第36章 ID ビューを使用した IdM クライアントのユーザー属性値のオーバーライド
IdM LDAP サーバーに保存されているユーザー属性またはグループ属性 (ログイン名、ホームディレクトリー、認証に使用する証明書、SSH
鍵など) を Identity Management (IdM) ユーザーがオーバーライドする場合、IdM 管理者は、IdM ID ビューを使用して特定の IdM クライアントの値を再定義できます。たとえば、IdM へのログインに最も一般的に使用される IdM クライアントのユーザーに、別のホームディレクトリーを指定できます。
本章では、クライアントとして IdM に登録されたホストで IdM ユーザーに関連付けられた POSIX 属性値を再定義する方法を説明します。
36.1. ID ビュー
Identity Management (IdM) の ID ビューは、以下の情報を指定する IdM クライアント側のビューです。
- 一元定義された POSIX ユーザーまたはグループ属性の新しい値
- 新しい値が適用されるクライアントホスト。
ID ビューには、1 つ以上の上書きが含まれます。オーバーライドは、一元管理された POSIX 属性値の特定の代替です。
IdM サーバーでは、IdM クライアントに ID ビューのみを定義できます。IdM クライアントにクライアント側の上書きをローカルで設定することはできません。
たとえば、ID ビューを使用して、以下の目的を達成できます。
-
環境ごとに異なる属性値を定義する。たとえば、IdM 管理者または別の IdM ユーザーに、IdM クライアントごとに異なるホームディレクトリーを指定できます。ある IdM クライアントのユーザーのホームディレクトリーとして
/home/encrypted/username
を、別のクライアントでは/dropbox/username
を設定できます。代わりに、この状況で ID ビューを使用すると便利です。たとえば、クライアントの/etc/sssd/sssd.conf
ファイルにあるfallback_homedir
、override_homedir
または他のホームディレクトリー変数を変更すると、すべてのユーザーに影響します。手順例は、IdM クライアントで IdM ユーザーのホームディレクトリーをオーバーライドする ID ビューの追加を参照してください。 - 以前に生成された属性値は、ユーザーの UID の上書きなど、別の値に置き換えます。この機能は、たとえば、IdM ユーザーの UID を 1009 にするなど、通常は LDAP で行うのが困難なシステム全体の変更を実現する場合に便利です。IdM ユーザー UID の生成に使用される IdM ID 範囲は、1000 や 10000 程度の小さい値からは開始されません。IdM ユーザーがすべての IdM クライアントで UID 1009 のローカルユーザーの権限を借用する理由が存在する場合は、ID ビューを使用して、IdM でユーザーが作成したときに生成された IdM ユーザーの UID をオーバーライドできます。
ID ビューは、IdM サーバーではなく、IdM クライアントにのみ適用できます。