15.7. コマンドラインからのユーザー管理タスク

内部ドメイン上のユーザーアカウントを管理するには、ovirt-aaa-jdbc-tool ツールを使用することができます。このツールを使用して変更を加えると、その内容は直ちに有効になり、ovirt-engine サービスを再起動する必要はありません。ユーザーオプションの全リストは、ovirt-aaa-jdbc-tool user --help コマンドを実行すると確認できます。本セクションには、一般的な例を記載します。

重要

Manager マシンにログインしている必要があります。

15.7.1. 新規ユーザーの作成

新規ユーザーアカウントを作成することができます。オプションの --attribute コマンドを使用してアカウントの詳細を指定します。オプションの全リストは、ovirt-aaa-jdbc-tool user add --help のコマンドを実行すると表示されます。

# ovirt-aaa-jdbc-tool user add test1 --attribute=firstName=John --attribute=lastName=Doe
adding user test1...
user added successfully

新規作成したユーザーを管理ポータルに追加し、そのユーザーに適切なロールとパーミッションを割り当てることができます。詳しい説明は、「ユーザーの追加および VM ユーザーポータルパーミッションの割り当て」を参照してください。

15.7.2. ユーザーパスワードの設定

パスワードを作成することができます。--password-valid-to を設定する必要があります。設定しなかった場合には、パスワードの有効期限がデフォルトで現在の時刻に設定されてしまいます。日付/時刻の形式は yyyy-MM-dd HH:mm:ssX です。以下の例の -0800 は GMT マイナス 8 時間を意味します。その他のオプションを確認するには、ovirt-aaa-jdbc-tool user password-reset --help コマンドを実行してください。

# ovirt-aaa-jdbc-tool user password-reset test1 --password-valid-to="2025-08-01 12:00:00-0800"
Password:
updating user test1...
user updated successfully
注記

デフォルトでは、内部ドメイン上のユーザーアカウント用のパスワードポリシーには、以下のような制限があります。

  • 最小 6 文字
  • パスワード変更時には、3 回前までに使用したパスワードは使用できません。

パスワードポリシーおよびその他のデフォルト設定に関する詳しい情報は、ovirt-aaa-jdbc-tool settings show のコマンドを実行すると確認できます。

15.7.3. ユーザータイムアウトの設定

ユーザーセッションがタイムアウトになる期限を設定することができます。

# engine-config --set UserSessionTimeOutInterval=integer

15.7.4. ユーザーパスワードの事前暗号化

ovirt-engine-crypto-tool スクリプトを使用して、予め暗号化されたユーザーパスワードを作成することができます。このオプションは、スクリプトを使用してデータベースにユーザーおよびパスワードを追加する際に役立ちます。

注記

パスワードは、暗号化された状態で Manager データベースに保管されます。すべてのパスワードを同じアルゴリズムで暗号化する必要があるので、ovirt-engine-crypto-tool スクリプトが使用されます。

パスワードが予め暗号化されている場合は、パスワードの妥当性テストを実施することができません。パスワードの妥当性ポリシーを満たしていなくても、パスワードは受け入れられます。

  1. 以下のコマンドを実行します。

    # /usr/share/ovirt-engine/bin/ovirt-engine-crypto-tool.sh pbe-encode

    スクリプトによりパスワードの入力が求められます。

    あるいは、--password=file:file オプションを使用して、このオプションで指定するファイルの最初の行に表示されるパスワードを暗号化することができます。このオプションは自動化に有用です。以下の例の file は、暗号化のためのパスワードを 1 つ含むテキストファイルです。

    # /usr/share/ovirt-engine/bin/ovirt-engine-crypto-tool.sh pbe-encode --password=file:file
  2. --encrypted オプションと共に ovirt-aaa-jdbc-tool スクリプトを使用して、新しいパスワードを設定します。

    # ovirt-aaa-jdbc-tool user password-reset test1 --password-valid-to="2025-08-01 12:00:00-0800" --encrypted
  3. 暗号化されたパスワードを入力し、確認します。

    Password:
    Reenter password:
    updating user test1...
    user updated successfully

15.7.5. ユーザー情報の確認

詳細なユーザーアカウント情報を確認することができます。

# ovirt-aaa-jdbc-tool user show test1

このコマンドにより、管理ポータルの 管理ユーザー 画面よりも詳しい情報が表示されます。

15.7.6. ユーザー情報の編集

メールアドレス等のユーザー情報を更新することができます。

# ovirt-aaa-jdbc-tool user edit test1 --attribute=email=jdoe@example.com

15.7.7. ユーザーの削除

ユーザーアカウントを削除することができます。

# ovirt-aaa-jdbc-tool user delete test1

管理ポータルからユーザーを削除します。詳しい説明は、「ユーザーの削除」を参照してください。

15.7.8. 内部管理ユーザーの無効化

engine-setup 実行中に作成された admin@internal ユーザーを含むローカルドメイン上のユーザーを無効にすることができます。デフォルトの admin ユーザーを無効にする前には、完全な管理権限を持つユーザーが環境内に少なくとも 1 人いることを確認してください。

内部管理ユーザーの無効化

  1. Red Hat Virtualization Manager がインストールされているマシンにログインします。
  2. SuperUser ロールが割り当てられたユーザーが、環境にもう 1 人追加されていることを確認します。詳しい説明は、「ユーザーの追加および VM ユーザーポータルパーミッションの割り当て」を参照してください。
  3. デフォルトの admin ユーザーを無効にします。

    # ovirt-aaa-jdbc-tool user edit admin --flag=+disabled
注記

無効にしたユーザーを有効にするには、ovirt-aaa-jdbc-tool user edit username --flag=-disabled のコマンドを実行します。

15.7.9. グループの管理

内部ドメイン上のグループアカウントを管理するには、ovirt-aaa-jdbc-tool ツールを使用することができます。グループアカウントの管理は、ユーザーアカウントの管理と似ています。グループのオプションの全一覧は、ovirt-aaa-jdbc-tool group --help のコマンドを実行すると確認できます。本セクションには、一般的な例を記載します。

グループの作成

以下の手順では、グループアカウントを作成して、ユーザーをそのグループに追加し、そのグループの情報を表示する方法について説明します。

  1. Red Hat Virtualization Manager がインストールされているマシンにログインします。
  2. 新規グループを作成します。

    # ovirt-aaa-jdbc-tool group add group1
  3. ユーザーをグループに追加します。ユーザーは予め作成しておく必要があります。

    # ovirt-aaa-jdbc-tool group-manage useradd group1 --user=test1
    注記

    group-manage オプションの全一覧は、ovirt-aaa-jdbc-tool group-manage --help コマンドを実行すると確認できます。

  4. グループアカウントの情報を表示します。

    # ovirt-aaa-jdbc-tool group show group1
  5. 新規作成したグループを管理ポータルで追加し、そのグループに適切なロールとパーミッションを割り当てます。このグループのユーザーは、グループのロールとパーミッションを継承します。詳しい説明は、「ユーザーの追加および VM ユーザーポータルパーミッションの割り当て」を参照してください。

ネストされたグループの作成

以下の手順では、グループ内にグループを作成する方法について説明します。

  1. Red Hat Virtualization Manager がインストールされているマシンにログインします。
  2. 第 1 のグループを作成します。

    # ovirt-aaa-jdbc-tool group add group1
  3. 第 2 のグループを作成します。

    # ovirt-aaa-jdbc-tool group add group1-1
  4. 第 2 のグループを第 1 のグループに追加します。

    # ovirt-aaa-jdbc-tool group-manage groupadd group1 --group=group1-1
  5. 第 1 のグループを管理ポータルに追加し、そのグループに適切なロールとパーミッションを割り当てます。詳しい説明は、「ユーザーの追加および VM ユーザーポータルパーミッションの割り当て」を参照してください。

15.7.10. ユーザーとグループのクエリー

query モジュールにより、ユーザーおよびグループの情報を照会することができます。オプションの全リストは、ovirt-aaa-jdbc-tool query --help のコマンドを実行すると確認できます。

全ユーザー/グループアカウント情報の一覧表示

以下の手順では、全アカウント情報を一覧表示する方法を説明します。

  1. Red Hat Virtualization Manager がインストールされているマシンにログインします。
  2. アカウントの情報を一覧表示します。

    • 全ユーザーアカウントの情報:

      # ovirt-aaa-jdbc-tool query --what=user
    • 全グループアカウントの情報:

      # ovirt-aaa-jdbc-tool query --what=group

フィルタリングしたアカウント情報の一覧表示

以下の手順は、アカウント情報を一覧表示する際にフィルターを適用する方法について説明します。

  1. Red Hat Virtualization Manager がインストールされているマシンにログインします。
  2. --pattern パラメーターを使用して、アカウント情報を絞り込みます。

    • 名前が「j」で始まるユーザーアカウントの情報を一覧表示します。

      # ovirt-aaa-jdbc-tool query --what=user --pattern="name=j*"
    • 部署の属性が marketing に設定されたグループを一覧表示します。

      # ovirt-aaa-jdbc-tool query --what=group --pattern="department=marketing"

15.7.11. アカウント設定の管理

デフォルトのアカウント設定を変更するには、ovirt-aaa-jdbc-toolsettings モジュールを使用します。

アカウント設定の更新

以下の手順では、デフォルトのアカウント設定を更新する方法を説明します。

  1. Red Hat Virtualization Manager がインストールされているマシンにログインします。
  2. 以下のコマンドを実行して、利用可能な全設定を確認します。

    # ovirt-aaa-jdbc-tool setting show
  3. 必要な設定を変更します。

    • 以下の例は、全ユーザーのデフォルトのログインセッション時間を 60 分に更新します。デフォルト値は 10080 分です。

      # ovirt-aaa-jdbc-tool setting set --name=MAX_LOGIN_MINUTES --value=60
    • 以下の例では、ユーザーが実行可能なログインの最大試行回数を更新します。失敗回数がこの値を超えた場合には、ユーザーアカウントがロックされます。デフォルト値は 5 です。

      # ovirt-aaa-jdbc-tool setting set --name=MAX_FAILURES_SINCE_SUCCESS --value=3
      注記

      ユーザーアカウントのロックを解除するには、ovirt-aaa-jdbc-tool user unlock test1 コマンドを実行してください。