Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

18.3. 異なるホストのユーザーアカウントに対する異なる属性値の定義

管理者は、ユーザーアカウントで使用される属性値を上書きする複数の ID ビューを作成し、これらの ID ビューを別のクライアントホストに適用することができます。例: サービスアカウントは、異なるホストで認証を行う際に異なる SSH 公開鍵を使用するように設定されます。
本セクションには、以下の手順が含まれています。
この手順では、host1.example.com という名前のクライアントホストの ID ビューを作成する方法を説明します。他のホストの属性値も上書きするには、手順を使用して、ホストごとに 1 つずつ、複数の ID ビューを作成します。
手順では、以下を前提としています。
  • user は、属性を上書きする必要があるユーザーアカウントです
  • host1.example.com は、ID ビューが適用されるホストです。
重要
新しい ID ビューを作成したら、ID ビューが適用されるすべてのクライアントで SSSD を再起動します。
新しい ID ビューが UID または GID を変更する場合は、これらのクライアントで SSSD キャッシュも消去します。

18.3.1. Web UI: 特定ホストの属性値の上書き

ID ビューを管理するには、最初に IdM 管理者として IdM Web UI にログインします。

新規 ID ビューの作成

  1. Identity タブで、ID Views サブタブを選択します。
  2. Add をクリックして、ID ビューの名前を指定します。

    図18.1 ID ビューの追加

    ID ビューの追加
  3. Add をクリックして確定します。
新しい ID ビューが ID ビューのリストに表示されます。

図18.2 ID ビューのリスト

ID ビューのリスト

ID ビューへのユーザーオーバーライドの追加

  1. ID ビューのリストで、ID ビューの名前をクリックします。

    図18.3 ID ビューの編集

    ID ビューの編集
  2. Users タブで Add をクリックして、ユーザーの上書きを追加します。
  3. 上書きする属性値を持つユーザーアカウントを選択し、Add をクリックします。
ユーザーオーバーライドが example_for_host1 ID ビューページに表示されるようになります。

図18.4 オーバーライドのリスト

オーバーライドのリスト

上書きする属性の指定

  1. 属性値を変更するために使用するオーバーライドをクリックします。

    図18.5 オーバーライドの編集

    オーバーライドの編集
  2. 属性の新しい値を定義します。
    たとえば、ユーザーアカウントが使用する SSH 公開鍵を上書きするには、以下の手順を実施します。
    1. SSH public keys: Add をクリックします。

      図18.6 SSH 公開鍵の追加

      SSH 公開鍵の追加
    2. 公開鍵に貼り付けます。
    注記
    IdM に SSH キーを追加する方法は、「ユーザーの公開 SSH 鍵の管理」 を参照してください。
  3. Save をクリックして上書きを更新します。

特定のホストへの ID ビューの適用

  1. ID ビューのリストで、ID ビューの名前をクリックします。

    図18.7 ID ビューの編集

    ID ビューの編集
  2. Hosts タブで、Apply to hosts をクリックします。
  3. host1.example.com ホストを選択し、Prospective 列に移動します。
  4. Apply をクリックします。
これで、ID ビューが適用されるホストリストにホストが表示されます。

図18.8 ID ビューが適用されるホストのリスト表示

ID ビューが適用されるホストのリスト表示

18.3.2. コマンドライン: 特定ホストの属性値の上書き

ID ビューを管理する前に、IdM 管理者としてチケットを要求します。以下に例を示します。
$ kinit admin
  1. 新しい ID ビューを作成します。たとえば、example_for_host1 という名前の ID ビューを作成するには、次のコマンドを実行します。
    $ ipa idview-add example_for_host1
    ---------------------------
    Added ID View "example_for_host1"
    ---------------------------
      ID View Name: example_for_host1
  2. ユーザーオーバーライドを example_for_host1 ID ビューに追加します。ipa idoverrideuser-add コマンドでは、ID ビューの名前と上書きするユーザーが必要です。
    • 新しい属性値を指定するには、対応するコマンドラインオプションも追加します。利用可能なオプションのリストは、ipa idoverrideuser-add --help を実行します。たとえば、--sshpubkey オプションを使用して、SSH 公開鍵の値を上書きします。
      $ ipa idoverrideuser-add example_for_host1 user --sshpubkey="ssh-rsa AAAAB3NzaC1yrRqFE...gWRL71/miPIZ user@example.com"
      -----------------------------
      Added User ID override "user"
      -----------------------------
        Anchor to override: user
        SSH public key: ssh-rsa
                        AAAB3NzaC1yrRqFE...gWRL71/miPIZ
      		  user@example.com
      注記
      IdM に SSH キーを追加する方法は、「ユーザーの公開 SSH 鍵の管理」 を参照してください。
    • ipa idoverrideuser-add --certificate コマンドは、指定された ID ビューのアカウントの既存証明書をすべて置き換えます。追加の証明書を追加するには、代わりに ipa idoverrideuser-add-cert コマンドを使用します。
      $ ipa idoverrideuser-add-cert example_for_host1 user --certificate="MIIEATCC..."
    • ipa idoverrideuser-mod コマンドを使用すると、既存のユーザーのオーバーライドに新しい属性値を指定することもできます。
    • ipa idoverrideuser-del コマンドを使用して、ユーザーの上書きを削除します。
      注記
      このコマンドを使用して SSH キーのオーバーライドを削除しても、キャッシュから SSH キーはすぐに削除されません。デフォルトのキャッシュタイムアウト値 (entry_cache_timeout = 5400) では、キーが 1 時間半の間キャッシュに残ります。
  3. example_for_host1host1.example.com ホストに適用します。
    $ ipa idview-apply example_for_host1 --hosts=host1.example.com
    -----------------------------
    Applied ID View "example_for_host1"
    -----------------------------
    hosts: host1.example.com
    ---------------------------------------------
    Number of hosts the ID View was applied to: 1
    ---------------------------------------------
    注記
    ipa idview-apply コマンドでは、--hostgroups オプションも使用できます。このオプションは、ID ビューを、指定のホストグループに所属するホストに適用しますが、ホストグループ自体との関連付けは行いません。代わりに、--hostgroups オプションは指定されたホストグループのメンバーを拡張して、--hosts オプションを個別に適用します。