第9章 アイデンティティー: ユーザーおよびユーザーグループの管理
Identity Management のユーザーは、Kerberos 認証を使用してドメイン内のサービスおよびサーバーにアクセスできます。本章では、ユーザー、グループ、パスワードポリシー、および他のユーザー設定に関する一般的な管理タスクについて説明します。
9.1. ユーザーホームディレクトリーの設定
IdM ユーザーには、ホームディレクトリーが必要です。ホームディレクトリーが想定される場所にないと、ユーザーはドメインにログインできない可能性があります。システム管理者は IdM 以外でホームディレクトリーを管理できますが、PAM モジュールを使用して、IdM サーバーとクライアントの両方で自動的にホームディレクトリーを作成することもできます。
9.1.1. ホームディレクトリーの概要
IdM は、ユーザー管理の一環として、ユーザーのホームディレクトリーを管理できます。ただし、IdM には、管理対象のホームディレクトリーに対して、特定の定義済みパラメーターがあります。
- ユーザーのホームディレクトリーに使用するデフォルトの接頭辞は
/homeです。 - IdM では、ユーザーのログイン時に、ホームディレクトリーは自動的に作成されません。ホームディレクトリーの自動作成には、
pam_oddjob_mkhomedirモジュールまたはpam_mkhomedirモジュールが必要です。このモジュールは、「PAM ホームディレクトリーモジュールの有効化」に記載されているように、クライアントのインストールの一部として、またはインストール後に設定できます。IdM のホームディレクトリープロセスでは、まずpam_oddjob_mkhomedirモジュールの使用を試みます。このモジュールでは、ホームディレクトリーの作成に必要なユーザー権限やアクセス権限が少なくて済み、SELinux とスムーズに統合できるようにするためです。このモジュールが利用できない場合には、プロセスはpam_mkhomedirモジュールにフォールバックします。注記Red Hat Enterprise Linux 5 クライアントでは、クライアントのインストールスクリプトはpam_oddjob_mkhomedirモジュールが利用できる場合でも、pam_mkhomedirモジュールを使用します。Red Hat Enterprise Linux 5 でpam_oddjob_mkhomedirモジュールを使用するには、PAM 設定を手動で編集します。 - ドメイン内の全マシンが利用できる
/homeを提供する NFS ファイルサーバーを使用し、IdM サーバーに自動マウントすることができます。NFS ユーザーへの root アクセス割り当てに関連するセキュリティーの問題、/homeツリー全体を読み込む際のパフォーマンスの問題、ホームディレクトリーのリモートサーバーを使用する際のネットワークパフォーマンスの問題など、NFS の使用時に問題が発生する可能性があります。Identity Management では NFS の使用に関する一般的なガイドラインがあります。- automount を使用して、ユーザーがログインした時のみ、
/homeツリー全体を読み込むのではなく、ユーザーのホームディレクトリーのみをマウントします。 - 限定的なパーミッションを割り当てたリモートユーザーを使用してホームディレクトリーを作成し、そのユーザーとして IdM サーバーに共有をマウントします。IdM サーバーは httpd プロセスとして実行されるので、sudo または同様のプログラムを使用して IdM サーバーへの限定的なパーミッションを許可し、NFS サーバーにホームディレクトリーを作成できます。
pam_oddjob_mkhomedirモジュールなどのメカニズムを使用して、そのユーザーとしてホームディレクトリーを作成します。
ホームディレクトリーに自動マウントを使用する方法は、「ホームディレクトリーを手動でマウントする手順」を参照してください 。 - ホームディレクトリーの作成に適したディレクトリーとメカニズムがない場合は、ログインできない可能性があります。
9.1.2. PAM ホームディレクトリーモジュールの有効化
ユーザーのログイン時にホームディレクトリーを自動的に作成するには、IdM で
pam_oddjob_mkhomedir モジュールまたは pam_mkhomedir モジュールを使用できます。必要なパフォーマンスが少なく、SELinux と適切に連携するので、IdM では pam_oddjob_mkhomedir モジュールの使用が優先されます。このモジュールがインストールされていない場合は、pam_mkhomedir モジュールにフォールバックされます。
注記
IdM では
pam_oddjob_mkhomedir モジュールまたは pam_mkhomedir モジュールが必要ではありません。これは、共有ストレージが利用できない場合でも、*_mkhomedir モジュールがホームディレクトリーを作成しようとするためです。このモジュールでホームディレクトリーを作成できない場合は、ユーザーは IdM ドメインにログインできなくなります。
システム管理者は、必要に応じて各クライアントまたはサーバーでこのモジュールをアクティベートする必要があります。
pam_oddjob_mkhomedir (または pam_mkhomedir) モジュールを有効にする方法は 2 つあります。
--mkhomedirオプションは ipa-client-install コマンドで使用できます。このオプションはクライアントでは可能ですが、サーバーで設定しても利用できません。- システムの authconfig コマンドを使用して、
pam_oddjob_mkhomedirモジュールを有効にできます。たとえば、以下のようになります。authconfig --enablemkhomedir --update
このオプションは、インストール後のサーバーマシンとクライアントマシンの両方に使用できます。
注記
Red Hat Enterprise Linux 5 クライアントでは、クライアントのインストールスクリプトは
pam_oddjob_mkhomedir モジュールが利用できる場合でも、pam_mkhomedir モジュールを使用します。Red Hat Enterprise Linux 5 で pam_oddjob_mkhomedir モジュールを使用するには、PAM 設定を手動で編集します。
9.1.3. ホームディレクトリーを手動でマウントする手順
PAM モジュールを使用すると、ユーザーのホームディレクトリーを自動作成できますが、この動作は環境によって適していない場合があります。このような場合に、ホームディレクトリーは、NFS 共有および automount を使用して別の場所から IdM サーバーに手動で追加できます。
- ユーザーディレクトリーマップ用に新しい場所を作成します。
[bjensen@server ~]$ ipa automountlocation-add userdirs Location: userdirs
- 新しい場所の
auto.directファイルに直接マップを追加します。この例では、マウントポイントは/shareです。[bjensen@server ~]$ ipa automountkey-add userdirs auto.direct --key=/share --info="-ro,soft, ipaserver.example.com:/home/share" Key: /share Mount information: -ro,soft, ipaserver.example.com:/home/share
IdM で自動マウントの使用は、「18章ポリシー: 自動マウントの使用」で詳細に説明されています。
