リソースと Identity Manager 間の通信に SSH (Secure Shell) を使用する場合は、アダプタを設定する前に、リソースで SSH を設定します。
Solaris で NIS アカウントを管理する場合は、SPARC システムではパッチ 125549-01 を、x86 システムではパッチ 125550–01 をインストールして、logins コマンドと Solaris アダプタのパフォーマンスを向上させます。
このリソースでは、追加のインストール手順は必要ありません。
Solaris リソースアダプタは主に、次の Solaris コマンドのサポートを提供します。
useradd、usermod、userdel
groupadd、groupmod、groupdel
passwd
サポートされる属性およびファイルの詳細については、これらのコマンドに関する Solaris マニュアルページを参照してください。
このアダプタは、Solaris Trusted Extensions をサポートしていません。
Solaris リソースでユーザーアカウントの名前を変更すると、グループメンバーシップは新しいユーザー名に移動されます。次の条件に該当する場合は、ユーザーのホームディレクトリの名前も変更されます。
元のホームディレクトリの名前がユーザー名と一致していた。
新しいユーザー名と一致するディレクトリがまだ存在していない。
UNIX リソース (AIX、HP-UX、Solaris、または Linux) に接続するときは、root シェルとして Bourne 互換シェル (sh、ksh) を使用してください。
UNIX アカウントを管理する管理アカウントには、英語 (en) または C ロケールを使用してください。これは、ユーザーの .profile ファイルで設定できます。
NIS が実装されている環境では、次の機能を実装することにより、一括プロビジョニング中のパフォーマンスを向上させることができます。
user_make_nis という名前のアカウント属性をスキーママップに追加し、この属性を調整やその他の一括プロビジョニングワークフローで使用します。この属性を追加した場合、リソース上の各ユーザーが更新された後は、システムで NIS データベースへの接続手順がバイパスされます。
すべてのプロビジョニングが完了した後で NIS データベースに変更を書き込むには、ワークフローで NIS_password_make という名前の ResourceAction を作成します。
Solaris リソースの新しいユーザーアカウントは、passwd(1) コマンドが実行されるまでロックされたままになります。Solaris のユーザーアカウントが作成されたあと、 passwd -s <user> を実行すると、ステータスはロック中 (LK) として表示されます。アカウントをネイティブに作成したあと、Solaris Risk Analysis レポートの「Locked out Accounts」セクションに、新しく作成したアカウントが表示されます。新しく作成されたアカウントは、Risk Analysis レポートの「Accounts With No Password」セクションには表示されません。
ユーザーパスワードに制御文字 (0x00、0x7f など) を使用しないでください。
ここでは、サポートされる接続と特権の要件について説明します。
Identity Manager は、次の接続を使用して Solaris アダプタと通信できます。
Telnet
SSH (SSH はリソース上に個別にインストールする)
SSHPubKey
SSHPubKey 接続の場合、「リソースパラメータ」ページで非公開鍵を指定する必要があります。この鍵には --- BEGIN PRIVATE KEY --- および --- END PRIVATE KEY -- のような注釈行を含める必要があります。公開鍵は、サーバー上の /.ssh/authorized_keys ファイルに配置する必要があります。
このアダプタでは、一般ユーザーとしてログインしてから su コマンドを実行し、root ユーザー (または root ユーザーと同等のアカウント) に切り替えて管理アクティビティーを実行できます。 また、root ユーザーとして直接ログインすることもできます。また、root ユーザーとして直接ログインすることもできます。
このアダプタは、sudo 機能 (バージョン 1.6.6 以降) もサポートします。この機能は、Solaris 9 に Companion CD からインストールできます。sudo 機能を使用すると、システム管理者は特定のユーザー (またはユーザーのグループ) に、root ユーザーまたは別のユーザーとして一部 (またはすべて) のコマンドを実行する能力を与えることができます。
さらに、sudo がリソースで有効になっている場合は、その設定が、root ユーザーのリソース定義ページでの設定よりも優先されます。
sudo を使用する場合は、Identity Manager 管理者に対して有効にされたコマンドの tty_tickets パラメータを true に設定する必要があります。詳細については、sudoers ファイルのマニュアルページを参照してください。
管理者は、sudo で次のコマンドを実行する特権が付与されている必要があります。
テスト接続を使用して次のテストができます。
各コマンドが管理ユーザーのパスに存在するかどうか
管理ユーザーが /tmp に書き込めるかどうか
管理ユーザーに、特定のコマンドを実行する権限があるかどうか
テスト接続では、通常のプロビジョニングの実行とは異なるコマンドオプションを使用できます。
このアダプタには、基本的な sudo 初期化機能とリセット機能が用意されています。ただし、リソースアクションが定義されていて、そこに sudo 認証を必要とするコマンドが含まれている場合は、UNIX コマンドとともに sudo コマンドを指定してください。たとえば、単に useradd と指定する代わりに sudo useradd を指定してください。sudo を必要とするコマンドは、ネイティブリソースに登録されている必要があります。それらのコマンドを登録するには、visudo を使用します。
次の表に、このアダプタのプロビジョニング機能の概要を示します。
このリソース上のすべてのユーザーに対して、次のタスクを制御するリソース属性を定義できます。
ユーザーの作成時にホームディレクトリを作成する
ユーザーの作成時にユーザーのホームディレクトリにファイルをコピーする
ユーザーの削除時にホームディレクトリを削除する
次の表に、Solaris ユーザーのアカウント属性を示します。特に記載されていないかぎり、属性は省略可能です。属性の型はすべて String です。
アイデンティティーシステムユーザー属性 |
リソースユーザー属性 |
説明 |
---|---|---|
accountId |
accountId |
必須。ユーザーのログイン名。 |
説明 |
comment |
ユーザーのフルネーム。 |
Home directory |
dir |
ユーザーのホームディレクトリ。このアカウント属性で指定された値はすべて、「ホームベースディレクトリ」リソース属性で指定された値よりも優先されます。 |
Expiration date |
expire |
アカウントにアクセスできる最終日付。この属性は、NIS アカウントではサポートされていません。 |
Primary group |
group |
ユーザーの一次グループ。 |
Inactive |
inactive |
アカウントが非アクティブになってからロックされるまでの日数。NIS アカウントではサポートされていません。 |
Secondary groups |
secondary_group |
ユーザーの二次グループのコンマ区切りリスト。 ロールを有効にしてこの属性をプロビジョニングするには、'csv=true' を Role オブジェクト XML の RoleAttribute 要素に追加する必要があります。 |
Login shell |
shell |
ユーザーのログインシェル。 NIS マスターにプロビジョニングしている場合は、ユーザーシェルの値は NIS マスターに対してのみチェックされます。ユーザーがログオンする可能性のあるその他のマシンに対してチェックは実行されません。 |
Last login time |
time_last_login |
最終ログインの日時。この値は読み取り専用です。 |
User ID |
uid |
数字形式でのユーザー ID。 |
Authorizations |
authorization |
付与された権限のコンマ区切りリスト。 |
Profiles |
profile |
プロファイルのコンマ区切りリスト。 |
Roles |
ロール |
ロールのコンマ区切りリスト。 |
expirePassword |
force_change |
ログイン時にユーザーに新しいパスワードを強制的に入力させます。この属性は、デフォルトではスキーママップに一覧表示されていません。 |
Identity Manager は、次のネイティブ Solaris オブジェクトをサポートします。
リソースオブェクト |
サポートされる機能 |
管理される属性 |
---|---|---|
Group |
作成、更新、削除、名前の変更、名前を付けて保存 |
groupName、gid、users |
$accountId$
Solaris Group Create Form
Solaris Group Update Form
Identity Manager のデバッグページを使用して、次のクラスでトレースオプションを設定します。
com.waveset.adapter.SolarisResourceAdapter
com.waveset.adapter.SVIDResourceAdapter
com.waveset.adapter.ScriptedConnection