Trusted Extensions で大域ゾーンを LDAP クライアントにする
LDAP では、この手順で大域ゾーンにネームサービス設定を構築します。LDAP を使用していない場合、この手順は省略できます。
Solaris 10 5/08 リリース以降、Solaris Trusted Extensions (CDE) ワークスペースにいるユーザーは、txzonemgr スクリプトまたは Trusted CDE アクションを使って LDAP クライアントを作成できます。Solaris Trusted Extensions (JDS) または Solaris Trusted Extensions (GNOME) ワークスペースにいるユーザーは、txzonemgr スクリプトを使用する必要があります。
注 –
あるユーザーが各ラベル付きゾーン内でネームサーバーを設定することを計画している場合、各ラベル付きゾーンへの LDAP クライアント接続を確立する責任はそのユーザーにあります。
始める前に
Sun Java System Directory Server、つまり LDAP サーバーが存在しなければなりません。Trusted Extensions データベースのデータがサーバーに入力されていて、システムがサーバーと通信できなければなりません。そのため、構成しているシステムで、LDAP サーバー上の tnrhdb データベースへのエントリが必要です。あるいは、この手順を実行する前に、このシステムがワイルドカードエントリに含まれていなければなりません。
Trusted Extensions が設定された LDAP サーバーが存在しない場合、次に示す手順を実行する前に、第 5 章Trusted Extensions のための LDAP の構成 (手順) の手順を完了します。
-
DNS を使用している場合、nsswitch.ldap ファイルを変更します。
-
元の nsswitch.ldap ファイルのコピーを保存します。
LDAP 用の標準的なネームサービスのスイッチファイルは限定的であるため、Trusted Extensions には使用できません。
# cd /etc # cp nsswitch.ldap nsswitch.ldap.orig
-
次の各サービスの nsswitch.ldap ファイルエントリを変更します。
正しいエントリは次のとおりです。
hosts: files dns ldap ipnodes: files dns ldap networks: ldap files protocols: ldap files rpc: ldap files ethers: ldap files netmasks: ldap files bootparams: ldap files publickey: ldap files services: files
Trusted Extensions によって、次の 2 つのエントリが追加されます。
tnrhtp: files ldap tnrhdb: files ldap
-
変更した nsswitch.ldap ファイルを nsswitch.conf にコピーします。
# cp nsswitch.ldap nsswitch.conf
-
-
次の手順のいずれかを実行して LDAP クライアントを作成します。
-
txzonemgr スクリプトを実行し、LDAP に関するプロンプトに答えます。
「Create LDAP Client」メニュー項目によって構成されるのは、大域ゾーンだけです。
-
「txzonemgr スクリプトを実行する」の手順に従います。
このダイアログボックスのタイトルは「Labeled Zone Manager」です。
-
「Create LDAP Client」を選択します。
-
次の各プロンプトに答え、それぞれの回答のあとで「了解」をクリックします。
Enter Domain Name: Type the domain name Enter Hostname of LDAP Server: Type the name of the server Enter IP Address of LDAP Server servername: Type the IP address Enter LDAP Proxy Password: Type the password to the server Confirm LDAP Proxy Password: Retype the password to the server Enter LDAP Profile Name: Type the profile name
-
表示された値を確定するか取り消します。
Proceed to create LDAP Client?
確定した場合、txzonemgr スクリプトによって LDAP クライアントが追加されます。その後、コマンド出力がウィンドウに表示されます。
-
-
Trusted CDE ワークスペースで、「LDAP クライアントを作成」アクションを検索して使用します。
-
背景でマウスボタン 3 をクリックして Trusted_Extensions フォルダに移動します。
-
ワークスペースメニューで、「アプリケーション」->「アプリケーション・マネージャ」を選択します。
-
Trusted_Extensions フォルダのアイコンをダブルクリックします。
このフォルダには、インタフェース、LDAP クライアント、およびラベル付きゾーンを設定するためのアクションが含まれています。
-
「LDAP クライアントを作成」アクションをダブルクリックします。
次のプロンプトに答えます。
Domain Name: Type the domain name Hostname of LDAP Server: Type the name of the server IP Address of LDAP Server: Type the IP address LDAP Proxy Password: Type the password to the server Profile Name: Type the profile name
-
「了解 (OK)」をクリックします。
次の完了メッセージが表示されます。
global zone will be LDAP client of LDAP-server System successfully configured. *** Select Close or Exit from the window menu to close this window ***
-
アクションウィンドウを閉じます。
-
-
-
端末ウィンドウで、enableShadowUpdate パラメータに TRUE を設定します。
# ldapclient -v mod -a enableShadowUpdate=TRUE \ > -a adminDN=cn=admin,ou=profile,dc=domain,dc=suffix System successfully configured
「LDAP クライアントを作成」アクションと txzonemgr スクリプトは ldapclient init コマンドのみを実行します。Trusted Extensions では、シャドウ更新を有効にするため、初期化された LDAP クライアントに変更を加える必要もあります。
-
サーバーに関する情報が正しいことを確認します。
-
端末ウィンドウを開き、LDAP サーバーを照会します。
# ldapclient list
出力表示は次のようになります。
NS_LDAP_FILE_VERSION= 2.0 NS_LDAP_BINDDN= cn=proxyagent,ou=profile,dc=domain-name ... NS_LDAP_BIND_TIME= number
-
エラーを修正します。
エラーが表示された場合は、もう一度 LDAP クライアントを作成し、正しい値を指定してください。たとえば、次のエラーが表示される場合、LDAP サーバーにシステムのエントリがない可能性があります。
LDAP ERROR (91): Can't connect to the LDAP server. Failed to find defaultSearchBase for domain domain-name
このエラーを修正するには、LDAP サーバーを確認する必要があります。
-
例 4–2 resolv.conf ファイルの読み込み後にホスト名を使用する
この例では、管理者が、ある特定の DNS サーバー群をシステムから使用可能にします。管理者は、トラステッドネットワーク上のサーバーから resolv.conf ファイルをコピーします。DNS はまだアクティブになっていないため、管理者はサーバーの IP アドレスを使ってサーバーを特定します。
# cd /etc # cp /net/10.1.1.2/export/txsetup/resolv.conf resolv.conf |
resolv.conf ファイルがコピーされ、nsswitch.conf ファイルの hosts エントリに dns が含められると、管理者はホスト名を使ってシステムを特定できるようになります。
- © 2010, Oracle Corporation and/or its affiliates