JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Oracle Solaris 11.1 でのネームサービスおよびディレクトリサービスの作業     Oracle Solaris 11.1 Information Library (日本語)
Oracle Technology Network
ライブラリ
PDF
印刷ビュー
フィードバック
このドキュメントの評価
search filter icon
search icon

ドキュメントの情報

はじめに

パート I ネームサービスとディレクトリサービスについて

1.  ネームサービスとディレクトリサービス (概要)

2.  ネームサービススイッチ (概要)

3.  DNS の管理 (タスク)

4.  Oracle Solaris Active Directory クライアントの設定 (タスク)

パート II NIS の設定と管理

5.  ネットワーク情報サービス (概要)

6.  NIS の設定と構成 (タスク)

7.  NIS の管理 (タスク)

8.  NIS のトラブルシューティング

パート III LDAP ネームサービス

9.  LDAP ネームサービスの紹介 (概要)

10.  LDAP ネームサービスの計画要件 (タスク)

LDAP の計画の概要

LDAP ネットワークモデルの計画

ディレクトリ情報ツリーの計画

複数のディレクトリサーバー

ほかのアプリケーションとのデータ共有

ディレクトリ接尾辞の選択

LDAP と複製サーバー

LDAP セキュリティーモデルの計画

LDAP 用のクライアントプロファイルおよびデフォルト属性値の計画

LDAP データ生成の計画

ldapaddent コマンドを使用してサーバーに host エントリを生成する方法

11.  LDAP クライアントと Oracle Directory Server Enterprise Edition の設定 (タスク)

12.  LDAP クライアントの設定 (タスク)

13.  LDAP のトラブルシューティング (リファレンス)

14.  LDAP ネームサービス (リファレンス)

15.  NIS から LDAP への移行 (タスク)

用語集

索引

ドキュメントの品質向上のためのご意見をください
簡潔すぎた
読みづらかった、または難し過ぎた
重要な情報が欠けていた
内容が間違っていた
翻訳版が必要
その他
Your rating has been updated
貴重なご意見を有り難うございました!

あなたの貴重なご意見はより良いドキュメント作成の手助けとなります 内容の品質向上と追加コメントのためのアンケートに参加されますか?

LDAP セキュリティーモデルの計画

セキュリティーモデルを計画する場合、最初に、LDAP クライアントが LDAP サーバーとの通信に使用する識別情報を考慮する必要があります。たとえば、企業全体でシングルサインオンソリューションを使用するかどうか、ネットワークにパスワードを送信しないかどうか、ネットワークに流れるデータの暗号化、およびディレクトリサーバーで生成される制御データへのユーザー別のアクセス機能などを決定する必要があります。また、強力な認証を使用してネットワーク上を流れるユーザーパスワードを保護するかどうか、また LDAP クライアントと LDAP サーバー間のセッションを暗号化して送信される LDAP データを保護する必要があるかなども決定する必要があります。

これには、プロファイル内の credentialLevel および authenticationMethod 属性が使用されます。credentialLevel に指定できる資格レベルとして、anonymousproxyproxy anonymousself の 4 つがあります。LDAP ネームサービスのセキュリティー概念については、「LDAP ネームサービスのセキュリティーモデル」を参照してください。

注 - 以前は、pam_ldap アカウント管理を有効にすると、システムにログインする際には、常にすべてのユーザーが認証用にログインパスワードを入力する必要がありました。そのため、ssh などのツールを使用した、パスワードに基づかないログインは失敗します。

アカウント管理を実行し、ユーザーがログインしているときに Directory Server への認証を行わずにユーザーのアカウントステータスを取得します。Directory Server 上の新しい制御は 1.3.6.1.4.1.42.2.27.9.5.8 です。これはデフォルトで有効になっています。

この制御をデフォルト以外に変更する場合は、Directory Server 上でアクセス制御情報 (ACI) を追加します。

dn: oid=1.3.6.1.4.1.42.2.27.9.5.8,cn=features,cn=config
objectClass: top
objectClass: directoryServerFeature
oid:1.3.6.1.4.1.42.2.27.9.5.8
cn:Password Policy Account Usable Request Control
aci: (targetattr != "aci")(version 3.0; acl "Account Usable"; 
     allow (read, search, compare, proxy)
     (groupdn = "ldap:///cn=Administrators,cn=config");)
creatorsName: cn=server,cn=plugins,cn=config
modifiersName: cn=server,cn=plugins,cn=config

注 - 企業全体のシングルサインオンソリューションとして pam_krb5 および Kerberos を有効にする場合、セッション開始時にのみログインパスワードを必要とするシステムを設計できます。詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』を参照してください。一般に、Kerberos を有効にする場合には、DNS も有効にする必要があります。詳細については、このマニュアルの DNS に関する章を参照してください。

セキュリティーモデルを計画する際の主要な決定事項を次に示します。

Copyright © 2002, 2012, Oracle and/or its affiliates. All rights reserved. 著作権について
戻る 次へ