FreeIPAにユーザアカウントを作ります
既にipaサービスが稼働中なら web ペース ( https://freeipa/ ) でユーザ登録が可能ですが、微妙...コマンドラインの方がいいかな..
*初回にSSO認証を求められますが、キャンセルで行けます. その後に下記が表示されます
入力する値は設定時の「The IPA server requires an administrative user, named 'admin'.」です.
アカウント項目に「admin」、パスワード欄は設定時の値を入力します
認証が通ると下記画面になります. 現在のアカウントリストで「add」ボタンを押下してアカウントを追加できます。
また上部メニューの「Groups」リンクを押下すると現在用意されているグループが列挙され、ここも「add」ボタンを押下してグループの追加が可能となります
だが、、やっぱりコマンドラインの方が楽かな...
コマンド操作を行いにはまずkerberosチケットを持つことが必要
[root@freeipa ~]# kinit admin
Password for admin@SYBYL.LOCAL: <-- 管理者パスワード[admin]のパスワードを入力します
[root@freeipa ~]# klist
Ticket cache: KCM:0
Default principal: admin@SYBYL.LOCAL
Valid starting Expires Service principal
05/11/2025 14:32:43 05/12/2025 13:52:56 krbtgt/SYBYL.LOCAL@SYBYL.LOCAL
[root@freeipa ~]#
その上で、まずはグループ追加. gidが2003の「em」グループを作成します. 「ipa group-find」から既に 2000(admins) と 2002(editors) が使われているので「2003」を使ってます
[root@freeipa ~]# ipa group-add --gid=2003 --desc='em users' em
----------------
Added group "em"
----------------
Group name: em
Description: em users
GID: 2003
[root@freeipa ~]#
修正も至って簡単で「ipa group-mod」で行えます.
[root@freeipa ~]# ipa group-mod em --desc='cryo users'
-------------------
Modified group "em"
-------------------
Group name: em
Description: cryo users
GID: 2003
[root@freeipa ~]#
コマンドの詳細は「ipa group-add --help」「ipa group-mod --help」で得られる.
今まで作った(freeipa管轄下の)groupは「ipa group-find」でみられる
[root@freeipa ~]# ipa group-find
:
Group name: em
Description: cryo users
GID: 2003
:
[root@freeipa ~]#
一方で作ったgroupの削除は「ipa group-del <group name>」で行える
[root@freeipa ~]# ipa group-del em
------------------
Deleted group "em"
------------------
[root@freeipa ~]#
次にアカウントの追加. これも至って簡単で、「ipa user-add」でインターラクティヴモードでユーザを作成できます
[root@freeipa ~]# ipa user-add
First name: Arcueid <-- First nameの入力
Last name: Brunestud <-- Last nameの入力
User login [abrunestud]: arcueid <-- ログイン名の入力. First Last nameから[abrunestud]と提案されます.
--------------------
Added user "arcueid"
--------------------
User login: arcueid
First name: Arcueid
Last name: Brunestud
Full name: Arcueid Brunestud
Display name: Arcueid Brunestud
Initials: AB
Home directory: /home/arcueid
GECOS: Arcueid Brunestud
Login shell: /bin/sh
Principal name: arcueid@SYBYL.LOCAL
Principal alias: arcueid@SYBYL.LOCAL
Email address: arcueid@sybyl.local
UID: 2003
GID: 2003
Password: False
Member of groups: ipausers
Kerberos keys available: False
[root@freeipa ~]#
「First name」と「Last name」としてログイン名(User login)を入れるとあとは自動でアカウントを作ってくれます. ただ、この段階ではホームディレクとは作りません. あとパスワードも未定義です.
事後の調整としてUID/GID/LoginShell/passwordらは「ipa user-mod」で行えます
[root@freeipa ~]# ipa user-mod --uid=3001 --gidnumber=2003 --shell=/bin/bash arcueid --password
Password: <--初期パスワードを入力
Enter Password again to verify: <--初期パスワードの再入力
:
[root@freeipa ~]#
[root@freeipa ~]# id arcueid
uid=3001(arcueid) gid=2003(em) groups=2003(em)
[root@freeipa ~]# getent passwd arcueid
arcueid:*:3001:2003:Arcueid Brunestud:/home/arcueid:/bin/bash
[root@freeipa ~]#
ユーザの削除は「ipa user-del <login name>」で行えます。
[root@freeipa ~]# ipa user-del arcueid
インターラクティヴモードではなく、一行コマンドでユーザを作成するには下記のようにします
[root@freeipa ~]# ipa user-add arcueid --first=Arcueid --last=Brunestud --homedir=/home/arcueid --shell=/bin/bash --uid=3001 --gidnumber=2003 --password
ユーザの一覧は「ipa user-find」で確認できます
パスワードの設定・変更は従来の「passwd arcueid」ではエラーになります
初期パスワードの定義/再定義は「ipa user-mod --password <login user>」で行います.
[root@freeipa ~]# ipa user-mod --password arcueid
Password: <-- パスワード入力
Enter Password again to verify: <-- パスワード再入力
:
[root@freeipa ~]#
一応「--random」と打つとパスワードは作ってくれるけど、結構複雑
[root@freeipa ~]# ipa user-mod --random arcueid
:
Email address: arcueid@sybyl.local
Random password: 7Qa-Vy]%$!8N,Pv5fc:Sj% <-- これがパスワード
UID: 3002
:
[root@freeipa ~]#
この定義されたパスワードでログインすると、すぐさま自分でパスワードを定義するルートに入ります. なので「初期パスワードの定義」が正しいかなと.
クライアント参加時の「ipa-client-install」にオプションとして「--mkhomedir」を加えれば勝手にホームディレクトリを
作ってくれるけど、それがnfs先、しかもautofsでもできるの?確かめていない。
freeipa参加のnfsサーバなら下記のようにしてホームディレクトリを作ります
[root@freeipa-nfs ~]# mkhomedir_helper arcueid 0022 /etc/skel
[root@freeipa-nfs ~]# mkhomedir_helper illya 0022 /etc/skel
FreeIPAにて「--idstart=2000」として構築した.
っでそれを反映した利用できるIDは下記のように示される
[root@freeipa ~]# ipa idrange-find
:
Range name: SYBYL.LOCAL_id_range
First Posix ID of the range: 2000
Number of IDs in the range: 200000
First RID of the corresponding RID range: 1000
First RID of the secondary RID range: 100000000
Range type: local domain range
:
[root@freeipa ~]#