Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

11.2. ユーザーのライフサイクル

Identity Management は、stageactive、および preserved の 3 つのユーザーアカウントの状態に対応します。
  • ステージ ユーザーは認証できません。これは初期状態です。アクティブユーザーに必要なユーザーアカウントプロパティーの一部がまだ設定されていない可能性があります。
  • アクティブ ユーザーは認証が可能です。必要なユーザーアカウントプロパティーはすべて、この状態で設定する必要があります。
  • 保存済みユーザー は、以前の アクティブな ユーザーです。IdM への認証は非アクティブであるとみなされており、IdM への認証ができません。保存済みユーザーには、アクティブユーザーのときに有効になっていたアカウントプロパティーの大部分が保持されていますが、ユーザーグループからは除外されています。
    注記
    保存済みユーザー の一覧は、以前のユーザーアカウントの履歴を提供します。
ユーザーエントリーは、IdM データベースから永続的に削除できます。ユーザーエントリーを削除すると、エントリー自体と、グループメンバーシップやパスワードなど、IdM からその情報がすべて削除されます。ユーザーの外部設定 (システムアカウントやホームディレクトリーなど) は削除されませんが、IdM からはアクセスできなくなります。
重要
削除したユーザーアカウントを復元することはできません。ユーザーアカウントを削除すると、そのアカウントに関連するすべての情報は永続的に失われます。
新規管理者ユーザーは、デフォルトの管理ユーザーなど、別の管理者のみが作成できます すべての管理者アカウントを誤って削除した場合には、Directory Manager は、Directory Server に新しい管理者を手動で作成する必要があります。
警告
admin ユーザーを削除しないでください。admin は IdM で必要な事前定義ユーザーであるため、この操作では特定のコマンドで問題が生じます。別の admin ユーザーを定義して使用する場合は、管理者権限を少なくとも 1 つ付与した後に、ipa user-disable admin で事前定義された admin ユーザーを無効にします。

ユーザーライフサイクル管理操作

ユーザーのプロビジョニングを管理するには、管理者はユーザーアカウントをある状態から別の状態に移動できます。新しいユーザーアカウントは、アクティブ または ステージとして追加できますが保存済み ではありません。
IdM は、ユーザーライフサイクル管理の以下の操作をサポートします。
stage → active
ステージ 状態のアカウントを適切にアクティブにできる状態になったら、管理者はこれを active 状態に移動します。
Active → preserved
ユーザーが会社を離れると、管理者はアカウントを preserved の状態にします。
保存済み → アクティブ
以前のユーザーがもう一度会社に参加させます。管理者は、これを preserved 状態から アクティブ 状態に戻すことで、ユーザーアカウントを復元します。
保存済み → ステージ
以前のユーザーは、もう一度会社に参加させる計画があります。管理者は、アカウントを preserved 状態から stage の状態に移行し、後で再アクティブ化するアカウントを準備します。
IdM からアクティブなユーザー、ステージ、および保存済みユーザーを完全に削除することもできます。ステージユーザーを preserved 状態に移行することができないため、完全に削除できる点にご留意ください。

図11.1 ユーザーのライフサイクル操作

ユーザーのライフサイクル操作

11.2.1. stage または Active ユーザーの追加

Web UI でユーザーの追加

  1. IdentityUsers タブを選択します。
  2. active または stage の状態のユーザーを追加するかどうかに応じて、アクティブユーザー またはステージユーザー カテゴリーを選択します。

    図11.2 ユーザーカテゴリーの選択

    ユーザーカテゴリーの選択
    アクティブ または ステージユーザーの ライフサイクルの状態についての詳細は、「ユーザーのライフサイクル」 を参照してください。
  3. ユーザー一覧の上部にある 追加 をクリックします。

    図11.3 ユーザーの追加

    ユーザーの追加
  4. Add User フォームを入力します。
    ユーザーログインを手動で設定しないと、IdM は、指定した名および姓に基づいて自動的にログインを生成します。
  5. 追加 をクリックします。
    または、Add and Add Another をクリックして、別のユーザーの追加、または Add および Edit をクリックして、新規ユーザーエントリーの編集を開始します。ユーザーエントリーの編集に関する情報は、「ユーザーの編集」 を参照してください。

コマンドラインでのユーザーの追加

アクティブな状態で 新しいユーザーを追加するには、ipa user-add コマンドを使用します。ステージ 状態で新しいユーザーを追加するには、ipa stageuser-add コマンドを使用します。
注記
アクティブ または ステージユーザーの ライフサイクルの状態についての詳細は、「ユーザーのライフサイクル」 を参照してください。
オプションなしで実行する場合は、ipa user-add および ipa stageuser-add により、最低限必要なユーザー属性の入力が求められ、他の属性のデフォルト値が使用されます。または、コマンドに直接、さまざまな属性を指定するオプションを追加することもできます。
対話セッションでは、オプションを指定せずにコマンドを実行すると、IdM は、提供された名前と姓をもとに自動生成したユーザーログインを提案し、括弧([ ])に表示されます。デフォルトのログインを受け入れるには、Enter を押して確認します。カスタムログインを指定するには、デフォルトを確認し、代わりにカスタムログインを指定しないようにしてください。
$ ipa user-add
First name: first_name
Last name: last_name
User login [default_login]: custom_login
ipa user-add および ipa stageuser-add にオプションを追加すると、多くのユーザー属性にカスタム値を定義できます。つまり、対話セッションよりも多くの情報を指定できることを意味します。たとえば、ステージユーザーを追加するには、以下を実行します。
$ ipa stageuser-add stage_user_login --first=first_name --last=last_name --email=email_address
ipa user-add および ipa stageuser-add で使用できるオプションの完全リストを表示するには 、--help オプションを指定してコマンドを実行します。

11.2.1.1. ユーザー名の要件

IdM は、以下の正規表現で説明できるユーザー名をサポートします。
'(?!^[0-9]+$)^[a-zA-Z0-9_.][a-zA-Z0-9_.-]*[a-zA-Z0-9_.$-]?$'
ユーザー名には、アルファベット、数字、_、-、.、および .(.)のみを使用できます。また、最低でも文字を 1 文字含める必要があります。
注記
ユーザー名の末尾がドル記号 ($) で終わる場合は、Samba 3.x マシンでのサポートが有効になります。
ユーザー名に大文字が含まれるユーザーを追加すると、IdM は名前を保存する際に自動的に小文字に変換されます。したがって、IdM では、ログイン時にユーザーがユーザー名をすべて小文字入力する必要があります。さらに、ユーザー名が、user User などの文字調整でのみ異なるユーザーを追加することはできません。
ユーザー名のデフォルトの長さは、最大 32 文字です。これを変更するには、ipa config-mod --maxusername コマンドを使用します。たとえば、ユーザー名の最大長を 64 文字にするには、次のコマンドを実行します。
$ ipa config-mod --maxusername=64
  Maximum username length: 64
  ...

11.2.1.2. カスタム UID または GID 番号の定義

カスタム UID または GID 番号を指定せずに新しいユーザーエントリーを追加すると、IdM は、ID 範囲で次に利用可能な ID 番号を自動的に割り当てます。これは、ユーザーの ID 番号が常に一意であることを意味します。ID 範囲の詳細は、14章一意の UID および GID 番号の割り当て を参照してください。
カスタム ID 番号を指定すると、サーバーはカスタム ID 番号が一意かどうかを検証しません。このため、複数のユーザーエントリーに同じ ID 番号が割り当てられる可能性があります。Red Hat は、ID 番号が同じエントリーを複数設定しないようにすることを推奨します。