Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

第3章 ユーザー管理および認証

ユーザーのアクセス権限、リソース制限、ユーザーグループ、ユーザーロールを管理する方法を説明します。パスワードとアカウントのロックアウトポリシーを設定し、ユーザーグループのアクセスを拒否し、バインド識別名 (バインド DN) に応じてシステムリソースを制限できます。

3.1. Directory Server でのグループの使用
リンクのコピー

Directory Server のグループにユーザーを追加できます。グループはディレクトリーエントリーをグループ化するメカニズムの 1 つであり、ユーザーアカウントの管理を簡素化します。

グループを使用すると、Directory Server は、このグループのメンバーであるユーザーの識別名 (DN) をグループエントリーのメンバーシップ属性に保存します。この特別な属性は、グループエントリーを作成するときに選択したオブジェクトクラスによって定義されます。グループタイプの詳細は、Directory Server のグループタイプ を参照してください。

グループはロールよりも高速です。ただし、グループがロールのメリットを享受するには、MemberOf プラグインを有効にする必要があります。デフォルトでは、MemberOf プラグインは、ユーザーがグループのメンバーである場合に、ユーザーエントリーに memberOf 属性を自動的に追加します。その結果、メンバーシップに関する情報は、グループとユーザーエントリーの両方に保存されます。MemberOf プラグインの詳細は、ユーザーエントリーのグループメンバーシップのリスト表示 を参照してください。

3.1.1. Directory Server のグループタイプ
リンクのコピー

Directory Server では、static グループまたは dynamic グループにメンバーを追加できます。各グループタイプの定義の詳細は、Directory Server のグループについて を参照してください。グループオブジェクトクラスはメンバーシップ属性を定義し、グループにメンバーを追加するには、グループエントリーのこのメンバーシップ属性に値を追加する必要があります。

次の表に、グループオブジェクトクラスと対応するメンバーシップ属性を示します。

Expand
グループタイプオブジェクトクラスメンバーシップ属性

静的であること

groupOfNames

member

groupOfUniqueNames

uniqueMember

動的

groupOfURLs

memberURL

groupOfCertificates

memberCertificate

グループを作成するときに使用できるオブジェクトクラス:

  • groupOfNames は単純なグループです。このグループには任意のエントリーを追加できます。member 属性によりグループメンバーシップが決まります。member 属性値は、グループのメンバーであるユーザーエントリーの識別名 (DN) です。
  • groupOfUniqueNames は、ユーザー DN をメンバーとしてリストしますが、DN は一意である必要があります。このグループは、グループメンバーシップが自己参照されないようにします。uniqueMember 属性は、グループメンバーシップを決定します。
  • groupOfURLs は、LDAP URL の一覧を使用して、メンバーシップの一覧をフィルタリングして作成します。あらゆる動的グループにはこのオブジェクトクラスが必要であり、groupOfNames および groupOfUniqueNames と組み合わせて使用できます。memberURL 属性はグループメンバーシップを決定します。
  • groupOfCertificates は、LDAP フィルターを使用して証明書名を検索し、グループメンバーを識別します。このグループに特別なアクセスを付与できるため、グループベースのアクセス制御には groupOfCertificates オブジェクトクラスを使用します。memberCertificateDescription 属性は、グループメンバーシップを決定します。
重要

静的グループのオブジェクトクラスを動的オブジェクトクラスの 1 つと一緒に使用すると、グループは動的になります。

MemberOf プラグインは動的グループをサポートして いません。したがって、ユーザーエントリーが動的グループのフィルターと一致する場合、プラグインはユーザーエントリーに memberOf 属性は追加されません。

3.1.2. 静的グループの作成
リンクのコピー

コマンドラインまたは Web コンソールを使用して静的グループを作成できます。

3.1.2.1. コマンドラインでの静的グループの作成
リンクのコピー

dsidm ユーティリティーを使用して、groupOfNames オブジェクトクラスを持つ静的グループを作成します。ldapmodify ユーティリティーを使用して、groupOfUniqueNames オブジェクトクラスで静的グループを作成します。

以下の例では、ou=groups,dc=example,dc=com エントリーに 2 つの静的グループを作成します。

前提条件

  • ou=groups,dc=example,dc=com の親エントリーが存在する。

手順

  • groupOfNames オブジェクトクラスを使用して cn=simple_group グループを作成するには、次を実行します。 

    # dsidm <instance_name> -b "dc=example,dc=com" group create --cn "simple_group"
Successfully created simple_group
    Copy to Clipboard Toggle word wrap

    dsidm group create コマンドは、ou=group サブエントリーにグループのみを作成することに注意してください。別のエントリーにグループを作成する場合は、ldapmodify ユーティリティーを使用します。

  • groupOfUniqueNames オブジェクトクラスを使用して cn=unique_members_group グループを作成するには、次を実行します。 

    # ldapmodify -D "cn=Directory Manager" -W -H ldap://server.example.com -x
dn: cn=unique_members_group,ou=groups,dc=example,dc=com
changetype: add
objectClass: top
objectClass: groupOfUniqueNames
cn: unique_members_group
description: A static group with unique members

adding new entry "cn=unique_members_group,ou=groups,dc=example,dc=com"
    Copy to Clipboard Toggle word wrap

検証

  • groupOfNames オブジェクトクラスのグループをリスト表示するには、dsidm group list コマンドを使用します。 

    # dsidm --basedn "dc=example,dc=com" <instance_name> group list
simple_group
    Copy to Clipboard Toggle word wrap

  • dsidm uniquegroup list コマンドを使用して、メンバーが一意のグループをリスト表示します。 

    # dsidm --basedn "dc=example,dc=com" <instance_name> uniquegroup list
unique_members_group
    Copy to Clipboard Toggle word wrap

3.1.2.2. LDAP ブラウザーでの静的グループの作成
リンクのコピー

Web コンソールを使用して静的グループを作成できます。次の例では ou=groups,dc=example,dc=com の親エントリーに static_group を作成します。

前提条件

手順

  1. LDAP Browser メニューに移動します。
  2. Tree ビューまたは Table ビューを使用して、グループを作成する親エントリー ou=groups,dc=example,dc=com を展開します。
  3. Options メニュー (⫶) をクリックし、New を選択してウィザードウィンドウを開きます。
  4. Create a group を選択し、Next をクリックします。
  5. グループタイプの Basic Group を選択し、Next をクリックします。

  6. グループ名とグループの説明を追加し、グループのメンバーシップ属性を選択します。

    • groupOfNames オブジェクトクラスを持つグループの member
    • groupOfUniqueNames オブジェクトクラスを持つグループの uniquemember
  7. Next をクリックします。
  8. オプション: グループにメンバーを追加し、Next をクリックします。
  9. グループ情報を確認し、Create をクリックし、Finish をクリックします。

検証

  • 接尾辞ツリーで新しく作成されたグループエントリーを展開します。

3.1.3. 静的グループへのメンバーの追加
リンクのコピー

Web コンソールのコマンドラインを使用して、グループにメンバーを追加できます。

3.1.3.1. コマンドラインを使用した静的グループへのメンバーの追加
リンクのコピー

静的グループにメンバーを追加するには、ldapmodify ユーティリティーを使用します。

前提条件

  • グループエントリーが存在する。
  • ユーザーエントリーが存在する。

手順

  • groupOfNames オブジェクトクラスを持つ静的グループにメンバーを追加するには、グループエントリーの member 属性に値としてユーザー識別名 (DN) を追加します。 

    # ldapmodify -D "cn=Directory Manager" -W -H ldap://server.example.com -x
dn: cn=simple_group,ou=groups,dc=example,dc=com
changetype: modify
add: member
member: uid=jsmith,ou=people,dc=example,dc=com

modifying entry "cn=simple_group,ou=groups,dc=example,dc=com"
    Copy to Clipboard Toggle word wrap

    このコマンドは、uid=jsmith ユーザーを cn=simple_group グループに追加します。

  • groupOfUniqueNames オブジェクトクラスを持つ静的グループにメンバーを追加するには、グループエントリーの uniqueMember 属性に値としてユーザー識別名 (DN) を追加します。 

    # ldapmodify -D "cn=Directory Manager" -W -H ldap://server.example.com -x
dn: cn=unique_members_group,ou=groups,dc=example,dc=com
changetype: modify
add: uniqueMember
uniqueMember: uid=ajonson,ou=people,dc=example,dc=com

modifying entry "cn=unique_members_group,ou=groups,dc=example,dc=com"
    Copy to Clipboard Toggle word wrap

    このコマンドは、uid=ajonson ユーザーを cn=unique_members_group グループに追加します。

検証

  • グループのメンバーをリスト表示します。 

    # ldapsearch -xLL -D "cn=Directory Manager" -W -b dc=example,dc=com "(cn=simple_group)"

dn: cn=simple_group,ou=Groups,dc=example,dc=com
objectClass: top
objectClass: groupOfNames
objectClass: nsMemberOf
cn: simple_group
member: uid=jsmith,ou=people,dc=example,dc=com
member: uid=mtomson,ou=people,dc=example,dc=com
    Copy to Clipboard Toggle word wrap

3.1.3.2. LDAP ブラウザーでの静的グループへのメンバーの追加
リンクのコピー

LDAP Browser を使用して、Web コンソールの静的グループにメンバーを追加できます。

前提条件

手順

  1. LDAP Browser メニューに移動します。
  2. Tree または Table ビューを使用して、メンバーを追加するグループエントリーを展開します。たとえば、cn=unique_members_group,ou=groups,dc=example,dc=com にメンバーを追加します。
  3. Options メニュー (⫶) をクリックし、Edit を選択してウィザードウィンドウを開きます。ウィンドウに現在のメンバーリストが表示されます。
  4. Find New Members タブを選択します。
  5. 検索バーにメンバーの uid または cn 属性値の一部を入力し、Enter を押します。Available Members フィールドには、グループに追加できるユーザー識別名 (DN) が表示されます。
  6. メンバー DN を選択し、矢印 (>) をクリックして Chosen Members フィールドに移動します。
  7. Add Member ボタンをクリックします。

検証

  • cn=unique_members_group,ou=groups,dc=example,dc=com グループエントリーを展開し、エントリーの詳細で追加されたユーザーを見つけます。

3.1.4. コマンドラインで動的グループの作成
リンクのコピー

Directory Server は、コマンドラインのみを使用して動的グループを作成することをサポートしています。ldapmodify ユーティリティーを使用して、groupOfURLs および groupOfCertificates オブジェクトクラスを持つ動的グループを作成します。

以下の例では、ou=groups,dc=example,dc=com エントリーに 2 つの動的グループを作成します。

前提条件

  • ou=groups,dc=example,dc=com の親エントリーが存在する。

手順

  • groupOfURLs オブジェクトクラスを使用して cn=example_dynamic_group グループを作成するには、次のコマンドを実行します。 

    # ldapmodify -D "cn=Directory Manager" -W -H ldap://server.example.com -x
dn: cn=example_dynamic_group,ou=groups,dc=example,dc=com
changetype: add
objectClass: top
objectClass: groupOfURLs
cn: example_dynamic_group
description: Example dynamic group for user entries
memberURL: ldap:///dc=example,dc=com??sub?(&(objectclass=person)(cn=*sen))

adding new entry "cn=example_dynamic_group,ou=groups,dc=example,dc=com"
    Copy to Clipboard Toggle word wrap

    このコマンドは、person オブジェクトクラスと、共通名 (cn) の値の右側の sen サブ文字列を使用してメンバーをフィルター処理する動的グループを作成します。

  • groupOfCertificates オブジェクトクラスで cn=example_certificates_group グループを作成するには、以下を実行します。 

    # ldapmodify -D "cn=Directory Manager" -W -H ldap://server.example.com -x
dn: cn=example_certificates_group,ou=groups,dc=example,dc=com
changetype: add
objectClass: top
objectClass: groupOfCertificates
cn: example_certificates_group
description: Example dynamic group for certificate entries
memberCertificateDescription: {ou=people, l=USA, dc=example, dc=com}

adding new entry "cn=example_certificates_group,ou=groups,dc=example,dc=com"
    Copy to Clipboard Toggle word wrap

    このコマンドは、証明書のサブジェクト DN に ou=people,l=USA,dc=example,dc=com が含まれるメンバーをフィルタリングする動的グループを作成します。

検証

  • groupOfURLs オブジェクトクラスを使用して新しく作成されたグループを検索します。 

    # ldapsearch -xLLL -D "cn=Directory Manager" -W -H ldap://server.example.com -b "dc=example,dc=com" "objectClass=groupOfURLs" 1.1 

dn: cn=example_dynamic_group,ou=groups,dc=example,dc=com
    Copy to Clipboard Toggle word wrap

  • groupOfCertificates オブジェクトクラスで新しく作成されたグループを検索します。 

    # ldapsearch -xLLL -D "cn=Directory Manager" -W -H ldap://server.example.com -b "dc=example,dc=com" "objectClass=groupOfCertificates" 1.1 

dn: cn=example_certificates_group,ou=groups,dc=example,dc=com
    Copy to Clipboard Toggle word wrap

3.1.5. ユーザーエントリーにおけるグループメンバーシップのリスト表示
リンクのコピー

グループは、メンバーシップ属性を使用して、このグループに属するエントリーを定義します。グループを閲覧してメンバーを見つけるのは簡単です。たとえば、groupOfNames オブジェクトクラスを持つ静的グループは、メンバーの識別名 (DN) を member 属性の値として保存します。ただし、個々のユーザーがどのグループに属しているかをすぐに確認することはできません。グループの場合、ロールとは異なり、ユーザーエントリーにはユーザーのメンバーシップを示すものは何も含まれません。

この問題を解決するには、MemberOf プラグインを使用できます。MemberOf プラグインは、グループエントリー内のメンバーシップ属性を分析し、グループを指すユーザーエントリーに memberOf 属性を自動的に書き込みます。デフォルトでは、プラグインはグループ内の member 属性をチェックしますが、複数の属性を使用してさまざまなグループタイプをサポートできます。

グループのメンバーを追加または削除すると、プラグインはユーザーエントリーの memberOf 属性を更新します。MemberOf プラグインを使用すると、特定のユーザーエントリーに対して簡単な検索を実行し、そのユーザーがメンバーになっているすべてのグループを見つけることができます。MemberOf プラグインは、すべてのグループの直接および間接でメンバーになっているメンバーシップを表示します。

重要

MemberOf プラグインは、static グループのメンバーシップ属性のみを管理します。

3.1.5.1. MemberOf プラグインを使用する際の考慮事項
リンクのコピー

MemberOf プラグインを使用する場合は、以下を考慮してください。

  • レプリケーショントポロジーの MemberOf プラグイン

    レプリケーショントポロジーでは、MemberOf プラグインを 2 つの方法で管理できます。

    • トポロジー内のすべてのサプライヤーサーバーとコンシューマーサーバーで MemberOf プラグインを有効にします。この場合、すべてのレプリカ合意でユーザーエントリーの memberOf 属性をレプリケーションから除外する必要があります。

      属性の除外の詳細は、部分レプリケーション内の属性の管理 を参照してください。

    • トポロジー内のすべてのサプライヤーサーバーでのみ MemberOf プラグインを有効にします。これを実行するには、以下を行います。

      • レプリカ合意ですべての書き込みが有効なサプライヤーに対する memberOf 属性のレプリケーションを無効にする必要があります。

        属性の除外の詳細は、部分レプリケーション内の属性の管理 を参照してください。

      • レプリカ合意内のすべてのコンシューマーレプリカに対して、memberOf 属性のレプリケーションを有効にする必要があります。
      • コンシューマーレプリカの MemberOf プラグインを無効にする必要があります。

  • 分散データベースを備えた MemberOf プラグイン

    ディレクトリーデータベースの設定 で説明されているように、ディレクトリーのサブツリーを個別のデータベースに保存できます。デフォルトでは、MemberOf プラグインはグループと同じデータベース内に保存されているユーザーエントリーのみを更新します。すべてのデータベースでユーザーを更新するには、memberOfAllBackends パラメーターを on に設定する必要があります。memberOfAllBackends パラメーターの設定の詳細は、Web コンソールを使用した各サーバーでの MemberOf プラグインの設定 を参照してください。

3.1.5.2. MemberOf プラグインに必要なオブジェクトクラス
リンクのコピー

デフォルトでは、MemberOf プラグインは、memberOf 属性を提供するために、nsMemberOf オブジェクトクラスをユーザーエントリーに追加します。プラグインを正しく動作させるには、nsMemberOf オブジェクトクラスで十分です。

または、inetUserinetAdmininetOrgPerson オブジェクトクラスを含むユーザーエントリーを作成することもできます。これらのオブジェクトクラスは memberOf 属性をサポートします。

ネストされたグループを設定するには、グループで extensibleObject オブジェクトクラスを使用する必要があります。

注記

ディレクトリーエントリーに必要な属性をサポートするオブジェクトクラスが含まれていない場合、操作は次のエラーで失敗します。 

LDAP: error code 65 - Object Class Violation
Copy to Clipboard Toggle word wrap

3.1.5.3. MemberOf プラグイン構文
リンクのコピー

MemberOf プラグインを設定するときは、次の 2 つの主要な属性を設定します。

  • memberOfGroupAttr.グループエントリーからポーリングするメンバーシップ属性を定義します。memberOfGroupAttr 属性は多値です。したがって、プラグインは複数のタイプのグループを管理できます。デフォルトでは、プラグインは member 属性をポーリングします。
  • memberOfAttr.メンバーのユーザーエントリーで作成および管理するメンバーシップ属性を定義します。デフォルトでは、プラグインはユーザーエントリーに memberOf 属性を追加します。

さらに、プラグイン構文は、プラグインパス、MemberOf プラグインを識別する関数、プラグインの状態、およびその他の設定パラメーターを提供します。

次の例は、デフォルトの MemberOf プラグインエントリー設定を示しています。 

dn: cn=MemberOf Plugin,cn=plugins,cn=config
cn: MemberOf Plugin
memberofallbackends: off
memberofattr: memberOf
memberofentryscope: dc=example,dc=com
memberofgroupattr: member
memberofskipnested: off
nsslapd-plugin-depends-on-type: database
nsslapd-pluginDescription: memberof plugin
nsslapd-pluginEnabled: off
nsslapd-pluginId: memberof
nsslapd-pluginInitfunc: memberof_postop_init
nsslapd-pluginPath: libmemberof-plugin
nsslapd-pluginType: betxnpostoperation
nsslapd-pluginVendor: 389 Project
nsslapd-pluginVersion: 2.4.5
objectClass: top
objectClass: nsSlapdPlugin
objectClass: extensibleObject
Copy to Clipboard Toggle word wrap

例のパラメーターと設定できるその他のパラメーターの詳細は、「設定とスキーマのリファレンス」ドキュメントの MemberOf プラグイン のセクションを参照してください。

3.1.5.4. MemberOf プラグインの有効化
リンクのコピー

コマンドラインまたは Web コンソールを使用して、MemberOf プラグインを有効にできます。

3.1.5.4.1. コマンドラインを使用した MemberOf プラグインの有効化
リンクのコピー

MemberOf プラグインを有効にするには、dsconf ユーティリティーを使用します。

手順

  1. プラグインを有効にします。 

    # dsconf <instance_name> plugin memberof enable
    Copy to Clipboard Toggle word wrap

  2. インスタンスを再起動します。 

    # dsctl <instance_name> restart
    Copy to Clipboard Toggle word wrap

検証

  • プラグイン設定の詳細を表示します。 

    # dsconf <instance_name> plugin memberof show

dn: cn=MemberOf Plugin,cn=plugins,cn=config
...
nsslapd-pluginEnabled: on
...
    Copy to Clipboard Toggle word wrap
3.1.5.4.2. Web コンソールを使用した MemberOf プラグインの有効化
リンクのコピー

Web コンソールを使用して MemberOf プラグインを有効にできます。

前提条件

手順

  1. Plugins メニューに移動します。
  2. プラグインの一覧から MemberOf プラグインを選択します。
  3. ステータスを ON に変更し、プラグインを有効にします。
  4. インスタンスを再起動します。インスタンスを再起動する手順は、Web コンソールを使用した Directory Server インスタンスの起動と停止 を参照してください。

3.1.5.5. 各サーバーでの MemberOf プラグインの設定
リンクのコピー

MemberOf プラグインの設定を複製しない場合は、コマンドラインまたは Web コンソールを使用して、各サーバーでプラグインを手動で設定します。

3.1.5.5.1. コマンドラインを使用した各サーバーでの MemberOf プラグインの設定
リンクのコピー

デフォルトでは、MemberOf プラグインはグループエントリーから member のメンバーシップ属性を読み取り、memberOf 属性をユーザーエントリーに追加します。ただし、グループから他のメンバーシップ属性を読み取ったり、ユーザーエントリーに別の属性を追加したり、ネストされたグループをスキップしたり、すべてのデータベースやその他の設定で作業したりするようにプラグインを設定できます。

たとえば、MemberOf プラグインで次の操作を実行するとします。

  • グループエントリーから uniqueMember 属性を読み取り、メンバーシップを識別します。
  • ネストされたグループをスキップします。
  • すべてのデータベース内のユーザーエントリーを検索します。

前提条件

手順

  1. オプション: MemberOf プラグイン設定を表示して、プラグインが現在グループエントリーから読み取っているメンバーシップ属性を確認します。 

    # dsconf <instance_name> plugin memberof show

...
memberofgroupattr: member
...
    Copy to Clipboard Toggle word wrap

    現在、プラグインはグループエントリーから member 属性を読み取ってメンバーを取得します。

  2. プラグイン設定の memberOfGroupAttr パラメーターに uniqueMember 属性を値として設定します。 

    # dsconf <instance_name> plugin memberof set --groupattr uniqueMember
    Copy to Clipboard Toggle word wrap

    memberOfGroupAttr パラメーターは複数の値を持ち、それらすべてを --groupattr パラメーターに渡すことで複数の値を設定できます。以下に例を示します。 

    # dsconf <instance_name> plugin memberof set --groupattr member uniqueMember
    Copy to Clipboard Toggle word wrap

  3. 分散データベースを使用する環境では、ローカルデータベースだけでなくすべてのデータベース内のユーザーエントリーを検索するようにプラグインを設定します。 

    # dsconf <instance_name> plugin memberof set --allbackends on
    Copy to Clipboard Toggle word wrap

    このコマンドは、memberOfAllBackends パラメーターを設定します。

  4. ネストされたグループをスキップするようにプラグインを設定します。 

    # dsconf <instance_name> plugin memberof set --skipnested on
    Copy to Clipboard Toggle word wrap

    このコマンドは memberOfSkipNested パラメーターを設定します。

  5. オプション: デフォルトでは、ユーザーエントリーに memberOf 属性を許可するオブジェクトクラスがない場合、プラグインは nsMemberOf オブジェクトクラスをユーザーエントリーに追加します。nsMemberOf の代わりに inetUser オブジェクトクラスをユーザーエントリーに追加するようにプラグインを設定するには、次を実行します。 

    # dsconf <instance_name> plugin memberof set --autoaddoc inetUser
    Copy to Clipboard Toggle word wrap

    このコマンドは、memberOfAutoAddOC パラメーターを設定します。

  6. インスタンスを再起動します。 

    # dsctl <instance_name> restart
    Copy to Clipboard Toggle word wrap

検証

  • MemberOf プラグイン設定を表示します。 

    # dsconf <instance_name> plugin memberof show
dn: cn=MemberOf Plugin,cn=plugins,cn=config
cn: MemberOf Plugin
memberofallbackends: on
memberofattr: memberOf
memberofautoaddoc: inetuser
memberofentryscope: dc=example,dc=com
memberofgroupattr: uniqueMember
memberofskipnested: on
...
nsslapd-pluginEnabled: on
...
    Copy to Clipboard Toggle word wrap
3.1.5.5.2. Web コンソールを使用した各サーバーでの MemberOf プラグインの設定
リンクのコピー

デフォルトでは、MemberOf プラグインはグループエントリーから member のメンバーシップ属性を読み取り、memberOf 属性をユーザーエントリーに追加します。ただし、Web コンソールを使用して、グループから他のメンバーシップ属性を読み取ったり、ネストされたグループをスキップしたり、すべてのデータベースやその他の設定を処理したりするようにプラグインを設定できます。

たとえば、MemberOf プラグインで次の操作を実行するとします。

  • グループエントリーから member 属性と uniqueMember 属性を読み取り、メンバーシップを識別します。
  • プラグインのスコープを dc=example,dc=com に設定します。
  • ネストされたグループをスキップします。
  • すべてのデータベース内のユーザーエントリーを検索します。

前提条件

手順

  1. LDAP Browser メニューに移動します。
  2. プラグインリストから MemberOf プラグインを選択します。
  3. Group Attribute フィールドに uniqueMember 属性を追加します。

  4. プラグインのスコープを dc=example,dc=com に設定します。

    1. dc=example,dc=comSubtree Scope フィールドに入力します。

    2. ドロップダウンリストで Create "dc=example,dc=com" をクリックします。

      security configuring the memberof 1

  5. オプション: 除外するサブツリーを設定します。たとえば、プラグインを ou=private,dc=example,dc=com サブツリーで動作させない場合は以下を実行します。

    1. Exclude Subtree フィールドに ou=private,dc=example,dc=com と入力します。
    2. ドロップダウンリストで Create "ou=private,dc=example,dc=com" をクリックします。
  6. All Backends をチェックして、ローカルデータベースだけでなくすべてのデータベース内のユーザーエントリーを検索するようにプラグインを設定します。
  7. ネストされたグループをスキップするようにプラグインを設定するには、Skip Nested をオンにします。
  8. Save Config をクリックします。

3.1.5.6. サーバー間での MemberOf プラグイン設定の共有
リンクのコピー

デフォルトでは、各サーバーは MemberOf プラグインの独自の設定を保存します。プラグインの共有設定により、各サーバーでプラグインを手動で設定しなくても、同じ設定を使用できます。Directory Server は、共有設定を cn=config 接尾辞の外部に保存し、複製します。

たとえば、プラグインの共有設定を cn=shared_MemberOf_config,dc=example,dc=com エントリーに保存するとします。

重要

共有設定を有効にすると、プラグインは cn=MemberOf Plugin,cn=plugins,cn=config プラグインエントリーに設定されたすべてのパラメーターを無視し、共有設定エントリーの設定のみを使用します。

前提条件

  • レプリケーショントポロジー内のすべてのサーバーで MemberOf プラグインが有効化されている。詳細は、MemberOf プラグインの有効化 を参照してください。

手順

  1. サーバーで共有設定エントリーを有効にします。 

    # dsconf <instance_name> plugin memberof config-entry add "cn=shared_MemberOf_config,dc=example,dc=com" --attr memberOf --groupattr member

Successfully created the cn=shared_MemberOf_config,dc=example,dc=com
MemberOf attribute nsslapd-pluginConfigArea (config-entry) was set in the main plugin config
    Copy to Clipboard Toggle word wrap

    このコマンドは、nsslapd-pluginConfigArea 属性値を cn=shared_MemberOf_config,dc=example,dc=com に設定します。

  2. インスタンスを再起動します。 

    # dsctl <instance_name> restart
    Copy to Clipboard Toggle word wrap

  3. 共有設定を使用する必要があるレプリケーショントポロジー内の他のサーバーで共有設定を有効にします。

    1. 共有設定を保存する設定エントリーの識別名 (DN) を設定します。 

      # dsconf -D "cn=Directory Manager" ldap://server2.example.com plugin memberof set --config-entry cn=shared_MemberOf_config,dc=example,dc=com
      Copy to Clipboard Toggle word wrap

    2. インスタンスを再起動します。 

      # dsctl <instance_name> restart
      Copy to Clipboard Toggle word wrap

検証

  1. MemberOf プラグインが共有設定を使用していることを確認します。 

    # dsconf <instance_name> plugin memberof show

dn: cn=MemberOf Plugin,cn=plugins,cn=config
cn: MemberOf Plugin
...
nsslapd-pluginConfigArea: cn=shared_MemberOf_config,dc=example,dc=com
...
    Copy to Clipboard Toggle word wrap

  2. オプション: 共有設定を確認します。 

    # dsconf <instance_name> memberof config-entry show "cn=shared_MemberOf_config,dc=example,dc=com"

dn: cn=shared_MemberOf_config,dc=example,dc=com
cn: shared_MemberOf_config
memberofattr: memberOf
memberofgroupattr: member
objectClass: top
objectClass: extensibleObject
    Copy to Clipboard Toggle word wrap

3.1.5.7. MemberOf プラグインのスコープの設定
リンクのコピー

複数のバックエンドまたは複数のネストされた接尾辞を設定した場合は、memberOfEntryScope および memberOfEntryScopeExcludeSubtree パラメーターを使用して、MemberOf プラグインが機能する接尾辞を設定できます。

ユーザーをグループに追加すると、MemberOf プラグインは、ユーザーとグループの両方がプラグインのスコープ内にある場合にのみ、memberOf 属性をグループに追加します。

たとえば、次の手順では、MemberOf プラグインが dc=example,dc=com 内のすべてのエントリーで機能し、ou=private,dc=example,dc=com 内のエントリーを除外するように設定します。

前提条件

  • レプリケーショントポロジー内のすべてのサーバーで MemberOf プラグインが有効化されている。詳細は、MemberOf プラグインの有効化 を参照してください。

手順

  1. MemberOf プラグインのスコープ値を dc=example,dc=com に設定します。 

    # dsconf <instance_name> plugin memberof set --scope "dc=example,dc=com"
    Copy to Clipboard Toggle word wrap

  2. ou=private,dc=example,dc=com のエントリーを除外します。 

    # dsconf <instance_name> plugin memberof set --exclude "ou=private,dc=example,com"
    Copy to Clipboard Toggle word wrap

    --scope DN パラメーターを使用してユーザーエントリーをスコープ外に移動した場合:

    • MemberOf プラグインは、グループエントリー内の member などのメンバーシップ属性を更新して、ユーザー DN 値を削除します。

    • MemberOf プラグインは、ユーザーエントリー内の memberOf 属性を更新して、グループ DN 値を削除します。

      注記

      --exclude パラメーターで設定された値は、--scope で設定された値よりも優先されます。両方のパラメーターで設定したスコープが重複する場合、MemberOf プラグインは、非オーバーラッピングディレクトリーエントリーでのみ機能します。

MemberOf プラグインのスコープ設定の詳細は、Web コンソールを使用した各サーバーでの MemberOf プラグインの設定 を参照してください。

3.1.5.8. fixup タスクを使用したユーザーエントリーの memberOf 属性値の更新
リンクのコピー

MemberOf プラグインは、グループエントリーの設定に基づいて、グループメンバーエントリー内の memberOf 属性を自動的に管理します。ただし、サーバープラグインが管理する memberOf 設定とユーザーエントリーで定義されている実際のメンバーシップとの間の不整合を回避するために、次の状況では fixup タスクを実行する必要があります。

  • MemberOf プラグインを有効にする前に、グループにグループメンバーを追加した。
  • ユーザーエントリーの memberOf 属性を手動で編集した。
  • memberOf 属性がすでにあるサーバーに、新しいユーザーエントリーをインポートまたは複製した。

fixup タスクはローカルでのみ実行できることに注意してください。レプリケーション環境では、Directory Server は更新されたエントリーをレプリケートした後、他のサーバー上のエントリーの memberOf 属性を更新します。

前提条件

  • レプリケーショントポロジー内のすべてのサーバーで MemberOf プラグインが有効化されている。詳細は、MemberOf プラグインの有効化 を参照してください。

手順

  • たとえば、dc=example,dc=com エントリーとサブエントリーの memberOf 値を更新するには、次を実行します。 

    # dsconf <instance_name> plugin memberof fixup "dc=example,dc=com"
Attempting to add task entry...
Successfully added task entry
    Copy to Clipboard Toggle word wrap

    デフォルトでは、fixup タスクは、inetUserinetAdmin、または nsMemberOf オブジェクトクラスを含むすべてのエントリーの memberOf 値を更新します。

    他のオブジェクトクラスを含むエントリーに対しても fixup タスクを実行する場合は、-f フィルターオプションを使用します。 

    # dsconf <instance_name> plugin memberof fixup -f "(|(objectclass=inetuser)(objectclass=inetadmin)(objectclass=nsmemberof)(objectclass=nsmemberof)(objectclass=inetOrgPerson))" "dc=example,dc=com"
    Copy to Clipboard Toggle word wrap

    この fixup タスクは、inetUserinetAdminnsMemberOf、または inetOrgPerson オブジェクトクラスを含むすべてのエントリーの memberOf 値を更新します。

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat