Menu Close
Settings Close

Language and Page Formatting Options

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

11.2. ユーザーのライフサイクル

Identity Management は、stageactive、および preserved の 3 つのユーザーアカウントの状態をサポートします。
  • ステージ ユーザーは認証できません。これは初期状態です。アクティブユーザーに必要なユーザーアカウントプロパティーの一部が設定されていない可能性があります。
  • アクティブ ユーザーは認証が可能です。必要なユーザーアカウントプロパティーはすべて、この状態で設定する必要があります。
  • 保存済みユーザーは、以前は アクティブなユーザーでした。非アクティブであると見なされ、IdM に対して認証できません。保存済みユーザーには、アクティブユーザーのときに有効になっていたアカウントプロパティーの大部分が保持されていますが、ユーザーグループからは除外されています。
    注記
    保存済み 状態のユーザーの一覧は、以前のユーザーアカウントの履歴を提供します。
ユーザーエントリーは、IdM データベースから完全に削除することもできます。ユーザーエントリーを完全に削除すると、エントリー自体とグループメンバーシップやパスワードなど、そのユーザーの情報をすべて IdM から削除します。ユーザーの外部設定 (システムアカウントやホームディレクトリーなど) は削除されませんが、IdM からはアクセスできなくなります。
重要
削除したユーザーアカウントを復元することはできません。ユーザーアカウントを削除すると、そのアカウントに関連する情報がすべて永続的に失われます。
新規管理ユーザーは、デフォルトのadminユーザーなど、他の管理者のみが作成できます。すべての管理者アカウントを誤って削除した場合は、Directory Manager が、Directory Server に新しい管理者を手動で作成する必要があります。
警告
admin ユーザーを削除しないでください。admin は IdM で必要な事前定義ユーザーであるため、この操作では特定のコマンドで問題が生じます。代替の admin ユーザーを定義して使用する場合は、管理者パーミッションを少なくとも 1 人のユーザーに付与した後に ipa user-disable admin で事前定義された admin ユーザーを無効にします。

ユーザーライフサイクル管理操作

ユーザーのプロビジョニングを管理するために、管理者はユーザーアカウントをある状態から別の状態に移行することができます。新規ユーザーアカウントは、active または stage のいずれかとして追加できますが、preserved としては追加できません。
IdM は、ユーザーのライフサイクル管理に対する以下の操作をサポートします。
stage → active
stage 状態のアカウントを適切にアクティブ化する準備ができると、管理者は active 状態に移行します。
active → preserved
ユーザーが会社を離れると、管理者はアカウントを preserved 状態に移行します。
preserved → active
先ほどのユーザーが会社に再度参加します。管理者は、ユーザーアカウントをpreserved 状態から active 状態に戻して、ユーザーアカウントを復元します。
preserved → stage
先ほどのユーザーは、会社に再び参加する計画です。管理者は、アカウントを preserved 状態から stage 状態に移動して、今後の再アクティブ化に向けてアカウントを準備します。
IdM からアクティブユーザー、ステージユーザー、および保存済みユーザーを完全に削除することもできます。ステージユーザーを preserved 状態に移動することはできず、永続的に削除できるだけです。

図11.1 ユーザーのライフサイクルの操作

ユーザーのライフサイクルの操作

11.2.1. stage または Active ユーザーの追加

Web UI でユーザーの追加

  1. IdentityUsers タブを選択します。
  2. active または stage 状態のユーザーを追加するかどうかに応じて、Active users または Stage users カテゴリーを選択します。

    図11.2 ユーザーカテゴリーの選択

    ユーザーカテゴリーの選択
    アクティブ または ステージユーザーの ライフサイクルの状態についての詳細は、「ユーザーのライフサイクル」 を参照してください。
  3. ユーザー一覧の上部にある 追加 をクリックします。

    図11.3 ユーザーの追加

    ユーザーの追加
  4. Add User フォームを入力します。
    ユーザーログインを手動で設定しないと、IdM は指定された名および姓に基づいてログインを自動的に生成することに注意してください。
  5. Add をクリックします。
    または、Add and Add Another をクリックして別のユーザーの追加を開始するか、Add and Edit をクリックして新規ユーザーエントリーの編集を開始します。ユーザーエントリーの編集に関する情報は、「ユーザーの編集」 を参照してください。

コマンドラインからのユーザーの追加

active 状態で新規ユーザーを追加するには、ipa user-add コマンドを使用します。stage 状態で新規ユーザーを追加するには、ipa stageuser-add コマンドを使用します。
注記
アクティブ または ステージユーザーの ライフサイクルの状態についての詳細は、「ユーザーのライフサイクル」 を参照してください。
オプションなしで実行する場合は、ipa user-add および ipa stageuser-add により、必要最小限のユーザー属性の入力が求められ、その他の属性にはデフォルト値が使用されます。または、コマンドに直接、さまざまな属性を指定するオプションを追加することもできます。
インタラクティブセッションでは、オプションを指定せずにコマンドを実行すると、IdM は指定の名および姓に基づいて自動生成されたユーザーログインを提案し、大かっこ ([ ]) に表示します。デフォルトのログインを受け入れるには、Enter を押して確認します。カスタムログインを指定するには、デフォルトのログインを確認せず、代わりにカスタムログインを指定してください。
$ ipa user-add
First name: first_name
Last name: last_name
User login [default_login]: custom_login
ipa user-add および ipa stageuser-add にオプションを追加すると、多くのユーザー属性にカスタム値を定義できます。つまり、対話型セッションよりも多くの情報を指定できます。たとえば、ステージユーザーを追加するには、以下を実行します。
$ ipa stageuser-add stage_user_login --first=first_name --last=last_name --email=email_address
ipa user-add および ipa stageuser-add で使用できるオプションの完全リストは、--help オプションを追加してコマンドを実行します。

11.2.1.1. ユーザー名の要件

IdM は、以下の正規表現で説明できるユーザー名をサポートします。
'(?!^[0-9]+$)^[a-zA-Z0-9_.][a-zA-Z0-9_.-]*[a-zA-Z0-9_.$-]?$'
ユーザー名には、文字、数字、_、-、.、$ のみを含めることができ、少なくとも 1 文字が含まれている必要があります。
注記
ユーザー名の末尾がドル記号 ($) で終わる場合は、Samba 3.x マシンでのサポートが有効になります。
大文字を含むユーザー名を追加すると、IdM が名前を保存する際に自動的に小文字に変換されます。したがって、IdM にログインする場合、ユーザーは常にユーザー名をすべて小文字で入力する必要があります。また、userUser など、大文字と小文字のみが異なるユーザー名を追加することはできません。
ユーザー名のデフォルトの長さは、最大 32 文字です。これを変更するには、ipa config-mod --maxusername コマンドを使用します。たとえば、ユーザー名の最大長を 64 文字にするには、次のコマンドを実行します。
$ ipa config-mod --maxusername=64
  Maximum username length: 64
  ...

11.2.1.2. カスタム UID または GID 番号の定義

カスタムの UID または GID 番号を指定せずに新しいユーザーエントリーを追加すると、IdM は ID 範囲で次に利用可能な ID 番号を自動的に割り当てます。これは、ユーザーの ID 番号が常に一意であることを意味します。ID 範囲の詳細は、14章一意の UID および GID 番号の割り当て を参照してください。
カスタム ID 番号を指定する場合、サーバーはカスタム ID 番号が一意であるかどうかを検証しません。このため、複数のユーザーエントリーに同じ ID 番号が割り当てられる可能性があります。Red Hat は、複数のエントリーに同じ ID 番号を割り当てることがないようにすることを推奨します。