87.2. IdM を管理する AD ユーザーを有効にする ID オーバーライドの使用
AD ユーザーの ID オーバーライドを作成して使用し、そのユーザーに IdM ユーザーと同じ権限を付与するには、次の手順に従います。この手順は、信頼コントローラーまたは信頼エージェントとして設定した IdM サーバーで行います。
前提条件
Identity Management (IdM) サーバーで
idm:DL1ストリームが有効になっていて、このストリームで配信される RPM に切り替えている。# yum module enable idm:DL1 # yum distro-sync
idm:DL1/adtrustプロファイルが IdM サーバーにインストールされている。# yum module install idm:DL1/adtrustプロファイルには、Active Directory (AD) との信頼関係を持つ IdM サーバーのインストールに必要なすべてのパッケージが含まれています。
- 作業用の IdM 環境が設定されている。詳細は、Identity Management のインストール を参照してください。
- IdM 環境と AD との間の信頼関係が設定されて動作している。
手順
IdM 管理者として、Default Trust View で AD ユーザーの ID オーバーライドを作成します。たとえば、ユーザー
ad_user@ad.example.comの ID オーバーライドを作成するには、次のコマンドを実行します。# kinit admin # ipa idoverrideuser-add 'default trust view' ad_user@ad.example.com
Default Trust View から IdM グループのメンバーとして ID オーバーライドを追加します。これは、Active Directory と対話するため、POSIX 以外のグループである必要があります。
対象のグループが IdM ロールのメンバーである場合、ID オーバーライドによって表される AD ユーザーは、IdM API (コマンドラインインターフェイス、IdM の Web UI など) の使用時に、ロールにより付与されたすべての権限を取得します。
たとえば、
ad_user@ad.example.comユーザーの ID オーバーライドを IdMadminsグループに追加するには、次のコマンドを実行します。# ipa group-add-member admins --idoverrideusers=ad_user@ad.example.comまたは、User Administrator ロールなどのロールに ID オーバーライドを追加することもできます。
# ipa role-add-member 'User Administrator' --idoverrideusers=ad_user@ad.example.com
