52.2. IdM を管理する AD ユーザーを有効にする ID オーバーライドの使用
AD ユーザーの ID オーバーライドを作成して使用し、そのユーザーに IdM ユーザーと同じ権限を付与するには、次の手順に従います。この手順は、信頼コントローラーまたは信頼エージェントとして設定した IdM サーバーで行います。
前提条件
- 作業用の IdM 環境が設定されている。詳細は、Identity Management のインストール を参照してください。
- IdM 環境と AD との間の信頼関係が設定されて動作している。
手順
IdM 管理者として、Default Trust View で AD ユーザーの ID オーバーライドを作成します。たとえば、ユーザー
ad_user@ad.example.com
の ID オーバーライドを作成するには、次のコマンドを実行します。# kinit admin # ipa idoverrideuser-add 'default trust view' ad_user@ad.example.com
Default Trust View から IdM グループのメンバーとして ID オーバーライドを追加します。これは、Active Directory と対話するため、POSIX 以外のグループである必要があります。
対象のグループが IdM ロールのメンバーである場合、ID オーバーライドによって表される AD ユーザーは、IdM API (コマンドラインインターフェイス、IdM の Web UI など) の使用時に、ロールにより付与されたすべての権限を取得します。
たとえば、
ad_user@ad.example.com
ユーザーの ID オーバーライドを IdMadmins
グループに追加するには、次のコマンドを実行します。# ipa group-add-member admins --idoverrideusers=ad_user@ad.example.com
または、User Administrator ロールなどのロールに ID オーバーライドを追加することもできます。
# ipa role-add-member 'User Administrator' --idoverrideusers=ad_user@ad.example.com