Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

18.3. 異なるホストでのユーザーアカウントの異なる属性値の定義

管理者は、ユーザーアカウントによって使用される属性値を上書きし、これらの ID ビューを別のクライアントホストに適用する複数の ID ビューを作成できます。例: サービスアカウントは、異なるホストで認証時に別の SSH 公開鍵を使用するように設定されます。
本セクションでは、以下の手順について説明します。
この手順では、host1.example.com という名前のクライアントホストの ID ビューを作成する方法を説明します。他のホストの属性値を上書きするには、手順を使用して、ホストごとに複数の ID ビューを作成します。
以下の手順では、以下を前提としています。
  • user は、属性の上書きが必要なユーザーアカウントです
  • host1.example.com は、ID ビューを適用するホストです。
重要
新しい ID ビューを作成したら、ID ビューが適用されるすべてのクライアントで SSSD を再起動します。
新規 ID ビューが UID または GID を変更した場合は、クライアントで SSSD キャッシュもクリックしてください。

18.3.1. Web UI: 特定ホストの属性値の上書き

ID ビューの管理前に、admin などの必要な権限を持つユーザーとして IdM Web UI にログインします。

新規 ID ビューの作成

  1. Identity タブで、ID Views サブタブを選択します。
  2. Add をクリックして、ID ビューの名前を指定します。

    図18.1 ID ビューの追加

    ID ビューの追加
  3. Add をクリックして確定します。
新しい ID ビューが ID ビューの一覧に表示されます。

図18.2 ID ビュー一覧

ID ビュー一覧

ユーザー上書きを ID ビューに追加する

  1. ID ビュー一覧で、ID ビューの名前をクリックします。

    図18.3 ID ビューの編集

    ID ビューの編集
  2. Users タブで Add をクリックして、ユーザーの上書きを追加します。
  3. 上書きする属性の値を持つユーザーアカウントを選択し、Add をクリックします。
ユーザーの上書きは example_for_host1 ID ビューページに表示されるようになりました。

図18.4 上書きの一覧

上書きの一覧

上書きする属性の指定

  1. 属性値を変更する上書きをクリックします。

    図18.5 上書きの編集

    上書きの編集
  2. 新しい属性値を定義します。
    たとえば、ユーザーアカウントで使用する SSH 公開鍵を上書きするには、次のコマンドを実行します。
    1. SSH public keys: Add をクリックします

      図18.6 SSH 公開鍵の追加

      SSH 公開鍵の追加
    2. 公開鍵に貼り付けます。
  3. Save をクリックして上書きを更新します。

ID ビューを特定ホストへの適用

  1. ID ビューの一覧で、ID ビューの名前をクリックします。

    図18.7 ID ビューの編集

    ID ビューの編集
  2. ホスト タブで、ホストへの適用 をクリックします。
  3. host1.example.com ホストを選択し、Prospective 列に移動します
  4. Apply をクリックします。
これで、ID ビューが適用されるホストの一覧が表示されます。

図18.8 ID ビューが適用されるホスト一覧

ID ビューが適用されるホスト一覧

18.3.2. コマンドライン: 特定のホストの属性値の上書き

ID ビューの管理前に、必要な権限を持つユーザーのチケットを要求します。以下に例を示します。
$ kinit admin
  1. 新しい ID ビューを作成します。たとえば、example_for_host1 という名前の ID ビューを作成します。
    $ ipa idview-add example_for_host1
    ---------------------------
    Added ID View "example_for_host1"
    ---------------------------
      ID View Name: example_for_host1
  2. ユーザーの上書きを example_for_host1 ID ビューに追加します。ipa idoverrideuser-add コマンドでは、ID ビューの名前と、上書きするユーザーが必要です。
    • 新しい属性値を指定するには、対応するコマンドラインオプションも追加します。利用可能なオプションの一覧は、ipa idoverrideuser-add --help を実行します。たとえば、--sshpubkey オプションを使用して SSH 公開鍵の値を上書きします。
      $ ipa idoverrideuser-add example_for_host1 user --sshpubkey="ssh-rsa AAAAB3NzaC1yrRqFE...gWRL71/miPIZ user@example.com"
      -----------------------------
      Added User ID override "user"
      -----------------------------
        Anchor to override: user
        SSH public key: ssh-rsa
                        AAAB3NzaC1yrRqFE...gWRL71/miPIZ
      		  user@example.com
    • ipa idoverrideuser-add --certificate コマンドは、指定された ID ビューのアカウントの既存証明書をすべて置き換えます。別の証明書を追加するには、代わりに ipa idoverrideuser-add-cert コマンドを使用します。
      $ ipa idoverrideuser-add-cert example_for_host1 user --certificate="MIIEATCC..."
    • ipa idoverrideuser-mod コマンドを使用すると、既存のユーザーの上書きに新しい属性値を指定することもできます。
    • ipa idoverrideuser-del コマンドを使用して、ユーザーの上書きを削除します。
      注記
      このコマンドを使用して SSH キーの上書きを削除すると、すぐにキャッシュから SSH キーを削除しません。デフォルトのキャッシュのタイムアウト値(entry_cache_timeout = 5400)では、キーは 1 時間から半分にキャッシュ内に残ります。
  3. example_for_host1host1.example.com ホストに適用します。
    $ ipa idview-apply example_for_host1 --hosts=host1.example.com
    -----------------------------
    Applied ID View "example_for_host1"
    -----------------------------
    hosts: host1.example.com
    ---------------------------------------------
    Number of hosts the ID View was applied to: 1
    ---------------------------------------------
    注記
    ipa idview-apply コマンドでは、--hostgroups オプションも使用できます。このオプションは、ID ビューを、指定したホストグループに属するホストに適用しますが、ID ビューをホストグループ自体と関連付けません。代わりに、--hostgroups オプションは指定されたホストグループのメンバーを拡張して、--hosts オプションを個別にすべて適用します。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。