18.3. ホストごとにユーザーアカウントで異なる属性値を定義する

管理者は、ユーザーアカウントで使用される属性値を上書きする複数の ID ビューを作成し、これらの ID ビューを異なるクライアントホストに適用することが可能です。たとえば、サービスアカウントは、異なるホストで認証を行う場合に、異なる SSH 公開キーを使用するように設定できます。
本セクションでは、以下の手順を説明します。
これらの手順では、host1.example.com という名前のクライアントホスト用に ID ビューを作成する方法について説明します。他のホストにある属性値も上書きする場合には、各ホストごとに 1 つずつ、複数の ID ビューを作成する手順を使用してください。
手順では、以下を前提としています。
  • user は、属性を上書きするユーザーアカウントになります。
  • host1.example.com は、ID ビューを適用するホストになります。

重要

新規 ID ビューを作成したら、ID ビューを適用する全クライアントで SSSD を再起動します。
新規 ID ビューが UID または GID を変更した場合は、クライアントで SSSD キャッシュもクリックしてください。

18.3.1. Web UI: 特定ホスト向けの属性値の上書き

ID ビューを管理する前に、admin など必要な権限のあるユーザーとして IdM web UI にログインします。

新規 ID ビューの作成

  1. Identity タブで ID Views サブタブを選択します。
  2. Add をクリックして ID ビューをの名前を記入します。
    ID ビューの追加

    図18.1 ID ビューの追加

  3. Add をクリックして確定します。
これで新規 ID ビューが ID ビュー一覧に表示されます。
ID ビュー一覧

図18.2 ID ビュー一覧

ユーザー上書きを ID ビューに追加する

  1. ID ビュー一覧で、ID ビューの名前をクリックします。
    ID ビューの編集

    図18.3 ID ビューの編集

  2. Users タブで Add をクリックしてユーザー上書きを追加します。
  3. 属性値を上書きするユーザーアカウントを選択して、Add をクリックします。
これでユーザー上書きが example_for_host1 の ID ビューページに表示されます。
上書き一覧

図18.4 上書き一覧

上書きする属性の指定

  1. 属性値を変更する上書きをクリックします。
    上書きの編集

    図18.5 上書きの編集

  2. 新しい属性値を定義します。
    たとえば、ユーザーアカウントで使用する SSH 公開キーを上書きするには、以下を実行します。
    1. SSH public keys: Add をクリックします。
      SSH 公開キーの追加

      図18.6 SSH 公開キーの追加

    2. 公開キーに貼り付けます。

    注記

    IdM へのSSH キーの追加に関する詳細は、「ユーザーの公開 SSH キーの管理」 を参照してください。
  3. Save をクリックして上書きを更新します。

ID ビューの特定ホストへの適用

  1. ID ビュー一覧で、ID ビューの名前をクリックします。
    ID ビューの編集

    図18.7 ID ビューの編集

  2. Hosts タブで Apply to hosts をクリックします。
  3. host1.example.com ホストを選択して、Prospective コラムに移動します。
  4. Apply をクリックします。
これでこのホストは ID ビューが適用されるホスト一覧に表示されます。
ID ビューが適用されるホスト一覧

図18.8 ID ビューが適用されるホスト一覧

18.3.2. コマンドライン: 特定ホスト向けの属性値の上書き

ID ビューを管理する前に、以下のように必要な権限のあるユーザー用のチケットをリクエストします。 
$ kinit admin
  1. 新規 ID ビューを作成します。たとえば、example_for_host1 という名前の ID ビューを作成するには、以下を実行します。 
    $ ipa idview-add example_for_host1
---------------------------
Added ID View "example_for_host1"
---------------------------
  ID View Name: example_for_host1
  2. ユーザー上書きを example_for_host1 ID ビューに追加します。ipa idoverrideuser-add コマンドでは、ID ビューの名前と上書きするユーザーが必要になります。
    • 新規の属性値を指定するには、対応するコマンドラインオプションも追加します。利用可能なオプション一覧については、ipa idoverrideuser-add --help を実行すると確認できます。たとえば、SSH 公開キーの値を上書きするには、--sshpubkey オプションを使用します。 
      $ ipa idoverrideuser-add example_for_host1 user --sshpubkey="ssh-rsa AAAAB3NzaC1yrRqFE...gWRL71/miPIZ user@example.com"
-----------------------------
Added User ID override "user"
-----------------------------
  Anchor to override: user
  SSH public key: ssh-rsa
                  AAAB3NzaC1yrRqFE...gWRL71/miPIZ
		  user@example.com

      注記

      IdM へのSSH キーの追加に関する詳細は、「ユーザーの公開 SSH キーの管理」 を参照してください。
    • ipa idoverrideuser-add --certificate コマンドは、指定した ID ビュー内のアカウントの既存証明書すべてを置き換えます。新たな証明書を追加するには、代わりに ipa idoverrideuser-add-cert コマンドを使用します。 
      $ ipa idoverrideuser-add-cert example_for_host1 user --certificate="MIIEATCC..."
    • ipa idoverrideuser-mod コマンドを使用すると、既存のユーザー上書きに新たな属性値を指定することもできます。
  3. example_for_host1host1.example.com ホストに適用します。 
    $ ipa idview-apply example_for_host1 --hosts=host1.example.com
-----------------------------
Applied ID View "example_for_host1"
-----------------------------
hosts: host1.example.com
---------------------------------------------
Number of hosts the ID View was applied to: 1
---------------------------------------------

    注記

    ipa idview-apply コマンドは、--hostgroups オプションも受け取ります。このオプションは、指定されたホストグループに属するホストに ID ビューを適用しますが、ID ビューをホストグループ自体に関連付けることはしません。代わりに --hostgroups オプションは指定されたホストグループのメンバーを拡張し、--hosts オプションを個別にメンバーに対して適用します。