5.3. IdM コマンドラインユーティリティー

IdM の基本的なコマンドラインのスクリプトは、ipa と呼ばれます。ipa スクリプトは、複数のサブコマンドの親スクリプトで、これらのサブコマンドを使用して IdM を管理します。たとえば、ipa user-add コマンドは新規ユーザーを追加します。 
$ ipa user-add user_name
コマンドライン管理は、UI での管理に比べて利点がいくつかあります。たとえば、コマンドラインユーティリティーでは、人の介入なしに一貫性を持って管理タスクを自動化し、繰り返し実行することができます。また、コマンドラインでも、Web UI でも実行可能な管理操作がほとんどですが、タスクによってはコマンドラインからしか実行できないものもあります。

注記

以下のセクションでは、ipa サブコマンドの概要のみを説明します。詳しい情報は、各 IdM 管理エリア専用の他のセクションを参照してください。たとえば、ipa サブコマンドを使用したユーザーエントリーの詳しい情報は11章ユーザーアカウントの管理を参照してください。

5.3.1. ipa コマンドのヘルプ

ipa スクリプトでは、サブコマンドの特定のセット (トピック) に関するヘルプを表示できます。利用可能なトピックの一覧を表示するには、ipa help topics コマンドを使用します。 
$ ipa help topics

automember         Auto Membership Rule.
automount          Automount
caacl              Manage CA ACL rules.
...
特定のトピックのヘルプを表示するには、ipa help topic_name コマンドを使用します。たとえば、automember トピックに関する情報を表示するには、以下を実行します。 
$ ipa help automember

Auto Membership Rule.

Bring clarity to the membership of hosts and users by configuring inclusive
or exclusive regex patterns, you can automatically assign a new entries into
a group or hostgroup based upon attribute information.

...

EXAMPLES:

 Add the initial group or hostgroup:
   ipa hostgroup-add --desc="Web Servers" webservers
   ipa group-add --desc="Developers" devel
...
ipa スクリプトは、利用可能な ipa コマンドの一覧も表示できます。これには、ipa help commands コマンドを使用します。 
$ ipa help commands
automember-add                         Add an automember rule.
automember-add-condition               Add conditions to an automember rule.
...
個別の ipa コマンドに関する詳しいヘルプは、以下のようにコマンドに --help オプションを指定します。 
$ ipa automember-add --help

Usage: ipa [global-options] automember-add AUTOMEMBER-RULE [options]

Add an automember rule.
Options:
  -h, --help            show this help message and exit
  --desc=STR            A description of this auto member rule
...
ipa ユーティリティーに関する詳しい情報は、ipa(1) の man ページを参照してください。

5.3.2. 値のリストの設定

IdM は、以下のようにリストにエントリー属性を保存します。 
ipaUserSearchFields: uid,givenname,sn,telephonenumber,ou,title
属性一覧を更新すると、以前のリストが上書きされます。たとえば、この属性だけを指定して 1 つの属性を追加すると、以前に定義されている一覧全体が、この新しい単一属性に置き換えられます。そのため、属性一覧を変更する場合は、更新一覧すべてを指定する必要があります。
属性一覧の指定方法の中で IdM がサポートしているのは、以下のとおりです。
  • 以下のように、同じコマンド呼び出しで複数回、引数を指定します。 
    $ ipa permission-add --permissions=read --permissions=write --permissions=delete
  • リストを中括弧で囲みます。これでシェルによる拡張が可能になります。例を示します。 
    $ ipa permission-add --permissions={read,write,delete}

5.3.3. 特殊文字の使用

ipa コマンドで、山括弧 (< および >)、アンパサンド (&)、アステリスク (*)、パイプ (|) などの特殊文字が含まれるコマンドラインの引数を指定すると、バックスラッシュ (\) を使用してこのような特殊文字をエスケープする必要があります。以下のように、アステリスク (*) をエスケープします。 
$ ipa certprofile-show certificate_profile --out=exported\*profile.cfg
シェルが特殊文字を正しく解析できないため、コマンドにエスケープされていない特殊文字を含めると、予想通りに機能しなくなります。

5.3.4. IdM エントリーの検索

IdM エントリーの表示

ipa *-find コマンドを使用して、特定のタイプの IdM エントリーを検索します。以下に例を示します。
  • 全ユーザーを表示します。 
    $ ipa user-find
---------------
4 users matched
---------------
  ...
  • 指定の属性にkeyword が含まれるユーザーグループを表示するには、以下を実行します。 
    $ ipa group-find keyword
----------------
2 groups matched
----------------
  ...
    IdM がユーザーおよびユーザーグループを検索するための属性を設定するには、「ユーザーおよびユーザーグループの検索属性の設定」を参照してください。
ユーザーグループの検索の際には、特定のユーザーを含むグループに検索結果を絞り込むことも可能です。 
$ ipa group-find --user=user_name
また、特定のユーザーを含まないグループを検索することもできます。 
$ ipa group-find --no-user=user_name

特定のエントリーの詳細表示

特定の IdM エントリーに関する詳細を表示するには、以下のように ipa *-show コマンドを使用します。 
$ ipa host-show server.example.com
 Host name: server.example.com
 Principal name: host/server.example.com@EXAMPLE.COM
 ...

5.3.4.1. 検索サイズおよび時間制限の調整

ユーザー一覧の表示など、検索結果によっては、エントリー数が大量に返される可能性があります。これらの検索操作を調節して、ipa user-find などの ipa *-find コマンドを実行時や、Web UI で適切な一覧を表示する際に、全体的なサーバーのパフォーマンスを向上できます。
検索サイズ
  • クライアント、IdM コマンドラインツール、IdM Web UI からサーバーに送信される要求に対して、返される最大エントリー数を定義します。
  • デフォルト値: エントリー数 100 件
検索の時間制限:
  • 検索の実行までにサーバーが待機する最大時間を定義します。検索がこの制限に到達したら、サーバーは検索を停止し、停止するまでの期間に検出されたエントリーを返します。
  • デフォルト値: 2 秒
値が -1 に設定されている場合、IdM は検索時に制限を適用しません。

重要

検索のサイズや時間制限を高く設定しすぎると、サーバーのパフォーマンスに悪い影響が出る可能性があります。

Web UI: 検索サイズおよび時間制限の調整

全クエリーに対して、グローバルに制限を調節するには、以下を実行します。
  1. IPA ServerConfiguration を選択します。
  2. Search Options エリアに必要な値を設定します。
  3. ページ上部にある Save をクリックします。

コマンドライン: 検索サイズおよび時間制限の調整

全クエリーに対してグローバルに制限を調節するには、--searchrecordslimit および --searchtimelimit オプションを指定して、ipa config-mod コマンドを実行します。 
$ ipa config-mod --searchrecordslimit=500 --searchtimelimit=5
コマンドラインから、特定のクエリーに対する制限のみを調節することもできます。これには、以下のようにコマンドに --sizelimit または --timelimit オプションを指定します。 
$ ipa user-find --sizelimit=200 --timelimit=120