第52章 IdM を管理する AD ユーザーの有効化
52.1. AD ユーザーの ID のオーバーライド
AD (Active Directory) ユーザーおよびグループの、POSIX 環境の Identity Management (IdM) リソースへのアクセスを一元管理するには、IdM グループのメンバーとして AD ユーザーの ID ユーザーオーバーライドを追加します。
ID オーバーライドは、特定の Active Directory ユーザーまたはグループのプロパティーが特定の ID ビュー (この場合は Default Trust View) 内でどのように見えるかを記述するレコードです。この機能により、IdM LDAP サーバーは、IdM グループのアクセス制御ルールを AD ユーザーに適用できます。
AD ユーザーは、IdM UI のセルフサービス機能 (SSH 鍵のアップロードや個人データの変更など) を使用できます。AD 管理者は、アカウントおよびパスワードを 2 つ使用しなくても、IdM を完全に管理できるようになります。
IdM の一部の機能は、AD ユーザーには現在利用できません。たとえば、IdM の admins
グループに所属する AD ユーザーが、IdM ユーザーのパスワードを設定することはできません。
IdM の sudo
ルールに AD ユーザーの ID オーバーライドを使用 しない でください。AD ユーザーの ID オーバーライドは、AD ユーザー自体ではなく、AD ユーザーの POSIX 属性のみを表します。