11.2. ユーザーのライフサイクル
Identity Management は、stage、active、および preserved の 3 つのユーザーアカウントの状態をサポートします。
ステージ
ユーザーは認証できません。これは初期状態です。アクティブユーザーに必要なユーザーアカウントプロパティーの一部が設定されていない可能性があります。アクティブ
ユーザーは認証が可能です。必要なユーザーアカウントプロパティーはすべて、この状態で設定する必要があります。保存済み
ユーザーは、以前はアクティブ
なユーザーでした。非アクティブであると見なされ、IdM に対して認証できません。保存済みユーザーには、アクティブユーザーのときに有効になっていたアカウントプロパティーの大部分が保持されていますが、ユーザーグループからは除外されています。注記保存済み
状態のユーザーのリストは、以前のユーザーアカウントの履歴を提供します。
ユーザーエントリーは、IdM データベースから完全に削除することもできます。ユーザーエントリーを完全に削除すると、エントリー自体とグループメンバーシップやパスワードなど、そのユーザーの情報をすべて IdM から削除します。ユーザーの外部設定 (システムアカウントやホームディレクトリーなど) は削除されませんが、IdM からはアクセスできなくなります。
重要
削除したユーザーアカウントを復元することはできません。ユーザーアカウントを削除すると、そのアカウントに関連する情報がすべて永続的に失われます。
新規管理ユーザーは、デフォルトの
admin
ユーザーなど、他の管理者のみが作成できます。すべての管理者アカウントを誤って削除した場合は、Directory Manager が、Directory Server に新しい管理者を手動で作成する必要があります。
警告
admin
ユーザーを削除しないでください。admin
は IdM で必要な事前定義ユーザーであるため、この操作では特定のコマンドで問題が生じます。代替の admin
ユーザーを定義して使用する場合は、管理者パーミッションを少なくとも 1 人のユーザーに付与した後に ipa user-disable admin
で事前定義された admin ユーザーを無効にします。
ユーザーライフサイクル管理操作
ユーザーのプロビジョニングを管理するために、管理者はユーザーアカウントをある状態から別の状態に移行することができます。新規ユーザーアカウントは、
active
または stage
のいずれかとして追加できますが、preserved
としては追加できません。
IdM は、ユーザーのライフサイクル管理に対する以下の操作をサポートします。
- stage
active stage
状態のアカウントを適切にアクティブ化する準備ができると、管理者はactive
状態に移行します。- active
preserved - ユーザーが会社を離れると、管理者はアカウントを
preserved
状態に移行します。 - preserved
active - 先ほどのユーザーが会社に再度参加します。管理者は、ユーザーアカウントを
preserved
状態からactive
状態に戻して、ユーザーアカウントを復元します。 - preserved
stage - 先ほどのユーザーは、会社に再び参加する計画です。管理者は、アカウントを
preserved
状態からstage
状態に移動して、今後の再アクティブ化に向けてアカウントを準備します。
IdM からアクティブユーザー、ステージユーザー、および保存済みユーザーを完全に削除することもできます。ステージユーザーを
preserved
状態に移動することはできず、永続的に削除できるだけです。
図11.1 ユーザーのライフサイクルの操作
11.2.1. stage または Active ユーザーの追加
Web UI でユーザーの追加
タブを選択します。 active
またはstage
状態のユーザーを追加するかどうかに応じて、Active users または Stage users カテゴリーを選択します。図11.2 ユーザーカテゴリーの選択
- ユーザーリストの上部にある 追加 をクリックします。
図11.3 ユーザーの追加
- Add User フォームを入力します。ユーザーログインを手動で設定しないと、IdM は指定された名および姓に基づいてログインを自動的に生成することに注意してください。
- または、「ユーザーの編集」 を参照してください。をクリックして別のユーザーの追加を開始するか、 をクリックして新規ユーザーエントリーの編集を開始します。ユーザーエントリーの編集に関する情報は、
コマンドラインからのユーザーの追加
active
状態で新規ユーザーを追加するには、ipa user-add コマンドを使用します。stage
状態で新規ユーザーを追加するには、ipa stageuser-add コマンドを使用します。
注記
オプションなしで実行する場合は、ipa user-add および ipa stageuser-add により、必要最小限のユーザー属性の入力が求められ、その他の属性にはデフォルト値が使用されます。または、コマンドに直接、さまざまな属性を指定するオプションを追加することもできます。
インタラクティブセッションでは、オプションを指定せずにコマンドを実行すると、IdM は指定の名および姓に基づいて自動生成されたユーザーログインを提案し、大かっこ ([ ]) に表示します。デフォルトのログインを受け入れるには、Enter を押して確認します。カスタムログインを指定するには、デフォルトのログインを確認せず、代わりにカスタムログインを指定してください。
$ ipa user-add First name: first_name Last name: last_name User login [default_login]: custom_login
ipa user-add および ipa stageuser-add にオプションを追加すると、多くのユーザー属性にカスタム値を定義できます。つまり、対話型セッションよりも多くの情報を指定できます。たとえば、ステージユーザーを追加するには、以下を実行します。
$ ipa stageuser-add stage_user_login --first=first_name --last=last_name --email=email_address
ipa user-add および ipa stageuser-add で使用できるオプションの完全リストは、
--help
オプションを追加してコマンドを実行します。
11.2.1.1. ユーザー名の要件
IdM は、以下の正規表現で説明できるユーザー名をサポートします。
'(?!^[0-9]+$)^[a-zA-Z0-9_.][a-zA-Z0-9_.-]*[a-zA-Z0-9_.$-]?$'
ユーザー名には、文字、数字、_、-、.、$ のみを含めることができ、少なくとも 1 文字が含まれている必要があります。
注記
ユーザー名の末尾がドル記号 ($) で終わる場合は、Samba 3.x マシンでのサポートが有効になります。
大文字を含むユーザー名を追加すると、IdM が名前を保存する際に自動的に小文字に変換されます。したがって、IdM にログインする場合、ユーザーは常にユーザー名をすべて小文字で入力する必要があります。また、
user
と User
など、大文字と小文字のみが異なるユーザー名を追加することはできません。
ユーザー名のデフォルトの長さは、最大 32 文字です。これを変更するには、ipa config-mod --maxusername コマンドを使用します。たとえば、ユーザー名の最大長を 64 文字にするには、次のコマンドを実行します。
$ ipa config-mod --maxusername=64 Maximum username length: 64 ...
11.2.1.2. カスタム UID または GID 番号の定義
カスタムの UID または GID 番号を指定せずに新しいユーザーエントリーを追加すると、IdM は ID 範囲で次に利用可能な ID 番号を自動的に割り当てます。これは、ユーザーの ID 番号が常に一意であることを意味します。ID 範囲の詳細は、14章一意の UID および GID 番号の割り当て を参照してください。
カスタム ID 番号を指定する場合、サーバーはカスタム ID 番号が一意であるかどうかを検証しません。このため、複数のユーザーエントリーに同じ ID 番号が割り当てられる可能性があります。Red Hat は、複数のエントリーに同じ ID 番号を割り当てることがないようにすることを推奨します。
11.2.2. ユーザーのリスト表示およびユーザーの検索
Web UI でのユーザーのリスト表示
タブを選択します。 - Active users、Stage users、または Preserved users カテゴリーを選択します。
図11.4 ユーザーのリスト表示
Web UI でのユーザーに関する情報の表示
ユーザーに関する詳細情報を表示するには、ユーザーリストでユーザーの名前をクリックします。
図11.5 ユーザー情報の表示
コマンドラインからのユーザーのリスト表示
アクティブなユーザーをリスト表示するには、ipa user-find コマンドを実行します。すべてのステージユーザーをリスト表示するには、ipa stageuser-find コマンドを使用します。保存済みユーザーのリストを表示するには、ipa user-find --preserved=true コマンドを実行します。
以下に例を示します。
$ ipa user-find --------------- 23 users matched --------------- User login: admin Last name: Administrator Home directory: /home/admin Login shell: /bin/bash UID: 1453200000 GID: 1453200000 Account disabled: False Password: True Kerberos keys available: True User login: user ...
ipa user-find および ipa stageuser-find にオプションと引数を追加すると、検索条件を定義し、検索結果をフィルタリングできます。たとえば、特定のタイトルが定義されているアクティブユーザーをすべて表示するには、次のコマンドを実行します。
$ ipa user-find --title=user_title --------------- 2 users matched --------------- User login: user ... Job Title: Title ... User login: user2 ... Job Title: Title ...
同様に、ログインに
user
が含まれる全ステージユーザーを表示するには、以下を実行します。
$ ipa user-find user --------------- 3 users matched --------------- User login: user ... User login: user2 ... User login: user3 ...
ipa user-find および ipa stageuser-find で使用できるオプションの完全リストは、
--help
オプションを追加してコマンドを実行します。
コマンドラインからのユーザーに関する情報の表示
アクティブユーザーまたは保存済みユーザーの情報を表示するには、ipa user-show コマンドを使用します。
$ ipa user-show user_login User login: user_login First name: first_name Last name: last_name ...
ステージユーザーの情報を表示するには、ipa stageuser-show コマンドを使用します。
11.2.3. ユーザーのアクティベート、保存、削除、および復元
本セクションでは、ユーザーライフサイクルの異なる状態間でユーザーアカウントを移動する方法を説明します。IdM のライフサイクルの状態の詳細は、「ユーザーのライフサイクル」 を参照してください。
Web UI でのユーザーのライフサイクルの管理
ステージユーザーをアクティベートするには、以下を実行します。
- Stage users リストで、アクティブにするユーザーを選択し、 をクリックします。
図11.6 ユーザーのアクティブ化
ユーザーを保存するか、削除するには、以下を実行します。
- アクティブユーザー または ステージユーザー のリストで、ユーザーを選択します。 をクリックします。
図11.7 ユーザーの削除
- アクティブなユーザーを選択した場合は、delete または preserve を選択します。ステージユーザーを選択している場合は、ユーザーを削除することしかできません。デフォルトの UI オプションは delete です。たとえば、アクティブユーザーを保存するには、次のコマンドを実行します。
図11.8 Web UI での削除モードの選択
確認するには、ボタンをクリックします。
保存済みユーザーを復元するには、以下を実行します。
- Preserved users リストで、復元するユーザーを選択し、 をクリックします。
図11.9 ユーザーの復元
注記
ユーザーアカウントを復元しても、そのアカウントの以前の属性がすべて復元されるわけではありません。たとえば、ユーザーのパスワードは復元されず、再度定義する必要があります。
Web UI では、ユーザーを
preserved
状態から stage
状態に移行することができないことに注意してください。
コマンドラインからのユーザーのライフサイクルの管理
ステージ
から アクティブ
に移行してユーザーアカウントをアクティベートするには、ipa stageuser-activate コマンドを使用します。
$ ipa stageuser-activate user_login ------------------------- Stage user user_login activated ------------------------- ...
ユーザーアカウントを保存または削除するには、ipa user-del コマンドまたは ipa stageuser-del コマンドを使用します。
- IdM データベースからアクティブなユーザーを永続的に削除するには、オプションを指定せずに ipa user-del を実行します。
$ ipa user-del user_login -------------------- Deleted user "user3" --------------------
- アクティブなユーザーアカウントを保持するには、
--preserve
オプションを指定して ipa user-del を実行します。$ ipa user-del --preserve user_login -------------------- Deleted user "user_login" --------------------
- IdM データベースからステージユーザーを永続的に削除するには、ipa stageuser-del を実行します。
$ ipa stageuser-del user_login -------------------------- Deleted stage user "user_login" --------------------------
注記
複数のユーザーを削除するときは、
--continue
オプションを使用して、エラーに関係なくコマンドを続行します。成功および失敗した操作の概要は、コマンドが完了したときに標準出力ストリーム (stdout
) に出力されます。
$ ipa user-del --continue user1 user2 user3
--continue
を使用しないと、コマンドはエラーが発生するまでユーザーの削除を続行し、停止と終了を行います。
保存済みユーザーアカウントを
preserved
から active
に移行して保存済みユーザーアカウントを復元するには、ipa user-undel コマンドを使用します。
$ ipa user-undel user_login ------------------------------ Undeleted user account "user_login" ------------------------------
保存済みユーザーアカウントを
preserved
から stage
に移行して保存済みユーザーアカウントを復元するには、ipa user-stage コマンドを使用します。
$ ipa user-stage user_login ------------------------------ Staged user account "user_login" ------------------------------
注記
ユーザーアカウントを復元しても、そのアカウントの以前の属性がすべて復元されるわけではありません。たとえば、ユーザーのパスワードは復元されず、再度定義する必要があります。
これらのコマンドとそれらが受け入れるオプションの詳細は、
-help
オプションを追加して実行してください。