11.2. ユーザーのライフサイクル

Identity Management (IdM) では stageactive および preserved の 3 つのユーザーアカウントの状態をサポートします。
  • Stage ユーザーは認証ができません。これは最初の状態です。アクティブなユーザーが必要とする、ユーザーアカウントのプロパティーの一部は、まだ設定されていません。
  • Active ユーザーは認証が可能です。この状態では、必要とされるユーザーアカウントのプロパティーはすべて設定されています。
  • Preserved ユーザーは、過去に active であったユーザーです。このユーザーは非アクティブとみなされ、IdM への認証はできません。Preserved ユーザーは、Active ユーザーに設定されたていたアカウントプロパティーの大半が保持されますが、どのユーザーグループにも所属しません。

    注記

    preserved 状態のユーザー一覧は、以前のユーザーアカウントの履歴を提供することができます。
ユーザーエントリーも IdM データベースから完全に削除することができます。ユーザーエントリーを完全に削除すると、エントリー自体とグループメンバーシップやパスワードなど、そのユーザーの情報をすべて IdM から削除します。システムアカウントやホームディレクトリーなどのユーザーの外部設定は削除されませんが、IdM でアクセスできなくなります。

重要

削除したユーザーアカウントは復元することができます。ユーザーアカウントを削除すると、そのアカウントに関連付けられたすべての情報が完全に失われます。
新規管理者ユーザーは、デフォルトの admin ユーザーなど、別の管理者でしか作成できません。すべての管理者ユーザーを誤って削除してしまった場合は、Directory Manager が手動で新規の管理者を Directory Server に作成する必要があります。

ユーザーのライフサイクル管理に関する操作

ユーザーのプロビジョニングを管理するには、管理者はユーザーアカウントの状態を変更します。新規ユーザーは、active または stage のいずれかの状態で追加できますが、preserved ではできません。
IdM は、ユーザーライフサイクル管理の以下の操作をサポートします。
stage → active
stage の状態のアカウントが正しくアクティベートされる準備ができると、管理者は active の状態に移動します。
active → preserved
ユーザーが企業を退社した後には、管理者はアカウントを preserved の状態に移動します。
preserved → active
以前働いていたユーザーが再度企業に復帰した場合に、管理者は、ユーザーアカウントを preserved から active の状態に移動して復帰させます。
preserved → stage
以前のユーザーが企業に復帰する予定の場合に、管理者はアカウントの状態を preserved から stage に移動して、後ほど再アクティベートできるようにアカウントの準備をします。
IdM から active、stage および preserved ユーザーを完全に削除することもできます。stage ユーザーは preserved の状態に移動できず、完全に削除することしかできない点に注意してください。
ユーザーライフサイクルの操作

図11.1 ユーザーライフサイクルの操作

11.2.1. stage または Active ユーザーの追加

Web UI でのユーザーの追加

  1. IdentityUsers タブを選択します。
  2. ユーザーを active または stage のいずれの状態で追加するかによって、Active users または Stage users カテゴリーを選択します。
    ユーザーカテゴリーの選択

    図11.2 ユーザーカテゴリーの選択

    active または stage ユーザーのライフサイクルに関する詳しい情報は、「ユーザーのライフサイクル」を参照してください。
  3. ユーザー一覧上部にある Add をクリックします。
    ユーザーの追加

    図11.3 ユーザーの追加

  4. Add User のフォームに入力します。
    ユーザーログインを手動で設定しない場合には IdM は指定の名前に基づいて自動的にログイン ID が生成されます。
  5. Add をクリックします。
    または、Add and Add Another をクリックして、別のユーザーを追加するか、Add and Edit をクリックして新規ユーザーエントリーの編集を開始します。ユーザーエントリーの編集に関する情報は「ユーザーの編集」を参照してください。

コマンドラインからのユーザーの追加

active の状態の新規ユーザーを追加するには、ipa user-add コマンドを使用します。stage の状態の新規ユーザーを追加するには、ipa stageuser-add コマンドを使用します。

注記

active または stage ユーザーのライフサイクルに関する詳しい情報は、「ユーザーのライフサイクル」を参照してください。
ipa user-add および ipa stageuser-add をオプションなしで実行すると、最小限必要なユーザー属性の入力が求められ、他の属性についてはデフォルト値が使用されます。または、オプションを追加してコマンドに直接さまざまな属性を指定することができます。
対話型のセッションでは、オプションなしでコマンドを実行すると、IdM は指定したフルネームをもとに自動的にユーザーログインを提案し、カッコ内 ([ ]) に表示します。デフォルトのログイン ID を受け入れるには、Enter を押して確定します。カスタムログインを指定するには、デフォルトを確定せずに、カスタムのログインを指定します。
$ ipa user-add
First name: first_name
Last name: last_name
User login [default_login]: custom_login
ipa user-add および ipa stageuser-add にオプションを追加すると、多くのユーザー属性にカスタムの値を定義できるようになります。これを使用すると、対話型セッションよりもより多くの情報を指定することができます。たとえば、stage ユーザーを追加するには以下を実行します。
$ ipa stageuser-add stage_user_login --first=first_name --last=last_name --email=email_address
ipa user-add および ipa stageuser-add で利用可能なオプションの完全な一覧については、コマンドに --help オプションを指定して実行します。

11.2.1.1. ユーザー名の要件

IdM は、以下の正規表現で記述可能なユーザー名をサポートします。
[a-zA-Z0-9_.][a-zA-Z0-9_.-]{0,252}[a-zA-Z0-9_.$-]?

注記

Samba 3.x マシンのサポートを有効にするために、ユーザー名の最後にドル記号 ($) を指定できるようになっています。
名前に大文字を含むユーザーを追加した場合には、IdM は自動的に小文字に変換して保存します。そのため、IdM はログイン時にユーザー名はすべて小文字で入力する必要があります。さらに、userUser のように、ユーザー名の違いが大文字と小文字のみのユーザーは追加できません。
デフォルトでは、ユーザー名の最大文字数は 32 文字となっています。これを変更するには、ipa config-mod --maxusername コマンドを使用します。たとえば、ユーザー名の最大長を 64 文字に変更するには、以下を実行します。
$ ipa config-mod --maxusername=64
  Maximum username length: 64
  ...

11.2.1.2. カスタムの UID または GID 番号の定義

カスタムの UID または GID 番号を指定せずにユーザーエントリーを追加する場合には、IdM は、ID 範囲内で次に利用可能なID 番号が自動的に割り当てます。つまり、ユーザーには常に一意の ID 番号が指定されることになります。ID 範囲に関する詳しい情報は14章一意の UID および GID 番号の割り当てを参照してください。
カスタム ID 番号を指定すると、カスタム ID 番号が一意であるかどうか、サーバーによる検証はありません。そのため、複数のユーザーエントリーに同じ ID 番号が割り当てられる可能性があります。Red Hat は、複数のエントリーに同じ ID 番号が割り当てられないようにすることを推奨します。

11.2.2. ユーザーの一覧表示およびユーザーの検索

Web UI でのユーザーの表示

  1. IdentityUsers タブを選択します。
  2. Active usersStage users または Preserved users カテゴリーを選択します。
    ユーザーの一覧表示

    図11.4 ユーザーの一覧表示

Web UI でのユーザー情報の表示

ユーザーの詳細情報を表示するには、ユーザーリストでユーザー名をクリックします。
ユーザー情報の表示

図11.5 ユーザー情報の表示

コマンドラインからのユーザーの表示

active ユーザーすべてを表示するには、ipa user-find コマンドを実行します。stage ユーザーをすべてを表示するには、ipa stageuser-find コマンドを使用します。preserved ユーザーを表示するには、ipa user-find --preserved=true コマンドを実行します。
例を示します。
$ ipa user-find
---------------
23 users matched
---------------
  User login: admin
  Last name: Administrator
  Home directory: /home/admin
  Login shell: /bin/bash
  UID: 1453200000
  GID: 1453200000
  Account disabled: False
  Password: True
  Kerberos keys available: True

  User login: user
...
ipa user-find および ipa stageuser-find にオプションおよび引数を追加して、検索条件を定義して検索結果を絞り込むことができます。たとえば、特定のタイトルが定義された active ユーザーをすべてを表示するには、以下を実行します。
$ ipa user-find --title=user_title
---------------
2 users matched
---------------
  User login: user
...
  Job Title: Title
...

  User login: user2
...
  Job Title: Title
...
同様に、ログインに user が含まれる staget ユーザーすべてを表示するには、以下を実行します。
$ ipa user-find user
---------------
3 users matched
---------------
User login: user
...

User login: user2
...

User login: user3
...
ipa user-find および ipa stageuser-find で利用可能なオプションの完全な一覧については、コマンドに --help オプションを指定して実行します。

コマンドラインからのユーザー情報の表示

active または preserved ユーザーに関する情報を表示するには ipa user-show コマンドを使用します。
$ ipa user-show user_login
  User login: user_login
  First name: first_name
  Last name: last_name
...
stage ユーザーの情報を表示するには、ipa stageuser-show コマンドを使用します。

11.2.3. ユーザーの有効化、保存、削除、復元

以下のセクションでは、異なるユーザーライフサイクルの状態の間でユーザーのアカウントを移動する方法について説明します。IdM のライフサイクルの状態に関する詳しい情報は、「ユーザーのライフサイクル」を参照してください。

Web UI でのユーザーライフサイクルの管理

stage ユーザーをアクティベートするには、以下を実行してください。
  • Stage users 一覧で、アクティベートユーザーを選択して Activate をクリックします。
    ユーザーの有効化

    図11.6 ユーザーの有効化

ユーザーを保存または削除するには、以下を実行します。
  1. Active users または Stage users リストで対象のユーザーを選択して Delete をクリックします。
    ユーザーの削除

    図11.7 ユーザーの削除

  2. active ユーザーを選択した場合には delete または preserve を選択します。また、stage ユーザーを選択した場合には、そのユーザーは削除しかできません。デフォルトの UI オプションは delete です。
    たとえば、active ユーザーを保存するには、以下を行います。
    Web UI での削除モードの選択

    図11.8 Web UI での削除モードの選択

    Delete ボタンをクリックして確定します。
preserved ユーザーを復元するには以下を行います。
  • Preserved users 一覧で、復元するユーザーを選択し、Restore をクリックします。
    ユーザーの復元

    図11.9 ユーザーの復元

注記

ユーザーを復元しても、そのアカウントに指定されている以前の属性すべてが復元されるわけではありません。たとえば、ユーザーのパスワードは復元されないので、再度定義する必要があります。
Web UI で、ユーザーを preserved から stage の状態に移動できません。

コマンドラインからのユーザーライフサイクルの管理

stage から active に移動してユーザーアカウントをアクティベートするには、ipa stageuser-activate コマンドを使用します。
$ ipa stageuser-activate user_login
-------------------------
Stage user user_login activated
-------------------------
...
ユーザーアカウントを保存または削除するには ipa user-del または ipa stageuser-del コマンドを使用します。
  • IdM データベースから active ユーザーを完全に削除するには、オプションの指定なしに ipa user-del を実行します。
    $ ipa user-del user_login
    --------------------
    Deleted user "user3"
    --------------------
  • active ユーザーを保存するには、--preserve オプションを指定して ipa user-del を実行します。
    $ ipa user-del --preserve user_login
    --------------------
    Deleted user "user_login"
    --------------------
  • IdM データベースから stage ユーザーを完全に削除するには ipa stageuser-del を実行します。
    $ ipa stageuser-del user_login
    --------------------------
    Deleted stage user "user_login"
    --------------------------

注記

複数のユーザーを削除する場合には、--continue オプションを使用するとエラーが発生しても強制的にコマンドを続行できます。コマンドの完了時に、操作結果のサマリーが stdout の標準出力ストリームに表示されます。
$ ipa user-del --continue user1 user2 user3
--continue が指定されていない場合には、コマンドはエラーが発生するまでユーザーの削除を続け、エラーが発生すると操作を停止して終了します。
preserved から active に移動して preserved ユーザーアカウントを復元するには、ipa user-undel コマンドを使用します。
$ ipa user-undel user_login
------------------------------
Undeleted user account "user_login"
------------------------------
preserved から stage に移動して preserved ユーザーアカウントを復元するには、ipa user-stage コマンドを使用します。
$ ipa user-stage user_login
------------------------------
Staged user account "user_login"
------------------------------

注記

ユーザーアカウントを復元しても、そのアカウントに指定されている以前の属性すべてが復元されるわけではありません。たとえば、ユーザーのパスワードは復元されないので、再度定義する必要があります。
これらのコマンドや対応のオプションに関する情報は、コマンドに --help オプションを追加して実行してください。