Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.3.3. Active Directory ユーザーの IdM グループの作成

ユーザーグループは、アクセスパーミッション、ホストベースのアクセス制御、sudo ルール、および IdM ユーザーのその他の制御を設定する必要があります。このグループは、IdM ドメインリソースへのアクセスを許可し、アクセスを制限するものです。
AD ユーザーおよび AD グループの両方を IdM ユーザーグループに直接追加できます。これには、最初に、非 POSIX IdM 外部グループに AD ユーザーまたはグループを追加し、次にローカルの IdM POSIX グループに追加します。これにより、POSIX グループは、AD ユーザーのユーザーおよびロールの管理に使用できます。IdM で非 POSIX グループを処理する原則は、「Active Directory ユーザーおよび Identity Management グループ」 で説明されています。
注記
AD ユーザーグループを、IdM 外部グループにメンバーとして追加することもできます。これにより、1 つの AD レルムにユーザーおよびグループの管理を維持することで、Windows ユーザーのポリシーの定義が容易になります。
  1. 任意。IdM レルムで AD ユーザーを管理するのに使用する AD ドメインでグループを作成するか、または選択します。IdM 側で複数のグループを使用でき、別のグループに追加できます。
  2. --external オプションを ipa group-add コマンドに追加して、Active Directory ユーザーの IdM ドメインに外部グループを作成します。--external オプションは、このグループに IdM ドメイン外からのメンバーが含まれるように指定します。以下は例になります。
    [root@ipaserver ~]# ipa group-add --desc='AD users external map' ad_users_external --external
    -------------------------------
    Added group "ad_users_external"
    -------------------------------
      Group name: ad_users_external
      Description: AD users external map
    注記
    外部グループは、ユーザーのプライマリーグループではなく、ユーザーの追加のグループにリンクする必要があります。Active Directory は グループのメンバー 属性にグループメンバーを保存し、IdM はこの属性を使用してメンバーを解決します。ただし、Active Directory は、ユーザーのエントリーの primaryGroupID 属性にユーザーのプライマリーグループを保存しますが、このグループは解決されていません。
  3. 新しい IdM POSIX グループを作成するか、IdM ポリシーを管理する既存のものを選択します。たとえば、新規グループを作成するには、次のコマンドを実行します。
    [root@ipaserver ~]# ipa group-add --desc='AD users' ad_users
    ----------------------
    Added group "ad_users"
    ----------------------
      Group name: ad_users
      Description: AD users
      GID: 129600004
  4. AD ユーザーまたはグループを外部メンバーとして IdM 外部グループに追加します。AD メンバーは、DOMAIN\group_nameDOMAIN\username などの完全修飾名で識別されます。AD アイデンティティーは、ユーザーまたはグループの Active Directory SID にマッピングされます。
    たとえば、AD グループの場合は、以下のようになります。
    [root@ipaserver ~]# ipa group-add-member ad_users_external --external "AD\Domain Users"
     [member user]:
     [member group]:
      Group name: ad_users_external
      Description: AD users external map
      External member: S-1-5-21-3655990580-1375374850-1633065477-513 SID_DOM_GROUP (2)
    -------------------------
    Number of members added 1
    -------------------------
  5. 外部 IdM グループをメンバーとして POSIX IdM グループに追加します。以下は例になります。
    [root@ipaserver ~]# ipa group-add-member ad_users --groups ad_users_external
      Group name: ad_users
      Description: AD users
      GID: 129600004
      Member groups: ad_users_external
    -------------------------
    Number of members added 1
    -------------------------