Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第15章 ユーザーおよびグループスキーマ

ユーザーエントリーが作成されると、自動的に特定の LDAP オブジェクトクラスが割り当てられ、これにより特定の属性が利用可能になります。LDAP 属性は、情報がディレクトリーに保存されます。(詳細は、『Directory 『Server Deployment Guide』および『Directory』 『Server Schema Reference』を参照してください』。)

表15.1 デフォルトの Identity Management ユーザーオブジェクトクラス

オブジェクトクラス 説明
ipaobject
ipasshuser
IdM オブジェクトクラス
person
organizationalperson
inetorgperson
inetuser
posixAccount
人物のオブジェクトクラス
krbprincipalaux
krbticketpolicyaux
Kerberos のオブジェクトクラス
mepOriginEntry 管理対象エントリー(テンプレート)のオブジェクトクラス
ユーザーエントリーには多くの利用可能な属性があります。手動で設定されるものや、特定の値が設定されてない場合はデフォルト値を元に設定されるものもあります。その属性に UI やコマンドライン引数がない場合でも、表15.1「デフォルトの Identity Management ユーザーオブジェクトクラス」 内のオブジェクトクラスで使用できる属性を追加するオプションもあります。また、デフォルトの属性で生成もしくは使用される値は、「デフォルトのユーザーおよびグループ属性の指定」

表15.2 デフォルトの Identity Management ユーザー属性

UI フィールド コマンドラインオプション 必須、任意またはデフォルト[a]
ユーザーログイン username 必須
--first 必須
--last 必須
Full name --cn 任意
表示名 --displayname 任意
initials --initials デフォルト
ホームディレクトリー --homedir デフォルト
GECOS field --gecos デフォルト
shell --shell デフォルト
Kerberos プリンシパル --principal デフォルト
メールアドレス --email 任意
パスワード --password[b] 任意
User ID number --uid デフォルト
グループ ID 番号 --gidnumber デフォルト
Street address --street 任意
都市 --city 任意
State/Province --state 任意
zip コード --postalcode 任意
Telephone number --phone 任意
Mobile telephone number --mobile 任意
Pager number --pager 任意
Fax number --fax 任意
組織単位 --orgunit 任意
職種 --title 任意
manager --manager 任意
Car license --carlicense 任意
--noprivate 任意
SSH キー --sshpubkey 任意
Additional attributes --addattr 任意
部門番号 --departmentnumber 任意
従業員の数字 --employeenumber 任意
従業員タイプ --employeetype 任意
優先言語 --preferredlanguage 任意
[a] 必須属性は、すべてのエントリーで設定する必要があります。オプションの属性は設定が可能で、デフォルトの属性は特定の値が指定されない限り、事前定義された値で自動的に追加されます。
[b] スクリプトは、引数の値を受け付けずに、新しいパスワードを要求します。

15.1. デフォルトのユーザーおよびグループスキーマの変更

ユーザーおよびグループエントリーに使用されているオブジェクトクラスおよび属性は、変更できます (15章ユーザーおよびグループスキーマ)。
IdM 設定は、オブジェクトクラスが変更されると以下の確認を行います。
  • すべてのオブジェクトクラスとそれらの指定された属性を LDAP サーバーが認識していること。
  • エントリーに設定されたデフォルトの属性はすべて、設定済みのオブジェクトクラスにサポートされていること。
ただし、IdM スキーマの検証には限界があります。最も重要な点として、IdM サーバーは定義済みユーザーまたはグループのオブジェクトクラスに IdM エントリーで必要なオブジェクトクラスがすべて含まれていることを確認しているわけではありません。たとえば、すべての IdM エントリーには ipaobject オブジェクトクラスが必要です。ただし、ユーザーもしくはグループスキーマが変更されると、このオブジェクトクラスが含まれているかどうかは確認されません。オブジェクトクラスが誤って削除されると、それ以降のエントリー追加操作は失敗します。
また、すべてのオブジェクトクラス変更は、漸増的ではなくアトミックです。変更があると毎回、デフォルトのオブジェクトクラス一覧全体を定義する必要があります。たとえば、企業が従業員の誕生日や就業開始日などの情報を保存するためのカスタムのオブジェクトクラスを作成したとします。管理者は単にカスタムのオブジェクトクラスをリストに追加することはできません。新規オブジェクトクラスに加えて 現行のデフォルトのオブジェクトクラス一覧全体を設定する必要があります。設定を更新する際は常に、既存のデフォルトのオブジェクトクラスを含める必要があります。これを含めないと現行設定が上書きされ、パフォーマンスに関する重大な問題が発生することになります。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。