ドメインなしのグループ

ドメインなしのグループ機能を使用すると、あるドメインで定義されているユーザーを、別のドメインで定義されているグループに割り当てることができます。この機能は、LDAP (Lightweight Database Access Protocol) およびローカルのドメインのみをサポートします。

LDAP Authentication Load Module (LDAP モジュール) を使用して、LDAP サーバー上にユーザーとグループを作成することができます。また、Local Authentication Load Module (ローカル・モジュール) を使用して、ローカル・システム上にユーザーとグループを作成することもできます。domainlessgroups 機能が有効に設定されていない場合、LDAP またはローカル・システムに作成されるユーザーおよびユーザー・グループを、作成されたロード・ドメインの外部のグループに割り当てることはできません。例えば、LDAP ドメインに作成されるユーザーを、ローカル・ドメインに関連付けられたグループに割り当てることはできません。

この制限を回避して LDAP グループとローカル・グループの両方にユーザーを割り当てるには、domainlessgroups システム・プロパティーを有効に設定します。domainlessgroups プロパティーは、/etc/secvars.cfg ファイルで定義されます。これは LDAP モジュールおよびローカル・モジュールに対してのみサポートされます。このプロパティーに指定可能な値は以下のとおりです。

false (デフォルト値): グループ属性は、LDAP モジュールおよびローカル・モジュールからマージされません。
true: グループ属性は、LDAP モジュールおよびローカル・モジュールからマージされます。例えば、LDAP ユーザーをローカル・グループに割り当てることができます。

domainlessgroups プロパティーの値を表示するには、次のコマンドを実行します。

lssec -f /etc/secvars.cfg -s groups -a domainlessgroups

domainlessgroups プロパティーを true に設定するには、次のコマンドを実行します。

chsec -f /etc/secvars.cfg -s groups -a domainlessgroups=true

次の表は、domainlessgroups プロパティーの設定に応じて、ユーザーおよびグループのコマンドの結果がどのように異なるかを示しています。

表 1. domainlessgroups プロパティーによって影響を受ける、選択されたコマンドの結果
コマンド	domainlessgroups プロパティーを true に設定した場合の結果
`chgroup -R ldap\|files`	指定されたドメインでグループを更新します。ユーザーを LDAP グループまたはローカル・グループに追加できます。
`chuser -R ldap\|files`	指定されたドメインでユーザーの設定を変更します。他のドメインに定義されたグループが指定された場合、そのグループもユーザー情報を使用して更新されます。
`login username` or `su`	ユーザー・レジストリーからユーザー属性がリトリーブされます (グループ ID 属性を除く)。グループ ID のユーザー属性は、LDAP ドメインおよびローカル・ドメインの両方からマージされます。
`lsgroup -R ldap\|files`	指定されたドメインのグループ属性をすべてリストします。指定されたグループが指定されたドメインに見つからない場合、このコマンドは失敗します。
`lsuser -R ldap\|files`	ユーザーが定義されるドメインおよび別のドメインのすべてのグループから情報がマージされた後、ユーザーの属性をリストします。ユーザーの 1 次グループが、ユーザーが定義されるドメインに定義されていない場合、そのグループは別のドメインから解決されます。
`mkgroup -R ldap\|files`	指定されたドメインでグループを作成します。グループを作成した後、ユーザー (LDAP またはローカル) をそのドメインのグループ・データベースのグループに割り当ててください。ユーザーは LDAP グループまたはローカル・グループに追加できます。
`mkuser -R ldap\|files`	指定されたドメインにユーザーを作成します。他のドメインに定義されたグループが指定された場合、そのグループもユーザー情報を使用して更新されます。
`rmgroup -R ldap\|files`	指定されたグループを指定されたドメインから削除します。そのグループが任意のドメインに定義されている任意のユーザーに対して 1 次グループとして割り当てられている場合、コマンドは失敗します。
`rmuser -R ldap\|files`	指定されたユーザーを指定されたドメインから削除します。また、他のドメインに定義された任意のグループからユーザーを削除し、そのユーザーをメンバーとします。