第13章 ユーザーおよびホストグループの管理
13.1. IdM でのユーザーおよびグループの仕組み
13.1.1. ユーザーおよびホストグループとは
ユーザーグループは、共通の特権、パスワードポリシーなどの特性が指定された一連のユーザーです。
ホストグループは、共通のアクセス制御ルールやその他の特性を持つ IdM ホストセットです。
たとえば、企業の部門、物理的な場所、またはアクセス制御要件に関してグループを定義できます。
13.1.2. サポートされるグループメンバー
IdM のユーザーグループには以下が含まれます。
- IdM ユーザー
- 他の IdM ユーザーグループ
- 外部ユーザー (IdM の外部に存在するユーザー)
IdM のホストグループには以下が含まれます。
- IdM サーバーおよびクライアント
- その他の IdM ホストグループ
13.1.3. 直接および間接のグループメンバー
IdM のユーザーおよびホストグループ属性は、直接メンバーと間接メンバーの両方に適用されます。グループ B がグループ A のメンバーである場合、グループ B のすべてのユーザーはグループ A のメンバーと見なされます。
たとえば、図13.1「直接および間接グループメンバーシップ」 では以下のようになります。
- ユーザー 1 とユーザー 2 は、グループ A の 直接メンバー です。
- ユーザー 3、ユーザー 4、およびユーザー 5 は、グループ A の 間接メンバー です。
図13.1 直接および間接グループメンバーシップ
ユーザーグループ A にパスワードポリシーを設定すると、そのポリシーはユーザーグループ B のすべてのユーザーにも適用されます。
例13.1 直接および間接のグループメンバーの表示
- 以下を追加します。
group_A
のメンバーとしての 1 ユーザーgroup_B
のメンバーとしての別のユーザーgroup_A
のメンバーとするgroup_B
「ユーザーまたはホストグループメンバーの追加と削除」を参照してください。 - Web UI で、
を選択します。左側のサイドバーに記載されている個別のグループタイプから、 を選択し、 group_A
の名前をクリックします。直接メンバーシップ と 間接メンバーシップ を切り替えます。 - コマンドライン: ipa group-show コマンドを使用します。
$ ipa group-show group_A ... Member users: user_1 Member groups: group_B Indirect Member users: user_2
間接メンバーのリストには、信頼された Active Directory ドメインの外部ユーザーが含まれません。Active Directory 信頼ユーザーオブジェクトは、IdM 内に LDAP オブジェクトとして存在しないため、IdM インターフェイスには表示されません。
13.1.4. IdM のユーザーグループタイプ
- POSIX グループ (デフォルト)
- POSIX グループは、メンバーの POSIX 属性に対応します。Active Directory と対話するグループは POSIX 属性を使用できないことに注意してください。
- 非 POSIX グループ
- このタイプのグループのすべてのグループメンバーは、IdM ドメインに属している必要があります。
- 外部グループ
- 外部グループを使用して、IdM ドメイン外の ID ストアに存在するグループメンバーを追加できます。外部ストアは、ローカルシステム、Active Directory ドメイン、またはディレクトリーサービスです。
非 POSIX および外部グループは、POSIX 属性に対応していません。たとえば、これらのグループには GID が定義されていません。
例13.2 各種ユーザーグループの検索
- ipa group-find コマンドを実行して、すべてのユーザーグループを表示します。
- ipa group-find --posix コマンドを実行して、すべての POSIX グループを表示します。
- ipa group-find --nonposix コマンドを実行して、すべての非 POSIX グループを表示します。
- ipa group-find --external コマンドを実行して、すべての外部グループを表示します。
13.1.5. デフォルトで作成されるユーザーおよびホストグループ
グループ名 | ユーザーまたはホスト | デフォルトのグループメンバー |
---|---|---|
ipausers | ユーザーグループ | すべての IdM ユーザー |
admins | ユーザーグループ | 管理権限を持つユーザー (初期のデフォルトの admin ユーザー) |
editors | ユーザーグループ | ユーザーは、管理ユーザーの権限がすべてなくても、Web UI で他の IdM ユーザーを編集できます。 |
trust admins | ユーザーグループ | Active Directory 信頼を管理する権限を持つユーザー |
ipaservers | ホストグループ | すべての IdM サーバーホスト |
ユーザーグループにユーザーを追加すると、グループに関連付けられた権限およびポリシーが適用されます。たとえば、ユーザーを
admins
グループに追加すると、ユーザーに管理者権限が付与されます。
警告
admins
グループを削除しないでください。admins
は IdM で必要な事前定義グループであるため、この操作により特定のコマンドで問題が生じます。
警告
ホストを
ipaservers
ホストグループに追加する場合は注意してください。ipaservers
のすべてのホストは、IdM サーバーにプロモートできます。
さらに、IdM で新しいユーザーが作成されるたびに、IdM は、デフォルトで ユーザーのプライベートグループ を作成します。
- ユーザープライベートグループは、作成したユーザーと同じ名前になります。
- ユーザーは、ユーザープライベートグループの唯一のメンバーです。
- プライベートグループの GID は、ユーザーの UID と一致します。
例13.3 ユーザープライベートグループの表示
ipa group-find --private コマンドを実行して、すべてのユーザープライベートグループを表示します。
$ ipa group-find --private ---------------- 2 groups matched ---------------- Group name: user1 Description: User private group for user1 GID: 830400006 Group name: user2 Description: User private group for user2 GID: 830400004 ---------------------------- Number of entries returned 2 ----------------------------
状況によっては、NIS グループまたは別のシステムグループが、ユーザープライベートグループに割り当てられる GID をすでに使用している場合など、ユーザープライベートグループを作成しないようにする方が良い場合があります。「ユーザープライベートグループの無効化」を参照してください。