手順

1. IdM へのログイン

   • ローカルシステムに現在ログインしているユーザーのユーザー名で、(ユーザー名を指定せずに) kinit を使用します。たとえば、ローカルシステムにログインしているユーザーが example_user の場合は、次のコマンドを実行します。

     [example_user@server ~]$ kinit
     Password for example_user@EXAMPLE.COM:
     [example_user@server ~]$

     ローカルユーザーのユーザー名と、IdM のユーザーエントリーが一致しないと、認証に失敗します。

     [example_user@server ~]$ kinit
     kinit: Client 'example_user@EXAMPLE.COM' not found in Kerberos database while getting initial credentials

   • ローカルユーザー名に対応しない Kerberos プリンシパルを使用して、kinit ユーティリティーに必要なユーザー名を渡します。たとえば、admin ユーザーとしてログインするには、次のコマンドを実行します。

     [example_user@server ~]$ kinit admin
     Password for admin@EXAMPLE.COM:
     [example_user@server ~]$

2. 必要に応じて、ログインが成功したことを確認するには、klist ユーティリティーを使用して、キャッシュした TGT を表示します。以下の例では、キャッシュに example_user プリンシパルのチケットが含まれています。これは、このホストでは IdM サービスにアクセスするのは、example_user にのみ許可されていることを示しています。

   $ klist
   Ticket cache: KEYRING:persistent:0:0
   Default principal: example_user@EXAMPLE.COM
   
   Valid starting     	Expires            	Service principal
   11/10/2019 08:35:45  	11/10/2019 18:35:45  	krbtgt/EXAMPLE.COM@EXAMPLE.COM

手順

1. Kerberos チケットを破棄するには、次のコマンドを実行します。

   [example_user@server ~]$ kdestroy

2. 必要に応じて、Kerberos チケットが破棄されたことを確認するには、次のコマンドを実行します。

   [example_user@server ~]$ klist
   klist: Credentials cache keyring 'persistent:0:0' not found

手順

1. IdM サーバーから外部システムに /etc/krb5.conf ファイルをコピーします。以下に例を示します。

   # scp /etc/krb5.conf root@externalsystem.example.com:/etc/krb5_ipa.conf

   警告

   外部マシンにある既存の krb5.conf ファイルは上書きしないでください。

2. 外部システムで、コピーした IdM の Kerberos 設定ファイルを使用するように、端末セッションを設定します。

   $ export KRB5_CONFIG=/etc/krb5_ipa.conf

   KRB5_CONFIG 変数は、ログアウトまで一時的に存在します。ログアウト時に削除されないように、この変数のファイル名を変えてエクスポートします。

3. /etc/krb5.conf.d/ ディレクトリーの Kerberos 設定部分を、外部システムにコピーします。

手順

1. 端末を開き、IdM サーバーに接続します。

2. ヘルプに記載されているトピックの一覧を表示するには、ipa help topics を実行します。

   $ ipa help topics

3. 以下のいずれかのトピックを選択して、以下のパターンに従ってコマンドを実行します。ipa help [topic_name] は、topic_name 文字列ではなく、上の手順で取得したリストからトピックのいずれかを追加します。

   この例では、user トピックを使用します。

   $ ipa help user

4. IPA help コマンドが長すぎるため、テキスト全体を表示できない場合は、以下の構文を使用します。

   $ ipa help user | less

   スクロールダウンすれば、ヘルプ全体を表示できます

手順

1. 端末を開き、IdM サーバーに接続します。

2. ヘルプで使用できるコマンドの一覧を表示するには、ipa help commands コマンドを実行します。

   $ ipa help commands

3. コマンドのいずれかを選択し、次のように help コマンドを作成します。<COMMAND> 文字列の代わりに、ipa help <COMMAND> を使用すると、直前の手順に一覧表示されているコマンドのいずれかを追加します。

   $ ipa help user-add

手順

1. 端末を開き、IdM サーバーに接続します。

2. 新しいユーザーを追加するコマンドを入力します。

   $ ipa user-add

   このコマンドは、ユーザーアカウントの作成に必要な基本的なデータを追加できるスクリプトを実行します。

3. First name: フィールドに、新規ユーザーの名前を入力して、Enter キーを押します。
4. Last name: フィールドに、新規ユーザーの苗字を入力し、Enter キーを押します。

5. User login [suggested user name]: にユーザー名を入力します。また、提案されたユーザー名を使用する場合は、Enter キーを押します。

   ユーザー名は、IdM データベース全体で一意にする必要があります。エラーが発生した場合は、ipa user-add コマンドで最初からやり直すか、別のユーザー名を試してください。

手順

1. 端末を開き、IdM サーバーに接続します。

2. パスワードを追加するコマンドを入力します。

   $ ipa user-mod euser --password

   このコマンドは、新しいパスワードを追加できるスクリプトを実行します。

3. 新しいパスワードを入力し、Enter キーを押します。

手順

1. ブラウザーのアドレスバーに、IdM サーバーの URL を入力します。名前は次の例のようになります。

   https://server.example.com

   server.example.com を、IdM サーバーの DNS 名に変更するだけです。

   これで、ブラウザーに IdM Web UI ログイン画面が開きます。

   

   • サーバーが応答しない、またはログイン画面が開かない場合は、接続している IdM サーバーの DNS 設定を確認してください。

   • 自己署名証明書を使用する場合は、ブラウザーに警告が表示されます。証明書を確認し、セキュリティー例外を許可して、ログインを続行します。

     セキュリティーの例外を回避するために、認証局が署名した証明書をインストールします。

2. Web UI ログイン画面で、IdM サーバーのインストール時に追加した管理者アカウントの認証情報を入力します。

   詳細は「Identity Management サーバーのインストール: 統合 DNS と統合 CA の場合」を参照してください。

   IdM サーバーに、個人アカウントの認証情報がすでに入力されている場合は、それを入力できます。

   

3. Log in をクリックします。

手順

1. IdM へのログイン

   • ローカルシステムに現在ログインしているユーザーのユーザー名で、(ユーザー名を指定せずに) kinit を使用します。たとえば、ローカルシステムにログインしているユーザーが example_user の場合は、次のコマンドを実行します。

     [example_user@server ~]$ kinit
     Password for example_user@EXAMPLE.COM:
     [example_user@server ~]$

     ローカルユーザーのユーザー名と、IdM のユーザーエントリーが一致しないと、認証に失敗します。

     [example_user@server ~]$ kinit
     kinit: Client 'example_user@EXAMPLE.COM' not found in Kerberos database while getting initial credentials

   • ローカルユーザー名に対応しない Kerberos プリンシパルを使用して、kinit ユーティリティーに必要なユーザー名を渡します。たとえば、admin ユーザーとしてログインするには、次のコマンドを実行します。

     [example_user@server ~]$ kinit admin
     Password for admin@EXAMPLE.COM:
     [example_user@server ~]$

2. 必要に応じて、ログインが成功したことを確認するには、klist ユーティリティーを使用して、キャッシュした TGT を表示します。以下の例では、キャッシュに example_user プリンシパルのチケットが含まれています。これは、このホストでは IdM サービスにアクセスするのは、example_user にのみ許可されていることを示しています。

   $ klist
   Ticket cache: KEYRING:persistent:0:0
   Default principal: example_user@EXAMPLE.COM
   
   Valid starting     	Expires            	Service principal
   11/10/2019 08:35:45  	11/10/2019 18:35:45  	krbtgt/EXAMPLE.COM@EXAMPLE.COM

手順

1. Web ブラウザーで、WebUI ログインダイアログを開きます。

2. Web UI のログイン画面で、ブラウザー設定のリンクをクリックします。

   

3. 設定ページの手順に従います。

   

手順

1. IdM サーバーから外部システムに /etc/krb5.conf ファイルをコピーします。以下に例を示します。

   # scp /etc/krb5.conf root@externalsystem.example.com:/etc/krb5_ipa.conf

   警告

   外部マシンにある既存の krb5.conf ファイルは上書きしないでください。

2. 外部システムで、コピーした IdM の Kerberos 設定ファイルを使用するように、端末セッションを設定します。

   $ export KRB5_CONFIG=/etc/krb5_ipa.conf

   KRB5_CONFIG 変数は、ログアウトまで一時的に存在します。ログアウト時に削除されないように、この変数のファイル名を変えてエクスポートします。

3. /etc/krb5.conf.d/ ディレクトリーの Kerberos 設定部分を、外部システムにコピーします。
4. 「Kerberos 認証用のブラウザーの設定」に記載されているように、外部システムにブラウザーを設定します。

手順

1. ユーザー名およびパスワードを使用して IdM Web UI にログインします。

2. Identity → Users → Active users タブを開きます。

   

3. ユーザー名をクリックして、ユーザー設定を開きます。
4. User authentication types で、Two factor authentication (password + OTP) を選択します。
5. Save をクリックします。

手順

1. ユーザー名とパスワードを使用して IdM Web UI にログインします。
2. Authentication → OTP Tokens タブを開いて、携帯電話でトークンを作成します。

3. Add をクリックします。

   

4. Add OTP token ダイアログボックスに何も入力せず、Add をクリックします。

   この段階で、IdM サーバーはデフォルトパラメーターを使用してトークンを作成し、QR コード付きページを開きます。

5. QR コードを携帯電話にコピーします。
6. OK をクリックして QR コードを閉じます。

手順

1. Identity Management ログイン画面で、自身のユーザー名、または IdM サーバー管理者アカウントのユーザー名を入力します。
2. 上記で入力したユーザーのパスワードを追加します。
3. デバイスでワンタイムパスワードを生成します。
4. パスワードの直後にワンタイムパスワードを入力します (空白文字は追加しない)。

5. Log in をクリックします。

   認証に失敗した場合は、OTP トークンを同期します。

   CA が自己署名証明書を使用する場合は、ブラウザーに警告が表示されます。証明書を確認し、セキュリティー例外を許可して、ログインを続行します。

   IdM Web UI が開かない場合は、Identity Management サーバーの DNS 設定を確認します。

手順

1. IdM Web UI ログイン画面で、Sync OTP Token をクリックします。

   

2. ログイン画面で、ユーザー名と、Identity Management パスワードを入力します。
3. ワンタイムパスワードを生成し、First OTP フィールドに入力します。
4. ワンタイムパスワードをもう一度生成し、Second OTP フィールドに入力します。

5. 必要に応じて、トークン ID を入力してします。

   

6. Sync OTP Token をクリックします。

手順

1. パスワード有効期限のログイン画面に、ユーザー名を入力します。
2. 上記で入力したユーザーのパスワードを追加します。

3. ワンタイムパスワード認証を使用する場合は、OTP フィールドにワンタイムパスワードを生成します。

   OTP 認証を有効にしていない場合は、このフィールドを空白のままにします。

4. 確認のために新しいパスワードを 2 回入力します。

5. Reset Password をクリックします。

   

手順

1. 端末を開き、IdM サーバーに接続します。

2. ユーザーのログイン、ユーザーの名前、および名字を追加します。メールアドレスを追加することもできます。

   $ ipa user-add user_login --first=first_name --last=last_name --email=email_address

   IdM は、以下の正規表現で説明できるユーザー名をサポートします。

   [a-zA-Z0-9_.][a-zA-Z0-9_.-]{0,252}[a-zA-Z0-9_.$-]?

   注記

   ユーザー名の末尾がドル記号 ($) で終わる場合は、Samba 3.x マシンでのサポートが有効になります。

   大文字を含むユーザー名を追加すると、IdM が名前を保存する際に自動的に小文字に変換されます。したがって、IdM にログインする場合は、常にユーザー名を小文字で入力する必要があります。また、user と User など、大文字と小文字のみが異なるユーザー名を追加することはできません。

   ユーザー名のデフォルトの長さは、最大 32 文字です。これを変更するには、ipa config-mod --maxusername コマンドを使用します。たとえば、ユーザー名の最大長を 64 文字にするには、次のコマンドを実行します。

   $ ipa config-mod --maxusername=64
    Maximum username length: 64
    ...

   ipa user-add コマンドには、多くのパラメーターが含まれます。一覧を表示するには、ipa help コマンドを使用します。

   $ ipa help user-add

   ipa help コマンドの詳細は、「IPA のヘルプとは」を参照してください。

手順

1. 端末を開き、IdM サーバーに接続します。

2. 次のコマンドで、ユーザーアカウントをアクティベートします。

   $ ipa stageuser-activate user_login
   -------------------------
   Stage user user_login activated
   -------------------------
   ...

手順

1. 端末を開き、IdM サーバーに接続します。

2. 次のコマンドで、ユーザーアカウントを保存します。

   $ ipa user-del --preserve user_login
   --------------------
   Deleted user "user_login"
   --------------------

手順

1. 端末を開き、IdM サーバーに接続します。

2. 次のコマンドで、ユーザーアカウントを削除します。

   $ ipa user-del user_login
   --------------------
   Deleted user "user_login"
   --------------------

手順

1. 端末を開き、IdM サーバーに接続します。

2. 次のコマンドで、ユーザーアカウントをアクティベートします。

   $ ipa user-undel user_login
   ------------------------------
   Undeleted user account "user_login"
   ------------------------------

   または、ユーザーアカウントをステージユーザーとして復元することもできます。

   $ ipa user-stage user_login
   ------------------------------
   Staged user account "user_login"
   ------------------------------

手順

1. IdM Web UI にログインします。

   詳細は「Web ブラウザーで IdM Web UI へのアクセス」を参照してください。

2. ユーザー → ステージユーザー タブに移動します。

   または、ユーザー → アクティブユーザー にユーザーアカウントを追加できますが、アカウントにユーザーグループを追加することはできません。

3. + 追加 アイコンをクリックします。
4. ステージユーザーの追加 ダイアログボックスで、新規ユーザーの 名前 と 名字 を入力します。

5. (必要に応じて) ユーザーログイン フィールドにログイン名を追加します。

   空のままにすると、IdM サーバーは、名字の前に、名前の最初の 1 文字が追加された形式で、ログイン名を作成します。ログイン名には、32 文字まで使用できます。

6. (必要に応じて) GID ドロップダウンメニューで、ユーザーに含まれるグループを選択します。
7. (必要に応じて) パスワード フィールドおよび パスワードの確認 フィールドに入力します。

8. 追加 ボタンをクリックします。

   

手順

1. IdM Web UI にログインします。

   詳細は「Web ブラウザーで IdM Web UI へのアクセス」を参照してください。

2. ユーザー → ステージユーザー タブに移動します。
3. 有効にするユーザーアカウントのチェックボックスをクリックします。

4. アクティベート ボタンをクリックします。

   

5. 確認 ダイアログボックスで、OK ボタンをクリックします。

手順

1. IdM Web UI にログインします。

   詳細は「Web ブラウザーで IdM Web UI へのアクセス」を参照してください。

2. ユーザー → アクティブユーザー タブに移動します。
3. 無効にするユーザーアカウントのチェックボックスをクリックします。

4. 無効 ボタンをクリックします。

   

5. 確認 ダイアログボックスで、OK ボタンをクリックします。

手順

1. IdM Web UI にログインします。
2. ユーザー → アクティブユーザー タブに移動します。
3. 有効にするユーザーアカウントのチェックボックスをクリックします。

4. 有効 ボタンをクリックします。

   

5. 確認 ダイアログボックスで、OK ボタンをクリックします。

手順

1. IdM Web UI にログインします。

   詳細は「Web ブラウザーで IdM Web UI へのアクセス」を参照してください。

2. ユーザー → アクティブユーザー タブに移動します。
3. 保存するユーザーアカウントのチェックボックスをクリックします。

4. 削除 ボタンをクリックします。

   

5. ユーザーの削除 ダイアログボックスで、削除モード ラジオボタンを、保存 に切り替えます。

6. 削除 ボタンをクリックします。

   

手順

1. IdM Web UI にログインします。

   詳細は「Web ブラウザーで IdM Web UI へのアクセス」を参照してください。

2. ユーザー → 保存済みユーザー タブに移動します。
3. 復元するユーザーアカウントのチェックボックスをクリックします。

4. 復元 ボタンをクリックします。

   

5. 確認 ダイアログボックスで、OK ボタンをクリックします。

手順

1. IdM Web UI にログインします。

   詳細は「Web ブラウザーで IdM Web UI へのアクセス」を参照してください。

2. ユーザー → アクティブユーザー タブに移動します。

   ユーザー → ステージユーザー または ユーザー → 保存済みユーザー でも、ユーザーアカウントを削除できます。

3. 削除 アイコンをクリックします。
4. ユーザーの削除 ダイアログボックスで、モードの削除 ラジオボタンを、削除 に切り替えます。
5. 削除 ボタンをクリックします。

手順

1. inventory.file などのインベントリーファイルを作成し、そのファイルに ipaserver を定義します。

   [ipaserver]
   server.idm.example.com

2. IdM に存在するユーザーのデータで Ansible Playbook ファイルを作成します。この手順を単純化するには、/usr/share/doc/ansible-freeipa/playbooks/user/add-user.yml ファイルのサンプルをコピーして変更できます。たとえば、idm_user という名前のユーザーを作成し、Password123 をユーザーパスワードとして追加するには、次のコマンドを実行します。

   ---
   - name: Playbook to handle users
     hosts: ipaserver
     become: true
   
     tasks:
     - name: Create user idm_user
       ipauser:
         ipaadmin_password: MySecret123
         name: idm_user
         first: Alice
         last: Acme
         uid: 1000111
         gid: 10011
         phone: "+555123457"
         email: idm_user@acme.com
         passwordexpiration: "2023-01-19 23:59:59"
         password: "Password123"
         update_password: on_create

   ユーザーを追加するには、以下のオプションを使用する必要があります。

   • 名前: ログイン名
   • first: 最初の name 文字列
   • last: 最後の名前文字列

   利用可能なユーザーオプションの完全な一覧は、/usr/share/doc/ansible-freeipa/README-user.md Markdown ファイルを参照してください。

   注記

   update_password: on_create オプションを使用する場合、Ansible はユーザーの作成時にのみユーザーパスワードを作成します。ユーザーがパスワードで作成されている場合、Ansible は新しいパスワードを生成しません。

3. Playbook を実行します。

   $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-IdM-user.yml

手順

1. inventory.file などのインベントリーファイルを作成し、そのファイルに ipaserver を定義します。

   [ipaserver]
   server.idm.example.com

2. IdM に存在するユーザーのデータで Ansible Playbook ファイルを作成します。この手順を単純化するには、/usr/share/doc/ansible-freeipa/playbooks/user/ensure-users-present.yml ファイルのサンプルをコピーして変更できます。たとえば、ユーザー idm_user_1、idm_user_2、および idm_user_3 を作成し、Password123 を idm_user_1 のパスワードとして追加するには、次のコマンドを実行します。

   ---
   - name: Playbook to handle users
     hosts: ipaserver
     become: true
   
     tasks:
     - name: Create user idm_users
       ipauser:
         ipaadmin_password: MySecret123
         users:
         - name: idm_user_1
           first: Alice
           last: Acme
           uid: 10001
           gid: 10011
           phone: "+555123457"
           email: idm_user@acme.com
           passwordexpiration: "2023-01-19 23:59:59"
           password: "Password123"
         - name: idm_user_2
           first: Bob
           last: Acme
           uid: 100011
           gid: 10011
         - name: idm_user_3
           first: Eve
           last: Acme
           uid: 1000111
           gid: 10011

   注記

   update_password: on_create オプションを指定しないと、Ansible は Playbook が実行されるたびにユーザーパスワードを再設定します。最後にプレイブックが実行されてからユーザーがパスワードを変更した場合、Ansibleはパスワードを再設定します。

3. Playbook を実行します。

   $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-users.yml

手順

1. inventory.file などのインベントリーファイルを作成し、そのファイルに ipaserver を定義します。

   [ipaserver]
   server.idm.example.com

2. 必要なタスクで Ansible Playbook ファイルを作成します。確認するユーザーのデータで JSON ファイルを参照します。この手順を単純化するには、/usr/share/doc/ansible-freeipa/ensure-users-present-ymlfile.yml ファイルのサンプルをコピーして変更できます。

   ---
   - name: Ensure users' presence
     hosts: ipaserver
     become: true
   
     tasks:
     - name: Include users.json
       include_vars:
         file: users.json
   
     - name: Users present
       ipauser:
         ipaadmin_password: Secret123
         users: "{{ users }}"

3. users.json ファイルを作成し、IdM ユーザーを追加します。この手順を簡素化するには、/usr/share/doc/ansible-freeipa/playbooks/user/users.json ファイルのサンプルをコピーして変更できます。たとえば、ユーザー idm_user_1、idm_user_2、および idm_user_3 を作成し、Password123 を idm_user_1 のパスワードとして追加するには、次のコマンドを実行します。

   {
     "users": [
      {
       "name": "idm_user_1",
       "first": "Alice",
       "last": "Acme",
       "password": "Password123"
      },
      {
       "name": "idm_user_2",
       "first": "Bob",
       "last": "Acme"
      },
      {
       "name": "idm_user_3",
       "first": "Eve",
       "last": "Acme"
      }
     ]
   }

4. Playbook ファイルとインベントリーファイルを指定して Ansible Playbook を実行します。

   $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-users-present-jsonfile.yml

手順

1. inventory.file などのインベントリーファイルを作成し、そのファイルに ipaserver を定義します。

   [ipaserver]
   server.idm.example.com

2. IdM がないユーザーで Ansible Playbook ファイルを作成します。この手順を単純化するには、/usr/share/doc/ansible-freeipa/playbooks/user/ensure-users-present.yml ファイルのサンプルをコピーして変更できます。たとえば、ユーザー idm_user_1、idm_user_2、および idm_user_3 を削除するには、次のコマンドを実行します。

   ---
   - name: Playbook to handle users
     hosts: ipaserver
     become: true
     gather_facts: false
   
     tasks:
     - name: Delete users idm_user_1, idm_user_2, idm_user_3
       ipauser:
         ipaadmin_password: MySecret123
         users:
         - name: idm_user_1
         - name: idm_user_2
         - name: idm_user_3
         state: absent

3. Playbook ファイルとインベントリーファイルを指定して Ansible Playbook を実行します。

   $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/delete-users.yml

1. 管理者として ipaserver にログインします。

   $ ssh administrator@server.idm.example.com
   Password:
   [admin@server /]$

2. idm_user_1 に関する要求情報

   $ ipa user-show idm_user_1
   ipa: ERROR: idm_user_1: user not found

   idm_user_1 という名前のユーザーは IdM に存在しません。

手順

1. 任意です。ipa group-show コマンドを使用して、削除するメンバーがグループに含まれていることを確認します。

2. ipa group-remove-member コマンドを使用して、ユーザーグループからメンバーを削除します。

   以下のオプションを使用して、削除するメンバーを指定します。

   • --users は、IdM ユーザーを削除します
   • --external は、DOMAIN\user_name または user_name@domain の形式で、IdM ドメイン外に存在するユーザーを削除します
   • --groups は、IdM ユーザーグループを削除します

   たとえば、group_name という名前のグループから、user1、user2、および group1 を削除するには、次のコマンドを実行します。

   $ ipa group-remove-member group_name --users=user1 --users=user2 --groups=group1

手順

1. Identity → Groups の順にクリックし、左のサイドバーで User Groups を選択します。
2. Add をクリックして、グループを追加します。

3. グループの情報を入力します。ユーザーグループタイプの詳細は「IdM のさまざまなグループタイプ」を参照してください。

   グループのカスタム GID を指定できます。これを行う場合は、ID の競合を避けるように注意してください。カスタム GID を指定しない場合、IdM は使用可能な ID 範囲から GID を自動的に割り当てます。

   
4. Add をクリックして確定します。

手順

1. Identity → Groups の順にクリックし、User Groups を選択します。
2. 削除するグループを選択します。
3. 削除 をクリックします。
4. Delete をクリックして確定します。

手順

1. Identity → Groups の順にクリックし、左のサイドバーで User Groups を選択します。
2. グループ名をクリックします。

3. 追加するグループメンバーのタイプ (Users, User Groups, または External) を選択します。

   
4. Add をクリックします。
5. 追加するメンバーの横にあるチェックボックスを 1 つ以上選択します。

6. 右矢印をクリックして、選択したメンバーをグループに移動します。

   
7. Add をクリックして確定します。

手順

1. Identity → Groupsを選択します。
2. 左のサイドバーで User Groups を選択します。
3. 表示するグループの名前をクリックします。

4. 直接メンバーシップ と 間接メンバーシップ を切り替えます。

   

手順

1. Identity → Groups の順にクリックし、左のサイドバーで User Groups を選択します。
2. グループ名をクリックします。

3. 削除するグループメンバーのタイプ (Users, User Groups、または External) を選択します。

   
4. 削除するメンバーの横にあるチェックボックスを選択します。
5. 削除 をクリックします。
6. Delete をクリックして確定します。

手順

1. ipa automember-add コマンドを入力して、automember ルールを追加します。

2. プロンプトが表示されたら、以下を指定します。

   • automember ルール。これはターゲットグループ名です。
   • グループタイプ。これは、ルールがユーザーグループまたはホストグループをターゲットにするかどうかを指定します。ユーザーグループをターゲットにするには、group を入力します。ホストグループをターゲットに設定するには、ホストグループ を入力します。

   たとえば、user_group という名前のユーザーグループの automember ルールを追加するには、以下を実行します。

   $ ipa automember-add
   Automember Rule: user_group
   Grouping Type: group
   --------------------------------
   Added automember rule "user_group"
   --------------------------------
       Automember Rule: user_group

手順

1. ipa automember-add-condition コマンドを使用して、包含または除外の条件を定義します。

2. プロンプトが表示されたら、以下を指定します。

   • automember ルール。これはターゲットルール名です。詳細は、「Automember rules」を参照してください。
   • 属性キー。これは、フィルターが適用される entry 属性を指定します。たとえば、ユーザーの uid です。
   • グループタイプ。これは、ルールがユーザーグループまたはホストグループをターゲットにするかどうかを指定します。ユーザーグループをターゲットにするには、group を入力します。ホストグループをターゲットに設定するには、ホストグループ を入力します。
   • 包含正規表現 および 除外正規表現。正規表現として条件を指定します。ある条件のみを指定する場合は、他の条件が求められたら Enter を押します。

   たとえば、以下の条件は、ユーザーログイン属性 (uid) のすべての値 (.*) を対象にしています。

   $ ipa automember-add-condition
   Automember Rule: user_group
   Attribute Key: uid
   Grouping Type: group
   [Inclusive Regex]: .*
   [Exclusive Regex]:
   ----------------------------------
   Added condition(s) to "user_group"
   ----------------------------------
     Automember Rule: user_group
     Inclusive Regex: uid=.*
   ----------------------------
   Number of conditions added 1
   ----------------------------

   別の例として、automembership ルールを使用して、Active Directory (AD) から同期したすべての Windows ユーザーをターゲットにできます。これを行うには、objectClass 属性で ntUser を持つすべてのユーザーをターゲットにする条件を作成します。これは、すべての AD ユーザーが共有します。

   $ ipa automember-add-condition
   Automember Rule: ad_users
   Attribute Key: objectclass
   Grouping Type: group
   [Inclusive Regex]: ntUser
   [Exclusive Regex]:
   -------------------------------------
   Added condition(s) to "ad_users"
   -------------------------------------
     Automember Rule: ad_users
     Inclusive Regex: objectclass=ntUser
   ----------------------------
   Number of conditions added 1
   ----------------------------

手順

1. ipa automember-find コマンドを入力します。

2. プロンプトが表示されたら、Grouping タイプ を指定します。

   • ユーザーグループをターゲットにするには、group を入力します。

   • ホストグループをターゲットに設定するには、ホストグループ を入力します。

     以下に例を示します。

   $ ipa automember-find
   Grouping Type: group
   ---------------
   1 rules matched
   ---------------
     Automember Rule: user_group
     Inclusive Regex: uid=.*
   ----------------------------
   Number of entries returned 1
   ----------------------------

手順

1. ipa automember-del コマンドを実行します。

2. プロンプトが表示されたら、以下を指定します。

   • automember ルール。これは、削除するルールです。
   • グループルール。これは、削除するルールがユーザーグループまたはホストグループのルールであるかどうかを指定します。group または hostgroup を入力します。

手順

1. ipa automember-remove-condition コマンドを実行します。

2. プロンプトが表示されたら、以下を指定します。

   • automember ルール。これは、条件を削除するルールの名前です。
   • 属性キー。これはターゲットエントリー属性です。たとえば、ユーザーの uid です。
   • グループタイプ。これは、削除する条件がユーザーグループまたはホストグループのどちらであるかを指定します。group または hostgroup を入力します。

   • 包含正規表現 および 除外正規表現。削除する条件を指定します。ある条件のみを指定する場合は、他の条件が求められたら Enter を押します。

     以下に例を示します。

   $ ipa automember-remove-condition
   Automember Rule: user_group
   Attribute Key: uid
   Grouping Type: group
   [Inclusive Regex]: .*
   [Exclusive Regex]:
   -----------------------------------
   Removed condition(s) from "user_group"
   -----------------------------------
     Automember Rule: user_group
   ------------------------------
   Number of conditions removed 1
   ------------------------------

手順

1. ipa automember-default-group-set コマンドを入力して、デフォルトの automember グループを設定します。

2. プロンプトが表示されたら、以下を指定します。

   • ターゲットグループ名を指定する Default (fallback) Group。

   • グルーピングタイプ。ターゲットがユーザーグループか、ホストグループであるかを指定します。ユーザーグループをターゲットにするには、group を入力します。ホストグループをターゲットに設定するには、ホストグループ を入力します。

     以下に例を示します。

     $ ipa automember-default-group-set
     Default (fallback) Group: default_user_group
     Grouping Type: group
     ---------------------------------------------------
     Set default (fallback) group for automember "default_user_group"
     ---------------------------------------------------
       Default (fallback) Group: cn=default_user_group,cn=groups,cn=accounts,dc=example,dc=com

   注記

   現在のデフォルトの automember グループを削除するには、ipa automember-default-group-remove コマンドを実行します。

手順

1. Identity → Automember をクリックして、User group rule または Host group rules を選択します。
2. Add をクリックします。

3. Automember rule フィールドで、ルールを適用するグループを選択します。これはターゲットグループ名です。

   
4. Add をクリックして確定します。
5. 必要に応じて、「IdM Web UI で automember ルールへの条件の追加」で説明されている手順に従って、新しいルールに条件を追加できます。

手順

1. Identity → Automember をクリックして、User group rule または Host group rules を選択します。
2. 条件を追加するルールをクリックします。

3. Inclusive セクションまたは Exclusive セクションで、Add をクリックします。

   
4. Attribute フィールドで、必要な属性 (uid など) を選択します。
5. Expression フィールドに正規表現を定義します。

6. Add をクリックします。

   たとえば、以下の条件は、ユーザー ID (uid) 属性の値 (.*) を持つすべてのユーザーを対象とします。

   

手順

1. Identity → Automember をクリックして、User group rule または Host group rules を選択して、それぞれの automember ルールを表示します。

2. 必要に応じて、ルールをクリックして、Inclusive セクションまたは Exclusive セクションにそのルールの条件を表示します。

   

手順

1. Identity → Automember をクリックして、User group rule または Host group rules を選択して、それぞれの automember ルールを表示します。
2. 削除するルールの横にあるチェックボックスを選択します。

3. 削除 をクリックします。

   
4. Delete をクリックして確定します。

手順

1. Identity → Automember をクリックして、User group rule または Host group rules を選択して、それぞれの automember ルールを表示します。
2. ルールをクリックして、Inclusive セクションまたは Exclusive セクションでそのルールの条件を表示します。
3. 削除する条件の横にあるチェックボックスを選択します。

4. 削除 をクリックします。

   
5. Delete をクリックして確定します。

手順

1. Identity → Automember をクリックして、User group rules を選択します。

2. Default user group フィールドで、デフォルトのユーザーグループとして設定するグループを選択します。

   

手順

1. Identity → Automember をクリックして、Host group rules を選択します。

2. Default host group フィールドで、デフォルトのホストグループとして設定するグループを選択します。

   

手順

1. オプション: ipa selfservice-find コマンドを使用して、既存のセルフサービスルールを表示します。
2. オプション: ipa selfservice-show コマンドを使用して、変更するセルフサービスルールの詳細を表示します。
3. ipa selfservice-mod コマンドを使用してセルフサービスルールを編集します。

手順

1. IPA Server タブで Role-Based Access Control サブメニューを開き、Self Service Permissions を選択します。

2. セルフサービスアクセスルールの一覧の右上にある Add をクリックします。

   

3. Add Self Service Permission ウィンドウが開きます。Self-service name フィールドに新しいセルフサービスルールの名前を入力します。空白を使用できます。

   

4. ユーザーが編集できるようにする属性の横にあるチェックボックスを選択します。

5. 必要に応じて アクセスを提供する属性が一覧にない場合は、その一覧を追加できます。

   1. Add ボタンをクリックします。
   2. 以下の Add Custom Attribute ウィンドウの Attribute テキストフィールドに属性名を入力します。
   3. OK ボタンをクリックして属性を追加します。
   4. 新しい属性が選択されていることを確認します。
6. フォームの下部にある Add ボタンをクリックして、新しいセルフサービスルールを保存します。
   または、Add and Edit ボタンをクリックしてセルフサービスルールを編集するか、Add and Add another ボタンをクリックしてさらにルールを保存および追加できます。

手順

1. IPA Server タブで Role-Based Access Control サブメニューを開き、Self Service Permissions を選択します。

2. 変更するセルフサービスルールの名前をクリックします。

   

3. 編集ページでは、セルフサービスルールに追加または削除する属性の一覧のみを編集できます。適切なチェックボックスを選択または選択解除します。
4. Save ボタンをクリックして、セルフサービスルールへの変更を保存します。

手順

1. IPA Server タブで Role-Based Access Control サブメニューを開き、Self Service Permissions を選択します。

2. 削除するルールの横にあるチェックボックスを選択し、一覧の右側にある Delete ボタンをクリックします。

   

3. ダイアログが開き、Delete をクリックして確認します。

手順

1. IPA Server メニューから、Role-Based Access Control → Delegations をクリックします。

2. Add をクリックします。

   

3. Add delegation ウィンドウで、以下を実行します。

   1. 新しい委譲ルールに名前を付けます。
   2. 指定の属性を表示する権限 (read)、および指定の属性を追加または変更する権限 (write) をユーザーに指定しているかどうかを示すチェックボックスを選択して、パーミッションを変更します。
   3. ユーザーグループドロップダウンメニューで、パーミッションを付与している グループを選択し、メンバーグループのユーザーエントリーを表示または編集します。
   4. Member user group ドロップダウンメニューで、委譲グループのメンバーが エントリーを編集できる グループを選択します。

   5. 属性ボックスで、パーミッションを付与する属性のチェックボックスを選択します。

      
   6. Add ボタンをクリックして、新規委譲ルールを保存します。

手順

1. IPA Server メニューから、Role-Based Access Control → Delegations をクリックします。

   

手順

1. IPA Server メニューから、Role-Based Access Control → Delegations をクリックします。

   
2. 変更するルールをクリックします。

3. 必要な変更を行います。

   • ルールの名前を変更します。
   • 指定の属性を表示する権限 (read)、および指定の属性を追加または変更する権限 (write) をユーザーに指定しているかどうかを示すチェックボックスを選択して、パーミッションを変更します。
   • ユーザーグループドロップダウンメニューで、パーミッションを付与している グループを選択し、メンバーグループのユーザーエントリーを表示または編集します。
   • Member user group ドロップダウンメニューで、委譲グループのメンバーが エントリーを編集できる グループを選択します。

   • 属性ボックスで、パーミッションを付与する属性のチェックボックスを選択します。属性のパーミッションを削除するには、関連するチェックボックスの選択を解除します。

     
   • Save ボタンをクリックして変更を保存します。

手順

1. IPA Server メニューから、Role-Based Access Control → Delegations をクリックします。
2. 削除するルールの横にあるチェックボックスを選択します。

3. 削除 をクリックします。

   
4. Delete をクリックして確定します。

手順

1. ipa permission-add コマンドを使用して、新しいパーミッションエントリーを作成します。
   たとえば、dns admin という名前のパーミッションを追加するには、次のコマンドを実行します。

   $ ipa permission-add "dns admin"

2. 以下のオプションでパーミッションのプロパティーを指定します。
   

   • --bindtype は、バインドルールの種別を指定します。このオプションは、all 引数、anonymous 引数、および permission 引数を受け入れます。permission バインドタイプは、ロール経由でこのパーミッションを付与されたユーザーのみがこれを実行できることを意味します。
     以下に例を示します。

     $ ipa permission-add "dns admin" --bindtype=all

     --bindtype を指定しないと、permission がデフォルト値になります。

     注記

     デフォルト以外のバインドルールタイプを持つパーミッションを権限に追加することはできません。また、デフォルト以外のバインドルールタイプに対する特権にあるパーミッションを設定することはできません。

   • --right は、パーミッションによって付与される権限を一覧表示します。これは、非推奨の --permissions オプションに代わるものです。使用できる値は add、delete、read、search、compare、write、all になります。

     複数の属性を設定するには、複数の --right オプションを使用するか、中括弧内にコンマ区切りリストを使用します。以下に例を示します。

     $ ipa permission-add "dns admin" --right=read --right=write

     $ ipa permission-add "dns admin" --right={read,write}

     注記

     add および delete はエントリーレベルの操作 (ユーザーの削除、グループの追加など) ですが、read、search、compare、write はより属性レベルです (userCertificate に書き込むことはできますが、userPassword を読み込むことはできません)。

   • --attrs は、パーミッションが付与される属性の一覧を提供します。
     複数の属性を設定するには、複数の --attrs オプションを使用するか、オプションを中括弧内にコンマ区切りリストで一覧表示します。以下に例を示します。

     $ ipa permission-add "dns admin" --attrs=description --attrs=automountKey

     $ ipa permission-add "dns admin" --attrs={description,automountKey}

     --attrs で提供される属性が存在し、指定のオブジェクトタイプに許可される属性である必要があります。指定しないと、コマンドがスキーマ構文エラーで失敗します。

   • --type は、ユーザー、ホスト、サービスなどのパーミッションが適用されるエントリーオブジェクトタイプを定義します。各タイプには、許可された属性の独自のセットがあります。
     以下に例を示します。

     $ ipa permission-add "manage service" --right=all --type=service --attrs=krbprincipalkey --attrs=krbprincipalname --attrs=managedby

   • --subtree はサブツリーエントリーを提供します。フィルターはこのサブツリーエントリーの下にあるすべてのエントリーをターゲットにします。既存のサブツリーエントリーを指定します。--subtree はワイルドカードや存在しないドメイン名 (DN) を受け入れません。ディレクトリーに DN を追加します。
     IdM は簡素化されたフラットディレクトリーツリー構造を使用しているため、--subtree を使用して自動マウントの場所 (他の設定のコンテナーまたは親エントリー) などの一部のエントリーをターゲットにすることができます。以下に例を示します。

     $ ipa permission-add "manage automount locations" --subtree="ldap://ldap.example.com:389/cn=automount,dc=example,dc=com" --right=write --attrs=automountmapname --attrs=automountkey --attrs=automountInformation

     注記

     --type オプションおよび --subtree オプションは相互に排他的です。--subtree の簡素化として --type のフィルターを組み込むことができます (これにより、管理者の作業が簡単になります)。

   • --filter は LDAP フィルターを使用して、パーミッションが適用されるエントリーを特定します。
     IdM は、指定のフィルターの有効性を自動的に確認します。このフィルターには、有効な LDAP フィルターを使用できます。以下に例を示します。

     $ ipa permission-add "manage Windows groups" --filter="(!(objectclass=posixgroup))" --right=write --attrs=description

   • --memberof は、グループが存在することを確認した後に、指定したグループのメンバーにターゲットフィルターを設定します。たとえば、このパーミッションを持つユーザーを許可するには、エンジニアグループのメンバーのログインシェルを変更します。

     $ ipa permission-add ManageShell --right="write" --type=user --attr=loginshell --memberof=engineers

   • --targetgroup は、グループが存在することを確認した後に、ターゲットを指定されたユーザーグループに設定します。たとえば、パーミッションを持つものに、(メンバーを追加または削除できるように) エンジニアグループに member 属性を書き込むには、次のコマンドを実行します。

     $ ipa permission-add ManageMembers --right="write" --subtree=cn=groups,cn=accounts,dc=example,dc=test --attr=member --targetgroup=engineers

   • 必要に応じて、ターゲットドメイン名 (DN) を指定できます。
     

     • --target は、パーミッションを適用する DN を指定します。ワイルドカードが許可されます。
     • --targetto は、エントリーを移動できる DN サブツリーを指定します。
     • --targetfrom は、エントリーを移動できる DN サブツリーを指定します。

手順

1. ipa privilege-add コマンドを使用して、権限エントリーを追加します。
   たとえば、説明付きの managing filesystems という名前を追加するには、次のコマンドを実行します。

   $ ipa privilege-add "managing filesystems" --desc="for filesystems"

2. privilege-add-permission コマンドを使用して必要なパーミッションを特権グループに割り当てます。
   たとえば、パーミッション managing automount および managing ftp services を、managing filesystems 権限に追加するには、次のコマンドを実行します。

   $ ipa privilege-add-permission "managing filesystems" --permissions="managing automount" --permissions="managing ftp services"

手順

1. ipa role-add コマンドを使用して、新規ロールエントリーを追加します。

   $ ipa role-add --desc="User Administrator" useradmin
   ------------------------
   Added role "useradmin"
   ------------------------
   Role name: useradmin
   Description: User Administrator

2. ipa role-add-privilege コマンドを使用して、必要な権限をロールに追加します。

   $ ipa role-add-privilege --privileges="user administrators" useradmin
   Role name: useradmin
   Description: User Administrator
   Privileges: user administrators
   ----------------------------
   Number of privileges added 1
   ----------------------------

3. ipa role-add-member コマンドを使用して、必要なメンバーをロールに追加します。許可されるメンバータイプ: ユーザー、グループ、ホスト、およびホストグループ。
   たとえば、useradmins という名前のグループを、以前に作成した useradmin ロールに追加するには、次のコマンドを実行します。

   $ ipa role-add-member --groups=useradmins useradmin
   Role name: useradmin
   Description: User Administrator
   Member groups: useradmins
   Privileges: user administrators
   -------------------------
   Number of members added 1
   -------------------------

手順

1. 新しいパーミッションを追加するには、IPA Server タブで ロールベースのアクセス制御 サブメニューを開き、パーミッション を選択します。

   

2. パーミッションの一覧が開きます。パーミッションの一覧の上部にある Add ボタンをクリックします。

   

3. Add Permission フォームが開きます。新しいパーミッションの名前を指定し、そのプロパティーを適宜定義します。

   

4. 適切なバインドルールタイプを選択します。

   • permission はデフォルトのパーミッションタイプで、権限およびロール経由でアクセスを付与します。
   • all は、パーミッションをすべての認証ユーザーに適用することを指定します。

   • anonymous は、認証されていないユーザーを含む、パーミッションがすべてのユーザーに適用されることを指定します。

     注記

     デフォルト以外のバインドルールタイプを持つパーミッションを権限に追加することはできません。また、デフォルト以外のバインドルールタイプに対する特権にあるパーミッションを設定することはできません。

5. 権限が付与されている権限で、このパーミッションで 付与する権限 を選択します。

6. パーミッションのターゲットエントリーを識別する方法を定義します。

   • タイプ は、ユーザー、ホスト、またはサービスなどのエントリータイプを指定します。Type 設定の値を選択すると、そのエントリータイプのこの ACI からアクセス可能なすべての属性の一覧が Effective 属性 に表示されます。Type を定義すると、Subtree および Target DN が事前定義された値のいずれかに設定されます。
   • Subtree (必須) はサブツリーエントリーを指定します。このサブツリーエントリーの下にあるすべてのエントリーがターゲットになります。Subtree はワイルドカードや存在しないドメイン名 (DN) を許可しないため、既存のサブツリーエントリーを指定します。例: cn=automount,dc=example,dc=com
   • 追加のターゲットフィルター は LDAP フィルターを使用して、パーミッションが適用されるエントリーを特定します。フィルターには任意の有効な LDAP フィルターを使用できます (たとえば、(!(objectclass=posixgroup))
     ) IdM は指定のフィルターの有効性を自動的にチェックします。無効なフィルターを入力すると、パーミッションを保存しようとすると、IdM はこれについて警告します。
   • ターゲット DN はドメイン名 (DN) を指定し、ワイルドカードを受け入れます。例: uid=*,cn=users,cn=accounts,dc=com
   • グループのメンバー は、指定したグループのメンバーにターゲットフィルターを設定します。フィルター設定を指定し、追加 をクリックすると、IdM がフィルターを検証します。すべてのパーミッション設定が正しい場合は、IdM が検索を実行します。パーミッション設定の一部が正しくない場合、IdM は、どの設定が正しく設定されているかを示すメッセージが表示されます。

7. パーミッションに属性を追加します。

   • Type を設定する場合は、利用可能な ACI 属性の一覧から 有効な属性 を選択します。

   • Type を使用しない場合は、有効な属性 フィールドに属性を手動で書き込みます。一度に 1 つの属性を追加します。複数の属性を追加するには、Add をクリックして別の入力フィールドを追加します。

     重要

     パーミッションの属性を設定しないと、パーミッションはデフォルトですべての属性が含まれます。

8. フォーム下部の Add ボタンでパーミッションの追加を終了します。

   • 追加 ボタンをクリックしてパーミッションを保存し、パーミッションの一覧に戻ります。
   • パーミッションを保存し、Add and Add another ボタンをクリックして、同じフォームに追加パーミッションを継続できます。
   • Add and Edit ボタンを使用すると、新たに作成されたパーミッションを保存して編集を継続できます。
9. 任意です。また、パーミッションの一覧から名前をクリックして、パーミッション権限 ページを表示することで、既存のパーミッションのプロパティーを編集することもできます。

10. 任意です。既存のパーミッションを削除する必要がある場合は、一覧で名前の横にあるチェックボックスにチェックマークを入れて、削除 ボタンをクリックして、パーミッションの削除 ダイアログを表示します。

    注記

    デフォルトの管理パーミッションに対する操作は制限されています。変更できない属性は IdM Web UI で無効になり、管理パーミッションを完全に削除することはできません。
    管理されているパーミッションを削除することはできませんが、そのバインドタイプをパーミッションに設定し、すべての権限から管理パーミッションを削除すると、そのパーミッションを効果的に無効にできます。

手順

1. 新しい権限を追加するには、IPA Server タブで ロールベースのアクセス制御 サブメニューを開き、特権 を選択します。

   

2. 特権の一覧が開きます。特権一覧の上部にある Add ボタンをクリックします。

   

3. Add Privilege フォームが開きます。特権の名前と説明を入力します。

   

4. 新しい特権を保存し、権限設定ページに移動し、パーミッションを追加するには、Add and Edit ボタンをクリックします。
5. 特権一覧の権限名をクリックして、特権のプロパティーを編集します。特権設定ページが開きます。

6. Permissions タブには、選択した権限に含まれるパーミッションの一覧が表示されます。一覧上部の Add ボタンをクリックして、権限を特権に追加します。

   

7. 追加する各パーミッションの名前の横にあるチェックボックスにチェックマークを入れ、> ボタンを使用してパーミッションを Prospective 列に移動します。

   

8. Add ボタンをクリックして確定します。
9. 任意です。パーミッションを削除する必要がある場合は、関連するパーミッションの横にあるチェックボックス (パーミッションからの権限の削除ダイアログ) を表示したら、削除 ボタンをクリックします。
10. 任意です。既存の特権を削除する必要がある場合は、一覧で名前の横にあるチェックボックス (Remove privileges ダイアログが開きます) の横にあるチェックボックスを閉じたら、Delete ボタンをクリックします。

手順

1. 新規ロールを追加するには、IPA Server タブの Role-Based Access Control サブメニューを開き、Roles を選択します。

   

2. ロールの一覧が開きます。ロールベースのアクセス制御手順のリストの上部にある Add ボタンをクリックします。

   

3. Add Role フォームが開きます。ロール名と説明を入力します。

   

4. Add and Edit ボタンをクリックして新規ロールを保存し、ロール設定ページに移動し、権限およびユーザーを追加します。
5. ロール一覧のロール名をクリックして、ロールのプロパティーを編集します。ロール設定ページが開きます。

6. 関連するリストの上部にある Add ボタンをクリックして、Users、Users Groups、Hosts、Host Groups、または Services タブを使用してメンバーを追加します。

   

7. 開いているウィンドウで、左側のメンバーを選択し、> ボタンを使用してそれらを Prospective 列に移動します。

   

8. Privileges タブの上部にある Add をクリックします。

   

9. 左側の権限を選択し、> ボタンを使用してそれらを Prospective 列に移動します。

   

10. Add ボタンをクリックして保存します。
11. 任意です。ロールから特権またはメンバーを削除する必要がある場合は、削除するエンティティーの名前の横にあるチェックボックスにチェックマークを入れてから Delete ボタンをクリックします。ダイアログが開きます。
12. 任意です。既存のロールを削除する必要がある場合は、一覧で名前の横にあるチェックボックスを編集した後に Delete ボタンをクリックすると、Remove roles ダイアログが表示します。

手順

1. 新しい ID ビューを作成します。たとえば、example_for_host1 という名前の ID ビューを作成するには、次のコマンドを実行します。

   $ ipa idview-add example_for_host1
   ---------------------------
   Added ID View "example_for_host1"
   ---------------------------
     ID View Name: example_for_host1

2. ユーザーオーバーライドを example_for_host1 ID ビューに追加します。ユーザーログインを上書きするには、以下を実行します。

   • ipa idoverrideuser-add コマンドを入力します。
   • ID ビューの名前を追加します。
   • ユーザー名 (アンカーとも呼ばれます) を追加します。

   • --login オプションを追加します。

     $ ipa idoverrideuser-add example_for_host1 idm_user --login=user_1234
     -----------------------------
     Added User ID override "idm_user"
     -----------------------------
       Anchor to override: idm_user
       User login: user_1234

     利用可能なオプションの一覧は、ipa idoverrideuser-add --help を実行します。

     注記

     ipa idoverrideuser-add --certificate コマンドは、指定された ID ビューのアカウントの既存証明書をすべて置き換えます。追加の証明書を追加するには、代わりに ipa idoverrideuser-add-cert コマンドを使用します。

     $ ipa idoverrideuser-add-cert example_for_host1 user --certificate="MIIEATCC..."

3. 必要に応じて、ipa idoverrideuser-mod コマンドを使用すると、既存のユーザーのオーバーライドに新しい属性値を指定できます。

4. example_for_host1 を host1.idm.example.com ホストに適用します。

   $ ipa idview-apply example_for_host1 --hosts=host1.idm.example.com
   -----------------------------
   Applied ID View "example_for_host1"
   -----------------------------
   hosts: host1.idm.example.com
   ---------------------------------------------
   Number of hosts the ID View was applied to: 1
   ---------------------------------------------

   注記

   ipa idview-apply コマンドでは、--hostgroups オプションも使用できます。このオプションは、ID ビューを、指定したホストグループに属するホストに適用しますが、ID ビューをホストグループ自体と関連付けません。代わりに、--hostgroups オプションは指定されたホストグループのメンバーを拡張して、--hosts オプションを個別に適用します。

   つまり、ホストが今後ホストグループに追加されると、ID ビューは新しいホストには適用されません。

5. 新しい設定を host1.idm.example.com システムに適用するには、次のコマンドを実行します。

   1. root でシステムに対して SSH 接続します。

      $ ssh root@host1
      Password:

   2. SSSD キャッシュを削除します。

      root@host1 ~]# sss_cache -E

   3. SSSD デーモンを再起動します。

   root@host1 ~]# systemctl restart sssd

手順

1. root で、idm_user がユーザーのホームディレクトリーとして host1.idm.example.com で使用するディレクトリーを作成します。

   [root@host1 /]# mkdir /home/user_1234/

2. ディレクトリーの所有権を変更します。

   [root@host1 /]# chown idm_user:idm_user /home/user_1234/

3. ID ビューが現在適用されているホストを含め、ID ビューを表示します。example_for_host1 という名前の ID ビューを表示するには、次のコマンドを実行します。

   $ ipa idview-show example_for_host1 --all
     dn: cn=example_for_host1,cn=views,cn=accounts,dc=idm,dc=example,dc=com
     ID View Name: example_for_host1
     User object override: idm_user
     Hosts the view applies to: host1.idm.example.com
     objectclass: ipaIDView, top, nsContainer

   この出力は、現在 ID ビューが host1.idm.example.com に適用されることを示しています。

4. example_for_host1 ID ビューのユーザーの上書きを変更します。ユーザーのホームディレクトリーを上書きするには、次のコマンドを実行します。

   • ipa idoverrideuser-add コマンドを入力します。
   • ID ビューの名前を追加します。
   • ユーザー名 (アンカーとも呼ばれます) を追加します。

   • --homedir オプションを追加します。

     $ ipa idoverrideuser-mod example_for_host1 idm_user --homedir=/home/user_1234
     -----------------------------
     Modified an User ID override "idm_user"
     -----------------------------
       Anchor to override: idm_user
       User login: user_1234
       Home directory: /home/user_1234/

   利用可能なオプションの一覧は、ipa idoverrideuser-mod --help を実行します。

5. 新しい設定を host1.idm.example.com システムに適用するには、次のコマンドを実行します。

   1. root でシステムに対して SSH 接続します。

      $ ssh root@host1
      Password:

   2. SSSD キャッシュを削除します。

      root@host1 ~]# sss_cache -E

   3. SSSD デーモンを再起動します。

   root@host1 ~]# systemctl restart sssd

検証手順

1. idm_user として host1 へのSSH:

   [root@r8server ~]# ssh idm_user@host1.idm.example.com
   Password:
   
   Last login: Sun Jun 21 22:34:25 2020 from 192.168.122.229
   [user_1234@host1 ~]$

2. 作業ディレクトリーを出力します。

   [user_1234@host1 ~]$ pwd
   /home/user_1234/

手順

1. root で、idm_user がユーザーのホームディレクトリーとして host1.idm.example.com で使用するディレクトリーを作成します。

   [root@host1 /]# mkdir /home/user_1234/

2. ディレクトリーの所有権を変更します。

   [root@host1 /]# chown idm_user:idm_user /home/user_1234/

3. ID ビューを作成します。たとえば、example_for_host1 という名前の ID ビューを作成するには、次のコマンドを実行します。

   $ ipa idview-add example_for_host1
   ---------------------------
   Added ID View "example_for_host1"
   ---------------------------
     ID View Name: example_for_host1

4. ユーザーオーバーライドを example_for_host1 ID ビューに追加します。ユーザーのホームディレクトリーを上書きするには、次のコマンドを実行します。

   • ipa idoverrideuser-add コマンドを入力します。
   • ID ビューの名前を追加します。
   • ユーザー名 (アンカーとも呼ばれます) を追加します。
   • --homedir オプションを追加します。

   $ ipa idoverrideuser-add example_for_host1 idm_user --homedir=/home/user_1234
   -----------------------------
   Added User ID override "idm_user"
   -----------------------------
     Anchor to override: idm_user
     Home directory: /home/user_1234/

5. example_for_host1 を host1.idm.example.com ホストに適用します。

   $ ipa idview-apply example_for_host1 --hosts=host1.idm.example.com
   -----------------------------
   Applied ID View "example_for_host1"
   -----------------------------
   hosts: host1.idm.example.com
   ---------------------------------------------
   Number of hosts the ID View was applied to: 1
   ---------------------------------------------

   注記

   ipa idview-apply コマンドでは、--hostgroups オプションも使用できます。このオプションは、ID ビューを、指定したホストグループに属するホストに適用しますが、ID ビューをホストグループ自体と関連付けません。代わりに、--hostgroups オプションは指定されたホストグループのメンバーを拡張して、--hosts オプションを個別に適用します。

   つまり、ホストが今後ホストグループに追加されると、ID ビューは新しいホストには適用されません。

6. 新しい設定を host1.idm.example.com システムに適用するには、次のコマンドを実行します。

   1. root でシステムに対して SSH 接続します。

      $ ssh root@host1
      Password:

   2. SSSD キャッシュを削除します。

      root@host1 ~]# sss_cache -E

   3. SSSD デーモンを再起動します。

   root@host1 ~]# systemctl restart sssd

検証手順

1. idm_user として host1 へのSSH:

   [root@r8server ~]# ssh idm_user@host1.idm.example.com
   Password:
   Activate the web console with: systemctl enable --now cockpit.socket
   
   Last login: Sun Jun 21 22:34:25 2020 from 192.168.122.229
   [idm_user@host1 /]$

2. 作業ディレクトリーを出力します。

   [idm_user@host1 /]$ pwd
   /home/user_1234/

1. ホストグループを作成し、そのホストに追加する方法。
2. ID ビューをホストグループに適用する方法。
3. ホストグループに新規ホストを追加し、ID ビューを新しいホストに適用する方法。

手順

1. ホストグループを作成し、そのホストを追加します。

   1. ホストグループを作成します。たとえば、baltimore という名前のホストグループを作成するには、次のコマンドを実行します。

      [root@master ~]# ipa hostgroup-add --desc="Baltimore hosts" baltimore
      ---------------------------
      Added hostgroup "baltimore"
      ---------------------------
      Host-group: baltimore
      Description: Baltimore hosts

   2. ホストグループにホストを追加します。たとえば、host102 および host103 を baltimore ホストグループに追加するには、次のコマンドを実行します。

      [root@master ~]# ipa hostgroup-add-member --hosts={host102,host103} baltimore
      Host-group: baltimore
      Description: Baltimore hosts
      Member hosts: host102.idm.example.com, host103.idm.example.com
      -------------------------
      Number of members added 2
      -------------------------

2. ホストグループのホストに ID ビューを適用します。たとえば、example_for_host1 ID ビューを ‍baltimore ホストグループに適用するには、次のコマンドを実行します。

   [root@master ~]# ipa idview-apply --hostgroups=baltimore
   ID View Name: example_for_host1
   -----------------------------------------
   Applied ID View "example_for_host1"
   -----------------------------------------
     hosts: host102.idm.example.com, host103.idm.example.com
   ---------------------------------------------
   Number of hosts the ID View was applied to: 2
   ---------------------------------------------

3. ホストグループに新規ホストを追加し、ID ビューを新しいホストに適用します。

   1. ホストグループに新規ホストを追加します。たとえば、somehost.idm.example.com ホストを baltimore ホストグループに追加するには、次のコマンドを実行します。

      [root@master ~]# ipa hostgroup-add-member --hosts=somehost.idm.example.com baltimore
        Host-group: baltimore
        Description: Baltimore hosts
        Member hosts:  host102.idm.example.com, host103.idm.example.com,somehost.idm.example.com
      -------------------------
      Number of members added 1
      -------------------------

   2. 必要に応じて、ID ビュー情報を表示します。たとえば、example_for_host1 ID ビューの詳細を表示するには、次のコマンドを実行します。

      [root@master ~]# ipa idview-show example_for_host1 --all
        dn: cn=example_for_host1,cn=views,cn=accounts,dc=idm,dc=example,dc=com
        ID View Name: example_for_host1
      [...]
        Hosts the view applies to: host102.idm.example.com, host103.idm.example.com
        objectclass: ipaIDView, top, nsContainer

      この出力は、ID ビューが baltimore ホストグループ内の新たに追加されたホスト somehost.idm.example.com に適用されていないことを示しています。

   3. ID ビューを新規ホストに適用します。たとえば、ID ビュー example_for_host1 を somehost.idm.example.com に適用するには、次のコマンドを実行します。

      [root@master ~]# ipa idview-apply --host=somehost.idm.example.com
      ID View Name: example_for_host1
      -----------------------------------------
      Applied ID View "example_for_host1"
      -----------------------------------------
        hosts: somehost.idm.example.com
      ---------------------------------------------
      Number of hosts the ID View was applied to: 1
      ---------------------------------------------

手順

1. IdM 管理者としてログインします。

   $ kinit admin

2. stage ユーザーを追加する権限を持つ provisionator という名前のユーザーを作成します。

   1. provisionator ユーザーアカウントを追加します。

   $ ipa user-add provisionator --first=provisioning --last=account --password

   1. provisionator ユーザーに必要な権限を割り当てます。

      1. stage ユーザーの追加を管理する System Provisioning というカスタムロールを作成します。

         $ ipa role-add --desc "Responsible for provisioning stage users" "System Provisioning"

      2. Stage User Provisioning の権限をロールに追加します。この権限により、stage ユーザーを追加することができます。

         $ ipa role-add-privilege "System Provisioning" --privileges="Stage User Provisioning"

      3. provisionator ユーザーをロールに追加します。

         $ ipa role-add-member --users=provisionator "System Provisioning"

      4. provisionator が IdM に存在することを確認します。

      $ ipa user-find provisionator --all --raw
      --------------
      1 user matched
      --------------
        dn: uid=provisionator,cn=users,cn=accounts,dc=idm,dc=example,dc=com
        uid: provisionator
        [...]

3. ユーザーアカウントを管理する権限を持つ activator ユーザーを作成します。

   1. activator ユーザーアカウントを追加します。

      $ ipa user-add activator --first=activation --last=account --password

   2. デフォルトの User Administrator ロールにユーザーを追加して、activator ユーザーに必要な権限を付与します。

      $ ipa role-add-member --users=activator "User Administrator"

4. アプリケーションアカウントのユーザーグループを作成します。

   $ ipa group-add application-accounts

5. グループのパスワードポリシーを更新します。以下のポリシーは、アカウントのパスワードの有効期限やロックアウトを防ぎますが、複雑なパスワードを必要とすることでリスクの可能性を低減します。

   $ ipa pwpolicy-add application-accounts --maxlife=10000 --minlife=0 --history=0 --minclasses=4 --minlength=8 --priority=1 --maxfail=0 --failinterval=1 --lockouttime=0

6. (必要に応じて) パスワードポリシーが IdM に存在することを確認します。

   $ ipa pwpolicy-show application-accounts
     Group: application-accounts
     Max lifetime (days): 10000
     Min lifetime (hours): 0
     History size: 0
   [...]

7. アプリケーションアカウントのグループにプロビジョニングアカウントおよびアクティベーションアカウントを追加します。

   $ ipa group-add-member application-accounts --users={provisionator,activator}

8. ユーザーアカウントのパスワードを変更します。

   $ kpasswd provisionator
   $ kpasswd activator

   新しい IdM ユーザーのパスワードはすぐに失効するため、パスワードの変更が必要になります。

手順

1. アカウントのアクティベーション用に keytab ファイルを生成します。

   # ipa-getkeytab -s server.idm.example.com -p "activator" -k /etc/krb5.ipa-activation.keytab

   複数の IdM サーバーでアクティベーションプロセスを有効にする場合は、1 つのサーバーで keytab ファイルのみを生成します。次に、キータブファイルを他のサーバーにコピーします。

2. 以下の内容を含む /usr/local/sbin/ipa-activate-all スクリプトを作成して全ユーザーをアクティベートします。

   #!/bin/bash
   
   kinit -k -i activator
   
   ipa stageuser-find --all --raw | grep "  uid:" | cut -d ":" -f 2 | while read uid; do ipa stageuser-activate ${uid}; done

3. ipa-activate-all スクリプトのパーミッションおよび所有権を編集して、実行可能なファイルに変更します。

   # chmod 755 /usr/local/sbin/ipa-activate-all
   # chown root:root /usr/local/sbin/ipa-activate-all

4. systemd ユニットファイル /etc/systemd/system/ipa-activate-all.service を作成して、以下の内容を追加します。

   [Unit]
   Description=Scan IdM every minute for any stage users that must be activated
   
   [Service]
   Environment=KRB5_CLIENT_KTNAME=/etc/krb5.ipa-activation.keytab
   Environment=KRB5CCNAME=FILE:/tmp/krb5cc_ipa-activate-all
   ExecStart=/usr/local/sbin/ipa-activate-all

5. systemd タイマー /etc/systemd/system/ipa-activate-all.timer を作成して、以下の内容を追加します。

   [Unit]
   Description=Scan IdM every minute for any stage users that must be activated
   
   [Timer]
   OnBootSec=15min
   OnUnitActiveSec=1min
   
   [Install]
   WantedBy=multi-user.target

6. 新しい設定を再読み込みします。

   # systemctl daemon-reload

7. ipa-activate-all.timer を有効にします。

   # systemctl enable ipa-activate-all.timer

8. ipa-activate-all.timer を起動します。

   # systemctl start ipa-activate-all.timer

9. (必要に応じて) ipa-activate-all.timer デーモンが実行していることを確認します。

   # systemctl status ipa-activate-all.timer
   ● ipa-activate-all.timer - Scan IdM every minute for any stage users that must be activated
      Loaded: loaded (/etc/systemd/system/ipa-activate-all.timer; enabled; vendor preset: disabled)
      Active: active (waiting) since Wed 2020-06-10 16:34:55 CEST; 15s ago
     Trigger: Wed 2020-06-10 16:35:55 CEST; 44s left
   
   Jun 10 16:34:55 server.idm.example.com systemd[1]: Started Scan IdM every minute for any stage users that must be activated.

手順

1. 外部サーバーで、新規ユーザーに関する情報が含まれる LDIF ファイルを作成します。

   dn: uid=stageidmuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
   changetype: add
   objectClass: top
   objectClass: inetorgperson
   uid: stageidmuser
   sn: surname
   givenName: first_name
   cn: full_name

2. 外部サーバーから IdM サーバーへの LDIF ファイルを転送します。

   $ scp add-stageidmuser.ldif provisionator@server.idm.example.com:/provisionator/
   Password:
   add-stageidmuser.ldif                                                                                          100%  364   217.6KB/s   00:00

3. SSH プロトコルを使用して、provisionator として IdM サーバーに接続します。

   $ ssh provisionator@server.idm.example.com
   Password:
   [provisionator@server ~]$

4. IdM サーバーで、provisionator アカウントの Kerberos チケット保証チケット (TGT) を取得します。

   [provisionator@server ~]$ kinit provisionator

5. -f オプションと LDIF ファイルの名前を指定して ldapadd コマンドを入力します。IdM サーバー名とポート番号を指定します。

   ~]$ ldapadd -h server.idm.example.com -p 389 -f  add-stageidmuser.ldif
   SASL/GSSAPI authentication started
   SASL username: provisionator@IDM.EXAMPLE.COM
   SASL SSF: 256
   SASL data security layer installed.
   adding the entry "uid=stageidmuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com"

手順

1. IdM の ID および認証情報を使用して、SSH プロトコルを使用して IdM サーバーに接続します。

   $ ssh provisionator@server.idm.example.com
   Password:
   [provisionator@server ~]$

2. 新規 stage ユーザーを追加するロールを持つ IdM ユーザーである provisionator アカウントの TGT を取得します。

   $ kinit provisionator

3. ldapmodify コマンドを入力し、Generic Security Services API (GSSAPI) を認証に使用する Simple Authentication and Security Layer (SASL) メカニズムとして指定します。IdM サーバーとポート名を指定します。

   # ldapmodify -h server.idm.example.com -p 389 -Y GSSAPI
   SASL/GSSAPI authentication started
   SASL username: provisionator@IDM.EXAMPLE.COM
   SASL SSF: 56
   SASL data security layer installed.

4. 追加するユーザーの dn を入力します。

   dn: uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com

5. 実行している変更のタイプとして add を入力します。

   changetype: add

6. ユーザーのライフサイクルの正しい処理を許可するのに必要な LDAP オブジェクトクラスのカテゴリーを指定します。

   objectClass: top
   objectClass: inetorgperson

   追加のオブジェクトクラスを指定できます。

7. ユーザーの uid を入力します。

   uid: stageuser

8. ユーザーの cn を入力します。

   cn: Babs Jensen

9. ユーザーの名字を入力します。

   sn: Jensen

10. Enter を再度押して、これがエントリーの最後であることを確認します。

    [Enter]
    
    adding new entry "uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com"

11. Ctrl + C を使用して接続を終了します。

手順

1. ユーザーを保存するロールを持つ IdM ユーザーとしてログインします。

   $ kinit admin

2. ldapmodify コマンドを入力し、Generic Security Services API (GSSAPI) を認証に使用する Simple Authentication and Security Layer (SASL) メカニズムとして指定します。

   # ldapmodify -Y GSSAPI
   SASL/GSSAPI authentication started
   SASL username: admin@IDM.EXAMPLE.COM
   SASL SSF: 256
   SASL data security layer installed.

3. 保存するユーザーの dn を入力します。

   dn: uid=user1,cn=users,cn=accounts,dc=idm,dc=example,dc=com

4. 実行する変更のタイプとして modrdn を入力します。

   changetype: modrdn

5. ユーザーの newrdn を指定します。

   newrdn: uid=user1

6. ユーザーを保存することを示します。

   deleteoldrdn: 0

7. 新しい上位 DN を指定します。

   newsuperior: cn=deleted users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com

   ユーザーを保存すると、そのエントリーをディレクトリー情報ツリー (DIT) 内の新しい場所に移動します。このため、新しい親エントリーの DN を新しい上位 DN として指定する必要があります。

8. Enter を再度押して、これがエントリーの最後であることを確認します。

   [Enter]
   
   modifying rdn of entry "uid=user1,cn=users,cn=accounts,dc=idm,dc=example,dc=com"

9. Ctrl + C を使用して接続を終了します。