第15章ユーザーおよびグループスキーマ

ユーザーエントリーは作成時に自動的に特定の LDAP オブジェクトクラスが割り当てられ、これにより特定の属性が利用可能になります。LDAP 属性は、情報がディレクトリー内に保存される方法です (これについての詳細は、『Directory Server Deployment Guide』および『Directory Server Schema Reference』で説明されています。)

表15.1 デフォルトの Identity Management ユーザーオブジェクトクラス

オブジェクトクラス	詳細
ipaobject ipasshuser	IdM オブジェクトクラス
person organizationalperson inetorgperson inetuser posixAccount	人物のオブジェクトクラス
krbprincipalaux krbticketpolicyaux	Kerberos のオブジェクトクラス
mepOriginEntry	Managed エントリー (テンプレート) のオブジェクトクラス

ユーザーエントリーには多くの利用可能な属性があります。手動で設定されるものや、特定の値が設定されてない場合はデフォルト値を元に設定されるものもあります。その属性に UI やコマンドライン引数がない場合でも、表15.1「デフォルトの Identity Management ユーザーオブジェクトクラス」内のオブジェクトクラスで使用できる属性を追加するオプションもあります。また、デフォルトの属性で生成もしくは使用される値は、「デフォルトのユーザーおよびグループ属性の指定」にあるように設定可能です。

表15.2 デフォルトの Identity Management ユーザー属性

UI フィールド	コマンドラインオプション	必須、オプション、またはデフォルト^[a]
User login	username	必須
First name	`--first`	必須
Last name	`--last`	必須
Full name	`--cn`	オプション
Display name	`--displayname`	オプション
Initials	`--initials`	デフォルト
Home directory	`--homedir`	デフォルト
GECOS field	`--gecos`	デフォルト
Shell	`--shell`	デフォルト
Kerberos principal	`--principal`	デフォルト
Email address	`--email`	オプション
Password	`--password` ^[b]	オプション
User ID number	`--uid`	デフォルト
Group ID number	`--gidnumber`	デフォルト
Street address	`--street`	オプション
City	`--city`	オプション
State/Province	`--state`	オプション
Zip code	`--postalcode`	オプション
Telephone number	`--phone`	オプション
Mobile telephone number	`--mobile`	オプション
Pager number	`--pager`	オプション
Fax number	`--fax`	オプション
Organizational unit	`--orgunit`	オプション
Job title	`--title`	オプション
Manager	`--manager`	オプション
Car license	`--carlicense`	オプション
	`--noprivate`	オプション
SSH Keys	`--sshpubkey`	オプション
Additional attributes	`--addattr`	オプション
Department Number	`--departmentnumber`	オプション
Employee Number	`--employeenumber`	オプション
Employee Type	`--employeetype`	オプション
Preferred Language	`--preferredlanguage`	オプション
^[a] 必須の属性は、すべてのエントリーで設定する必要があります。オプションの属性は設定が可能で、デフォルトの属性は特定の値を提供しない場合は事前設定の値で自動的に追加されます。 ^[b] スクリプトは、引数の値を受け付けずに、新たなパスワードを要求します。

15.1. デフォルトのユーザーおよびグループスキーマの変更

ユーザーおよびグループエントリーに使用されているオブジェクトクラスおよび属性は、変更することができます (15章ユーザーおよびグループスキーマ)。

IdM 設定は、オブジェクトクラスが変更されると以下の確認を行います。

すべてのオブジェクトクラスとそれらの指定された属性を LDAP サーバーが認識していること。
エントリーに設定されたデフォルトの属性はすべて、設定済みのオブジェクトクラスにサポートされていること。

ただし、IdM スキーマの検証には限界があります。最も重要なのは、IdM サーバーは定義済みユーザーもしくはグループオブジェクトクラスに IdM エントリーで必要なオブジェクトクラスすべてが含まれているかどうかを確認しないという点です。たとえば、IdM エントリーはすべて、ipaobject オブジェクトクラスが必要です。しかし、ユーザーもしくはグループスキーマが変更されると、このオブジェクトクラスが含まれているかどうかをサーバーは検証しません。このオブジェクトクラスが誤って削除されると、それ以降のエントリー追加操作は失敗することになります。

また、すべてのオブジェクトクラス変更は、漸増的ではなくアトミックです。変更があると毎回、デフォルトのオブジェクトクラス一覧全体を定義する必要があります。たとえば、企業が従業員の誕生日や就業開始日などの情報を保存するためのカスタムのオブジェクトクラスを作成したとします。管理者は単にカスタムのオブジェクトクラスをリストに追加するということはできません。新規オブジェクトクラスに加えて現行のデフォルトのオブジェクトクラス一覧全体を設定する必要があります。設定を更新する際は常に、既存のデフォルトのオブジェクトクラスを含める必要があります。これを含めないと現行設定が上書きされ、パフォーマンスに関する重大な問題が発生することになります。

Where did the comment section go?

Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.

Log in to Your Red Hat Account

Red Hat Account

Customer Portal

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

JBoss Development and Management

JBoss Integration and Automation

Mobile

Services

Tools

Red Hat Product Security Center

Security Updates

Resources

Customer Portal Community

Customer Events

Stories

第15章ユーザーおよびグループスキーマ

15.1. デフォルトのユーザーおよびグループスキーマの変更

Where did the comment section go?

第15章 ユーザーおよびグループスキーマ

15.1. デフォルトのユーザーおよびグループスキーマの変更

Where did the comment section go?

第15章ユーザーおよびグループスキーマ