第11章 ユーザーの外部プロビジョニングのための IdM 設定
システム管理者は、Identity Management (IdM) が、ID 管理用の外部ソリューションでユーザーのプロビジョニングをサポートするように設定できます。
ipa
ユーティリティーを使用する代わりに、外部プロビジョニングシステムの管理者は ldapmodify
ユーティリティーを使用して IdM LDAP にアクセスできます。管理者は、ldapmodify を使用して CLI から、または LDIF ファイル を使用して、個々のステージユーザーを追加できます。
IdM 管理者が外部プロビジョニングシステムを完全に信頼して、検証済みのユーザーだけを追加することを前提とします。ただし、新たにアクティブユーザーを直接追加できるように、外部プロビジョニングシステムの管理者に User Administrator
の IdM ロールを割り当てなくても構いません。
外部プロビジョニングシステムで作成されたステージユーザーを自動的にアクティブユーザーに移動するように スクリプトを設定 できます。
本章には、以下の項が含まれます。
- Identity Management (IdM) の準備 して外部プロビジョニングシステムを使用してステージユーザーを IdM に追加する。
- 外部プロビジョニングシステムが追加したユーザーをステージユーザーからアクティブユーザーに移動する スクリプトを作成 する。
外部プロビジョニングシステムを使用して IdM ステージユーザーを追加する。これには 2 つの方法があります。
11.1. ステージユーザーアカウントの自動アクティベーションに向けた IdM アカウントの準備
以下の手順では、外部プロビジョニングシステムが使用する 2 つの IdM ユーザーアカウントを設定する方法を説明します。適切なパスワードポリシーが指定されたグループにアカウントを追加すると、外部プロビジョニングシステムが IdM でユーザーのプロビジョニングを管理できるようになります。以下では、ステージユーザーの追加用に外部システムが使用するユーザーアカウントには provisionator という名前が付けられます。ステージユーザーを自動アクティベートする時に使用されるユーザーアカウントは activator という名前です。
前提条件
- 以下の手順を実行するホストが IdM に登録されている。
手順
IdM 管理者としてログインします。
$ kinit admin
ステージユーザーを追加する特権指定して provisionator という名前のユーザーを作成します。
- provisionator ユーザーアカウントを追加します。
$ ipa user-add provisionator --first=provisioning --last=account --password
provisionator ユーザーに必要な特権を割り当てます。
ステージユーザーの追加を管理する
System Provisioning
というカスタムロールを作成します。$ ipa role-add --desc "Responsible for provisioning stage users" "System Provisioning"
Stage User Provisioning
の特権をロールに追加します。この特権により、ステージユーザーを追加できます。$ ipa role-add-privilege "System Provisioning" --privileges="Stage User Provisioning"
provisionator ユーザーをロールに追加します。
$ ipa role-add-member --users=provisionator "System Provisioning"
- provisionator が IdM に存在することを確認します。
$ ipa user-find provisionator --all --raw -------------- 1 user matched -------------- dn: uid=provisionator,cn=users,cn=accounts,dc=idm,dc=example,dc=com uid: provisionator [...]
ユーザーアカウントを管理する特権を指定して activator ユーザーを作成します。
activator ユーザーアカウントを追加します。
$ ipa user-add activator --first=activation --last=account --password
デフォルトの
User Administrator
ロールにユーザーを追加して、activator ユーザーに必要な特権を付与します。$ ipa role-add-member --users=activator "User Administrator"
アプリケーションアカウントのユーザーグループを作成します。
$ ipa group-add application-accounts
グループのパスワードポリシーを更新します。以下のポリシーは、アカウントのパスワードの有効期限やロックアウトを防ぎますが、複雑なパスワードを必要とすることでリスクの可能性を低減します。
$ ipa pwpolicy-add application-accounts --maxlife=10000 --minlife=0 --history=0 --minclasses=4 --minlength=8 --priority=1 --maxfail=0 --failinterval=1 --lockouttime=0
オプション: IdM にパスワードポリシーが存在することを確認します。
$ ipa pwpolicy-show application-accounts Group: application-accounts Max lifetime (days): 10000 Min lifetime (hours): 0 History size: 0 [...]
アプリケーションアカウントのグループにプロビジョニングアカウントおよびアクティベーションアカウントを追加します。
$ ipa group-add-member application-accounts --users={provisionator,activator}
ユーザーアカウントのパスワードを変更します。
$ kpasswd provisionator $ kpasswd activator
新しい IdM ユーザーのパスワードはすぐに失効するため、パスワードの変更が必要になります。
関連情報:
- コマンドラインを使用したユーザーアカウントの管理 を参照してください。
- Delegating Permissions over Users を参照してください。
- IdM パスワードポリシーの定義 を参照してください。