Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

第12章 ユーザーの外部プロビジョニングのための IdM 設定

システム管理者は、Identity Management (IdM) が、ID 管理用の外部ソリューションでユーザーのプロビジョニングをサポートするように設定できます。

ipa ユーティリティーを使用する代わりに、外部プロビジョニングシステムの管理者は ldapmodify ユーティリティーを使用して IdM LDAP にアクセスできます。管理者は、ldapmodify を使用して CLI から、または LDIF ファイル を使用して、個々のステージユーザーを追加できます。

IdM 管理者が外部プロビジョニングシステムを完全に信頼して、検証済みのユーザーだけを追加することを前提とします。ただし、新たにアクティブユーザーを直接追加できるように、外部プロビジョニングシステムの管理者に User Administrator の IdM ロールを割り当てなくても構いません。

外部プロビジョニングシステムで作成されたステージユーザーを自動的にアクティブユーザーに移動するように スクリプトを設定 できます。

12.1. ステージユーザーアカウントの自動アクティブ化用 IdM アカウントの準備

以下の手順では、外部プロビジョニングシステムが使用する 2 つの IdM ユーザーアカウントを設定する方法を説明します。適切なパスワードポリシーが指定されたグループにアカウントを追加すると、外部プロビジョニングシステムが IdM でユーザーのプロビジョニングを管理できるようになります。以下では、ステージユーザーの追加用に外部システムが使用するユーザーアカウントには provisionator という名前が付けられます。ステージユーザーを自動的にアクティブ化するために使用されるユーザーアカウントの名前は activator です。

前提条件

  • 以下の手順を実行するホストが IdM に登録されている。

手順

  1. IdM 管理者としてログインします。

    Copy to Clipboard Toggle word wrap 
    $ kinit admin

  2. ステージユーザーを追加する特権指定して provisionator という名前のユーザーを作成します。

    1. provisionator ユーザーアカウントを追加します。

      Copy to Clipboard Toggle word wrap 
      $ ipa user-add provisionator --first=provisioning --last=account --password

    2. provisionator ユーザーに必要な特権を割り当てます。

      1. ステージユーザーの追加を管理する System Provisioning というカスタムロールを作成します。

        Copy to Clipboard Toggle word wrap 
        $ ipa role-add --desc "Responsible for provisioning stage users" "System Provisioning"

      2. Stage User Provisioning の特権をロールに追加します。この特権により、ステージユーザーを追加できます。

        Copy to Clipboard Toggle word wrap 
        $ ipa role-add-privilege "System Provisioning" --privileges="Stage User Provisioning"

      3. provisionator ユーザーをロールに追加します。

        Copy to Clipboard Toggle word wrap 
        $ ipa role-add-member --users=provisionator "System Provisioning"

      4. provisionator が IdM に存在することを確認します。

        Copy to Clipboard Toggle word wrap 
        $ ipa user-find provisionator --all --raw
--------------
1 user matched
--------------
  dn: uid=provisionator,cn=users,cn=accounts,dc=idm,dc=example,dc=com
  uid: provisionator
  [...]

  3. ユーザーアカウントを管理する特権を指定して activator ユーザーを作成します。

    1. activator ユーザーアカウントを追加します。

      Copy to Clipboard Toggle word wrap 
      $ ipa user-add activator --first=activation --last=account --password

    2. デフォルトの User Administrator ロールにユーザーを追加して、activator ユーザーに必要な特権を付与します。

      Copy to Clipboard Toggle word wrap 
      $ ipa role-add-member --users=activator "User Administrator"

  4. アプリケーションアカウントのユーザーグループを作成します。

    Copy to Clipboard Toggle word wrap 
    $ ipa group-add application-accounts

  5. グループのパスワードポリシーを更新します。以下のポリシーは、アカウントのパスワードの有効期限やロックアウトを防ぎますが、複雑なパスワードを必要とすることでリスクの可能性を低減します。

    Copy to Clipboard Toggle word wrap 
    $ ipa pwpolicy-add application-accounts --maxlife=10000 --minlife=0 --history=0 --minclasses=4 --minlength=8 --priority=1 --maxfail=0 --failinterval=1 --lockouttime=0

  6. オプション: IdM にパスワードポリシーが存在することを確認します。

    Copy to Clipboard Toggle word wrap 
    $ ipa pwpolicy-show application-accounts
  Group: application-accounts
  Max lifetime (days): 10000
  Min lifetime (hours): 0
  History size: 0
[...]

  7. プロビジョニング用アカウントとアクティブ化用アカウントをアプリケーションアカウントのグループに追加します。

    Copy to Clipboard Toggle word wrap 
    $ ipa group-add-member application-accounts --users={provisionator,activator}

  8. ユーザーアカウントのパスワードを変更します。

    Copy to Clipboard Toggle word wrap 
    $ kpasswd provisionator
$ kpasswd activator

    新しい IdM ユーザーのパスワードはすぐに失効するため、パスワードの変更が必要になります。

関連情報

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat, Inc.