Red Hat Training

A Red Hat training course is available for RHEL 8

87.2. IdM を管理する AD ユーザーを有効にする ID オーバーライドの使用

AD ユーザーの ID オーバーライドを作成して使用し、そのユーザーに IdM ユーザーと同じ権限を付与するには、次の手順に従います。この手順は、信頼コントローラーまたは信頼エージェントとして設定した IdM サーバーで行います。

前提条件

  • Identity Management (IdM) サーバーで idm:DL1 ストリームが有効になっていて、このストリームで配信される RPM に切り替えている。

    # yum module enable idm:DL1
    # yum distro-sync
  • idm:DL1/adtrust プロファイルが IdM サーバーにインストールされている。

    # yum module install idm:DL1/adtrust

    プロファイルには、Active Directory (AD) との信頼関係を持つ IdM サーバーのインストールに必要なすべてのパッケージが含まれています。

  • 作業用の IdM 環境が設定されている。詳細は、Identity Management のインストール を参照してください。
  • IdM 環境と AD との間の信頼関係が設定されて動作している。

手順

  1. IdM 管理者として、Default Trust View で AD ユーザーの ID オーバーライドを作成します。たとえば、ユーザー ad_user@ad.example.com の ID オーバーライドを作成するには、次のコマンドを実行します。

    # kinit admin
    # ipa idoverrideuser-add 'default trust view' ad_user@ad.example.com
  2. Default Trust View から IdM グループのメンバーとして ID オーバーライドを追加します。これは、Active Directory と対話するため、POSIX 以外のグループである必要があります。

    対象のグループが IdM ロールのメンバーである場合、ID オーバーライドによって表される AD ユーザーは、IdM API (コマンドラインインターフェイス、IdM の Web UI など) の使用時に、ロールにより付与されたすべての権限を取得します。

    たとえば、ad_user@ad.example.com ユーザーの ID オーバーライドを IdM admins グループに追加するには、次のコマンドを実行します。

    # ipa group-add-member admins --idoverrideusers=ad_user@ad.example.com
  3. または、User Administrator ロールなどのロールに ID オーバーライドを追加することもできます。

    # ipa role-add-member 'User Administrator' --idoverrideusers=ad_user@ad.example.com