Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

11.6. ユーザーとグループでの外部プロビジョニングシステムの使用

Identity Management は、環境の設定をサポートしており、ID を管理するための外部ソリューションが、IdM でのユーザーおよびグループ ID のプロビジョニングに使用されます。本セクションでは、このような設定の例を説明します。この例には以下が含まれます。

11.6.1. 外部プロビジョニングシステムが使用するユーザーアカウントの設定

この手順では、外部プロビジョニングシステムが使用する 2 つの IdM ユーザーアカウントを設定する方法を説明します。適切なパスワードポリシーが指定されたグループにアカウントを追加すると、外部プロビジョニングシステムが IdM でユーザーのプロビジョニングを管理できるようになります。
  1. ステージユーザーを追加する特権を指定して、ユーザー provisionator を作成します。ユーザーアカウントは、外部プロビジョニングシステムにより、新しいステージユーザーを追加するために使用します。
    1. provisionator ユーザーアカウントを追加します。
      $ ipa user-add provisionator --first=provisioning --last=account --password
    2. provisionator ユーザーに必要な 特権を付与します。
      ステージユーザーの追加を管理する System Provisioning というカスタムロールを作成します。
      $ ipa role-add --desc "Responsible for provisioning stage users" "System Provisioning"
      Stage User Provisioning の特権をロールに追加します。この権限により、stage ユーザーを追加することができます。
      $ ipa role-add-privilege "System Provisioning" --privileges="Stage User Provisioning"
      provisionator ユーザーをロールに追加します。
      $ ipa role-add-member --users=provisionator "System Provisioning"
  2. ユーザーアカウントを管理する特権を指定して activator ユーザーを作成します。ユーザーアカウントは、外部プロビジョニングシステムにより追加されるステージユーザーを自動的にアクティベートするために使用されます。
    1. activator ユーザーアカウント を追加します。
      $ ipa user-add activator --first=activation --last=account --password
    2. activator ユーザーに必要な 特権を付与します。
      ユーザーをデフォルトの User Administrator ロールに追加します。
      $ ipa role-add-member --users=activator "User Administrator"
  3. サービスおよびアプリケーションアカウント用のユーザーグループを作成します。
    $ ipa group-add service-accounts
  4. グループのパスワードポリシーを更新します。以下のポリシーは、アカウントのパスワードの有効期限やロックアウトを防ぎますが、複雑なパスワードを必要とすることでリスクの可能性を低減します。
    $ ipa pwpolicy-add service-accounts --maxlife=10000 --minlife=0 --history=0 --minclasses=4 --minlength=20 --priority=1 --maxfail=0 --failinterval=1 --lockouttime=0
  5. サービスおよびアプリケーションアカウントのグループにプロビジョニングアカウントおよびアクティベーションアカウントを追加します。
    $ ipa group-add-member service-accounts --users={provisionator,activator}
  6. ユーザーアカウントのパスワードを変更します。
    $ kpasswd provisionator
    $ kpasswd activator
    新しい IdM ユーザーのパスワードはすぐに失効するため、パスワードの変更が必要になります。
関連情報: