ユーザーおよびユーザー・グループの管理
clmgr コマンドは、クラスター内の任意のノードで構成変更を行うことで、クラスター内のすべてのノード上のユーザー・アカウントおよびユーザー・グループを管理します。clmgr コマンドは、ユーザーおよびユーザー・グループの管理に Lightweight Directory Access Protocol (LDAP) もサポートします。
PowerHA® SystemMirror® は、Linux および LDAP のユーザーおよびユーザー・グループを、すべての PowerHA SystemMirror クラスターで管理します。PowerHA SystemMirror ユーザー・グループは、追加のセキュリティー・レベルを提供し、システム管理者がユーザー・グループの構成設定を単一のエンティティーとして変更できるようにします。
PowerHA SystemMirror クラスターでの Linux および LDAP のユーザー・アカウントの管理
clmgr コマンドを使用して、クラスター内の任意のノードからユーザーおよびユーザー・グループを管理できます。 クラスター内のいずれかのノードに既に存在しているユーザーを作成すると、その操作は失敗する場合があります。
ユーザー・アカウント情報を保管している以下の Linux ファイルは、すべてのクラスター・ノード間で整合している必要があります。
- /etc/passwd システム・ファイル
- /etc/security ディレクトリー内のその他のシステム・ファイル
注: クラスター・ノードに障害が発生した場合でも、ユーザーは、ユーザー ID やグループ ID の不一致による問題が発生することなく、稼働中のノードにログオンできます。
PowerHA SystemMirror のシステム管理者は、clmgr コマンドを使用して、クラスター内の任意のノードからユーザーおよびユーザー・グループを管理できます。 clmgr コマンドは、クラスター内の他のすべてのノードに、新しい情報および更新された情報を伝搬させます。
LDAP サーバー上でユーザー・アカウントを構成するには、以下のソフトウェアのインストール済み環境が必要です。
- openLDAP サーバー
- openLDAP クライアント
ローカル・システムにユーザーを追加するには、次のコマンドを入力します。
clmgr add user Local_User- Local_User パラメーターは、ユーザー・アカウントのユーザー名です。このユーザー・アカウントは、ローカル・システムと PowerHA SystemMirror クラスターの他のノードに追加する必要があります。注: クラスター内のノードがオフライン状態の場合、そのノード上でユーザーを作成することはできません。
ローカル・システムに LDAP ユーザーを追加するには、次のコマンドを入力します。
clmgr add user LDAP_User registry=ldap DN=<distinguished_Name>
- DN パラメーターは識別名です。この識別名は、openLDAP サーバーのセットアップ時に作成されたものです。clmgr コマンドは、LDAP パスワードを求めるプロンプトを出します。このパスワードは、openLDAP サーバーのセットアップ時に使用した LDAP 管理者パスワードです。
clmgr add user コマンドには、ローカル・ユーザーまたは LDAP ユーザーに関する以下の属性が含まれます。
| フィールド名 | 説明 |
|---|---|
| user_name | システムでこのユーザー・アカウントを識別するログイン名。 |
| ID | システム上でこのユーザー・アカウントに関連付ける、固有の 10 進数の整数の文字列を定義します。 |
| ADMINSTRATIVE | このユーザーを管理ユーザーにする場合は、True を選択します。それ以外の場合は、False を選択します。 |
| CHANGE_ON_NEXT_LOGIN | ユーザーが次回のログイン時にパスワードを変更するように強制します。 |
| 1 次 | ユーザーが初めてログインするときに属するグループ名を指定します。 |
| GROUPS | ユーザーが属するすべてのユーザー・グループの名前を指定します。 |
| ROLES | ユーザーおよびユーザー・グループに対して、役割ベースのアクセス制御 (RBAC) の役割を作成して管理します。 これらの役割を使用すると、PowerHA SystemMirror のそれぞれ異なるユーザー・セットで 実行できるコマンドを管理することができます。 |
| REGISTRY | 新規ユーザーに関する情報を保管する必要がある場所を示します。ユーザーをローカルの Linux 環境内で定義する場合は、値 LOCAL を指定する必要があります。ユーザーをリモート・サーバー (LDAP サーバーなど) で定義する場合は、値 LDAP を使用する必要があります。 |
| DN | DN は、コンマで区切られた相対識別名 (RDN) のシーケンスです。 DN 属性は、registry 属性が LDAP に設定されている場合に関連します。 |
| HOME | ユーザーのホーム・ディレクトリーを指定します。 |
| SHELL | ユーザーのデフォルト・シェルを指定します。 |
| EXPIRATION | ユーザーのパスワードの有効期限を指定します。 |
| LOCKED | 指定されたアカウントのパスワードをロックします。 |
| DAYS_TO_WARN | パスワードの変更が必要であることを示す警告をシステムが出すまでの日数を定義します。 |
| LOCKOUT_DELAY | パスワードの期限切れからロックアウトまでの期間 (週) を指定します。 |
| MAX_PASSWORD_AGE | ユーザー・パスワードの最大経過期間 (週) を定義します。 |
| MIN_PASSWORD_AGE | ユーザー・パスワードの最小経過期間 (週) を定義します。 |
PowerHA SystemMirror クラスターでのユーザー・グループ・アカウントの管理
ユーザーと同様に、ユーザー・グループをローカル・システム (ファイル) および LDAP サーバー上の PowerHA SystemMirror Linux セットアップで構成できます。
LDAP サーバー上でユーザー・アカウントを構成するには、以下のソフトウェアのインストール済み環境が必要です。
- openLDAP サーバー
- openLDAP クライアント
ローカル・システムにグループを追加するには、次のコマンドを入力します。
clmgr add group User_group注: クラスター内のオフライン状態のノードでは、ユーザー・グループは作成されません。
LDAP にグループを追加するには、次のコマンドを入力します。
clmgr add group User_group registry=ldap DN=<distinguished_name>以下の属性を使用して、グループを追加できます。
| フィールド名 | 説明 |
|---|---|
| ID | システム上でユーザー・アカウントに関連付ける、固有の 10 進数の整数の文字列を定義します。 |
| ADMINSTRATIVE | このユーザーを管理ユーザーにする場合は、True を選択します。それ以外の場合は、False を選択します。 |
| USERS | ユーザー・グループに属するユーザーの名前を指定します。グループのメンバーは、リソースのアクセス制御リストで指定されたグループの他の メンバーが所有するリソースやファイルにアクセス (つまり、読み取り、書き込み、または実行) することができます。 |
| REGISTRY | 新規ユーザーに関する情報を保管する必要がある場所を示します。ユーザーをローカルの Linux 環境内で定義する場合は、値 LOCAL を指定する必要があります。ユーザーをリモート・サーバー (LDAP サーバーなど) で定義する場合は、値 LDAP を使用する必要があります。 |
| DN | DN は、コンマで区切られた相対識別名 (RDN) のシーケンスです。 DN 属性は、registry 属性が LDAP に設定されている場合に関連します。 |