FreeIPAにユーザアカウントを作ります
既にipaサービスが稼働中なら web ペース ( https://freeipa/ ) でユーザ登録が可能ですが、微妙...コマンドラインの方がいいかな..
*初回にSSO認証を求められますが、キャンセルで行けます. その後に下記が表示されます
入力する値は設定時の「The IPA server requires an administrative user, named 'admin'.」です.
アカウント項目に「admin」、パスワード欄は設定時の値を入力します
2022y04m25d_200030272.png

認証が通ると下記画面になります. 現在のアカウントリストで「add」ボタンを押下してアカウントを追加できます。
2022y04m25d_200524712.png

また上部メニューの「Groups」リンクを押下すると現在用意されているグループが列挙され、ここも「add」ボタンを押下してグループの追加が可能となります
2022y04m25d_200728419.png

だが、、やっぱりコマンドラインの方が楽かな...

コマンドラインでグループの追加と削除

コマンド操作を行いにはまずkerberosチケットを持つことが必要

[root@freeipa ~]# kinit admin
Password for admin@SYBYL.LOCAL:    <-- 管理者パスワード[admin]のパスワードを入力します
 
[root@freeipa ~]# klist
Ticket cache: KCM:0
Default principal: admin@SYBYL.LOCAL
 
Valid starting       Expires              Service principal
05/11/2025 14:32:43  05/12/2025 13:52:56  krbtgt/SYBYL.LOCAL@SYBYL.LOCAL
[root@freeipa ~]#

その上で、まずはグループ追加. gidが2003の「em」グループを作成します. 「ipa group-find」から既に 2000(admins) と 2002(editors) が使われているので「2003」を使ってます

[root@freeipa ~]# ipa group-add --gid=2003 --desc='em users' em
----------------
Added group "em"
----------------
  Group name: em
  Description: em users
  GID: 2003
 
[root@freeipa ~]#

修正も至って簡単で「ipa group-mod」で行えます.

[root@freeipa ~]# ipa group-mod em --desc='cryo users'
-------------------
Modified group "em"
-------------------
  Group name: em
  Description: cryo users
  GID: 2003
[root@freeipa ~]#

コマンドの詳細は「ipa group-add --help」「ipa group-mod --help」で得られる.

今まで作った(freeipa管轄下の)groupは「ipa group-find」でみられる

[root@freeipa ~]# ipa group-find
 :
  Group name: em
  Description: cryo users
  GID: 2003
 :
[root@freeipa ~]#

一方で作ったgroupの削除は「ipa group-del <group name>」で行える

[root@freeipa ~]# ipa group-del em
------------------
Deleted group "em"
------------------
[root@freeipa ~]#

アカウントの作成・修正・削除

次にアカウントの追加. これも至って簡単で、「ipa user-add」でインターラクティヴモードでユーザを作成できます

[root@freeipa ~]# ipa user-add
First name: Arcueid                <-- First nameの入力
Last name: Brunestud               <-- Last nameの入力
User login [abrunestud]: arcueid   <-- ログイン名の入力. First Last nameから[abrunestud]と提案されます.
--------------------
Added user "arcueid"
--------------------
  User login: arcueid
  First name: Arcueid
  Last name: Brunestud
  Full name: Arcueid Brunestud
  Display name: Arcueid Brunestud
  Initials: AB
  Home directory: /home/arcueid
  GECOS: Arcueid Brunestud
  Login shell: /bin/sh
  Principal name: arcueid@SYBYL.LOCAL
  Principal alias: arcueid@SYBYL.LOCAL
  Email address: arcueid@sybyl.local
  UID: 2003
  GID: 2003
  Password: False
  Member of groups: ipausers
  Kerberos keys available: False
[root@freeipa ~]#

「First name」と「Last name」としてログイン名(User login)を入れるとあとは自動でアカウントを作ってくれます. ただ、この段階ではホームディレクとは作りません. あとパスワードも未定義です.
事後の調整としてUID/GID/LoginShell/passwordらは「ipa user-mod」で行えます

[root@freeipa ~]# ipa user-mod --uid=3001 --gidnumber=2003 --shell=/bin/bash arcueid --password
Password:                             <--初期パスワードを入力
Enter Password again to verify:       <--初期パスワードの再入力
 :
[root@freeipa ~]#
[root@freeipa ~]# id arcueid
uid=3001(arcueid) gid=2003(em) groups=2003(em)
[root@freeipa ~]# getent passwd arcueid
arcueid:*:3001:2003:Arcueid Brunestud:/home/arcueid:/bin/bash
[root@freeipa ~]#

ユーザの削除は「ipa user-del <login name>」で行えます。

[root@freeipa ~]# ipa user-del arcueid

インターラクティヴモードではなく、一行コマンドでユーザを作成するには下記のようにします

[root@freeipa ~]# ipa user-add arcueid --first=Arcueid --last=Brunestud --homedir=/home/arcueid --shell=/bin/bash --uid=3001 --gidnumber=2003 --password

ユーザの一覧は「ipa user-find」で確認できます

パスワードの設定

パスワードの設定・変更は従来の「passwd arcueid」ではエラーになります
初期パスワードの定義/再定義は「ipa user-mod --password <login user>」で行います.

[root@freeipa ~]# ipa user-mod --password arcueid
 
Password:                             <-- パスワード入力
Enter Password again to verify:       <-- パスワード再入力
 :
[root@freeipa ~]#

一応「--random」と打つとパスワードは作ってくれるけど、結構複雑

[root@freeipa ~]# ipa user-mod --random arcueid
 :
  Email address: arcueid@sybyl.local
  Random password: 7Qa-Vy]%$!8N,Pv5fc:Sj%   <-- これがパスワード
  UID: 3002
 :
[root@freeipa ~]#

この定義されたパスワードでログインすると、すぐさま自分でパスワードを定義するルートに入ります. なので「初期パスワードの定義」が正しいかなと.

ホームディレクトリの自動作成

クライアント参加時の「ipa-client-install」にオプションとして「--mkhomedir」を加えれば勝手にホームディレクトリを
作ってくれるけど、それがnfs先、しかもautofsでもできるの?確かめていない。

freeipa参加のnfsサーバなら下記のようにしてホームディレクトリを作ります

[root@freeipa-nfs ~]# mkhomedir_helper arcueid 0022 /etc/skel
[root@freeipa-nfs ~]# mkhomedir_helper illya   0022 /etc/skel

UID/GIDの範囲

FreeIPAにて「--idstart=2000」として構築した.
っでそれを反映した利用できるIDは下記のように示される

[root@freeipa ~]# ipa idrange-find
 :
  Range name: SYBYL.LOCAL_id_range
  First Posix ID of the range: 2000
  Number of IDs in the range: 200000
  First RID of the corresponding RID range: 1000
  First RID of the secondary RID range: 100000000
  Range type: local domain range
 :
[root@freeipa ~]#

メモ

https://lists.fedoraproject.org/archives/list/freeipa-users@lists.fedorahosted.org/thread/HMXTMUGPDA6WQC7FZJNXOWOL65OGBLIV/

最新の60件
2025-05-24 2025-05-22 2025-05-21 2025-05-20 2025-05-19 2025-05-18 2025-05-17 2025-05-14 2025-05-13 2025-05-12 2025-05-11 2025-05-08 2025-05-07 2025-05-06 2025-05-05 2025-05-04 2025-05-03 2025-04-27 2025-04-26 2025-04-25 2025-04-24 2025-04-17 2025-04-13 2025-04-02 2025-04-01 2025-03-31 2025-03-29 2025-03-28 2025-03-27 2025-03-26 2025-03-23 2025-03-22 2025-03-20

edit


トップ   編集 差分 履歴 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2025-05-21 (水) 20:09:17