ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 でのネームサービスおよびディレクトリサービスの作業 Oracle Solaris 11.1 Information Library (日本語) |
4. Oracle Solaris Active Directory クライアントの設定 (タスク)
特定のデータベースを使用するように /var/yp/Makefile を変更する方法
データベースを削除するために Makefile を変更する方法
デフォルト以外のマップを変更するための makedbm コマンドの使用
NIS と DNS を使用してマシンのホスト名とアドレスの検索を構成する方法
11. LDAP クライアントと Oracle Directory Server Enterprise Edition の設定 (タスク)
このセクションでは、ユーザーパスワードの設定、NIS ドメインへの新しいユーザーの追加、およびネットグループへのユーザーの割り当てについて説明します。
詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。
# useradd userID
ここで、userID は新しいユーザーのログイン ID です。このコマンドは、NIS マスターサーバー上の /etc/passwd および /etc/shadow ファイル内にエントリを作成します。
新しいユーザーがログインするための初期パスワードを作成するには、passwd コマンドを実行します。
# passwd userID
ここで、userID は新しいユーザーのログイン ID です。このユーザーに割り当てるパスワードを入力するようにプロンプトが表示されます。
この手順が必要なのは、useradd コマンドによって作成されたパスワードエントリがロックされており、新しいユーザーがログインできないためです。初期パスワードを指定することで、このパスワードエントリのロックが解除されます。
マスターサーバー上のマップソースファイルは、/etc 以外のディレクトリにあります。/etc/passwd および /etc/shadow ファイルの新しい行をサーバー上の passwd マップ入力ファイルにコピー&ペーストします。詳細については、「パスワードファイルと名前空間のセキュリティー」を参照してください。
たとえば、新しいユーザー brown を追加した場合は、passwd 入力ファイルにコピーする /etc/passwd の行は次のようになります。
brown:x:123:10:User brown:/home/brown:/bin/csh:
/etc/shadow からコピーする brown の行は次のようになります。
brown:$5$YiFpYWXb$6jJkG/gKdfkKtlTbemORnbeH.qsvO9MwBD3ulTihq9B:6445::::::
セキュリティー上の理由から、NIS マスターサーバーの /etc/passwd および /etc/shadow ファイル内にユーザーエントリを保持しないでください。ほかのディレクトリに存在する NIS マップソースファイルに新しいユーザーのエントリをコピーしたあと、マスターサーバー上で userdel コマンドを使用して新しいユーザーを削除します。
たとえば、マスターサーバーの /etc ファイルから新しいユーザー brown を削除するには次のように入力します。
# userdel brown
userdel についての詳細は、userdel(1M) のマニュアルページを参照してください。
マスターサーバー上の passwd 入力ファイルを更新したら、ソースファイルを含むディレクトリ内で make を実行することによって passwd マップを更新します。
# userdel brown # cd /var/yp # make passwd
ログイン後、新しいユーザーはいつでも passwd を実行して別のパスワードに変更できます。
ユーザーは、passwd を実行して自分のパスワードを変更します。
% passwd username
パスワードファイルを更新するために、ユーザーが自分のパスワードを変更する前にマスターサーバー上で rpc.yppasswdd デーモンを起動する必要があります。
rpc.yppasswdd デーモンは、マスターサーバー上で自動的に起動します。rpc.yppasswdd に -m オプションが指定されていると、ファイルが変更されたあと、ただちに /var/yp 内で make コマンドが実行されます。passwd ファイルが変更されるたびに make コマンドが実行されることを回避する場合は、ypstart スクリプト内の rpc.yppasswd コマンドから -m オプションを削除し、passwd マップのプッシュを crontab ファイルによって制御します。
NIS ネットグループは、NIS 管理者が管理目的のために定義するユーザーまたはマシンのグループ (集合) です。たとえば、次のようなネットグループを作成できます。
特定マシンにアクセスできる一群のユーザーを定義する
特定のファイルシステムにアクセスできる一群の NFS クライアントマシンを定義する
特定の NIS ドメインのすべてのマシンに対して管理者権限を持つ一群のユーザーを定義する
各ネットグループには、1 つのネットグループ名が与えられます。ネットグループはアクセス権を直接設定しません。代わりに、ユーザー名またはマシン名が一般に使用される場所ではネットグループ名がほかの NIS マップで使用されます。たとえば、netadmins という名前のネットワーク管理者のネットグループを作成したとします。netadmins ネットグループのすべてのメンバーに特定のマシンへのアクセス権を付与するには、そのマシンの /etc/passwd ファイルに netadmin エントリを追加するだけで済みます。ネットグループ名を /etc/netgroup ファイルに追加して、NIS グループマップに追加することもできます。ネットグループの使用についての詳細は、netgroup(4) のマニュアルページを参照してください。
NIS を使用しているネットワーク上では、NIS マスターサーバー上の netgroup 入力ファイルを使用して、netgroup、netgroup.byuser、netgroup.byhost の 3 つのマップが生成されます。netgroup マップには、netgroup 入力ファイル内の基本情報が含まれています。ほかの 2 つの NIS マップには、マシン名またはユーザー名が指定されると、ネットグループ情報の検索が高速化される形式で情報が含まれています。
netgroup 入力ファイル内のエントリの形式は name ID です。ここで、name はネットグループに付ける名前であり、ID はネットグループに属するマシンまたはユーザーを識別します。ネットグループの ID (メンバー) は、コンマで区切っていくつでも指定できます。たとえば、3 つのメンバーを含むネットグループを作成する場合、netgroup 入力ファイルのエントリは name ID, ID, ID という形式になります。netgroup 入力ファイルのエントリ内のメンバー ID の形式は次のようになります。
([-|machine], [-|user], [domain])
ここで、machine はマシン名、user はユーザー ID、domain はマシンまたはユーザーの NIS ドメインです。「ドメイン」エレメントは任意指定ですが、ほかの NIS ドメインのマシンまたはユーザーを示す場合には必ず指定します。各メンバーのエントリの machine と user の要素は必須ですが、空を示すにはダッシュ (-) が使用されます。エントリでは、「マシン」エレメントと「ユーザー」エレメントの関係を示す必要はありません。
次に、netgroup 入力ファイルの 2 つのサンプルエントリを示します。これらの各サンプルエントリでは、リモートドメイン sales に存在するユーザー hauri および juanita と、マシン altair および sirius で構成された admins という名前のネットグループを作成します。
admins (altair, hauri), (sirius,juanita,sales) admins (altair,-), (sirius,-), (-,hauri), (-,juanita,sales)
さまざまなプログラムが、ログイン、リモートマウント、リモートログイン、およびリモートシェル作成中のアクセス許可のチェックのためにネットグループの NIS マップを使用します。これらのプログラムには、mountd や login が含まれます。login コマンドは、passwd データベース内でネットグループ名を見つけた場合に、ネットグループマップでユーザー分類を調べます。mountd デーモンは、/etc/dfs/dfstab ファイル内にネットグループ名を検出すると、マシンの分類のためにネットグループマップを参照します。実際、ruserok インタフェースを使用するプログラムはすべて、/etc/hosts.equiv または .rhosts ファイル内にネットグループ名を検出すると、マシンとユーザーの両方の分類のためにネットグループマップをチェックします。
ネットワークに新しい NIS ユーザーまたはマシンを追加する場合は、netgroup 入力ファイルの該当ネットグループに追加してください。次に、make でネットグループマップを作成し、これを yppush コマンドですべての NIS サーバーに転送してください。ネットグループおよびネットグループ入力ファイルの構文の使用についての詳細は、netgroup(4) のマニュアルページを参照してください。