Red Hat Training
A Red Hat training course is available for Red Hat Virtualization
15.7. コマンドラインからのユーザー管理タスク
内部ドメイン上のユーザーアカウントを管理するには、ovirt-aaa-jdbc-tool
ツールを使用することができます。このツールを使用して変更を加えると、その内容は直ちに有効になり、ovirt-engine
サービスを再起動する必要はありません。ユーザーオプションの全リストは、ovirt-aaa-jdbc-tool user --help
コマンドを実行すると確認できます。本セクションには、一般的な例を記載します。
Manager マシンにログインしている必要があります。
15.7.1. 新規ユーザーの作成
新規ユーザーアカウントを作成することができます。オプションの --attribute
コマンドを使用してアカウントの詳細を指定します。オプションの全リストは、ovirt-aaa-jdbc-tool user add --help
のコマンドを実行すると表示されます。
# ovirt-aaa-jdbc-tool user add test1 --attribute=firstName=John --attribute=lastName=Doe adding user test1... user added successfully
新規作成したユーザーを管理ポータルに追加し、そのユーザーに適切なロールとパーミッションを割り当てることができます。詳しい説明は、「ユーザーの追加および VM ユーザーポータルパーミッションの割り当て」を参照してください。
15.7.2. ユーザーパスワードの設定
パスワードを作成することができます。--password-valid-to
を設定する必要があります。設定しなかった場合には、パスワードの有効期限がデフォルトで現在の時刻に設定されてしまいます。日付/時刻の形式は yyyy-MM-dd HH:mm:ssX
です。以下の例の -0800
は GMT マイナス 8 時間を意味します。その他のオプションを確認するには、ovirt-aaa-jdbc-tool user password-reset --help
コマンドを実行してください。
# ovirt-aaa-jdbc-tool user password-reset test1 --password-valid-to="2025-08-01 12:00:00-0800" Password: updating user test1... user updated successfully
デフォルトでは、内部ドメイン上のユーザーアカウント用のパスワードポリシーには、以下のような制限があります。
- 最小 6 文字
- パスワード変更時には、3 回前までに使用したパスワードは使用できません。
パスワードポリシーおよびその他のデフォルト設定に関する詳しい情報は、ovirt-aaa-jdbc-tool settings show
のコマンドを実行すると確認できます。
15.7.3. ユーザータイムアウトの設定
ユーザーセッションがタイムアウトになる期限を設定することができます。
# engine-config --set UserSessionTimeOutInterval=integer
15.7.4. ユーザーパスワードの事前暗号化
ovirt-engine-crypto-tool
スクリプトを使用して、予め暗号化されたユーザーパスワードを作成することができます。このオプションは、スクリプトを使用してデータベースにユーザーおよびパスワードを追加する際に役立ちます。
パスワードは、暗号化された状態で Manager データベースに保管されます。すべてのパスワードを同じアルゴリズムで暗号化する必要があるので、ovirt-engine-crypto-tool
スクリプトが使用されます。
パスワードが予め暗号化されている場合は、パスワードの妥当性テストを実施することができません。パスワードの妥当性ポリシーを満たしていなくても、パスワードは受け入れられます。
以下のコマンドを実行します。
# /usr/share/ovirt-engine/bin/ovirt-engine-crypto-tool.sh pbe-encode
スクリプトによりパスワードの入力が求められます。
あるいは、
--password=file:file
オプションを使用して、このオプションで指定するファイルの最初の行に表示されるパスワードを暗号化することができます。このオプションは自動化に有用です。以下の例のfile
は、暗号化のためのパスワードを 1 つ含むテキストファイルです。# /usr/share/ovirt-engine/bin/ovirt-engine-crypto-tool.sh pbe-encode --password=file:file
--encrypted
オプションと共にovirt-aaa-jdbc-tool
スクリプトを使用して、新しいパスワードを設定します。# ovirt-aaa-jdbc-tool user password-reset test1 --password-valid-to="2025-08-01 12:00:00-0800" --encrypted
暗号化されたパスワードを入力し、確認します。
Password: Reenter password: updating user test1... user updated successfully
15.7.5. ユーザー情報の確認
詳細なユーザーアカウント情報を確認することができます。
# ovirt-aaa-jdbc-tool user show test1
このコマンドにより、管理ポータルの 管理 → ユーザー 画面よりも詳しい情報が表示されます。
15.7.6. ユーザー情報の編集
メールアドレス等のユーザー情報を更新することができます。
# ovirt-aaa-jdbc-tool user edit test1 --attribute=email=jdoe@example.com
15.7.7. ユーザーの削除
ユーザーアカウントを削除することができます。
# ovirt-aaa-jdbc-tool user delete test1
管理ポータルからユーザーを削除します。詳しい説明は、「ユーザーの削除」を参照してください。
15.7.8. 内部管理ユーザーの無効化
engine-setup
実行中に作成された admin@internal ユーザーを含むローカルドメイン上のユーザーを無効にすることができます。デフォルトの admin ユーザーを無効にする前には、完全な管理権限を持つユーザーが環境内に少なくとも 1 人いることを確認してください。
内部管理ユーザーの無効化
- Red Hat Virtualization Manager がインストールされているマシンにログインします。
- SuperUser ロールが割り当てられたユーザーが、環境にもう 1 人追加されていることを確認します。詳しい説明は、「ユーザーの追加および VM ユーザーポータルパーミッションの割り当て」を参照してください。
デフォルトの admin ユーザーを無効にします。
# ovirt-aaa-jdbc-tool user edit
admin
--flag=+disabled
無効にしたユーザーを有効にするには、ovirt-aaa-jdbc-tool user edit username --flag=-disabled
のコマンドを実行します。
15.7.9. グループの管理
内部ドメイン上のグループアカウントを管理するには、ovirt-aaa-jdbc-tool
ツールを使用することができます。グループアカウントの管理は、ユーザーアカウントの管理と似ています。グループのオプションの全一覧は、ovirt-aaa-jdbc-tool group --help
のコマンドを実行すると確認できます。本セクションには、一般的な例を記載します。
グループの作成
以下の手順では、グループアカウントを作成して、ユーザーをそのグループに追加し、そのグループの情報を表示する方法について説明します。
- Red Hat Virtualization Manager がインストールされているマシンにログインします。
新規グループを作成します。
# ovirt-aaa-jdbc-tool group add group1
ユーザーをグループに追加します。ユーザーは予め作成しておく必要があります。
# ovirt-aaa-jdbc-tool group-manage useradd group1 --user=test1
注記group-manage オプションの全一覧は、
ovirt-aaa-jdbc-tool group-manage --help
コマンドを実行すると確認できます。グループアカウントの情報を表示します。
# ovirt-aaa-jdbc-tool group show group1
- 新規作成したグループを管理ポータルで追加し、そのグループに適切なロールとパーミッションを割り当てます。このグループのユーザーは、グループのロールとパーミッションを継承します。詳しい説明は、「ユーザーの追加および VM ユーザーポータルパーミッションの割り当て」を参照してください。
ネストされたグループの作成
以下の手順では、グループ内にグループを作成する方法について説明します。
- Red Hat Virtualization Manager がインストールされているマシンにログインします。
第 1 のグループを作成します。
# ovirt-aaa-jdbc-tool group add group1
第 2 のグループを作成します。
# ovirt-aaa-jdbc-tool group add group1-1
第 2 のグループを第 1 のグループに追加します。
# ovirt-aaa-jdbc-tool group-manage groupadd group1 --group=group1-1
- 第 1 のグループを管理ポータルに追加し、そのグループに適切なロールとパーミッションを割り当てます。詳しい説明は、「ユーザーの追加および VM ユーザーポータルパーミッションの割り当て」を参照してください。
15.7.10. ユーザーとグループのクエリー
query
モジュールにより、ユーザーおよびグループの情報を照会することができます。オプションの全リストは、ovirt-aaa-jdbc-tool query --help
のコマンドを実行すると確認できます。
全ユーザー/グループアカウント情報の一覧表示
以下の手順では、全アカウント情報を一覧表示する方法を説明します。
- Red Hat Virtualization Manager がインストールされているマシンにログインします。
アカウントの情報を一覧表示します。
全ユーザーアカウントの情報:
# ovirt-aaa-jdbc-tool query --what=user
全グループアカウントの情報:
# ovirt-aaa-jdbc-tool query --what=group
フィルタリングしたアカウント情報の一覧表示
以下の手順は、アカウント情報を一覧表示する際にフィルターを適用する方法について説明します。
- Red Hat Virtualization Manager がインストールされているマシンにログインします。
--pattern
パラメーターを使用して、アカウント情報を絞り込みます。名前が「j」で始まるユーザーアカウントの情報を一覧表示します。
# ovirt-aaa-jdbc-tool query --what=user --pattern="name=j*"
部署の属性が marketing に設定されたグループを一覧表示します。
# ovirt-aaa-jdbc-tool query --what=group --pattern="department=marketing"
15.7.11. アカウント設定の管理
デフォルトのアカウント設定を変更するには、ovirt-aaa-jdbc-tool
の settings
モジュールを使用します。
アカウント設定の更新
以下の手順では、デフォルトのアカウント設定を更新する方法を説明します。
- Red Hat Virtualization Manager がインストールされているマシンにログインします。
以下のコマンドを実行して、利用可能な全設定を確認します。
# ovirt-aaa-jdbc-tool setting show
必要な設定を変更します。
以下の例は、全ユーザーのデフォルトのログインセッション時間を 60 分に更新します。デフォルト値は 10080 分です。
# ovirt-aaa-jdbc-tool setting set --name=MAX_LOGIN_MINUTES --value=60
以下の例では、ユーザーが実行可能なログインの最大試行回数を更新します。失敗回数がこの値を超えた場合には、ユーザーアカウントがロックされます。デフォルト値は 5 です。
# ovirt-aaa-jdbc-tool setting set --name=MAX_FAILURES_SINCE_SUCCESS --value=3
注記ユーザーアカウントのロックを解除するには、
ovirt-aaa-jdbc-tool user unlock test1
コマンドを実行してください。