test

Sun Identity Manager 8.1 リソースリファレンス

アダプタの詳細

リソースを設定する際の注意事項

リソースと Identity Manager 間の通信に SSH (Secure Shell) を使用する場合は、アダプタを設定する前に、リソースで SSH を設定します。

Identity Manager のインストールに関する注意事項

このリソースでは、追加のインストール手順は必要ありません。

使用上の注意

Linux リソースアダプタは、主に次のコマンドのサポートを提供します。

サポートされる属性およびファイルの詳細については、これらのコマンドに関する Linux マニュアルページを参照してください。

Linux リソースでユーザーアカウントのの変更を実行すると、グループメンバーシップは新しいユーザー名に移動されます次の条件に該当する場合は、ユーザーのホームディレクトリの名前も変更されます。

Linux リソースに接続するときは、root シェルとして Bourne Shell 準拠のシェル (sh, ksh) を root シェルとして Bourne 互換シェル (sh、ksh) を使用してください。

Linux アカウントを管理する管理アカウントは、英語 (en) または C ロケールを使用する必要があります。これは、ユーザーの .profile ファイルで設定できます。ユーザーのパスワードには制御文字 (たとえば、0x00 や 0x7f) を使用しないでください。

NIS が実装されている環境では、次の機能を実装することにより、一括プロビジョニング中のパフォーマンスを向上させることができます。

セキュリティーに関する注意事項

ここでは、サポートされる接続と特権の要件について説明します。

サポートされる接続

Identity Manager は、次の接続を使用してこのアダプタと通信できます。

SSHPubKey 接続の場合、「リソースパラメータ」ページで非公開鍵を指定する必要があります。この鍵には --- BEGIN PRIVATE KEY --- および --- END PRIVATE KEY -- のような注釈行を含める必要があります。公開鍵は、サーバー上の /.ssh/authorized_keys ファイルに配置する必要があります。

必要な管理特権

このアダプタでは、一般ユーザーとしてログインしてから su コマンドを実行し、root ユーザー (または root ユーザーと同等のアカウント) に切り替えて管理アクティビティーを実行できます。 また、root ユーザーとして直接ログインすることもできます。また、root ユーザーとして直接ログインすることもできます。

このアダプタは、sudo 機能 (バージョン 1.6.6 以降) もサポートします。この機能は、Solaris 9 に Companion CD からインストールできます。sudo 機能を使用すると、システム管理者は特定のユーザー (またはユーザーのグループ) に、root ユーザーまたは別のユーザーとして一部 (またはすべて) のコマンドを実行する能力を与えることができます。

さらに、sudo がリソースで有効になっている場合は、その設定が、root ユーザーのリソース定義ページでの設定よりも優先されます。

sudo を使用する場合は、Identity Manager 管理者に対して有効にされたコマンドの tty_tickets パラメータを true に設定する必要があります。詳細については、sudoers ファイルのマニュアルページを参照してください。

管理者は、sudo で次のコマンドを実行する特権が付与されている必要があります。

ユーザーとグループのコマンド  

 

その他のコマンド  

 

  • chsh

  • groupadd

  • groupdel

  • groupmod

  • last

  • passwd

  • useradd

  • userdel

  • usermod

  • awk

  • cat

  • chmod

  • chown

  • cp

  • cut

  • diff

  • echo

  • grep

  • ln

  • ls

  • mv

  • ps

  • rm

  • sed

  • sort

  • tail

  • touch

yppasswd コマンドには、root のパスワードが必要になるため、このアダプタは sudo を使用した NIS コマンドの実行をサポートしていません。

テスト接続を使用して次のテストができます。

テスト接続では、通常のプロビジョニング実行とは異なるコマンドオプションを使用できます。

このアダプタには、基本的な sudo 初期化機能とリセット機能が用意されています。ただし、リソースアクションが定義されていて、そこに sudo 認証を必要とするコマンドが含まれている場合は、UNIX コマンドとともに sudo コマンドを指定してください。たとえば、単に useradd と指定する代わりに sudo useradd を指定してください。sudo を必要とするコマンドは、ネイティブリソースに登録されている必要があります。それらのコマンドを登録するには、visudo を使用します。

プロビジョニングに関する注意事項

次の表に、このアダプタのプロビジョニング機能の概要を示します。

機能  

サポート状況  

アカウントの有効化/無効化 

Linux は、Identity Manager の enable アクションと disable アクションをネイティブではサポートしません。Identity Manager は、ユーザーのパスワードを変更することによって、アカウントの有効化と無効化をシミュレートします。enable アクションでは変更されたパスワードが公開されますが、disable アクションでは公開されません。

その結果、enable アクションと disable アクションは update アクションとして処理されます。update で動作するように設定されている前アクションと後アクションすべてが実行されます。 

アカウントの名前の変更 

あり 

パススルー認証 

あり 

前アクションと後アクション 

あり 

データ読み込みメソッド 

  • リソースから直接インポート

  • リソースの調整

このリソース上のすべてのユーザーに対して、次のタスクを制御するリソース属性を定義できます。

アカウント属性

次の表に、Red Hat Linux および SuSE Linux ユーザーのアカウント属性を示します。特に記載されていないかぎり、属性は省略可能です。属性の型はすべて String です。

リソースユーザー属性  

useradd での指定方法  

説明  

accountId

login

必須。ユーザーのログイン名。 

comment

- c comment

ユーザーのフルネーム。 

dir

- d dir

ユーザーのホームディレクトリ。このアカウント属性で指定された値はすべて、「ホームベースディレクトリ」リソース属性で指定された値よりも優先されます。

expire

- e expiration date

アカウントにアクセスできる最終日付。  

group

- g group

ユーザーの一次グループ。 

inactive

- f days

アカウントが非アクティブになってからロックされるまでの日数。  

secondary_group

- G group

ユーザーの二次グループのコンマ区切りリスト。 

ロールを有効にしてこの属性をプロビジョニングするには、'csv=true' を Role オブジェクト XML の RoleAttribute 要素に追加する必要があります。

shell

-s/Path

ユーザーのログインシェル。 

NIS マスターにプロビジョニングしている場合は、ユーザーシェルの値は NIS マスターに対してのみチェックされます。ユーザーがログオンする可能性のあるその他のマシンに対してチェックは実行されません。 

time_last_login

lastlog コマンドから取得されます。 

最終ログインの日時。この値は読み取り専用です。最終ログイン時間を取得するにはリソースの追加呼び出しが必要なため、この属性を追跡する必要がない場合は、この属性をスキーママップから削除してください。 

uid

- u User ID

数字形式でのユーザー ID。 

リソースオブジェクトの管理

Identity Manager は、次のネイティブ Solaris オブジェクトをサポートします。

リソースオブェクト  

サポートされる機能  

管理される属性  

Group 

作成、更新、削除、名前の変更、名前を付けて保存 

groupName、gid、users 

アイデンティティーテンプレート

$accountId$

サンプルフォーム

組み込みのフォーム

その他の利用可能なフォーム

トラブルシューティング

Identity Manager のデバッグページを使用して、次のクラスでトレースオプションを設定します。