LDAP クライアントプロファイル
クライアントの設定を単純化し、クライアントごとに同じ情報を再入力する必要性をなくすには、ディレクトリサーバー上に 1 つのクライアントプロファイルを作成します。この単一のプロファイルに、使用するすべてのクライアントの構成を定義します。プロファイル属性への以降の変更はすべて、定義されたリフレッシュ頻度でクライアントに送信されます。
LDAP クライアントプロファイルで指定された構成情報は、svc:/network/ldap/client サービスが起動されたときに SMF リポジトリに自動的にインポートされます。
クライアントプロファイルはすべて、LDAP サーバー上の既知の場所に格納されます。指定されたドメインのルート DN には、nisDomainObject のオブジェクトクラスと、クライアントのドメインを含む nisDomain 属性が含まれている必要があります。すべてのプロファイルは、このコンテナと相対的な関係にある ou=profile コンテナ内に配置されます。これらのプロファイルは、匿名で読み取り可能にする必要があります。
LDAP クライアントのプロファイル属性
次の表に、LDAP クライアントのプロファイル属性を示します。これらの属性は、idsconfig を実行したときに自動的に設定できます。クライアントプロファイルを手動で設定する方法については、「LDAP クライアントを手動で初期化する方法」および idsconfig(1M) のマニュアルページを参照してください。
表 9-2 LDAP クライアントのプロファイル属性
|
|
|
プロファイル名。デフォルト値はありません。必ず指定する必要があります。 |
|
優先使用されるサーバーのホストアドレスの、空白で区切られたリスト。(ホスト名は使用しない)。このリスト内のサーバーは、正常な接続が作成されるまで、defaultServerList 内のサーバーの前に順番に試行されます。デフォルト値はありません。preferredServerList または defaultServerList に 1 つ以上のサーバーを指定する必要があります。 |
|
デフォルトサーバーのホストアドレスの、空白で区切られたリスト。(ホスト名は使用しない)。preferredServerlist 内のサーバーが試行されたあと、接続が作成されるまで、クライアントのサブネット上のこれらのデフォルトサーバーが試行され、そのあとに残りのデフォルトサーバーが試行されます。preferredServerList
または defaultServerList に 1 つ以上のサーバーを指定する必要があります。このリスト内のサーバーへの接続は、優先サーバーリストのサーバーへの接続試行後に試みられます。デフォルト値はありません。 |
|
よく知られたコンテナの検索に使用する相対識別名。デフォルト値はありません。ただしこの値は、serviceSearchDescriptor 属性で指定されたサービスでオーバーライドできます。 |
|
クライアントによるデータベース検索の適用範囲を定義します。この値は、serviceSearchDescriptor 属性でオーバーライドできます。指定可能な値は one または sub です。デフォルト値は 1
レベルの検索 (値はone) です。 |
|
|
|
クライアントが認証に使用する証明書タイプを示します。選択肢は、anonymous、proxy、または self (「ユーザー別」とも呼ばれます) です。デフォルトは anonymous です。 |
|
クライアントがネームデータベースを検索する方法および場所を定義します
(例、クライアントが DIT 内の 1 つ以上の場所を検索する)。デフォルトでは、SSD は定義されていません。 |
serviceAuthenticationMethod |
クライアントが特定のサービスで使用する認証メソッド。デフォルトでは、サービス認証メソッドは定義されていません。サービスで serviceAuthenticationMethod が定義されていない場合、authenticationMethod の値がデフォルトになります。 |
|
クライアントが使用する属性マッピング。デフォルトでは、attributeMap は定義されていません。 |
|
クライアントが使用するオブジェクトクラスマッピング。デフォルトでは、objectclassMap
は定義されていません。 |
|
クライアントが許可する、タイムアウトまでの最長検索時間 (秒)。この値は、LDAP サーバーが許可する、検索完了までの時間に影響を与えません。デフォルト値は 30 秒です。 |
|
クライアントがサーバーとのバインドに許可する最長時間 (秒)。デフォルト値は 30 秒です。 |
|
クライアントが LDAP 参照に準拠するかどうかを指定します。指定可能な値は TRUE または
FALSE です。デフォルト値は TRUE です。 |
|
ldap_cachemgr(1M) により実行される、LDAP サーバーからのクライアントプロファイルのリフレッシュ間隔。デフォルト値は 43200 秒 (12 時間) です。値が 0
の場合、プロファイルは決してリフレッシュされません。 |
|
ローカルの LDAP クライアント属性
次の表は、ldapclient コマンドを使用してローカルに設定できる LDAP クライアント属性の一覧です。詳細は、ldapclient(1M) のマニュアルページを参照してください。
表 9-3 ローカルの LDAP クライアント属性
|
|
|
管理者資格の管理者エントリの識別名を指定します。クライアントシステム上で enableShadowUpdate スイッチの値が true であり、credentialLevel に self 以外の値が設定されている場合は、adminDN
が指定される必要があります。 |
|
管理者資格の管理者エントリのパスワードを指定します。クライアントシステム上で enableShadowUpdate スイッチの値が true であり、credentialLevel に self 以外の値が設定されている場合は、adminPassword が定義される必要があります。 |
|
クライアントのドメイン名 (クライアントシステムのデフォルトドメインになる) を指定します。デフォルト値はなく、必ず指定する必要があります。 |
|
プロキシの識別名。クライアントシステムが proxy
の credentialLevel で構成されている場合は、proxyDN が指定される必要があります。 |
|
プロキシのパスワード。クライアントシステムが proxy の credentialLevel で構成されている場合は、proxyPassword が定義される必要があります。 |
|
証明書データベースを含む、ローカルファイルシステム上のディレクトリ。クライアントシステムが TLS を使用して
authenticationMethod または serviceAuthenticationMethod で構成されている場合は、この属性が使用されます。デフォルト値は /var/ldap です。 |
|
注 - SSD 内の BaseDN に末尾のコンマが含まれている場合、その値は defaultSearchBase の相対値として扱われます。検索が実行される前に、defaultSearchBase の値が BaseDN のあとに付加されます。