43.3. ホストの登録に必要なユーザー権限
ホスト登録操作では、権限のないユーザーが不要なマシンを IdM ドメインに追加しないように、認証が必要になります。必要な特権は、次のようないくつかの要因によって異なります。
-
ホストエントリーが
ipa-client-installの実行とは別に作成される場合 - ワンタイムパスワード (OTP) が登録に使用される場合
必要に応じて IdM LDAP にホストエントリーを手動で作成するためのユーザー特権
CLI コマンド ipa host-add または IdM Web UI を使用して、IdM LDAP にホストエントリーを作成するのに必要なユーザー特権は ホストの管理者 です。ホスト管理者 の特権は、IT スペシャリスト ロールから取得できます。
クライアントを IdM ドメインに参加させるためのユーザー特権
ホストは、ipa-client-install コマンドの実行時に IdM クライアントとして設定されます。ipa-client-install コマンドの実行に必要な認証情報のレベルは、以下のような登録シナリオのどれに該当するかによって異なります。
-
IdM LDAP のホストエントリーが存在しません。このシナリオでは、管理者の完全な認証情報または
ホスト管理者ロールが必要です。完全な管理者とはadminsグループのメンバーです。ホスト管理者ロールは、ホストの追加およびホストの登録の特権を提供します。このシナリオの詳細は ユーザー認証情報を使用したクライアントのインストール: 対話的なインストール を参照してください。 -
IdM LDAP のホストエントリーが存在します。このシナリオでは、
ipa-client-installを正常に実行するには、制限された管理者の認証情報が必要です。この場合、制限されている管理者には、ホストの登録特権を提供する登録管理者ロールがあります。詳細は ユーザー認証情報を使用したクライアントのインストール: 対話的なインストール を参照してください。 -
IdM LDAP にホストエントリーが存在し、完全または限定された管理者により、ホストの OTP が生成されました。このシナリオでは、正しい OTP を指定して
--passwordオプションを指定してipa-client-installコマンドを実行すると、通常のユーザーとして IdM クライアントをインストールできます。詳細は ワンタイムパスワードでクライアントのインストール: 対話的なインストール を参照してください。
登録後、IdM ホストは、IdM リソースにアクセスできるように、新しいセッションをすべて認証します。IdM サーバーがマシンを信頼し、そのマシンにインストールされているクライアントソフトウェアからの IdM 接続を受け入れるには、マシン認証が必要です。クライアントを認証すると、IdM サーバーはそのリクエストに応答できます。
