Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

18.3.2. コマンドライン: 特定のホストの属性値の上書き

ID ビューを管理する前に、IdM 管理者としてチケットを要求します。以下は例になります。
$ kinit admin
  1. 新しい ID ビューを作成します。たとえば、example_for_host1 という名前の ID ビューを作成するには、次のコマンドを実行します。
    $ ipa idview-add example_for_host1
    ---------------------------
    Added ID View "example_for_host1"
    ---------------------------
      ID View Name: example_for_host1
  2. ユーザーオーバーライドを example_for_host1 ID ビューに追加します。ipa idoverrideuser-add コマンドでは、ID ビューの名前と、そのユーザーで上書きする必要があります。
    • 新しい属性値を指定するには、対応するコマンドラインオプションも追加します。利用可能なオプションの一覧は、ipa idoverrideuser-add --help を実行します。たとえば 、--sshpubkey オプションを使用して SSH 公開鍵の値を上書きします。
      $ ipa idoverrideuser-add example_for_host1 user --sshpubkey="ssh-rsa AAAAB3NzaC1yrRqFE...gWRL71/miPIZ user@example.com"
      -----------------------------
      Added User ID override "user"
      -----------------------------
        Anchor to override: user
        SSH public key: ssh-rsa
                        AAAB3NzaC1yrRqFE...gWRL71/miPIZ
      		  user@example.com
      注記
      IdM に SSH キーを追加する方法は、「ユーザーの公開 SSH 鍵の管理」 を参照してください。
    • ipa idoverrideuser-add --certificate コマンドは、指定された ID ビューのアカウントの既存証明書をすべて置き換えます。追加の証明書を追加するには、代わりに ipa idoverrideuser-add-cert コマンドを使用します。
      $ ipa idoverrideuser-add-cert example_for_host1 user --certificate="MIIEATCC..."
    • ipa idoverrideuser-mod コマンドを使用すると、既存のユーザーのオーバーライドに新しい属性値を指定することもできます。
    • ipa idoverrideuser-del コマンドを使用して、ユーザーの上書きを削除します。
      注記
      このコマンドを使用して SSH キーの上書きを削除すると、キャッシュから SSH キーをすぐに削除しません。デフォルトのキャッシュタイムアウト値(entry_cache_timeout = 5400)では、キーが1時間半の間キャッシュに残ります。
  3. example_for_host1host1.example.com ホストに適用します。
    $ ipa idview-apply example_for_host1 --hosts=host1.example.com
    -----------------------------
    Applied ID View "example_for_host1"
    -----------------------------
    hosts: host1.example.com
    ---------------------------------------------
    Number of hosts the ID View was applied to: 1
    ---------------------------------------------
    注記
    ipa idview-apply コマンドでは、--hostgroups オプションも使用できます。このオプションは、ID ビューを、指定したホストグループに属するホストに適用しますが、ID ビューをホストグループ自体と関連付けません。代わりに、--hostgroups オプションは指定されたホストグループのメンバーを拡張して、--hosts オプションを個別に適用します。