21.12. IdM でのローカルグループとリモートグループのグループマージの有効化
グループは、Identity Management (IdM) や Active Directory (AD) などのドメインによって提供されて一元管理されるか、ローカルシステムの etc/group
ファイルで管理されます。ほとんどの場合、ユーザーは一元管理されたストアに依存しています。しかし、ソフトウェアによっては、現在も既知のグループのメンバーシップに基づいてアクセス制御を管理している場合があります。
ドメインコントローラーおよびローカルの etc/group
ファイルのグループを管理する場合は、グループのマージを有効にすることができます。ローカルファイルとリモートサービスの両方を確認するように nsswitch.conf
ファイルを設定できます。グループが両方に存在する場合、メンバーユーザーのリストが結合され、単一の応答で返されます。
以下の手順では、ユーザー idmuser のグループのマージを有効にする方法について説明します。
手順
/etc/nsswitch.conf
ファイルに[SUCCESS=merge]
を追加します。# Allow initgroups to default to the setting for group. initgroups: sss [SUCCESS=merge] files
idmuser を IdM に追加します。
# ipa user-add idmuser First name: idm Last name: user --------------------- Added user "idmuser" --------------------- User login: idmuser First name: idm Last name: user Full name: idm user Display name: idm user Initials: tu Home directory: /home/idmuser GECOS: idm user Login shell: /bin/sh Principal name: idmuser@IPA.TEST Principal alias: idmuser@IPA.TEST Email address: idmuser@ipa.test UID: 19000024 GID: 19000024 Password: False Member of groups: ipausers Kerberos keys available: False
ローカルの
audio
グループの GID を確認します。$ getent group audio --------------------- audio:x:63
audio
グループを IdM に追加します。$ ipa group-add audio --gid 63 ------------------- Added group "audio" ------------------- Group name: audio GID: 63
注記audio
グループを IdM に追加するときに定義する GID は、ローカルのaudio
グループの GID と同じである必要があります。idmuser ユーザーを IdM の
audio
グループに追加します。$ ipa group-add-member audio --users=idmuser Group name: audio GID: 63 Member users: idmuser ------------------------- Number of members added 1 -------------------------
検証
- idmuser としてログインします。
idmuser のセッションにローカルグループがあることを確認します。
$ id idmuser uid=1867800003(idmuser) gid=1867800003(idmuser) groups=1867800003(idmuser),63(audio),10(wheel)