8.2.3. --setattr、--addattr、および --delattr を使用したエントリー属性の管理
Identity Management の全 ID および設定は、標準の Attribute-Value Assertion (AVA) を使用して LDAP エントリーとして格納されます。エントリーが UI または CLI 経由で作成されたかどうかに拘らず、エントリータイプのデフォルトおよびカスタムオブジェクトクラスによって、必要な特定の属性と利用可能な属性があります。
最も一般的な属性では、ipa コマンドは、コマンドライン引数を使用して値を設定します。たとえば、ユーザーにメール属性を追加するには、
--mail 引数を使用し、DNS ゾーンの動的更新を有効にするには、zone コマンドに --allow-dynupdate オプションを使用します。また、自動マウントのマッピングのマップキーを指定するには --key オプションを使用します。
ただし、コマンドライン (または UI) オプションのない属性でもエントリーの設定が可能です。基盤となる LDAP スキーマには、許容可能な属性が多数あり、特にユーザーエントリーについては非常にリッチであることが理由の一部となっています。また、Identity Management ではユーザーおよびグループのスキーマ拡張が可能で、これらのカスタムスキーマ要素は必ずしも UI またはコマンドラインツールに反映されているとは限りません。
--setattr および --addattr オプションを使用して、サポート対象の属性をエントリーに追加または編集できます。
重要
追加する属性の値は、変更コマンドや
--setattr または --addattr オプションでは検証されません。
いずれのオプションも、形式は以下のとおりです。
--setattr=attribute=value
--setattr オプションは、指定された属性に値を 1 つ設定し、既存の値は複数値の属性であっても上書きされます。
--addattr オプションは、属性に新しい値を追加します。複数値の属性の場合は、既存の値を維持しながら新しい値を追加します。
--setattr オプションと --addattr は、同じコマンド呼び出しで複数回使用できます。たとえば、以下のようになります。
$ ipa user-mod jsmith --addattr=mail=johnnys@me.com --addattr=mail=jsmith@example.com --setattr=description="backup IT manager for the east coast branch"
同様に、属性または特定の属性値は、
--delattr オプションを使用してエントリーから削除できます。値が 1 つだけの属性の場合には、属性は削除されます。値が複数ある属性の場合は、指定された値のみが削除されます。以下に例を示します。
$ ipa user-mod jsmith --delattr=mail=johnnys@me.com
注記
属性の追加または編集してから最後に、属性の削除が評価されます。1 回の変更操作で、同じ属性を追加して削除した場合は、何も操作はされません。
$ ipa user-mod jsmith --addattr=mail=johnnys@me.com --delattr=mail=johnnys@me.com
