36.3. ID ビューを使用して IdM クライアント上の AD ユーザーの Default Trust View の属性をオーバーライドする
Active Directory (AD) ユーザーのデフォルト信頼ビューから、いくつかの POSIX 属性をオーバーライドすることもできます。たとえば、ある特定の IdM クライアントで AD ユーザーに異なる GID を与える必要がある場合があります。ID ビューを使用して、AD ユーザーのデフォルト信頼ビューの値をオーバーライドし、単一のホストにそれを適用することができます。この手順では、host1.idm.example.com
IdM クライアントの ad_user@ad.example.com
AD ユーザーの GID を 732001337 に設定する方法を説明します。
前提条件
-
host1.idm.example.com
IdM クライアントへの root アクセス権限がある。 -
必要な権限を持つユーザー (例:
admin
ユーザー) としてログインしている。
手順
ID ビューを作成します。たとえば、example_for_host1 という名前の ID ビューを作成するには、次のコマンドを実行します。
$ ipa idview-add example_for_host1 --------------------------- Added ID View "example_for_host1" --------------------------- ID View Name: example_for_host1
ユーザーの上書きを example_for_host1 ID ビューに追加します。ユーザーの GID をオーバーライドするには、以下を実行します。
-
ipa idoverrideuser-add
コマンドを入力します。 - ID ビューの名前を追加します。
- ユーザー名 (アンカーとも呼ばれます) を追加します。
-
--gidnumber=
オプションを追加します。
$ ipa idoverrideuser-add example_for_host1 ad_user@ad.example.com --gidnumber=732001337 ----------------------------- Added User ID override "ad_user@ad.example.com" ----------------------------- Anchor to override: ad_user@ad.example.com GID: 732001337
-
example_for_host1
をhost1.idm.example.com
IdM クライアントに適用します。$ ipa idview-apply example_for_host1 --hosts=host1.idm.example.com ----------------------------- Applied ID View "example_for_host1" ----------------------------- hosts: host1.idm.example.com --------------------------------------------- Number of hosts the ID View was applied to: 1 ---------------------------------------------
注記ipa idview-apply
コマンドでは、--hostgroups
オプションも使用できます。このオプションは、ID ビューを、指定のホストグループに所属するホストに適用しますが、ホストグループ自体との関連付けは行いません。代わりに、--hostgroups
オプションは指定されたホストグループのメンバーを拡張して、--hosts
オプションを個別にすべて適用します。つまり、今後ホストがホストグループに追加されても、ID ビューは新しいホストには適用されません。
host1.idm.example.com
IdM クライアントの SSSD キャッシュから、ad_user@ad.example.com
ユーザーのエントリーをクリアします。これにより、古いデータが削除され、新しいオーバーライド値が適用されるようになります。[root@host1 ~]# sssctl cache-expire -u ad_user@ad.example.com
検証手順
ad_user@ad.example.com として、host1 に
SSH
で接続します。[root@r8server ~]# ssh ad_user@ad.example.com@host1.idm.example.com
ad_user@ad.example.com
ユーザーの情報を取得して、GID が更新された値を反映することを確認します。[ad_user@ad.example.com@host1 ~]$ id ad_user@ad.example.com uid=702801456(ad_user@ad.example.com) gid=732001337(admins2) groups=732001337(admins2),702800513(domain users@ad.example.com)