Show Table of Contents
11.2. ユーザーのライフサイクル
Identity Management (IdM) では stage、active および preserved の 3 つのユーザーアカウントの状態をサポートします。
Stageユーザーは認証ができません。これは最初の状態です。アクティブなユーザーが必要とする、ユーザーアカウントのプロパティーの一部は、まだ設定されていません。Activeユーザーは認証が可能です。この状態では、必要とされるユーザーアカウントのプロパティーはすべて設定されています。Preservedユーザーは、過去にactiveであったユーザーです。このユーザーは非アクティブとみなされ、IdM への認証はできません。Preserved ユーザーは、Active ユーザーに設定されたていたアカウントプロパティーの大半が保持されますが、どのユーザーグループにも所属しません。注記
preserved状態のユーザー一覧は、以前のユーザーアカウントの履歴を提供することができます。
ユーザーエントリーも IdM データベースから完全に削除することができます。ユーザーエントリーを完全に削除すると、エントリー自体とグループメンバーシップやパスワードなど、そのユーザーの情報をすべて IdM から削除します。システムアカウントやホームディレクトリーなどのユーザーの外部設定は削除されませんが、IdM でアクセスできなくなります。
重要
削除したユーザーアカウントは復元することができます。ユーザーアカウントを削除すると、そのアカウントに関連付けられたすべての情報が完全に失われます。
新規管理者ユーザーは、デフォルトの
admin ユーザーなど、別の管理者でしか作成できません。すべての管理者ユーザーを誤って削除してしまった場合は、Directory Manager が手動で新規の管理者を Directory Server に作成する必要があります。
ユーザーのライフサイクル管理に関する操作
ユーザーのプロビジョニングを管理するには、管理者はユーザーアカウントの状態を変更します。新規ユーザーは、
active または stage のいずれかの状態で追加できますが、preserved ではできません。
IdM は、ユーザーライフサイクル管理の以下の操作をサポートします。
- stage → active
stageの状態のアカウントが正しくアクティベートされる準備ができると、管理者はactiveの状態に移動します。- active → preserved
- ユーザーが企業を退社した後には、管理者はアカウントを
preservedの状態に移動します。 - preserved → active
- 以前働いていたユーザーが再度企業に復帰した場合に、管理者は、ユーザーアカウントを
preservedからactiveの状態に移動して復帰させます。 - preserved → stage
- 以前のユーザーが企業に復帰する予定の場合に、管理者はアカウントの状態を
preservedからstageに移動して、後ほど再アクティベートできるようにアカウントの準備をします。
IdM から active、stage および preserved ユーザーを完全に削除することもできます。stage ユーザーは
preserved の状態に移動できず、完全に削除することしかできない点に注意してください。
図11.1 ユーザーライフサイクルの操作
11.2.1. stage または Active ユーザーの追加
Web UI でのユーザーの追加
- → タブを選択します。
- ユーザーを
activeまたはstageのいずれの状態で追加するかによって、Active users または Stage users カテゴリーを選択します。
図11.2 ユーザーカテゴリーの選択
- ユーザー一覧上部にある Add をクリックします。
図11.3 ユーザーの追加
- Add User のフォームに入力します。ユーザーログインを手動で設定しない場合には IdM は指定の名前に基づいて自動的にログイン ID が生成されます。
- をクリックします。または、 をクリックして、別のユーザーを追加するか、 をクリックして新規ユーザーエントリーの編集を開始します。ユーザーエントリーの編集に関する情報は「ユーザーの編集」を参照してください。
コマンドラインからのユーザーの追加
active の状態の新規ユーザーを追加するには、ipa user-add コマンドを使用します。stage の状態の新規ユーザーを追加するには、ipa stageuser-add コマンドを使用します。
注記
ipa user-add および ipa stageuser-add をオプションなしで実行すると、最小限必要なユーザー属性の入力が求められ、他の属性についてはデフォルト値が使用されます。または、オプションを追加してコマンドに直接さまざまな属性を指定することができます。
対話型のセッションでは、オプションなしでコマンドを実行すると、IdM は指定したフルネームをもとに自動的にユーザーログインを提案し、カッコ内 ([ ]) に表示します。デフォルトのログイン ID を受け入れるには、Enter を押して確定します。カスタムログインを指定するには、デフォルトを確定せずに、カスタムのログインを指定します。
$ ipa user-add First name: first_name Last name: last_name User login [default_login]: custom_login
ipa user-add および ipa stageuser-add にオプションを追加すると、多くのユーザー属性にカスタムの値を定義できるようになります。これを使用すると、対話型セッションよりもより多くの情報を指定することができます。たとえば、stage ユーザーを追加するには以下を実行します。
$ ipa stageuser-add stage_user_login --first=first_name --last=last_name --email=email_address
ipa user-add および ipa stageuser-add で利用可能なオプションの完全な一覧については、コマンドに --help オプションを指定して実行します。
11.2.1.1. ユーザー名の要件
IdM は、以下の正規表現で記述可能なユーザー名をサポートします。
[a-zA-Z0-9_.][a-zA-Z0-9_.-]{0,252}[a-zA-Z0-9_.$-]?注記
Samba 3.x マシンのサポートを有効にするために、ユーザー名の最後にドル記号 ($) を指定できるようになっています。
名前に大文字を含むユーザーを追加した場合には、IdM は自動的に小文字に変換して保存します。そのため、IdM はログイン時にユーザー名はすべて小文字で入力する必要があります。さらに、
user と User のように、ユーザー名の違いが大文字と小文字のみのユーザーは追加できません。
デフォルトでは、ユーザー名の最大文字数は 32 文字となっています。これを変更するには、
ipa config-mod --maxusername コマンドを使用します。たとえば、ユーザー名の最大長を 64 文字に変更するには、以下を実行します。
$ ipa config-mod --maxusername=64 Maximum username length: 64 ...
11.2.1.2. カスタムの UID または GID 番号の定義
カスタムの UID または GID 番号を指定せずにユーザーエントリーを追加する場合には、IdM は、ID 範囲内で次に利用可能なID 番号が自動的に割り当てます。つまり、ユーザーには常に一意の ID 番号が指定されることになります。ID 範囲に関する詳しい情報は14章一意の UID および GID 番号の割り当てを参照してください。
カスタム ID 番号を指定すると、カスタム ID 番号が一意であるかどうか、サーバーによる検証はありません。そのため、複数のユーザーエントリーに同じ ID 番号が割り当てられる可能性があります。Red Hat は、複数のエントリーに同じ ID 番号が割り当てられないようにすることを推奨します。
11.2.2. ユーザーの一覧表示およびユーザーの検索
Web UI でのユーザーの表示
- → タブを選択します。
- Active users、Stage users または Preserved users カテゴリーを選択します。
図11.4 ユーザーの一覧表示
Web UI でのユーザー情報の表示
ユーザーの詳細情報を表示するには、ユーザーリストでユーザー名をクリックします。
図11.5 ユーザー情報の表示
コマンドラインからのユーザーの表示
active ユーザーすべてを表示するには、
ipa user-find コマンドを実行します。stage ユーザーをすべてを表示するには、ipa stageuser-find コマンドを使用します。preserved ユーザーを表示するには、ipa user-find --preserved=true コマンドを実行します。
例を示します。
$ ipa user-find --------------- 23 users matched --------------- User login: admin Last name: Administrator Home directory: /home/admin Login shell: /bin/bash UID: 1453200000 GID: 1453200000 Account disabled: False Password: True Kerberos keys available: True User login: user ...
ipa user-find および ipa stageuser-find にオプションおよび引数を追加して、検索条件を定義して検索結果を絞り込むことができます。たとえば、特定のタイトルが定義された active ユーザーをすべてを表示するには、以下を実行します。
$ ipa user-find --title=user_title --------------- 2 users matched --------------- User login: user ... Job Title: Title ... User login: user2 ... Job Title: Title ...
同様に、ログインに
user が含まれる staget ユーザーすべてを表示するには、以下を実行します。
$ ipa user-find user --------------- 3 users matched --------------- User login: user ... User login: user2 ... User login: user3 ...
ipa user-find および ipa stageuser-find で利用可能なオプションの完全な一覧については、コマンドに --help オプションを指定して実行します。
コマンドラインからのユーザー情報の表示
active または preserved ユーザーに関する情報を表示するには
ipa user-show コマンドを使用します。
$ ipa user-show user_login User login: user_login First name: first_name Last name: last_name ...
stage ユーザーの情報を表示するには、
ipa stageuser-show コマンドを使用します。
11.2.3. ユーザーの有効化、保存、削除、復元
以下のセクションでは、異なるユーザーライフサイクルの状態の間でユーザーのアカウントを移動する方法について説明します。IdM のライフサイクルの状態に関する詳しい情報は、「ユーザーのライフサイクル」を参照してください。
Web UI でのユーザーライフサイクルの管理
stage ユーザーをアクティベートするには、以下を実行してください。
- Stage users 一覧で、アクティベートユーザーを選択して をクリックします。
図11.6 ユーザーの有効化
ユーザーを保存または削除するには、以下を実行します。
- Active users または Stage users リストで対象のユーザーを選択して をクリックします。
図11.7 ユーザーの削除
- active ユーザーを選択した場合には delete または preserve を選択します。また、stage ユーザーを選択した場合には、そのユーザーは削除しかできません。デフォルトの UI オプションは delete です。たとえば、active ユーザーを保存するには、以下を行います。
図11.8 Web UI での削除モードの選択
ボタンをクリックして確定します。
preserved ユーザーを復元するには以下を行います。
- Preserved users 一覧で、復元するユーザーを選択し、 をクリックします。
図11.9 ユーザーの復元
注記
ユーザーを復元しても、そのアカウントに指定されている以前の属性すべてが復元されるわけではありません。たとえば、ユーザーのパスワードは復元されないので、再度定義する必要があります。
Web UI で、ユーザーを
preserved から stage の状態に移動できません。
コマンドラインからのユーザーライフサイクルの管理
stage から active に移動してユーザーアカウントをアクティベートするには、ipa stageuser-activate コマンドを使用します。
$ ipa stageuser-activate user_login ------------------------- Stage user user_login activated ------------------------- ...
ユーザーアカウントを保存または削除するには
ipa user-del または ipa stageuser-del コマンドを使用します。
- IdM データベースから active ユーザーを完全に削除するには、オプションの指定なしに
ipa user-delを実行します。$ ipa user-del user_login -------------------- Deleted user "user3" --------------------
- active ユーザーを保存するには、
--preserveオプションを指定してipa user-delを実行します。$ ipa user-del --preserve user_login -------------------- Deleted user "user_login" --------------------
- IdM データベースから stage ユーザーを完全に削除するには
ipa stageuser-delを実行します。$ ipa stageuser-del user_login -------------------------- Deleted stage user "user_login" --------------------------
注記
複数のユーザーを削除する場合には、
--continue オプションを使用するとエラーが発生しても強制的にコマンドを続行できます。コマンドの完了時に、操作結果のサマリーが stdout の標準出力ストリームに表示されます。
$ ipa user-del --continue user1 user2 user3
--continue が指定されていない場合には、コマンドはエラーが発生するまでユーザーの削除を続け、エラーが発生すると操作を停止して終了します。
preserved から active に移動して preserved ユーザーアカウントを復元するには、ipa user-undel コマンドを使用します。
$ ipa user-undel user_login ------------------------------ Undeleted user account "user_login" ------------------------------
preserved から stage に移動して preserved ユーザーアカウントを復元するには、ipa user-stage コマンドを使用します。
$ ipa user-stage user_login ------------------------------ Staged user account "user_login" ------------------------------
注記
ユーザーアカウントを復元しても、そのアカウントに指定されている以前の属性すべてが復元されるわけではありません。たとえば、ユーザーのパスワードは復元されないので、再度定義する必要があります。
これらのコマンドや対応のオプションに関する情報は、コマンドに
--help オプションを追加して実行してください。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.