サポートコンソール開発者トライアルの開始お問い合わせ

5.3.3. Active Directory ユーザーの IdM グループの作成

ユーザーグループは、アクセスパーミッション、ホストベースのアクセス制御、sudo ルール、および IdM ユーザーのその他の制御を設定する必要があります。このグループは、IdM ドメインリソースへのアクセスを許可し、アクセスを制限するものです。
AD ユーザーおよび AD グループの両方を IdM ユーザーグループに直接追加できます。これには、最初に、非 POSIX IdM 外部グループに AD ユーザーまたはグループを追加し、次にローカルの IdM POSIX グループに追加します。これにより、POSIX グループは、AD ユーザーのユーザーおよびロールの管理に使用できます。IdM で非 POSIX グループを処理する原則は、「Active Directory ユーザーおよび Identity Management グループ」 で説明されています。
注記
AD ユーザーグループを、IdM 外部グループにメンバーとして追加することもできます。これにより、1 つの AD レルムにユーザーおよびグループの管理を維持することで、Windows ユーザーのポリシーの定義が容易になります。
  1. 任意。IdM レルムで AD ユーザーを管理するのに使用する AD ドメインでグループを作成するか、または選択します。IdM 側で複数のグループを使用でき、別のグループに追加できます。
  2. --external オプションを ipa group-add コマンドに追加して、Active Directory ユーザーの IdM ドメインに外部グループを作成します。--external オプションは、このグループに IdM ドメイン外からのメンバーが含まれるように指定します。以下に例を示します。 
    [root@ipaserver ~]# ipa group-add --desc='AD users external map' ad_users_external --external
-------------------------------
Added group "ad_users_external"
-------------------------------
  Group name: ad_users_external
  Description: AD users external map
    注記
    外部グループは、ユーザーのプライマリーグループではなく、ユーザーの追加のグループにリンクする必要があります。Active Directory はグループの member 属性にグループメンバーを保存し、IdM はこの属性を使用してメンバーを解決します。ただし、Active Directory はユーザーのプライマリーグループをユーザーのエントリーの primaryGroupID 属性に保存しますが、これは解決されません。
  3. 新しい IdM POSIX グループを作成するか、IdM ポリシーを管理する既存のものを選択します。たとえば、新規グループを作成するには、次のコマンドを実行します。 
    [root@ipaserver ~]# ipa group-add --desc='AD users' ad_users
----------------------
Added group "ad_users"
----------------------
  Group name: ad_users
  Description: AD users
  GID: 129600004
  4. AD ユーザーまたはグループを外部メンバーとして IdM 外部グループに追加します。AD メンバーは、DOMAIN\group_nameDOMAIN\username などの完全修飾名で識別されます。AD アイデンティティーは、ユーザーまたはグループの Active Directory SID にマッピングされます。
    たとえば、AD グループの場合は、以下のようになります。 
    [root@ipaserver ~]# ipa group-add-member ad_users_external --external "AD\Domain Users"
 [member user]:
 [member group]:
  Group name: ad_users_external
  Description: AD users external map
  External member: S-1-5-21-3655990580-1375374850-1633065477-513 SID_DOM_GROUP (2)
-------------------------
Number of members added 1
-------------------------
  5. 外部 IdM グループをメンバーとして POSIX IdM グループに追加します。以下に例を示します。 
    [root@ipaserver ~]# ipa group-add-member ad_users --groups ad_users_external
  Group name: ad_users
  Description: AD users
  GID: 129600004
  Member groups: ad_users_external
-------------------------
Number of members added 1
-------------------------
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.