Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.3. IdM コマンドラインユーティリティー

IdM の基本的なコマンドラインスクリプトは、ipa という名前です。ipa スクリプトは、多数のサブコマンドの親スクリプトです。これらのサブコマンドは、IdM の管理に使用されます。たとえば、ipa user-add コマンドは、新しいユーザーを追加します。 
$ ipa user-add user_name
コマンドライン管理には、UI の管理にいくつかの利点があります。たとえば、コマンドラインユーティリティーを使用すると、手動の介入なしに一貫した方法で管理タスクを自動化および繰り返し実行できます。さらに、ほとんどの管理操作はコマンドラインおよび Web UI から両方で利用できますが、一部のタスクはコマンドラインからのみ実行できます。
注記
本セクションでは、ipa サブコマンドの概要のみを説明します。詳細は、IdM 管理の特定エリア専用の他のセクションで参照できます。たとえば、ipa 11章ユーザーアカウントの管理

5.3.1. ipa コマンドのヘルプ

ipa スクリプトは、特定のサブコマンドセットに関するヘルプ (トピック)を表示できます利用可能なトピックの一覧を表示するには、ipa help topics コマンドを使用します。 
$ ipa help topics

automember         Auto Membership Rule.
automount          Automount
caacl              Manage CA ACL rules.
...
特定のトピックのヘルプを表示するには、ipa help topic_name コマンドを使用します。たとえば、automember トピックに関する情報を表示するには、次のコマンドを実行します。 
$ ipa help automember

Auto Membership Rule.

Bring clarity to the membership of hosts and users by configuring inclusive
or exclusive regex patterns, you can automatically assign a new entries into
a group or hostgroup based upon attribute information.

...

EXAMPLES:

 Add the initial group or hostgroup:
   ipa hostgroup-add --desc="Web Servers" webservers
   ipa group-add --desc="Developers" devel
...
ipa スクリプトは、利用可能な ipa コマンドのリストを表示することもできます。これには、ipa help コマンドを使用します
$ ipa help commands
automember-add                         Add an automember rule.
automember-add-condition               Add conditions to an automember rule.
...
個別の ipa コマンドに関する詳細なヘルプは、--help オプションをコマンドに追加します。以下に例を示します。 
$ ipa automember-add --help

Usage: ipa [global-options] automember-add AUTOMEMBER-RULE [options]

Add an automember rule.
Options:
  -h, --help            show this help message and exit
  --desc=STR            A description of this auto member rule
...
ipa ユーティリティーの詳細は、ipa(1) の man ページを参照してください。

5.3.2. 値の一覧の設定

IdM は、エントリー属性をリストに保存します。以下に例を示します。 
ipaUserSearchFields: uid,givenname,sn,telephonenumber,ou,title
属性の一覧への更新はすべて、以前のリストを上書きします。たとえば、この属性全体に事前定義リストを 1 つの新しい属性に置き換えるだけでこの属性を 1 つだけ追加しようとします。したがって、属性の一覧を変更する場合、更新されたリスト全体を指定する必要があります。
IdM は、属性を指定する以下の方法に対応します。
  • 同じコマンド呼び出しで、同じコマンドライン引数を複数回指定します。以下に例を示します。 
    $ ipa permission-add --permissions=read --permissions=write --permissions=delete
  • 一覧を中括弧で囲むと、シェルが拡張が可能です。以下に例を示します。 
    $ ipa permission-add --permissions={read,write,delete}

5.3.3. 特殊文字の使用

括弧(< および >)、アンパサンド(&)、アスタリスク(*)、または垂直バー(| などの特殊文字を含む ipa コマンドでコマンドライン引数を渡す場合、バックスラッシュ(\)を使用してこれらの文字をエスケープする必要があります。たとえば、アスタリスク(*)をエスケープするには、次のコマンドを実行します。 
$ ipa certprofile-show certificate_profile --out=exported\*profile.cfg
シェルが特殊文字を正しく解析できないため、エスケープしていない特殊文字が含まれるコマンドは予想通りに動作しません。

5.3.4. IdM エントリーの検索

IdM エントリーの一覧表示

ipa *-find コマンドを使用して、特定のタイプの IdM エントリーを検索します。以下に例を示します。
  • すべてのユーザーを一覧表示するには、以下を実行します。 
    $ ipa user-find
---------------
4 users matched
---------------
  ...
  • 指定の属性にキーワードが含まれるユーザーグループの一覧を表示するには、次のコマンドを実行します。 
    $ ipa group-find keyword
----------------
2 groups matched
----------------
  ...
    IdM 「ユーザーおよびユーザーグループの検索属性の設定」
ユーザーグループの検索時に、特定のユーザーを含むグループに検索結果を制限することもできます。 
$ ipa group-find --user=user_name
また、特定のユーザーを含まないグループを検索することもできます。 
$ ipa group-find --no-user=user_name

特定のエントリーの詳細の表示

ipa *-show コマンドを使用して、特定の IdM エントリーの詳細を表示します。以下に例を示します。 
$ ipa host-show server.example.com
 Host name: server.example.com
 Principal name: host/server.example.com@EXAMPLE.COM
 ...

5.3.4.1. 検索サイズおよび時間制限の調整

ユーザーの一覧を表示するなど一部の検索結果では、エントリー数が大量に返される場合があります。この検索操作を調整して、ipa user-find などの ipa *-find コマンドの実行時や、Web UI で対応する一覧を表示する際に、全体的なサーバーのパフォーマンスを向上できます。
検索サイズの制限:
  • クライアント、IdM コマンドラインツール、IdM Web UI からサーバーに送信される要求に対して、返される最大エントリー数を定義します。
  • デフォルト値: エントリー数 100 件
検索時間の制限:
  • 検索の実行までにサーバーが待機する最大時間を定義します。検索がこの制限に到達したら、サーバーは検索を停止し、その時間で見つかったエントリーを返します。
  • デフォルト値は 2 秒です。
値を -1 に設定すると、IdM は検索時に制限を適用しません。
重要
検索のサイズや時間制限を高く設定しすぎると、サーバーのパフォーマンスにマイナスの影響が出る可能性があります。

Web UI: 検索サイズおよび時間制限の調整

全クエリーに対して、グローバルに制限を調節するには、以下を行います。
  1. IPA ServerConfiguration を選択します。
  2. Search Options エリアに必要な値を設定します。
  3. ページ上部にある Save をクリックし ます。

コマンドライン: 検索サイズと時間制限の調整

全クエリーに対してグローバルに制限を調整するには、ipa config-mod コマンドを使用して、--searchrecordslimit オプションおよび --searchtimelimit オプションを指定します。以下に例を示します。 
$ ipa config-mod --searchrecordslimit=500 --searchtimelimit=5
また、コマンドラインから特定のクエリーに対してのみ制限を調整することもできます。これには、--sizelimit オプションまたは --timelimit オプションをコマンドに追加します。以下に例を示します。 
$ ipa user-find --sizelimit=200 --timelimit=120
重要
--searchrecordslimit または --searchtimelimit オプションを指定して ipa config-mod コマンドを使用してサイズまたは時間制限を調整すると、ipa user-find などの ipa コマンドによって返されるエントリーの数に影響します。
これらの制限の他に、Directory Server レベルで設定されている設定は考慮され、制限が厳しい場合があります。Directory Server の制限の詳細は、『Red Hat Directory Server Administration Guide』を参照してください
このページには機械翻訳が使用されている場合があります (詳細はこちら)。