IdM ユーザー、グループ、ホスト、およびアクセス制御ルールの管理

手順

1. 端末を開き、IdM サーバーに接続します。

2. ヘルプに記載されているトピックのリストを表示するには、ipa help topics を実行します。

   $ ipa help topics

   Copy to Clipboard Toggle word wrap

3. トピックの 1 つを選択し、ipa help [topic_name] のパターンに従ってコマンドを作成します。topic_name 文字列の代わりに、前の手順でリストしたトピックの 1 つを追加します。

   この例では、user トピックを使用します。

   $ ipa help user

   Copy to Clipboard Toggle word wrap

4. (オプション) IPA ヘルプの出力が長すぎてテキスト全体を表示できない場合は、次の構文を使用します。

   $ ipa help user | less

   Copy to Clipboard Toggle word wrap

   下にスクロールすると、ヘルプ全体を読むことができます。

手順

1. 端末を開き、IdM サーバーに接続します。

2. ヘルプで使用できるコマンドのリストを表示するには、ipa help commands コマンドを実行します。

   $ ipa help commands

   Copy to Clipboard Toggle word wrap

3. コマンドの 1 つを選択し、ipa help <COMMAND> のパターンに従ってヘルプコマンドを作成します。<COMMAND> 文字列の代わりに、前の手順でリストしたコマンドの 1 つを追加します。

   $ ipa help user-add

   Copy to Clipboard Toggle word wrap

手順

1. 端末を開き、IdM サーバーに接続します。

2. ユーザーのログイン、ユーザーの名前、および名字を追加します。メールアドレスを追加することもできます。

   $ ipa user-add user_login --first=first_name --last=last_name --email=email_address

   Copy to Clipboard Toggle word wrap

   IdM は、以下の正規表現で説明できるユーザー名をサポートします。

   [a-zA-Z0-9_.][a-zA-Z0-9_.-]{0,252}[a-zA-Z0-9_.$-]?

   Copy to Clipboard Toggle word wrap
   注記

   ユーザー名の末尾がドル記号 ($) で終わる場合は、Samba 3.x マシンでのサポートが有効になります。

   大文字を含むユーザー名を追加すると、IdM が名前を保存する際に自動的に小文字に変換されます。したがって、IdM にログインする場合は、常にユーザー名を小文字で入力する必要があります。また、user と User など、大文字と小文字のみが異なるユーザー名を追加することはできません。

   ユーザー名のデフォルトの長さは、最大 32 文字です。これを変更するには、ipa config-mod --maxusername コマンドを使用します。たとえば、ユーザー名の最大長を 64 文字にするには、次のコマンドを実行します。

   $ ipa config-mod --maxusername=64
    Maximum username length: 64
    ...

   Copy to Clipboard Toggle word wrap

   ipa user-add コマンドには、多くのパラメーターが含まれます。リストを表示するには、ipa help コマンドを使用します。

   $ ipa help user-add

   Copy to Clipboard Toggle word wrap

   ipa help コマンドの詳細は、IPA のヘルプとは を参照してください。

手順

1. 端末を開き、IdM サーバーに接続します。

2. 次のコマンドでユーザーアカウントをアクティブ化します。

   $ ipa stageuser-activate user_login
   -------------------------
   Stage user user_login activated
   -------------------------
   ...

   Copy to Clipboard Toggle word wrap

手順

1. 端末を開き、IdM サーバーに接続します。

2. 次のコマンドで、ユーザーアカウントを保存します。

   $ ipa user-del --preserve user_login
   --------------------
   Deleted user "user_login"
   --------------------

   Copy to Clipboard Toggle word wrap
   注記

   ユーザーアカウントが削除されたという出力が表示されたにもかかわらず、アカウントは保持されています。

手順

1. 端末を開き、IdM サーバーに接続します。

2. 次のコマンドで、ユーザーアカウントを削除します。

   $ ipa user-del user_login
   --------------------
   Deleted user "user_login"
   --------------------

   Copy to Clipboard Toggle word wrap

手順

1. 端末を開き、IdM サーバーに接続します。

2. 次のコマンドでユーザーアカウントをアクティブ化します。

   $ ipa user-undel user_login
   ------------------------------
   Undeleted user account "user_login"
   ------------------------------

   Copy to Clipboard Toggle word wrap

   または、ユーザーアカウントをステージユーザーとして復元することもできます。

   $ ipa user-stage user_login
   ------------------------------
   Staged user account "user_login"
   ------------------------------

   Copy to Clipboard Toggle word wrap

手順

1. IdM Web UI にログインします。

2. Users → Stage Users タブに移動します。

   または、Users → Active users でユーザーアカウントを追加することもできますが、アカウントにユーザーグループを追加することはできません。

3. + Add アイコンをクリックします。

4. オプション: User login フィールドにログイン名を追加します。

   空のままにすると、IdM サーバーは、名字の前に、名前の最初の 1 文字が追加された形式で、ログイン名を作成します。ログイン名には、32 文字まで使用できます。

5. 新しいユーザーの First name と Last name を入力します。

6. オプション: GID ドロップダウンメニューで、ユーザーを含めるグループを選択します。

   このオプションは、Active Users ダイアログボックスでのみ使用できることに注意してください。

7. オプション: Password フィールドと Verify password フィールドにパスワードを入力して確定し、両方が一致していることを確認します。
8. Add ボタンをクリックします。

手順

1. IdM Web UI にログインします。
2. Users → Stage users タブに移動します。
3. 有効にするユーザーアカウントのチェックボックスをクリックします。
4. Activate ボタンをクリックします。
5. Confirmation ダイアログボックスで OK をクリックします。

手順

1. IdM Web UI にログインします。
2. Users → Active users タブに移動します。
3. 無効にするユーザーアカウントのチェックボックスをクリックします。
4. Disable ボタンをクリックします。
5. Confirmation ダイアログボックスで OK ボタンをクリックします。

手順

1. IdM Web UI にログインします。
2. Users → Active users タブに移動します。
3. 有効にするユーザーアカウントのチェックボックスをクリックします。
4. Enable ボタンをクリックします。
5. Confirmation ダイアログボックスで OK ボタンをクリックします。

手順

1. IdM Web UI にログインします。
2. Users → Active users タブに移動します。
3. 保存するユーザーアカウントのチェックボックスをクリックします。
4. Delete ボタンをクリックします。
5. Remove users ダイアログボックスで、preserve をクリックします。
6. Delete ボタンをクリックします。

手順

1. IdM Web UI にログインします。
2. Users → Preserved users タブに移動します。
3. 復元するユーザーアカウントのチェックボックスをクリックします。
4. Restore ボタンをクリックします。
5. Confirmation ダイアログボックスで、OK ボタンをクリックします。

手順

1. IdM Web UI にログインします。

2. Users → Active users タブに移動します。

   Users → Stage users または Users → Preserved users でユーザーアカウントを削除することもできます。

3. Delete アイコンをクリックします。
4. Remove users ダイアログボックスで、delete をクリックします。
5. Delete ボタンをクリックします。

手順

1. inventory.file などのインベントリーファイルを作成して、そのファイルに ipaserver を定義します。

   [ipaserver]
   server.idm.example.com

   Copy to Clipboard Toggle word wrap

2. IdM に存在させるユーザーのデータを指定して Ansible Playbook ファイルを作成します。この手順は、/usr/share/doc/ansible-freeipa/playbooks/user/add-user.yml ファイルのサンプルをコピーして変更し、簡素化できます。たとえば、idm_user という名前のユーザーを作成し、Password123 をユーザーパスワードとして追加するには、次のコマンドを実行します。

   ---
   - name: Playbook to handle users
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Create user idm_user
       ipauser:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: idm_user
         first: Alice
         last: Acme
         uid: 1000111
         gid: 10011
         phone: "+555123457"
         email: idm_user@acme.com
         passwordexpiration: "2023-01-19 23:59:59"
         password: "Password123"
         update_password: on_create

   Copy to Clipboard Toggle word wrap

   ユーザーを追加するには、以下のオプションを使用する必要があります。

   • name: ログイン名
   • first: 名前 (名) の文字列
   • last: 名前 (姓) の文字列

   利用可能なユーザーオプションの完全なリストは、/usr/share/doc/ansible-freeipa/README-user.md Markdown ファイルを参照してください。

   注記

   update_password: on_create オプションを使用する場合には、Ansible はユーザー作成時にのみユーザーパスワードを作成します。パスワードを指定してユーザーが作成されている場合には、Ansible では新しいパスワードは生成されません。

3. Playbook を実行します。

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-IdM-user.yml

   Copy to Clipboard Toggle word wrap

手順

1. inventory.file などのインベントリーファイルを作成して、そのファイルに ipaserver を定義します。

   [ipaserver]
   server.idm.example.com

   Copy to Clipboard Toggle word wrap

2. IdM に存在させるユーザーのデータを指定して Ansible Playbook ファイルを作成します。この手順は、/usr/share/doc/ansible-freeipa/playbooks/user/ensure-users-present.yml ファイルのサンプルをコピーして変更し、簡素化できます。たとえば、ユーザー idm_user_1、idm_user_2、idm_user_3 を作成し、idm_user_1 のパスワードを Password123 として追加します。

   ---
   - name: Playbook to handle users
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Create user idm_users
       ipauser:
         ipaadmin_password: "{{ ipaadmin_password }}"
         users:
         - name: idm_user_1
           first: Alice
           last: Acme
           uid: 10001
           gid: 10011
           phone: "+555123457"
           email: idm_user@acme.com
           passwordexpiration: "2023-01-19 23:59:59"
           password: "Password123"
         - name: idm_user_2
           first: Bob
           last: Acme
           uid: 100011
           gid: 10011
         - name: idm_user_3
           first: Eve
           last: Acme
           uid: 1000111
           gid: 10011

   Copy to Clipboard Toggle word wrap
   注記

   update_password: on_create オプションを指定しないと、Ansible は Playbook が実行されるたびにユーザーパスワードを再設定します。最後に Playbook が実行されてからユーザーがパスワードを変更した場合には、Ansible はパスワードを再設定します。

3. Playbook を実行します。

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-users.yml

   Copy to Clipboard Toggle word wrap

手順

1. inventory.file などのインベントリーファイルを作成して、そのファイルに ipaserver を定義します。

   [ipaserver]
   server.idm.example.com

   Copy to Clipboard Toggle word wrap
2. 必要なタスクが含まれる Ansible Playbook ファイルを作成します。存在させるユーザーのデータが指定された JSON ファイルを参照します。この手順を簡略化するには、/usr/share/doc/ansible-freeipa/README-user.md ファイル内の例をコピーして変更します。

1. users.json ファイルを作成し、IdM ユーザーを追加します。この手順を簡略化するには、/usr/share/doc/ansible-freeipa/README-user.md ファイル内の例をコピーして変更します。たとえば、ユーザー idm_user_1、idm_user_2、idm_user_3 を作成し、idm_user_1 のパスワードを Password123 として追加します。

   {
     "users": [
      {
       "name": "idm_user_1",
       "first": "First 1",
       "last": "Last 1",
       "password": "Password123"
      },
      {
       "name": "idm_user_2",
       "first": "First 2",
       "last": "Last 2"
      },
      {
       "name": "idm_user_3",
       "first": "First 3",
       "last": "Last 3"
      }
     ]
   }

   Copy to Clipboard Toggle word wrap

2. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-users-present-jsonfile.yml

   Copy to Clipboard Toggle word wrap

手順

1. inventory.file などのインベントリーファイルを作成して、そのファイルに ipaserver を定義します。

   [ipaserver]
   server.idm.example.com

   Copy to Clipboard Toggle word wrap

2. IdM に存在させないユーザーを指定して Ansible Playbook ファイルを作成します。この手順は、/usr/share/doc/ansible-freeipa/playbooks/user/ensure-users-present.yml ファイルのサンプルをコピーして変更し、簡素化できます。たとえば、ユーザー idm_user_1、idm_user_2、idm_user_3 を削除するには、次のコマンドを実行します。

   ---
   - name: Playbook to handle users
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Delete users idm_user_1, idm_user_2, idm_user_3
       ipauser:
         ipaadmin_password: "{{ ipaadmin_password }}"
         users:
         - name: idm_user_1
         - name: idm_user_2
         - name: idm_user_3
         state: absent

   Copy to Clipboard Toggle word wrap

3. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/delete-users.yml

   Copy to Clipboard Toggle word wrap

1. 管理者として ipaserver にログインします。

   $ ssh administrator@server.idm.example.com
   Password:
   [admin@server /]$

   Copy to Clipboard Toggle word wrap

2. idm_user_1 に関する要求情報:

   $ ipa user-show idm_user_1
   ipa: ERROR: idm_user_1: user not found

   Copy to Clipboard Toggle word wrap

   idm_user_1 という名前のユーザーは IdM に存在しません。

手順

1. IPA Server タブを開きます。
2. Configuration サブタブを選択します。

3. User Options エリアまでスクロールします。

   

4. Default IdM user object classes テーブルにリスト表示されるすべてのオブジェクトクラスを保持します。

   重要

   IdM に必要なオブジェクトクラスが含まれていないと、後でユーザーエントリーを追加しようとしたときに、オブジェクトクラス違反で失敗します。

5. ユーザーエリアの下部にある Add をクリックして、新しいフィールドを表示します。

   

6. 追加するユーザーオブジェクトクラスの名前を入力します。
7. Configuration ページの上部にある Save をクリックします。

手順

1. IPA Server タブを開きます。
2. Configuration サブタブを選択します。
3. Group Options エリアを見つけます。

4. デフォルトの IdM グループオブジェクトクラスを保持します。

   重要

   IdM に必要なグループオブジェクトクラスが含まれていないと、後でグループエントリーを追加しようとしたときに、オブジェクトクラス違反で失敗します。

5. Add をクリックして、新しいフィールドを表示します。

   

6. 追加するグループオブジェクトクラスの名前を入力します。
7. Configuration ページの上部にある Save をクリックします。

手順

1. IPA Server タブを開きます。
2. Configuration サブタブを選択します。

3. User Options セクションに、確認および編集できるフィールドが複数あります。

   

4. たとえば、将来の IdM ユーザーのデフォルトシェルを /bin/sh から /bin/bash に変更するには、Default shell フィールドを見つけて、/bin/sh を /bin/bash に置き換えます。

5. Group Options セクションでは、Group search fields フィールドの確認と編集のみが可能です。

   

6. 画面上部の Save ボタンをクリックします。

   新しく保存した設定は、将来の IdM ユーザーおよびグループアカウントに適用されます。現在のアカウントは変更されません。

手順

1. 右上隅にある、IdM Web UI にログインしているユーザーの名前をクリックします。
2. Change password を選択します。
3. 現在のパスワードを入力します。
4. New Password フィールドに新しいパスワードを入力します。
5. Verify Password フィールドに新しいパスワードを入力して確認します。
6. Reset Password をクリックします。

手順

1. Identity>Users を選択します。
2. 編集するユーザー名をクリックします。
3. Actions をクリックし、Reset password を選択します。
4. New Password フィールドに新しいパスワードを入力します。
5. Verify Password フィールドに新しいパスワードを入力して確認します。
6. Reset Password をクリックします。

手順

1. pwdhash コマンドを使用して、新しいパスワードハッシュを生成します。以下に例を示します。

   # pwdhash -D /etc/dirsrv/slapd-IDM-EXAMPLE-COM password
   {PBKDF2_SHA256}AAAgABU0bKhyjY53NcxY33ueoPjOUWtl4iyYN5uW...

   Copy to Clipboard Toggle word wrap

   Directory Server 設定へのパスを指定すると、nsslapd-rootpwstoragescheme 属性に設定されたパスワードストレージスキームが自動的に使用され、新しいパスワードを暗号化します。

2. トポロジー内のすべての IdM サーバーで、以下の手順を実行します。

   1. サーバーにインストールされている IdM サービスをすべて停止します。

      # ipactl stop

      Copy to Clipboard Toggle word wrap

   2. /etc/dirsrv/IDM-EXAMPLE-COM/dse.ldif ファイルーを編集し、nsslapd-rootpw 属性を、pwdhash コマンドで生成された値に設定します。

      nsslapd-rootpw: {PBKDF2_SHA256}AAAgABU0bKhyjY53NcxY33ueoPjOUWtl4iyYN5uW...

      Copy to Clipboard Toggle word wrap
   3. サーバーにインストールされている IdM サービスをすべて起動します。

   # ipactl start

   Copy to Clipboard Toggle word wrap

1. ldapmodify コマンドを実行して、LDAP エントリーを変更します。IdM サーバーの名前と 389 ポートを指定し、Enter キーを押します。

   $ ldapmodify -x -D "cn=Directory Manager" -W -h server.idm.example.com -p 389
   Enter LDAP Password:

   Copy to Clipboard Toggle word wrap
2. Directory Manager パスワードを入力します。

3. ipa_pwd_extop パスワード同期エントリーの識別名を入力し、Enter キーを押します。

   dn: cn=ipa_pwd_extop,cn=plugins,cn=config

   Copy to Clipboard Toggle word wrap

4. 変更の modify 型を指定し、Enter キーを押します。

   changetype: modify

   Copy to Clipboard Toggle word wrap

5. LDAP が実行する修正のタイプと、その属性を指定します。Enter キーを押します。

   add: passSyncManagersDNs

   Copy to Clipboard Toggle word wrap

6. passSyncManagersDNs 属性に管理ユーザーアカウントを指定します。属性は多値です。たとえば、admin ユーザーに、Directory Manager の電源をリセットするパスワードを付与するには、次のコマンドを実行します。

   passSyncManagersDNs: \
   uid=admin,cn=users,cn=accounts,dc=example,dc=com

   Copy to Clipboard Toggle word wrap
7. Enter キーを 2 回押して、エントリーの編集を停止します。

手順

1. ユーザーアカウントのステータスを表示して、失敗したログインの数を確認します。

   $ ipa user-status example_user
   -----------------------
   Account disabled: False
   -----------------------
     Server: idm.example.com
     Failed logins: 8
     Last successful authentication: N/A
     Last failed authentication: 20220229080317Z
     Time now: 2022-02-29T08:04:46Z
   ----------------------------
   Number of entries returned 1
   ----------------------------

   Copy to Clipboard Toggle word wrap

2. 特定のユーザーに許可されたログイン試行回数を表示します。

   $ ipa pwpolicy-show --user example_user
     Group: global_policy
     Max lifetime (days): 90
     Min lifetime (hours): 1
     History size: 0
     Character classes: 0
     Min length: 8
     Max failures: 6
     Failure reset interval: 60
     Lockout duration: 600
     Grace login limit: -1

   Copy to Clipboard Toggle word wrap
3. ipa user-status コマンドの出力に表示されているログイン失敗回数と、ipa pwpolicy-show コマンドの出力に表示されている Max failures の数を比較します。ログインに失敗した回数が、許可されている最大ログイン試行回数と等しい場合、ユーザーアカウントはロックされます。

手順

1. 現在有効なパスワードプラグイン機能を表示します。

   # ipa config-show | grep "Password plugin features"
     Password plugin features: AllowNThash, KDC:Disable Last Success

   Copy to Clipboard Toggle word wrap

   この出力は、KDC:Disable Last Success プラグインが有効になっていることを示しています。このプラグインにより、最後に成功した Kerberos 認証試行が ipa user-status 出力に表示されなくなります。

2. 現在有効な ipa config-mod コマンドに、すべての機能の --ipaconfigstring=feature パラメーターを追加します (KDC:Disable Last Success を除く)。

   # ipa config-mod --ipaconfigstring='AllowNThash'

   Copy to Clipboard Toggle word wrap

   このコマンドは、AllowNThash プラグインのみを有効にします。複数の機能を有効にするには、機能ごとに --ipaconfigstring=feature パラメーターを個別に指定します。

3. IdM を再起動します。

   # ipactl restart

   Copy to Clipboard Toggle word wrap

手順

1. inventory.file などのインベントリーファイルを作成し、[ipaserver] セクションに IdM サーバーの FQDN を定義します。

   [ipaserver]
   server.idm.example.com

   Copy to Clipboard Toggle word wrap

2. Ansible Playbook を作成して、存在させるパスワードポリシーを定義します。この手順は、/usr/share/doc/ansible-freeipa/playbooks/pwpolicy/pwpolicy_present.yml ファイルの例をコピーして変更し、簡素化できます。

   ---
   - name: Tests
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure presence of pwpolicy for group ops
       ipapwpolicy:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: ops
         minlife: 7
         maxlife: 49
         history: 5
         priority: 1
         lockouttime: 300
         minlength: 8
         minclasses: 4
         maxfail: 3
         failinterval: 5

   Copy to Clipboard Toggle word wrap

   各変数の意味は、パスワードポリシーの属性 を参照してください。

3. Playbook を実行します。

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory_/new_pwpolicy_present.yml

   Copy to Clipboard Toggle word wrap

手順

1. マネージャー グループのユーザーが提案するすべての新しいパスワードに、ユーザー名の確認を適用します。

   $ ipa pwpolicy-mod --usercheck=True managers

   Copy to Clipboard Toggle word wrap
   注記

   パスワードポリシーの名前を指定しないと、デフォルトの global_policy が変更されます。

2. マネージャー パスワードポリシーで、同一の連続した文字の上限を 2 に設定します。

   $ ipa pwpolicy-mod --maxrepeat=2 managers

   Copy to Clipboard Toggle word wrap

   パスワードに、同一の連続した文字が 2 文字を超える場合は、パスワードが使用できなくなります。たとえば、eR873mUi111YJQ の組み合わせは、連続して 3 つの 1 を含むため、使用できません。

検証

1. test_user という名前のテストユーザーを追加します。

   $ ipa user-add test_user
   First name: test
   Last name: user
   ----------------------------
   Added user "test_user"
   ----------------------------

   Copy to Clipboard Toggle word wrap

2. テストユーザーを マネージャー グループに追加します。

   1. IdM Web UI で、Identity>Groups>User Groups をクリックします。
   2. グループ名の managers をクリックします。
   3. Add をクリックします。
   4. Add users into user group 'managers' ページで、test_user のチェックボックスをオンにします。
   5. > 矢印をクリックして、ユーザーを Prospective 列に移動します。
   6. Add をクリックします。

3. テストユーザーのパスワードをリセットします。

   1. Identity>Users に移動します。
   2. test_user をクリックします。
   3. Actions メニューで、Reset Password をクリックします。
   4. ユーザーの一時パスワードを入力します。

4. test_user の Kerberos Ticket-Granting Ticket (TGT) の取得を試みます。

   1. コマンドラインで、次のコマンドを実行します。

      $ kinit test_user

      Copy to Clipboard Toggle word wrap
   2. 一時パスワードを入力します。

   3. パスワードを変更する必要があることがシステムから通知されます。test_user のユーザー名を含むパスワードを入力します。

      Password expired. You must change it now.
      Enter new password:
      Enter it again:
      Password change rejected: Password not changed.
      Unspecified password quality failure while trying to change password.
      Please try again.

      Copy to Clipboard Toggle word wrap

   4. 入力したパスワードが拒否されたことがシステムから通知されます。連続して 3 文字以上の同一文字を含むパスワードを入力します。

      Password change rejected: Password not changed.
      Unspecified password quality failure while trying to change password.
      Please try again.
      
      Enter new password:
      Enter it again:

      Copy to Clipboard Toggle word wrap

   5. 入力したパスワードが拒否されたことがシステムから通知されます。マネージャー パスワードポリシーの基準を満たすパスワードを入力します。

      Password change rejected: Password not changed.
      Unspecified password quality failure while trying to change password.
      Please try again.
      
      Enter new password:
      Enter it again:

      Copy to Clipboard Toggle word wrap

5. 取得した TGT を表示します。

   $ klist
   Ticket cache: KCM:0:33945
   Default principal: test_user@IDM.EXAMPLE.COM
   
   Valid starting       Expires              Service principal
   07/07/2021 12:44:44  07/08/2021 12:44:44  krbtgt@IDM.EXAMPLE.COM@IDM.EXAMPLE.COM

   Copy to Clipboard Toggle word wrap

手順

1. Ansible Playbook ファイル manager_pwpolicy_present.yml を作成して、存在させるパスワードポリシーを定義します。この手順を簡素化するには、次の例をコピーして変更します。

   ---
   - name: Tests
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure presence of usercheck and maxrepeat pwpolicy for group managers
       ipapwpolicy:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: managers
         usercheck: True
         maxrepeat: 2
         maxsequence: 3

   Copy to Clipboard Toggle word wrap

2. Playbook を実行します。

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory_/manager_pwpolicy_present.yml

   Copy to Clipboard Toggle word wrap

検証

1. test_user という名前のテストユーザーを追加します。

   $ ipa user-add test_user
   First name: test
   Last name: user
   ----------------------------
   Added user "test_user"
   ----------------------------

   Copy to Clipboard Toggle word wrap

2. テストユーザーを マネージャー グループに追加します。

   1. IdM Web UI で、Identity>Groups>User Groups をクリックします。
   2. managers をクリックします。
   3. Add をクリックします。
   4. Add users into user group 'managers' ページで、test_user のチェックボックスをオンにします。
   5. > 矢印をクリックして、ユーザーを Prospective 列に移動します。
   6. Add をクリックします。

3. テストユーザーのパスワードをリセットします。

   1. Identity>Users に移動します。
   2. test_user をクリックします。
   3. Actions メニューで、Reset Password をクリックします。
   4. ユーザーの一時パスワードを入力します。

4. test_user の Kerberos Ticket-Granting Ticket (TGT) の取得を試みます。

   1. コマンドラインで次のコマンドを入力します。

      $ kinit test_user

      Copy to Clipboard Toggle word wrap
   2. 一時パスワードを入力します。

   3. パスワードを変更する必要があることがシステムから通知されます。test_user のユーザー名を含むパスワードを入力します。

      Password expired. You must change it now.
      Enter new password:
      Enter it again:
      Password change rejected: Password not changed.
      Unspecified password quality failure while trying to change password.
      Please try again.

      Copy to Clipboard Toggle word wrap

   4. 入力したパスワードが拒否されたことがシステムから通知されます。連続して 3 文字以上の同一文字を含むパスワードを入力します。

      Password change rejected: Password not changed.
      Unspecified password quality failure while trying to change password.
      Please try again.
      
      Enter new password:
      Enter it again:

      Copy to Clipboard Toggle word wrap

   5. 入力したパスワードが拒否されたことがシステムから通知されます。3 文字を超える単調な文字列を含むパスワードを入力します。たとえば、1234 や fedc などの文字列です。

      Password change rejected: Password not changed.
      Unspecified password quality failure while trying to change password.
      Please try again.
      
      Enter new password:
      Enter it again:

      Copy to Clipboard Toggle word wrap

   6. 入力したパスワードが拒否されたことがシステムから通知されます。マネージャー パスワードポリシーの基準を満たすパスワードを入力します。

      Password change rejected: Password not changed.
      Unspecified password quality failure while trying to change password.
      Please try again.
      
      Enter new password:
      Enter it again:

      Copy to Clipboard Toggle word wrap

5. TGT を取得したことを確認します。これは、有効なパスワードを入力した後にのみ可能です。

   $ klist
   Ticket cache: KCM:0:33945
   Default principal: test_user@IDM.EXAMPLE.COM
   
   Valid starting       Expires              Service principal
   07/07/2021 12:44:44  07/08/2021 12:44:44  krbtgt@IDM.EXAMPLE.COM@IDM.EXAMPLE.COM

   Copy to Clipboard Toggle word wrap

手順

1. epn.conf 設定ファイルを開きます。

   # vi /etc/ipa/epn.conf

   Copy to Clipboard Toggle word wrap

2. 必要に応じて notify_ttls オプションを更新します。デフォルトでは、28、14、7、3 および 1 日以内にパスワードが期限切れになるユーザーに通知します。

   notify_ttls = 28, 14, 7, 3, 1

   Copy to Clipboard Toggle word wrap
   注記

   また、メールが送信されるように、ipa-epn.timer ツールもアクティブ化 する必要があります。

3. SMTP サーバーおよびポートを設定します。

   smtp_server = localhost
   smtp_port = 25

   Copy to Clipboard Toggle word wrap

4. メールで失効通知を送信するメールアドレスを指定します。配信に失敗したメールは以下のアドレスに返されます。

   mail_from = admin-email@example.com

   Copy to Clipboard Toggle word wrap

5. オプション: 暗号化された通信チャネルを使用する場合は、使用する認証情報を指定します。

   • EPN が SMTP サーバーでの認証に使用する証明書を含む単一ファイルへのパスを PEM 形式で指定します。

     smtp_client_cert = /etc/pki/tls/certs/client.pem

     Copy to Clipboard Toggle word wrap
     注記

     EPN は SMTP クライアントです。証明書の目的はクライアント認証であり、安全な SMTP 配信ではありません。

   • 秘密鍵が含まれるファイルへのパスを指定できます。指定しない場合、秘密鍵は証明書ファイルから取得されます。

     smtp_client_key = /etc/pki/tls/certs/client.key

     Copy to Clipboard Toggle word wrap

   • 秘密鍵が暗号化されている場合は、復号化するためのパスワードを指定します。

     smtp_client_key_pass = Secret123!

     Copy to Clipboard Toggle word wrap
6. /etc/ipa/epn.conf ファイルを保存します。

7. --dry-run オプションなしでツールを実行した場合には、EPN ツールをドライランモードで実行し、パスワード失効メールの通知を送信するユーザーのリストを生成します。

   ipa-epn --dry-run
   [
       {
        "uid": "user5",
        "cn": "user 5",
        "krbpasswordexpiration": "2020-04-17 15:51:53",
        "mail": "['user5@ipa.test']"
       }
   ]
   [
       {
        "uid": "user6",
        "cn": "user 6",
        "krbpasswordexpiration": "2020-12-17 15:51:53",
        "mail": "['user5@ipa.test']"
        }
   ]
   The IPA-EPN command was successful

   Copy to Clipboard Toggle word wrap
   注記

   返されたユーザーのリストが非常に大きく、かつ --dry-run オプションなしでツールを実行すると、メールサーバーで問題が発生する可能性があります。

8. ドライランモードで EPN ツールを実行時に返された全ユーザーのリストに失効メールを送信するには、--dry-run オプションをなしで EPN ツールを実行します。

   ipa-epn
   [
     {
        "uid": "user5",
        "cn": "user 5",
        "krbpasswordexpiration": "2020-10-01 15:51:53",
        "mail": "['user5@ipa.test']"
     }
   ]
   [
     {
       "uid": "user6",
       "cn": "user 6",
       "krbpasswordexpiration": "2020-12-17 15:51:53",
       "mail": "['user5@ipa.test']"
     }
   ]
   The IPA-EPN command was successful

   Copy to Clipboard Toggle word wrap

9. EPN を監視システムに追加して、--from-nbdays および --to-nbdays オプションで EPN を呼び出し、特定の時間内に期限切れになるユーザーパスワード数を確認できます。

   # ipa-epn --from-nbdays 8 --to-nbdays 12

   Copy to Clipboard Toggle word wrap
   注記

   --from-nbdays および --to-nbdays で EPN ツールを呼び出すと、自動的にドライランモードで実行されます。

手順

1. EPN メッセージテンプレートを開きます。

   # vi /etc/ipa/epn/expire_msg.template

   Copy to Clipboard Toggle word wrap

2. 必要に応じてテンプレートテキストを更新します。

   Hi {{ fullname }},
   
   Your password will expire on {{ expiration }}.
   
   Please change it as soon as possible.

   Copy to Clipboard Toggle word wrap

   テンプレートでは以下の変数を使用できます。

   • User ID: uid
   • Full name: fullname
   • First name: first
   • Last name: last
   • Password expiration date: expiration
3. メッセージテンプレートファイルを保存します。

手順

1. IdM の 管理者 として Kerberos チケットを取得します。

   [root@idmclient ~]# kinit admin

   Copy to Clipboard Toggle word wrap

2. sudo コマンドの IdM データベースに /usr/sbin/reboot コマンドを追加します。

   [root@idmclient ~]# ipa sudocmd-add /usr/sbin/reboot
   -------------------------------------
   Added Sudo Command "/usr/sbin/reboot"
   -------------------------------------
     Sudo Command: /usr/sbin/reboot

   Copy to Clipboard Toggle word wrap

3. idm_user_reboot という名前の sudo ルールを作成します。

   [root@idmclient ~]# ipa sudorule-add idm_user_reboot
   ---------------------------------
   Added Sudo Rule "idm_user_reboot"
   ---------------------------------
     Rule name: idm_user_reboot
     Enabled: TRUE

   Copy to Clipboard Toggle word wrap

4. /usr/sbin/reboot コマンドを idm_user_reboot ルールに追加します。

   [root@idmclient ~]# ipa sudorule-add-allow-command idm_user_reboot --sudocmds '/usr/sbin/reboot'
     Rule name: idm_user_reboot
     Enabled: TRUE
     Sudo Allow Commands: /usr/sbin/reboot
   -------------------------
   Number of members added 1
   -------------------------

   Copy to Clipboard Toggle word wrap

5. idm_user_reboot ルールを IdM idmclient ホストに適用します。

   [root@idmclient ~]# ipa sudorule-add-host idm_user_reboot --hosts idmclient.idm.example.com
   Rule name: idm_user_reboot
   Enabled: TRUE
   Hosts: idmclient.idm.example.com
   Sudo Allow Commands: /usr/sbin/reboot
   -------------------------
   Number of members added 1
   -------------------------

   Copy to Clipboard Toggle word wrap

6. idm_user アカウントを idm_user_reboot ルールに追加します。

   [root@idmclient ~]# ipa sudorule-add-user idm_user_reboot --users idm_user
   Rule name: idm_user_reboot
   Enabled: TRUE
   Users: idm_user
   Hosts: idmclient.idm.example.com
   Sudo Allow Commands: /usr/sbin/reboot
   -------------------------
   Number of members added 1
   -------------------------

   Copy to Clipboard Toggle word wrap

7. オプション: idm_user_reboot ルールの有効性を定義します。

   1. sudo ルールが有効である時間を定義するには、--setattr sudonotbefore=DATE オプションを指定して ipa sudorule-mod sudo_rule_name コマンドを使用します。DATE 値は、yyyymmddHHMMSSZ 形式に準拠し、明示的に指定される秒数である必要があります。たとえば、idm_user_reboot ルールの有効性の開始を 2025 12:34:00 年 12 月 31 に設定するには、次のコマンドを実行します。

      [root@idmclient ~]# ipa sudorule-mod idm_user_reboot --setattr sudonotbefore=20251231123400Z

      Copy to Clipboard Toggle word wrap

   2. sudo ルールが有効な停止時間を定義するには、--setattr sudonotafter=DATE オプションを使用します。たとえば、idm_user_reboot ルールの有効期間の最後を 2026 12:34:00 年 12 月 31 に設定するには、次のコマンドを実行します。

      [root@idmclient ~]# ipa sudorule-mod idm_user_reboot --setattr sudonotafter=20261231123400Z

      Copy to Clipboard Toggle word wrap

検証

1. idmclient ホストに idm_user アカウントとしてログインします。

2. idm_user アカウントが実行可能な sudo ルールを表示します。

   [idm_user@idmclient ~]$ sudo -l
   Matching Defaults entries for idm_user on idmclient:
       !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
       env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
       env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
       env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
       env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
       env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY KRB5CCNAME",
       secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin
   
   User idm_user may run the following commands on idmclient:
       (root) /usr/sbin/reboot

   Copy to Clipboard Toggle word wrap

3. sudo を使用してマシンを再起動します。プロンプトが表示されたら、idm_user のパスワードを入力します。

   [idm_user@idmclient ~]$ sudo /usr/sbin/reboot
   [sudo] password for idm_user:

   Copy to Clipboard Toggle word wrap

1. AD ユーザーまたはグループを 非 POSIX 外部 IdM グループに追加します。
2. 非 POSIX 外部 IdM グループを IdM POSIX グループに追加します。

手順

1. administrator@ad-domain メンバーを持つ ad_users_external グループを含む ad_users グループを作成します。

   1. オプション: IdM レルムで AD ユーザーを管理するために使用する、AD ドメイン内の対応するグループを作成または選択します。複数の AD グループを使用して、それらを IdM 側の異なるグループに追加できます。

   2. ad_users_external グループを作成し、--external オプションを追加して、IdM ドメイン外のメンバーが含まれていることを示します。

      [root@ipaserver ~]# ipa group-add --desc='AD users external map' ad_users_external --external
      -------------------------------
      Added group "ad_users_external"
      -------------------------------
        Group name: ad_users_external
        Description: AD users external map

      Copy to Clipboard Toggle word wrap
      注記

      ここで指定する外部グループが、Active Directory セキュリティーグループ ドキュメントで定義されているように、global または universal グループスコープを持つ AD セキュリティーグループであることを確認してください。たとえば、グループスコープが domain local であるため、Domain users または Domain admins AD セキュリティーグループは使用できません。

   3. ad_users グループを作成します。

      [root@ipaserver ~]# ipa group-add --desc='AD users' ad_users
      ----------------------
      Added group "ad_users"
      ----------------------
        Group name: ad_users
        Description: AD users
        GID: 129600004

      Copy to Clipboard Toggle word wrap

   4. administrator@ad-domain.com AD ユーザーを外部メンバーとして ad_users_external に追加します。

      [root@ipaserver ~]# ipa group-add-member ad_users_external --external "administrator@ad-domain.com"
       [member user]:
       [member group]:
        Group name: ad_users_external
        Description: AD users external map
        External member: S-1-5-21-3655990580-1375374850-1633065477-513
      -------------------------
      Number of members added 1
      -------------------------

      Copy to Clipboard Toggle word wrap

      AD ユーザーは、DOMAIN\user_name または user_name@DOMAIN などの完全修飾名で識別される必要があります。次に、AD ID がユーザーの AD SID にマップされます。同じことが AD グループの追加にも当てはまります。

   5. ad_users_external を ad_users にメンバーとして追加します。

      [root@ipaserver ~]# ipa group-add-member ad_users --groups ad_users_external
        Group name: ad_users
        Description: AD users
        GID: 129600004
        Member groups: ad_users_external
      -------------------------
      Number of members added 1
      -------------------------

      Copy to Clipboard Toggle word wrap

2. ad_users のメンバーに、idmclient ホストで /usr/sbin/reboot を実行する権限を付与します。

   1. sudo コマンドの IdM データベースに /usr/sbin/reboot コマンドを追加します。

      [root@idmclient ~]# ipa sudocmd-add /usr/sbin/reboot
      -------------------------------------
      Added Sudo Command "/usr/sbin/reboot"
      -------------------------------------
        Sudo Command: /usr/sbin/reboot

      Copy to Clipboard Toggle word wrap

   2. ad_users_reboot という名前の sudo ルールを作成します。

      [root@idmclient ~]# ipa sudorule-add ad_users_reboot
      ---------------------------------
      Added Sudo Rule "ad_users_reboot"
      ---------------------------------
        Rule name: ad_users_reboot
        Enabled: True

      Copy to Clipboard Toggle word wrap

   3. /usr/sbin/reboot コマンドを ad_users_reboot ルールに追加します。

      [root@idmclient ~]# ipa sudorule-add-allow-command ad_users_reboot --sudocmds '/usr/sbin/reboot'
        Rule name: ad_users_reboot
        Enabled: True
        Sudo Allow Commands: /usr/sbin/reboot
      -------------------------
      Number of members added 1
      -------------------------

      Copy to Clipboard Toggle word wrap

   4. ad_users_reboot ルールを IdM idmclient ホストに適用します。

      [root@idmclient ~]# ipa sudorule-add-host ad_users_reboot --hosts idmclient.idm.example.com
      Rule name: ad_users_reboot
      Enabled: True
      Hosts: idmclient.idm.example.com
      Sudo Allow Commands: /usr/sbin/reboot
      -------------------------
      Number of members added 1
      -------------------------

      Copy to Clipboard Toggle word wrap

   5. ad_users グループを ad_users_reboot ルールに追加します。

      [root@idmclient ~]# ipa sudorule-add-user ad_users_reboot --groups ad_users
      Rule name: ad_users_reboot
      Enabled: TRUE
      User Groups: ad_users
      Hosts: idmclient.idm.example.com
      Sudo Allow Commands: /usr/sbin/reboot
      -------------------------
      Number of members added 1
      -------------------------

      Copy to Clipboard Toggle word wrap

検証

1. ad_users グループの間接メンバーである administrator@ad-domain.com で idmclient ホストにログインします。

   $ ssh administrator@ad-domain.com@ipaclient
   Password:

   Copy to Clipboard Toggle word wrap

2. オプション: administrator@ad-domain.com が実行できる sudo コマンドを表示します。

   [administrator@ad-domain.com@idmclient ~]$ sudo -l
   Matching Defaults entries for administrator@ad-domain.com on idmclient:
       !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
       env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
       env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
       env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
       env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
       env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY KRB5CCNAME",
       secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin
   
   User administrator@ad-domain.com may run the following commands on idmclient:
       (root) /usr/sbin/reboot

   Copy to Clipboard Toggle word wrap

3. sudo を使用してマシンを再起動します。プロンプトが表示されたら、administrator@ad-domain.com のパスワードを入力します。

   [administrator@ad-domain.com@idmclient ~]$ sudo /usr/sbin/reboot
   [sudo] password for administrator@ad-domain.com:

   Copy to Clipboard Toggle word wrap

手順

1. sudo コマンドの IdM データベースに /usr/sbin/reboot コマンドを追加します。

   1. Policy>Sudo>Sudo Commands に移動します。
   2. 右上にある Add をクリックして、Add sudo command ダイアログボックスを開きます。
   3. sudo: /usr/sbin/reboot を使用してユーザーが実行できるコマンドを入力します。
   4. Add をクリックします。

2. 新しい sudo コマンドエントリーを使用して sudo ルールを作成し、idm_user が idmclient マシンを再起動できるようにします。

   1. Policy>Sudo>Sudo rules に移動します。
   2. 右上にある Add をクリックして、Add sudo rule ダイアログボックスを開きます。
   3. sudo ルールの名前を入力します (idm_user_reboot)。
   4. Add and Edit をクリックします。

   5. ユーザーを指定します。

      1. Who セクションで、Specified Users and Groups のラジオボタンを選択します。
      2. Users セクションで Add をクリックし、Add users into sudo rule "idm_user_reboot" ダイアログボックスを開きます。
      3. Available 列で、idm_user のチェックボックスをオンにして、矢印をクリックして Prospective 列に移動します。
      4. Add をクリックします。

   6. ホストを指定します。

      1. Access this host セクションで、Specified Hosts and Groups ラジオボタンを確認します。
      2. Hosts セクションで Add をクリックし、Add hosts into sudo rule "idm_user_reboot" ダイアログボックスを開きます。
      3. Available 列で、idmclient.idm.example.com チェックボックスをオンにして、矢印をクリックして Prospective 列に移動します。
      4. Add をクリックします。

   7. コマンドを指定します。

      1. Run Commands セクションで、Specified Commands and Groups ラジオボタンをオンにします。
      2. Sudo Allow Commands セクションで、Add をクリックして、Add allow sudo commands into sudo rule "idm_user_reboot" ダイアログボックスを開きます。
      3. Available 列で、/usr/sbin/reboot チェックボックスをオンにして、矢印をクリックして Prospective 列に移動します。
      4. Add をクリックして、idm_sudo_reboot ページに戻ります。
   8. 左上隅にある Save をクリックします。

検証

1. idmclient に idm_user としてログインします。

2. sudo を使用してマシンを再起動します。プロンプトが表示されたら、idm_user のパスワードを入力します。

   $ sudo /usr/sbin/reboot
   [sudo] password for idm_user:

   Copy to Clipboard Toggle word wrap

手順

1. IdM の 管理者 として Kerberos チケットを取得します。

   [root@idmclient ~]# kinit admin

   Copy to Clipboard Toggle word wrap

2. /opt/third-party-app/bin/report コマンドを、sudo コマンドの IdM データベースに追加します。

   [root@idmclient ~]# ipa sudocmd-add /opt/third-party-app/bin/report
   ----------------------------------------------------
   Added Sudo Command "/opt/third-party-app/bin/report"
   ----------------------------------------------------
     Sudo Command: /opt/third-party-app/bin/report

   Copy to Clipboard Toggle word wrap

3. run_third-party-app_report という名前の sudo ルールを作成します。

   [root@idmclient ~]# ipa sudorule-add run_third-party-app_report
   --------------------------------------------
   Added Sudo Rule "run_third-party-app_report"
   --------------------------------------------
     Rule name: run_third-party-app_report
     Enabled: TRUE

   Copy to Clipboard Toggle word wrap

4. --users=<user> オプションを使用して、sudorule-add-runasuser コマンドに RunAs ユーザーを指定します。

   [root@idmclient ~]# ipa sudorule-add-runasuser run_third-party-app_report --users=thirdpartyapp
     Rule name: run_third-party-app_report
     Enabled: TRUE
     RunAs External User: thirdpartyapp
   -------------------------
   Number of members added 1
   -------------------------

   Copy to Clipboard Toggle word wrap

   ユーザー (または --groups=* オプションで指定したグループ) は、ローカルサービスアカウントや Active Directory ユーザーなどの IdM の外部に配置できます。グループ名には % 接頭辞を追加しないでください。

5. /opt/third-party-app/bin/report コマンドを run_third-party-app_report ルールに追加します。

   [root@idmclient ~]# ipa sudorule-add-allow-command run_third-party-app_report --sudocmds '/opt/third-party-app/bin/report'
   Rule name: run_third-party-app_report
   Enabled: TRUE
   Sudo Allow Commands: /opt/third-party-app/bin/report
   RunAs External User: thirdpartyapp
   -------------------------
   Number of members added 1
   -------------------------

   Copy to Clipboard Toggle word wrap

6. run_third-party-app_report ルールを IdM idmclient ホストに適用します。

   [root@idmclient ~]# ipa sudorule-add-host run_third-party-app_report --hosts idmclient.idm.example.com
   Rule name: run_third-party-app_report
   Enabled: TRUE
   Hosts: idmclient.idm.example.com
   Sudo Allow Commands: /opt/third-party-app/bin/report
   RunAs External User: thirdpartyapp
   -------------------------
   Number of members added 1
   -------------------------

   Copy to Clipboard Toggle word wrap

7. idm_user アカウントーを run_third-party-app_report ルールに追加します。

   [root@idmclient ~]# ipa sudorule-add-user run_third-party-app_report --users idm_user
   Rule name: run_third-party-app_report
   Enabled: TRUE
   Users: idm_user
   Hosts: idmclient.idm.example.com
   Sudo Allow Commands: /opt/third-party-app/bin/report
   RunAs External User: thirdpartyapp
   -------------------------
   Number of members added 1

   Copy to Clipboard Toggle word wrap