第37章 Active Directory ユーザーの ID ビューの使用
IdM-AD 信頼環境において、Active Directory (AD) ユーザーの POSIX 属性に新しい値を指定するために、ID ビューを使用することができます。
デフォルトでは、IdM はすべての AD ユーザーにデフォルト信頼ビュー を適用します。個々の IdM クライアントで追加の ID ビューを設定することで、特定のユーザーが受け取る POSIX 属性をさらに調整することができます。
37.1. デフォルト信頼ビューの仕組み
デフォルト信頼ビュー、信頼ベースのセットアップで AD ユーザーとグループに常に適用されるデフォルトの ID ビューです。これは、ipa-adtrust-install コマンドを使用して信頼を確立する際に自動的に作成され、削除することはできません。
デフォルト信頼ビューは AD ユーザーおよびグループのオーバーライドのみを受け入れ、IdM ユーザーおよびグループのオーバーライドは受け入れません。
Default Trust View を使用すると、AD ユーザーおよびグループのカスタム POSIX 属性を定義できます。これにより、AD で定義された値を上書きできます。
表37.1 デフォルト信頼ビューの適用
| AD の値 | デフォルトの信頼ビュー | 結果 | |
|---|---|---|---|
| Login | ad_user | ad_user | ad_user |
| UID | 111 | 222 | 222 |
| GID | 111 | (値なし) | 111 |
追加の ID ビューを設定して、IdM クライアントのデフォルト信頼ビューをオーバーライドすることもできます。IdM は、デフォルト信頼ビューの上に、ホスト固有の ID ビューからの値を適用します。
- ホスト固有の ID ビューに属性が定義されている場合、IdM はこの ID ビューの値を適用します。
- ホスト固有の ID ビューで属性が定義されていない場合、IdM はデフォルト信頼ビューからの値を適用します。
表37.2 デフォルト信頼ビューの上にホスト固有の ID ビューを適用する
| AD の値 | デフォルトの信頼ビュー | ホスト固有の ID ビュー | 結果 | |
|---|---|---|---|---|
| Login | ad_user | ad_user | (値なし) | ad_user |
| UID | 111 | 222 | 333 | 333 |
| GID | 111 | (値なし) | 333 | 333 |
ホスト固有の ID ビューのみを適用して、IdM クライアントのデフォルト信頼ビューをオーバーライドできます。IdM サーバーとレプリカは、常にデフォルト信頼ビューの値を適用します。
