTP 認証の仕組み" Collapse section "22.3.1. IdM での OTP 認証の仕組み"
    
    22.3.1.1. IdM でサポートされている OTP トークン
    
    22.3.1.2. 利用可能な OTP 認証方法
    
    22.3.1.3. GNOME Keyring サービスのサポート
    
    22.3.1.4. OTP を使用したオフライン認証
    
    22.3.2. FIPS モードで実行している IdM サーバーで RADIUS プロキシーを設定するために必要な設定
    
    22.3.3. 2 つのファクター認証の有効化
    
    22.3.4. ユーザー管理のソフトウェアトークンの追加
    
    22.3.5. ユーザー管理の YubiKey ハードウェアトークンの追加
    
    22.3.6. 管理者としてのユーザーのトークンの追加
    
    22.3.7. プロプライエタリー OTP ソリューションからの移行
    
    Expand section "22.3.7. プロプライエタリー OTP ソリューションからの移行" Collapse section "22.3.7. プロプライエタリー OTP ソリューションからの移行"
    
    22.3.7.1. 低速ネットワークでの RADIUS サーバーを実行する場合の KDC のタイムアウト値の変更
    
    22.3.8. 現在の認証情報の 2 要素認証へのプロモート
    
    22.3.9. OTP トークンの再同期
    
    22.3.10. ロット OTP トークンの置き換え
  4. 22.4. ユーザーの認証方法に基づいたサービスとホストへのアクセス制限
    
    Expand section "22.4. ユーザーの認証方法に基づいたサービスとホストへのアクセス制限" Collapse section "22.4. ユーザーの認証方法に基づいたサービスとホストへのアクセス制限"
    
    22.4.1. 特定の認証方法を要求するホストまたはサービスを設定
    
    22.4.2. Kerberos 認証の変更
  5. 22.5. ユーザーの公開 SSH 鍵の管理
    
    Expand section "22.5. ユーザーの公開 SSH 鍵の管理" Collapse section "22.5. ユーザーの公開 SSH 鍵の管理"
    
    22.5.1. SSH キーの生成
    
    22.5.2. ユーザーの SSH 鍵のアップロード
    
    Expand section "22.5.2. ユーザーの SSH 鍵のアップロード" Collapse section "22.5.2. ユーザーの SSH 鍵のアップロード"
    
    22.5.2.1. Web UI: ユーザーの SSH 鍵のアップロード
    
    22.5.2.2. コマンドライン：ユーザーの SSH 鍵のアップロード
    
    22.5.3. ユーザーキーの削除
    
    Expand section "22.5.3. ユーザーキーの削除" Collapse section "22.5.3. ユーザーキーの削除"
    
    22.5.3.1. Web UI: ユーザーの SSH キーの削除
    
    22.5.3.2. コマンドライン：ユーザーの SSH キーの削除
  6. 22.6. OpenSSH サービスのキャッシュを提供するように SSSD を設定
    
    Expand section "22.6. OpenSSH サービスのキャッシュを提供するように SSSD を設定" Collapse section "22.6. OpenSSH サービスのキャッシュを提供するように SSSD を設定"
    
    22.6.1. OpenSSH での SSSD の仕組み
    
    22.6.2. ホストキーに SSSD を使用するように OpenSSH の設定
    
    22.6.3. ユーザーキーに SSSD を使用するように OpenSSH の設定
  7. 22.7. Identity Management でのスマートカード認証
  8. 22.8. ユーザー証明書
2. 23. Identity Management でのスマートカード認証
  Expand section "23. Identity Management でのスマートカード認証" Collapse section "23. Identity Management でのスマートカード認証"
  1. 23.1. スマートカードからの証明書のエクスポート
  2. 23.2. Identity Management に証明書マッピングルールを設定
    
    Expand section "23.2. Identity Management に証明書マッピングルールを設定" Collapse section "23.2. Identity Management に証明書マッピングルールを設定"
    
    23.2.1. スマートカードにおける認証を設定するための証明書マッピングルール
    
    Expand section "23.2.1. スマートカードにおける認証を設定するための証明書マッピングルール" Collapse section "23.2.1. スマートカードにおける認証を設定するための証明書マッピングルール"
    
    23.2.1.1. Active Directory ドメインとの信頼に対する証明書マッピングルール
    
    23.2.1.2. IdM における ID マッピングルールのコンポーネント
    
    23.2.1.3. マッチングルールで使用する証明書から発行者の取得
    
    23.2.2. IdM に保存されたユーザーの証明書マッピングの設定
    
    Expand section "23.2.2. IdM に保存されたユーザーの証明書マッピングの設定" Collapse section "23.2.2. IdM に保存されたユーザーの証明書マッピングの設定"
    
    23.2.2.1. IdM での証明書マッピングルールの追加
    
    Expand section "23.2.2.1. IdM での証明書マッピングルールの追加" Collapse section "23.2.2.1. IdM での証明書マッピングルールの追加"
    
    23.2.2.1.1. IdM Web UI で証明書マッピングルールの追加
    
    23.2.2.1.2. コマンドラインを使用した証明書マッピングルールの追加
    
    23.2.2.2. IdM のユーザーエントリーへの証明書マッピングデータの追加
    
    Expand section "23.2.2.2. IdM のユーザーエントリーへの証明書マッピングデータの追加" Collapse section "23.2.2.2. IdM のユーザーエントリーへの証明書マッピングデータの追加"
    
    23.2.2.2.1. IdM Web UI のユーザーエントリーへの証明書マッピングデータの追加
    
    23.2.2.2.2. コマンドラインを使用したユーザーエントリーへの証明書マッピングデータの追加
    
    23.2.3. AD ユーザーエントリーに証明書全体が含まれるユーザーに証明書マッピングを設定
    
    Expand section "23.2.3. AD ユーザーエントリーに証明書全体が含まれるユーザーに証明書マッピングを設定" Collapse section "23.2.3. AD ユーザーエントリーに証明書全体が含まれるユーザーに証明書マッピングを設定"
    
    23.2.3.1. IdM Web UI を使用した Whole 証明書が含まれるユーザーの証明書マッピングルールの追加
    
    23.2.3.2. ユーザー選択の AD ユーザーエントリーに、コマンドラインを使用した Whole 証明書が含まれるに対する証明書マッピングルールの追加
    
    23.2.4. ユーザー証明書をユーザーアカウントにマッピングするように AD が設定されている場合に、証明書マッピングの設定
    
    Expand section "23.2.4. ユーザー証明書をユーザーアカウントにマッピングするように AD が設定されている場合に、証明書マッピングの設定" Collapse section "23.2.4. ユーザー証明書をユーザーアカウントにマッピングするように AD が設定されている場合に、証明書マッピングの設定"
    
    23.2.4.1. 信頼された AD ドメインがユーザー証明書をマッピングするように設定されている場合に、Web UI を使用した証明書マッピングルールの追加
    
    23.2.4.2. 信頼された AD ドメインがユーザー証明書をマッピングするように設定されている場合にコマンドラインを使用した証明書マッピングルールの追加
    
    23.2.4.3. AD で証明書マッピングデータの確認
    
    23.2.5. AD ユーザーエントリーに証明書やマッピングデータが含まれていない場合に、証明書マッピングの設定
    
    Expand section "23.2.5. AD ユーザーエントリーに証明書やマッピングデータが含まれていない場合に、証明書マッピングの設定" Collapse section "23.2.5. AD ユーザーエントリーに証明書やマッピングデータが含まれていない場合に、証明書マッピングの設定"
    
    23.2.5.1. AD ユーザーエントリーに証明書やマッピングデータが含まれていない場合に、Web UI を使用した証明書マッピングルールの追加
    
    23.2.5.2. AD ユーザーエントリーに証明書やマッピングデータが含まれていない場合に、コマンドラインを使用して証明書マッピングルールを追加
    
    23.2.5.3. Web UI を使用した AD ユーザーの ID オーバーライドへの証明書の追加
    
    23.2.5.4. コマンドラインを使用した AD ユーザーの ID オーバーライドへの証明書の追加
    
    23.2.6. 複数のアイデンティティーマッピングルールを 1 つに結合
  3. 23.3. スマートカードを使用した Identity Management クライアントに対する認証
    
    Expand section "23.3. スマートカードを使用した Identity Management クライアントに対する認証" Collapse section "23.3. スマートカードを使用した Identity Management クライアントに対する認証"
    
    23.3.1. Identity Management クライアントでサポートされるスマートカードベースの認証オプション
    
    23.3.2. スマートカード認証用の Identity Management クライアントの準備
    
    23.3.3. コンソールログインを使用したスマートカードによる Identity Management クライアントでの認証
    
    23.3.4. ローカルシステムからリモートシステムへの認証
    
    23.3.5. 関連情報
  4. 23.4. スマートカード認証用のユーザー名 Hint ポリシーの設定
    
    Expand section "23.4. スマートカード認証用のユーザー名 Hint ポリシーの設定" Collapse section "23.4. スマートカード認証用のユーザー名 Hint ポリシーの設定"
    
    23.4.1. Identity Management のユーザー名ヒント
    
    23.4.2. Identity Management での User Name Hints の有効化
  5. 23.5. Identity Management での PKINIT スマートカード認証
    
    Expand section "23.5. Identity Management での PKINIT スマートカード認証" Collapse section "23.5. Identity Management での PKINIT スマートカード認証"
    
    23.5.1. PKINIT 認証のための Identity Management クライアントの準備
    
    23.5.2. Identity Management ユーザーとして - Identity Management クライアントでの PKINIT を使用した認証
    
    23.5.3. Active Directory ユーザーとして - Identity Management クライアントでの PKINIT を使用した認証
  6. 23.6. スマートカードを使用した Identity Management Web UI への認証
    
    Expand section "23.6. スマートカードを使用した Identity Management Web UI への認証" Collapse section "23.6. スマートカードを使用した Identity Management Web UI への認証"
    
    23.6.1. Web UI でのスマートカード認証用の Identity Management サーバーの準備
    
    23.6.2. スマートカード認証用にブラウザーを用意
    
    23.6.3. Identity Management ユーザーとしてスマートカードを使用した Identity Management Web UI への認証
    
    23.6.4. 関連情報
  7. 23.7. Identity Management のスマートカード認証と Web アプリケーションの統合
    
    Expand section "23.7. Identity Management のスマートカード認証と Web アプリケーションの統合" Collapse section "23.7. Identity Management のスマートカード認証と Web アプリケーションの統合"
    
    23.7.1. スマートカードを使用した Web アプリケーション認証の前提条件
    
    23.7.2. Web アプリケーションの Identity Management スマートカード認証の設定
  8. 23.8. KDC からチケットを取得する際の特定の認証の強制
3. 24. ユーザー、ホスト、およびサービスの証明書の管理
  Expand section "24. ユーザー、ホスト、およびサービスの証明書の管理" Collapse section "24. ユーザー、ホスト、およびサービスの証明書の管理"
  1. 24.1. 統合 IdM CA を使用した証明書の管理
    
    Expand section "24.1. 統合 IdM CA を使用した証明書の管理" Collapse section "24.1. 統合 IdM CA を使用した証明書の管理"
    
    24.1.1. ユーザー、ホスト、またはサービスの新規証明書の要求
    
    Expand section "24.1.1. ユーザー、ホスト、またはサービスの新規証明書の要求" Collapse section "24.1.1. ユーザー、ホスト、またはサービスの新規証明書の要求"
    
    24.1.1.1. Certutil を使用した新規証明書の要求
    
    24.1.1.2. OpenSSL を使用した複数の SAN フィールドを使用した証明書要求の準備
    
    24.1.1.3. Certmonger を使用した新規証明書の要求
    
    24.1.1.4. IdM CA への証明書要求の送信
    
    24.1.2. 統合 IdM CA を使用した証明書の失効
    
    24.1.3. 統合 IdM CA を使用した証明書の復元
  2. 24.2. 外部 CA が発行する証明書の管理
    
    Expand section "24.2. 外部 CA が発行する証明書の管理" Collapse section "24.2. 外部 CA が発行する証明書の管理"
    
    24.2.1. コマンドライン：外部 CA が発行する証明書の追加および削除
    
    24.2.2. Web UI: 外部 CA が発行する証明書の追加および削除
  3. 24.3. 証明書の一覧表示および表示
  4. 24.4. 証明書プロファイル
    
    Expand section "24.4. 証明書プロファイル" Collapse section "24.4. 証明書プロファイル"
    
    24.4.1. 証明書プロファイルの作成
    
    24.4.2. コマンドラインでの証明書プロファイル管理
    
    24.4.3. Web UI からの証明書プロファイル管理
    
    24.4.4. 証明書プロファイルを使用した IdM サーバーのアップグレード
  5. 24.5. 認証局 ACL ルール
    
    Expand section "24.5. 認証局 ACL ルール" Collapse section "24.5. 認証局 ACL ルール"
    
    24.5.1. コマンドラインでの CA ACL 管理
    
    24.5.2. Web UI からの CA ACL 管理
  6. 24.6. IdM CA でユーザー証明書を発行するための証明書プロファイルおよび ACL の使用
4. 25. Vault での認証シークレットの保存
  Expand section "25. Vault での認証シークレットの保存" Collapse section "25. Vault での認証シークレットの保存"
  1. 25.1. Vault の仕組み
    
    Expand section "25.1. Vault の仕組み" Collapse section "25.1. Vault の仕組み"
    
    25.1.1. Vault の所有者、メンバー、および管理者
    
    25.1.2. 標準、対称および非対称 vault
    
    25.1.3. ユーザー、サービスおよび共有 vault
    
    25.1.4. 各種 Vault コンテナー
  2. 25.2. Vault を使用するための前提条件
  3. 25.3. Vault コマンドのヘルプの取得
  4. 25.4. ユーザーの個人シークレットの保存
    
    Expand section "25.4. ユーザーの個人シークレットの保存" Collapse section "25.4. ユーザーの個人シークレットの保存"
    
    25.4.1. ユーザーの個人シークレットのアーカイブ
    
    25.4.2. ユーザーの個人シークレットの取得
  5. 25.5. Vault でのサービスシークレットの保存
    
    Expand section "25.5. Vault でのサービスシークレットの保存" Collapse section "25.5. Vault でのサービスシークレットの保存"
    
    25.5.1. サービスパスワードを保存するユーザー vault の作成
    
    25.5.2. ユーザー vault からサービスインスタンスへのサービスパスワードのプロビジョニング
    
    25.5.3. サービスインスタンスのサービスパスワードの取得
    
    25.5.4. サービス vault パスワードの変更
  6. 25.6. 複数ユーザーの共通シークレットの保存
    
    Expand section "25.6. 複数ユーザーの共通シークレットの保存" Collapse section "25.6. 複数ユーザーの共通シークレットの保存"
    
    25.6.1. Common Secret を使用した共有 vault の作成
    
    25.6.2. メンバーユーザーとしての共有 Vault からのシークレットの取得
  7. 25.7. Vault のパスワードまたは公開鍵の変更
5. 26. 証明書と認証局の管理
  Expand section "26. 証明書と認証局の管理" Collapse section "26. 証明書と認証局の管理"
  1. 26.1. 軽量サブ CA
    
    Expand section "26.1. 軽量サブ CA" Collapse section "26.1. 軽量サブ CA"
    
    26.1.1. 軽量のサブ CA の作成
    
    26.1.2. 軽量サブ CA の削除
  2. 26.2. 証明書の更新
    
    Expand section "26.2. 証明書の更新" Collapse section "26.2. 証明書の更新"
    
    26.2.1. 証明書の自動更新
    
    26.2.2. CA 証明書の手動更新
    
    Expand section "26.2.2. CA 証明書の手動更新" Collapse section "26.2.2. CA 証明書の手動更新"
    
    26.2.2.1. 自己署名証明書の手動更新
    
    26.2.2.2. 外部署名の IdM CA 証明書の手動更新
    
    26.2.3. IdM がオフライン時に期限切れのシステム証明書の更新
  3. 26.3. CA 証明書の手動インストール
  4. 26.4. 証明書チェーンの変更
  5. 26.5. IdM が期限切れの証明書で起動できるようにする
  6. 26.6. HTTP または LDAP のサードパーティーの証明書のインストール
  7. 26.7. OCSP 応答の設定
    
    Expand section "26.7. OCSP 応答の設定" Collapse section "26.7. OCSP 応答の設定"
    
    26.7.1. CRL 更新間隔の変更
  8. 26.8. 既存の IdM ドメインへの CA のインストール
  9. 26.9. Web サーバーの証明書および LDAP サーバーの証明書の置き換え
6. 27. IdM の Kerberos PKINIT 認証
  Expand section "27. IdM の Kerberos PKINIT 認証" Collapse section "27. IdM の Kerberos PKINIT 認証"
VI. 管理: ポリシーの管理
Expand section "VI. 管理: ポリシーの管理" Collapse section "VI. 管理: ポリシーの管理"
1. 28. パスワードポリシーの定義
  Expand section "28. パスワードポリシーの定義" Collapse section "28. パスワードポリシーの定義"
  1. 28.1. パスワードポリシーとは、なぜ有用なのか
  2. 28.2. IdM でのパスワードポリシーの仕組み
    
    Expand section "28.2. IdM でのパスワードポリシーの仕組み" Collapse section "28.2. IdM でのパスワードポリシーの仕組み"
    
    28.2.1. サポートされるパスワードポリシー属性
    
    28.2.2. グローバルパスワードポリシーおよびグループ固有のパスワードポリシー
    
    28.2.3. パスワードポリシーの優先順位
  3. 28.3. 新しいパスワードポリシーの追加
  4. 28.4. パスワードポリシー属性の変更
  5. 28.5. パスワード有効期限の変更および即時の有効化
2. 29. Kerberos ドメインの管理
  Expand section "29. Kerberos ドメインの管理" Collapse section "29. Kerberos ドメインの管理"
  1. 29.1. Kerberos チケットポリシーの管理
    
    Expand section "29.1. Kerberos チケットポリシーの管理" Collapse section "29.1. Kerberos チケットポリシーの管理"
    
    29.1.1. Kerberos チケットの有効期間の判断
    
    29.1.2. グローバル Kerberos チケットポリシーおよびユーザー固有の Kerberos チケットポリシー
    
    29.1.3. グローバル Kerberos チケットポリシーの設定
    
    29.1.4. ユーザー固有の Kerberos チケットポリシーの設定
  2. 29.2. Kerberos プリンシパルのキー再生成
  3. 29.3. キータブの保護
  4. 29.4. キータブの削除
  5. 29.5. 関連情報
3. 30. sudoの使用
  Expand section "30. sudoの使用" Collapse section "30. sudoの使用"
  1. 30.1. Identity Management の sudo ユーティリティー
    
    Expand section "30.1. Identity Management の sudo ユーティリティー" Collapse section "30.1. Identity Management の sudo ユーティリティー"
    
    30.1.1. sudoの Identity Management LDAP スキーマ
    
    30.1.2. NIS ドメイン名の要件
  2. 30.2. Identity Management の sudo ルール
    
    Expand section "30.2. Identity Management の sudo ルール" Collapse section "30.2. Identity Management の sudo ルール"
    
    30.2.1. sudo ルールの外部ユーザーおよびホスト
    
    30.2.2. sudo ルールのユーザーグループサポート
    
    30.2.3. sudoers オプションのサポート
  3. 30.3. sudo ポリシーを検索する場所の設定
    
    Expand section "30.3. sudo ポリシーを検索する場所の設定" Collapse section "30.3. sudo ポリシーを検索する場所の設定"
    
    30.3.1. 以前のバージョンのIdMでIdM sudo ポリシーを使用するためのホスト設定
    
    Expand section "30.3.1. 以前のバージョンのIdMでIdM sudo ポリシーを使用するためのホスト設定" Collapse section "30.3.1. 以前のバージョンのIdMでIdM sudo ポリシーを使用するためのホスト設定"
    
    30.3.1.1. SSSD を使用した sudo ポリシーのホストへの適用
    
    30.3.1.2. LDAP を使用した sudo ポリシーのホストへの適用
  4. 30.4. sudo コマンド、コマンドグループ、およびルールの追加
    
    Expand section "30.4. sudo コマンド、コマンドグループ、およびルールの追加" Collapse section "30.4. sudo コマンド、コマンドグループ、およびルールの追加"
    
    30.4.1. sudo コマンドの追加
    
    30.4.2. sudo コマンドグループの追加
    
    30.4.3. sudo ルールの追加
  5. 30.5. sudo コマンドおよびコマンドグループの変更
  6. 30.6. sudo ルールの変更
  7. 30.7. sudo コマンド、コマンドグループ、およびルールの一覧表示と表示
  8. 30.8. sudo ルールの無効化および有効化
  9. 30.9. sudo コマンド、コマンドグループ、およびルールの削除
  10. 30.10. 関連情報
4. 31. ホストベースのアクセス制御の設定
  Expand section "31. ホストベースのアクセス制御の設定" Collapse section "31. ホストベースのアクセス制御の設定"
  1. 31.1. IdM でのホストベースのアクセス制御の仕組み
  2. 31.2. IdM ドメインでのホストベースのアクセス制御設定
    
    Expand section "31.2. IdM ドメインでのホストベースのアクセス制御設定" Collapse section "31.2. IdM ドメインでのホストベースのアクセス制御設定"
    
    31.2.1. HBAC ルールの作成
    
    31.2.2. HBAC ルールのテスト
    
    31.2.3. HBAC ルールの無効化
  3. 31.3. カスタム HBAC サービス用の HBAC サービスエントリーの追加
  4. 31.4. HBAC サービスグループの追加
5. 32. SELinux ユーザーマップの定義
  Expand section "32. SELinux ユーザーマップの定義" Collapse section "32. SELinux ユーザーマップの定義"
  1. 32.1. IdentityIdentity Management、SELinux、およびユーザーのマッピング
  2. 32.2. SELinux ユーザーマップの順序とデフォルト値の設定
    
    Expand section "32.2. SELinux ユーザーマップの順序とデフォルト値の設定" Collapse section "32.2. SELinux ユーザーマップの順序とデフォルト値の設定"
    
    32.2.1. Web UI での設定
    
    32.2.2. コマンドラインでの設定
  3. 32.3. SELinux ユーザーおよび IdM ユーザーのマッピング
    
    Expand section "32.3. SELinux ユーザーおよび IdM ユーザーのマッピング" Collapse section "32.3. SELinux ユーザーおよび IdM ユーザーのマッピング"
    
    32.3.1. Web UI での設定
    
    32.3.2. コマンドラインでの設定
VII. 管理: ネットワークサービスの管理
Expand section "VII. 管理: ネットワークサービスの管理" Collapse section "VII. 管理: ネットワークサービスの管理"
1. 33. DNS の管理
  Expand section "33. DNS の管理" Collapse section "33. DNS の管理"
  1. 33.1. Identity Management での BIND
  2. 33.2. サポート対象の DNS ゾーンタイプ
  3. 33.3. DNS 設定の優先順位
  4. 33.4. マスター DNS ゾーンの管理
    
    Expand section "33.4. マスター DNS ゾーンの管理" Collapse section "33.4. マスター DNS ゾーンの管理"
    
    33.4.1. マスター DNS ゾーンの追加および削除
    
    33.4.2. マスター DNS ゾーンの他の設定の追加
    
    33.4.3. ゾーン転送の有効化
    
    33.4.4. DNS ゾーンへのレコードの追加
    
    33.4.5. コマンドラインから DNS リソースレコードを追加または変更する例
    
    33.4.6. DNS ゾーンからレコードを削除する
    
    33.4.7. ゾーンの無効化と有効化
  5. 33.5. 動的 DNS 更新の管理
    
    Expand section "33.5. 動的 DNS 更新の管理" Collapse section "33.5. 動的 DNS 更新の管理"
    
    33.5.1. ダイナミック DNS 更新の有効化
    
    Expand section "33.5.1. ダイナミック DNS 更新の有効化" Collapse section "33.5.1. ダイナミック DNS 更新の有効化"
    
    33.5.1.1. 動的更新を許可するための DNS ゾーンの設定
    
    33.5.1.2. 動的更新を送信するためのクライアントの設定
    
    33.5.2. A/AAAA レコードと PTR レコードの同期
    
    Expand section "33.5.2. A/AAAA レコードと PTR レコードの同期" Collapse section "33.5.2. A/AAAA レコードと PTR レコードの同期"
    
    33.5.2.1. Web UI での PTR レコードの同期設定
    
    33.5.2.2. コマンドラインを使用した PTR レコードの同期設定
    
    Expand section "33.5.2.2. コマンドラインを使用した PTR レコードの同期設定" Collapse section "33.5.2.2. コマンドラインを使用した PTR レコードの同期設定"
    
    33.5.2.2.1. 特定のゾーンでの PTR レコードの同期設定
    
    33.5.2.2.2. すべてのゾーンでの PTR レコードの同期のグローバル設定
    
    33.5.3. DNS 動的更新ポリシーの更新
  6. 33.6. DNS 転送の管理
    
    Expand section "33.6. DNS 転送の管理" Collapse section "33.6. DNS 転送の管理"
    
    33.6.1. グローバルフォワーダーの設定
    
    33.6.2. 正引きゾーンの設定
  7. 33.7. 逆引き DNS ゾーンの管理
  8. 33.8. DNS クエリーポリシーの定義
  9. 33.9. DNS の場所
    
    Expand section "33.9. DNS の場所" Collapse section "33.9. DNS の場所"
    
    33.9.1. DNS ベースのサービス検出
    
    33.9.2. DNS の場所のデプロイに関する考慮事項
    
    Expand section "33.9.2. DNS の場所のデプロイに関する考慮事項" Collapse section "33.9.2. DNS の場所のデプロイに関する考慮事項"
    
    33.9.2.1. DNS の Time to live (TTL)
    
    33.9.3. DNS の場所の作成
    
    33.9.4. DNS の場所への IdM サーバーの割り当て
    
    33.9.5. IdM クライアントが同じ場所にある IdM サーバーを使用するように設定する手順
  10. 33.10. 外部 DNS の使用時の DNS レコードのシステム的な更新
    
    Expand section "33.10. 外部 DNS の使用時の DNS レコードのシステム的な更新" Collapse section "33.10. 外部 DNS の使用時の DNS レコードのシステム的な更新"
    
    33.10.1. Identity Management で外部 DNS の更新
    
    33.10.2. GUI: 外部 DNS レコードの更新
    
    33.10.3. コマンドライン: nsupdateを使用した外部 DNS レコードの更新
  11. 33.11. 既存のサーバーへの DNS サービスのインストール
    
    Expand section "33.11. 既存のサーバーへの DNS サービスのインストール" Collapse section "33.11. 既存のサーバーへの DNS サービスのインストール"
    
    33.11.1. ネームサーバーの追加設定
    
    Expand section "33.11.1. ネームサーバーの追加設定" Collapse section "33.11.1. ネームサーバーの追加設定"
    
    33.11.1.1. ネームサーバーの追加設定
2. 34. Automount の使用
  Expand section "34. Automount の使用" Collapse section "34. Automount の使用"
  1. 34.1. 自動マウントと IdM
  2. 34.2. 自動マウントの設定
    
    Expand section "34.2. 自動マウントの設定" Collapse section "34.2. 自動マウントの設定"
    
    34.2.1. NFS の自動設定
    
    34.2.2. SSSD および IdentityIdentity Management を使用するように autofs を手動で設定
    
    34.2.3. Solaris での Automount の設定
  3. 34.3. Kerberos 対応の NFS サーバーのセットアップ
  4. 34.4. Kerberos 対応の NFS クライアントのセットアップ
  5. 34.5. 場所の設定
    
    Expand section "34.5. 場所の設定" Collapse section "34.5. 場所の設定"
    
    34.5.1. Web UI での場所の設定
    
    34.5.2. コマンドラインでの場所の設定
  6. 34.6. マップの設定
    
    Expand section "34.6. マップの設定" Collapse section "34.6. マップの設定"
    
    34.6.1. ダイレクトマップの設定
    
    Expand section "34.6.1. ダイレクトマップの設定" Collapse section "34.6.1. ダイレクトマップの設定"
    
    34.6.1.1. Web UI でのダイレクトマップの設定
    
    34.6.1.2. コマンドラインでのダイレクトマップの設定
    
    34.6.2. 間接マップの設定
    
    Expand section "34.6.2. 間接マップの設定" Collapse section "34.6.2. 間接マップの設定"
    
    34.6.2.1. Web UI での間接マップの設定
    
    34.6.2.2. コマンドラインでの間接マップの設定
    
    34.6.3. 自動マウントマップのインポート
VIII. セキュリティーの強化
Expand section "VIII. セキュリティーの強化" Collapse section "VIII. セキュリティーの強化"
1. 35. Identity Management の TLS 設定
  Expand section "35. Identity Management の TLS 設定" Collapse section "35. Identity Management の TLS 設定"
2. 36. 匿名バインドの無効化
IX. パフォーマンスチューニング
Expand section "IX. パフォーマンスチューニング" Collapse section "IX. パフォーマンスチューニング"
1. 37. エントリーの一括プロビジョニングのパフォーマンスチューニング
2. 38. Identity Management におけるフェイルオーバー、負荷分散、および高可用性
X. マイグレーション
Expand section "X. マイグレーション" Collapse section "X. マイグレーション"
1. 39. LDAP ディレクトリーから IdM への移行
  Expand section "39. LDAP ディレクトリーから IdM への移行" Collapse section "39. LDAP ディレクトリーから IdM への移行"
  1. 39.1. LDAP から IdM への移行の概要
    
    Expand section "39.1. LDAP から IdM への移行の概要" Collapse section "39.1. LDAP から IdM への移行の概要"
    
    39.1.1. クライアント設定のプランニング
    
    Expand section "39.1.1. クライアント設定のプランニング" Collapse section "39.1.1. クライアント設定のプランニング"
    
    39.1.1.1. クライアント初期設定 (移行前)
    
    39.1.1.2. Red Hat Enterprise LinuxRHEL の推奨設定、クライアント
    
    39.1.1.3. 推奨設定以外で対応している設定
    
    39.1.2. パスワード移行のプランニング
    
    Expand section "39.1.2. パスワード移行のプランニング" Collapse section "39.1.2. パスワード移行のプランニング"
    
    39.1.2.1. 方法 1: 一時的なパスワードの使用とパスワード変更の強制
    
    39.1.2.2. 方法 2: 移行用 Web ページの使用
    
    39.1.2.3. 方法 3: SSSD の使用 (推奨)
    
    39.1.2.4. クリアテキスト LDAP パスワードの移行
    
    39.1.2.5. 要件を満たしていないパスワードの自動リセット
    
    39.1.3. 移行における考慮事項と要件
    
    Expand section "39.1.3. 移行における考慮事項と要件" Collapse section "39.1.3. 移行における考慮事項と要件"
    
    39.1.3.1. 移行に対応している LDAP サーバー
    
    39.1.3.2. 移行環境に関する要件
    
    39.1.3.3. 移行 - IdM のシステム要件
    
    39.1.3.4. sudo ルールに関する考慮事項
    
    39.1.3.5. 移行ツール
    
    39.1.3.6. 移行パフォーマンスの改善
    
    39.1.3.7. 移行順序
  2. 39.2. ipa migrate-ds を使用する例
    
    Expand section "39.2. ipa migrate-ds を使用する例" Collapse section "39.2. ipa migrate-ds を使用する例"
    
    39.2.1. 特定のサブツリーの移行
    
    39.2.2. 特定のエントリーのみを包含または除外
    
    39.2.3. エントリー属性の除外
    
    39.2.4. 使用するスキーマの設定
  3. 39.3. LDAP サーバーの IdentityIdentity Management への移行
  4. 39.4. SSL 経由での移行
A. トラブルシューティング: 一般的なガイドライン
Expand section "A. トラブルシューティング: 一般的なガイドライン" Collapse section "A. トラブルシューティング: 一般的なガイドライン"
B. トラブルシューティング - 特定の問題のソリューション
Expand section "B. トラブルシューティング - 特定の問題のソリューション" Collapse section "B. トラブルシューティング - 特定の問題のソリューション"
1. B.1. Identity Management サーバー
  Expand section "B.1. Identity Management サーバー" Collapse section "B.1. Identity Management サーバー"
2. B.2. Identity Management レプリカ
  Expand section "B.2. Identity Management レプリカ" Collapse section "B.2. Identity Management レプリカ"
3. B.3. Identity Management クライアント
  Expand section "B.3. Identity Management クライアント" Collapse section "B.3. Identity Management クライアント"
4. B.4. ログインと認証の問題
  Expand section "B.4. ログインと認証の問題" Collapse section "B.4. ログインと認証の問題"
5. B.5. Vault
  Expand section "B.5. Vault" Collapse section "B.5. Vault"
  1. B.5.1. 十分な「追加」権限がないことが原因で Vault にユーザーがアクセスできない
C. Identity Management ファイルおよびログのリファレンス
Expand section "C. Identity Management ファイルおよびログのリファレンス" Collapse section "C. Identity Management ファイルおよびログのリファレンス"
D. ドメインレベル 0 でのレプリカの管理
Expand section "D. ドメインレベル 0 でのレプリカの管理" Collapse section "D. ドメインレベル 0 でのレプリカの管理"
1. D.1. レプリカ情報ファイル
2. D.2. レプリカの作成
  Expand section "D.2. レプリカの作成" Collapse section "D.2. レプリカの作成"
3. D.3. レプリカおよびレプリカ合意の管理
  Expand section "D.3. レプリカおよびレプリカ合意の管理" Collapse section "D.3. レプリカおよびレプリカ合意の管理"
4. D.4. レプリカのマスター CA サーバーへのプロモート
  Expand section "D.4. レプリカのマスター CA サーバーへのプロモート" Collapse section "D.4. レプリカのマスター CA サーバーへのプロモート"
  1. D.4.1. 証明書更新を処理するサーバーの変更
E. Identity Management サーバーポートに関する考慮事項
Expand section "E. Identity Management サーバーポートに関する考慮事項" Collapse section "E. Identity Management サーバーポートに関する考慮事項"
1. E.1. Identity Management コンポーネントおよび関連するサービス
F. IdM への主な変更点
G. 改訂履歴

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

10.4. ロールベースのアクセス制御の定義

ロールベースのアクセス制御では、セルフサービスおよび委任アクセス制御の場合とは非常に異なる種類の権限をユーザーに付与します。ロールベースのアクセス制御は基本的に管理されており、エントリーを変更する機能を提供します。

ロールベースのアクセス制御には、パーミッション、特権、および ロール の 3 つの部分があります。権限は 1 つ以上のパーミッションで構成され、ロールは 1 つ以上の権限で構成されます。

パーミッション は、(読み取り、書き込み、追加、または削除) 特定の操作と、これらの操作が適用される ldM LDAP ディレクトリー内のターゲットエントリーを定義します。パーミッションはビルディングブロックで、必要に応じて複数の特権に割り当てることができます。
IdM 権限を使用すると、どのユーザーがどのオブジェクトにアクセスできるか、さらにはこれらのオブジェクトの属性にアクセスできるかどうかを制御できます。IdM を使用すると、個々の属性をホワイトリストまたはブラックリストに登録したり、特定の IdM 機能 (ユーザー、グループ、sudo など) の全体の可視性を、すべての匿名ユーザー、すべての認証済みユーザー、または特権ユーザーの特定のグループに変更したりできます。パーミッションに対するこの柔軟なアプローチは、管理者がアクセスが必要な特定のセクションにのみユーザーまたはグループのアクセスを制限し、他のセクションをこれらのユーザーまたはグループに対して完全に非表示にする場合に便利です。
特権は、ロールに適用できるパーミッションのグループです。例えば、パーミッションは自動マウントの場所の追加、編集、削除を行うために作成できます。そして、そのパーミッションは FTP サーバーの管理に関連する別のパーミッションと組み合わせることができます。これらは、ファイルシステムの管理に関連する単一の特権を作成するために作成できます。
注記
Red Hat Identity Management のコンテキストでは、権限とは、パーミッションおよびそれに続いてロールが作成されるアクセス制御のAtomic単位の非常に特殊な意味を持ちます。通常のユーザーが一時的に追加の特権を取得するという概念としての特権昇格は、Red Hat Identity Managementには存在しません。ロールベースアクセス制御(RBAC)を使用して、権限がユーザーに割り当てられます。アクセス権を付与するロールを持つユーザーと、持たないユーザーがいます。
ユーザーのほかに、権限はユーザーグループ、ホスト、ホストグループ、およびネットワークサービスにも割り当てられます。これにより、特定のネットワークサービスを使用するホストセットのユーザーセットによって、操作をきめ細かく制御できます。
ロールは、ロールに指定したユーザーの権限の一覧です。
重要
ロールは、許可されたアクションを分類するために使用されます。ロールは、特権昇格されないようにしたり、特権の分離を実装するツールとしては使用しません。

完全に新しいパーミッションを作成したり、既存または新規のパーミッションをベースにして新たな権限を作成したりすることができます。Red Hat Identity Management は、以下の事前定義済みのロールを提供します。

表10.1 Red Hat Identity Management の定義済みロール

ロール	特権	説明
ヘルプデスク	Modify Users、Reset passwords、Modify Group メンバーシップ	簡単なユーザー管理タスクの実行
IT セキュリティースペシャリスト	Netgroups 管理者、HBAC 管理者、Sudo 管理者	ホストベースのアクセス制御、sudo ルールなどのセキュリティーポリシーの管理
IT スペシャリスト	ホスト管理者、ホストグループ管理者、サービス管理者、自動マウント管理者	ホストの管理を行います。
セキュリティーアーキテクト	委譲管理者、レプリケーション管理者、書き込み IPA 設定、パスワードポリシー管理者	Identity Management 環境の管理、信頼の作成、レプリカ合意の作成
ユーザー管理者	ユーザー管理者、グループ管理者、ステージユーザー管理者	ユーザーおよびグループの作成を行います。

10.4.1. ロール

10.4.1.1. Web UI でのロールの作成

トップメニューで IPA Server タブを開き、Role Based Access Control サブタブを選択します。
ロールベースのアクセス制御手順のリストの上部にある Add リンクをクリックします。
図10.6 新規ロールの追加
ロール名と説明を入力します。
図10.7 ロールを追加するためのフォーム
Add and Edit ボタンをクリックして新規ロールを保存し、設定ページに移動します。
Users タブの上部で、グループ追加の場合は Users Groups タブで、Add をクリックします。
図10.8 ユーザーの追加
左側のユーザーを選択し、> ボタンを使用して、Prospective 列に移動します。
図10.9 ユーザーの選択
Privileges タブの上部にある Add をクリックします。
図10.10 権限の追加
左側の権限を選択し、> ボタンを使用してそれらを Prospective 列に移動します。
図10.11 権限の選択
Add ボタンをクリックして保存します。

10.4.1.2. コマンドラインでのロールの作成

新規ロールを追加します。

[root@server ~]# kinit admin
[root@server ~]# ipa role-add --desc="User Administrator" useradmin
  ------------------------
  Added role "useradmin"
  ------------------------
  Role name: useradmin
  Description: User Administrator

必要な権限をロールに追加します。

[root@server ~]# ipa role-add-privilege --privileges="User Administrators" useradmin
  Role name: useradmin
  Description: User Administrator
  Privileges: user administrators
  ----------------------------
  Number of privileges added 1
----------------------------

必要なグループをロールに追加します。この場合、すでに存在する 1 つのグループ useradmin のみを追加することになります。

[root@server ~]# ipa role-add-member --groups=useradmins useradmin
  Role name: useradmin
  Description: User Administrator
  Member groups: useradmins
  Privileges: user administrators
  -------------------------
  Number of members added 1
-------------------------

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

Red Hat Training

10.4. ロールベースのアクセス制御の定義

10.4.1. ロール

10.4.1.1. Web UI でのロールの作成

10.4.1.2. コマンドラインでのロールの作成

Red Hat Training

10.4. ロールベースのアクセス制御の定義

10.4.1. ロール

10.4.1.1. Web UI でのロールの作成

10.4.1.2. コマンドライン でのロールの作成

10.4.1.2. コマンドラインでのロールの作成