何度か前にFreeIPAでwheelグループを作成できそうと書いたが、実際にやってみた。

FreeIPAの管理コンソールで確認したところグループの作成時、GIDは自動的に生成され、wheel(10)に固定することはできない。また、通常では、ユーザーに対するグループはFreeIPAで定義されたグループしか使えないため、こちらもwheelにすることはできない。で、一見wheelを使うのは無理そうに見える。

しかし、よく確認すると、ユーザーの編集で、「保護されたフィールドの編集」というチェックボックスがあり、( ipa-server-1.2.1-1.fc10.x86_64 で確認。 ) それを編集するとユーザーのGIDを自由に変更できる。

最終的にidコマンドで、

$ id
uid=1101(aaa) gid=10(wheel) 所属グループ=10(wheel),1002(ipausers)

と表示される状態で、/etc/pam.d/su 内の

#auth		required	pam_wheel.so use_uid

をアンコメントしたところ、wheelに加えたIPAユーザーのみがrootにsuできることを確認できた。