9.11.3.3. タイプを基にしたグループ検索
グループ定義はシンプルですが、実際には、グループ、メンバーを暗黙的に含むネスト化グループ、POSIX などのメンバー属性をもとにしたグループにエントリーを自動的に割り当てる自動メンバールールを作成することができるので、グループの定義は非常に複雑です。
group-find コマンドには、各種オプションが多数あり、所属メンバーまたは所属していないメンバー、グループ定義の他の属性をもとにグループを検索できます。
たとえば、ユーザープライベートグループは IdM UI には表示されないため、通常の検索では返されません。ただし、この
--private オプションを使用すると、プライベートグループだけに検索結果を絞り込みます。
[root@server ~]# ipa group-find --private --------------- 1 group matched --------------- Group name: jsmith Description: User private group for jsmith GID: 1084600001 ---------------------------- Number of entries returned 1 ----------------------------
グループ検索は、グループに所属するまたは所属しないメンバーをもとに実行可能です。つまり、単一ユーザー、他のグループ、ロールやホストベースのアクセス制御定義など、他の設定エントリーなどを基に検索できます。たとえば、最初の検索では、ユーザー jsmith が所属するグループが表示されます。
[root@server ~]# ipa group-find --user=jsmith --------------- 1 group matched --------------- Group name: ipausers Description: Default group for all users Member users: jsmith ---------------------------- Number of entries returned 1 ----------------------------
他の検索では、jsmith が 属さない 全グループが表示されます。
[root@server ~]# ipa group-find --no-user=jsmith ---------------- 3 groups matched ---------------- Group name: admins Description: Account administrators group GID: 1084600000 Member users: admin Group name: editors Description: Limited admins who can edit other users GID: 1084600002 Group name: trust admins Description: Trusts administrators group Member users: admin ---------------------------- Number of entries returned 3 ----------------------------
表9.6「一般的なグループ検索オプション」には、便利なグループ検索オプションがに一覧表示されています。
| オプション | 条件の説明 |
|---|---|
| --private | プライベートグループのみを表示します。 |
| --gid | 指定した GID に完全一致するグループのみを表示します。 |
| --group-name | 指定の名前または部分的な名前が含まれるグループのみを表示します。 |
| --users、--no-users | メンバーとして指定のユーザーが含まれる (または含まれない) グループのみを表示します。 |
| --in-hbacrules、--not-inhbac-rules | 指定のホストベースのアクセス制御ルールに属するグループ (または --not-in オプションの場合はルールに属さないグループ) のみを表示します。指定した sudo ルールおよびロールに属するグループを表示する (またはしない) オプションと似ています。 |
| --in-groups、--not-in-groups | 別のグループに属するグループのみを表示します。指定したグループ (または --not-in オプションの場合は属さないグループ) だけを表示します。指定した netgroup に属するグループを表示する (またはしない) オプションと似ています。 |
