リソースと Identity Manager 間の通信に SSH (Secure Shell) を使用する場合は、アダプタを設定する前に、リソースで SSH を設定します。
このリソースでは、追加のインストール手順は必要ありません。
AIX リソースアダプタは、主に次の AIX コマンドのサポートを提供します。
mkuser、chuser、rmuser
mkgroup、chgroup、rmgroup
passwd、pwdadm
サポートされる属性およびファイルの詳細については、これらのコマンドに関する AIX マニュアルページを参照してください。
UNIX リソース (AIX、HP-UX、Solaris、または Linux) に接続するときは、root シェルとして Bourne 互換シェル (sh、ksh) を使用してください。
AIX アカウントを管理する管理アカウントには、英語 (en) または C ロケールを使用してください。これは、ユーザーの .profile ファイルで設定できます。
NIS が実装されている環境では、次の機能を実装することにより、一括プロビジョニング中のパフォーマンスを向上させることができます。
user_make_nis という名前のアカウント属性をスキーママップに追加し、この属性を調整やその他の一括プロビジョニングワークフローで使用します。この属性を追加した場合、リソース上の各ユーザーが更新された後は、システムで NIS データベースへの接続手順がバイパスされます。
すべてのプロビジョニングが完了した後で NIS データベースに変更を書き込むには、ワークフローで NIS_password_make という名前の ResourceAction を作成します。
ユーザーパスワードに制御文字 (0x00、0x7f など) を使用しないでください。
ここでは、サポートされる接続と特権の要件について説明します。
Identity Manager は、次の接続を使用して AIX アダプタと通信します。
Telnet
SSH (SSH はリソース上に個別にインストールする)
SSHPubKey
SSHPubKey 接続の場合、「リソースパラメータ」ページで非公開鍵を指定する必要があります。この鍵には --- BEGIN PRIVATE KEY --- および --- END PRIVATE KEY -- のような注釈行を含める必要があります。公開鍵は、サーバー上の /.ssh/authorized_keys ファイルに配置する必要があります。
ユーザーやグループを管理するには、管理者が root ユーザーであるか、セキュリティーグループのメンバーである必要があります。
このアダプタでは、一般ユーザーとしてログインしてから su コマンドを実行し、root ユーザー (または root ユーザーと同等のアカウント) に切り替えて管理アクティビティーを実行できます。 また、root ユーザーとして直接ログインすることもできます。また、root ユーザーとして直接ログインすることもできます。
さらに、sudo 機能 (バージョン 1.6.6 以降) もサポートしており、これは AIX Toolbox から AIX にインストールできます。sudo 機能を使用すると、システム管理者は特定のユーザー (またはユーザーのグループ) に、root ユーザーまたは別のユーザーとして一部 (またはすべて) のコマンドを実行する機能を提供することができます。
さらに、sudo がリソースで有効になっている場合は、その設定が、root ユーザーおよび管理者ユーザーのリソース定義ページでの設定よりも優先されます。
sudo を使用する場合は、Identity Manager 管理者に対して有効にされたコマンドの tty_tickets パラメータを true に設定する必要があります。詳細については、sudoers ファイルのマニュアルページを参照してください。
管理者は、sudo で次のコマンドを実行する特権が付与されている必要があります。
テスト接続を使用して次のテストができます。
各コマンドが管理ユーザーのパスに存在するかどうか
管理ユーザーが /tmp に書き込めるかどうか
管理ユーザーに、特定のコマンドを実行する権限があるかどうか
テスト接続では、通常のプロビジョニングの実行とは異なるコマンドオプションを使用できます。
このアダプタには、基本的な sudo 初期化機能とリセット機能が用意されています。ただし、リソースアクションが定義されていて、そこに sudo 認証を必要とするコマンドが含まれている場合は、UNIX コマンドとともに sudo コマンドを指定してください。たとえば、単に useradd と指定する代わりに sudo useradd を指定してください。sudo を必要とするコマンドは、ネイティブリソースに登録されている必要があります。それらのコマンドを登録するには、visudo を使用します。
次の表に、このアダプタのプロビジョニング機能の概要を示します。
機能 |
サポート状況 |
---|---|
アカウントの有効化/無効化 |
あり |
アカウントの名前の変更 |
なし |
パススルー認証 |
あり |
前アクションと後アクション |
あり |
データ読み込みメソッド |
|
このリソース上のすべてのユーザーに対して、次のタスクを制御するリソース属性を定義できます。
ユーザーの作成時にホームディレクトリを作成する
ユーザーの作成時にユーザーのホームディレクトリにファイルをコピーする
ユーザーの削除時にホームディレクトリを削除する
次の表に、AIX ユーザーのアカウント属性を示します。属性の型はすべて String です。特に記載されていないかぎり、属性は省略可能です。
リソースユーザー属性 |
mkuser での指定方法 |
説明 |
---|---|---|
accountId |
login_name |
必須。ユーザーのログイン名。 |
account_locked |
account_locked=[true | false] |
ユーザーアカウントがロックされているかどうかを示します。 |
admin |
admin=[true|false] |
ユーザーの管理ステータスを定義します。 |
daemon |
daemon=[true|false] |
ユーザーが cron または SRC デーモンを使用してプログラムを実行できるかどうかを示します。 |
expires |
expires=MMDDhhmmyy |
アカウントの有効期限。 |
gecos |
gecos=String |
ユーザーに関する全般的な情報。 |
groups |
groups=GroupNames |
ユーザーの属しているグループ名のコンマ区切りリスト。 |
home |
home=PathName |
ユーザーのホームディレクトリへのフルパス。このアカウント属性で指定された値はすべて、「ホームベースディレクトリ」リソース属性で指定された値よりも優先されます。 |
id |
id=Integer |
ユーザー ID を表す一意の整数文字列。 |
login |
login=[true | false] |
ユーザーがログインコマンドを使用してシステムにログインできるかどうかを示しています。 |
loginretries |
loginretries=attempts |
最後に正常にログインしてからシステムがそのアカウントをロックするまでに許可されるログイン試行の失敗回数。 |
maxage |
maxage=weeks |
パスワードの最大有効期間 (週)。 |
maxexpired |
maxexpired=weeks |
maxage で定義されている期間を過ぎたあとも、ユーザーが期限切れパスワードを変更できる期間の最大値 (週)。 |
pgrp |
pgrp=GroupName |
ユーザーの一次グループ。 |
rlogin |
rlogin=[true | false] |
telnet または rlogin コマンドを使用した、リモートの場所からアカウントへのアクセスを許可します。 |
shell |
shell=PathName |
セッションの開始時にユーザーに対して実行されるプログラム。 NIS マスターにプロビジョニングしている場合は、ユーザーシェルの値は NIS マスターに対してのみチェックされます。ユーザーがログオンする可能性のあるその他のマシンに対してチェックは実行されません。 |
su |
su=[true | false] |
別のユーザーが su コマンドで指定のユーザーアカウントに切り替えることができるかどうかを示します。 |
umask |
umask=Value |
ファイルのアクセス権を設定します。 |
Identity Manager は、次のネイティブ AIX オブジェクトをサポートします。
リソースオブェクト |
サポートされる機能 |
管理される属性 |
---|---|---|
Group |
作成、更新、削除、名前を付けて保存 |
groupName、admin、users |
AIX Group Create Form
AIX Group Update Form
Identity Manager のデバッグページを使用して、次のクラスでトレースオプションを設定します。