test

Solaris のシステム管理 (ネーミングとディレクトリサービス : NIS+ 編)

NIS+ 設定の概要

NIS+ 名前空間の設定と構成には、スクリプトを使用する方法をお勧めします。これらのスクリプトを使用すると、NIS+ コマンドセットを使用する場合よりも簡単に NIS+ 名前空間を設定できます。第 6 章「NIS+ クライアントの構成」第 7 章「NIS+ サーバーの構成」、および第 8 章「ルート以外のドメインの構成」を参照してください。

スクリプトの詳細は、nisserver(1M)nispopulate(1M)nisclient(1M) の各マニュアルページを参照してください。用語や略語の定義については、用語集を参照してください。

このチュートリアルで説明するサンプルの小さな NIS+ 名前空間を土台にして実際の NIS+ 名前空間を作ることはしないでください。名前空間についてひととおり理解できたら、サンプルの名前空間は削除してください。サンプルの名前空間に実際の名前空間を追加しないでください。あらためて、初めから NIS+ 階層の計画を注意深く立ててから、実際の名前空間を作成してください。

一般に推奨される設定手順を表 4–1 に要約します。左端の列には、ルートドメインの構成やクライアントの作成などの主な設定作業を示します。中央の列は、作業の説明です。3 番目の列は、各手順に必要なスクリプトまたはコマンドです。

表 4–1 NIS+ の推奨構成手順の概要

作業 

目的 

スクリプトまたはコマンド 

NIS+ 名前空間の計画を立てる 

NIS+ 名前空間の計画を立てる。計画の要件と手順の詳細は、『Solaris のシステム管理 (ネーミングとディレクトリサービス : NIS+ 編)』の「NIS+ の紹介」を参照してください。(試験的なネットワークで NIS+ チュートリアルを使用している場合、この手順は不要)

 

既存の名前空間を設定する 

スクリプトを正常に実行するためには、既存の名前空間を適切に設定する必要がある。必要な準備については、『Solaris のシステム管理 (ネーミングとディレクトリサービス : NIS+ 編)』の「名前空間がすでに存在する場合の設定」を参照してください。(試験的なネットワークで NIS+ チュートリアルを使用している場合、この手順は不要)

 

Diffie-Hellman キー長を設定する 

DES 認証を使用する場合には、デフォルトの 192 ビットよりも長い Diffie-Hellman キーの使用を考慮する。キーを長くする場合、その長さはドメイン内のすべてのマシンで同一である必要がある。各初期設定スクリプトの実行する前に、目的のキー長を指定する 

nisauthconf

ルートドメインの構成 

ルートドメインを作成する。ルートマスターサーバーの構成と初期設定を行う。ルートドメイン管理グループを作成する 

nisserver

テーブルの生成 

テキストファイルまたは NIS マップからルートドメインの NIS+ テーブルを生成 (populate) する。ルートドメインクライアントの資格 (credential) を作成する。管理者の資格を作成する 

nispopulate

nisgrpadm

nisping

ルートドメインクライアントの構成 

クライアントマシンを構成する (そのうちの何台かは後にサーバーになる)。ユーザーを NIS+ クライアントとして初期設定する 

nisclient

サーバーを使用可能にする 

ルートドメインの一部のクライアントをサーバーとして使用可能にする。サーバーの一部は後でルート複製サーバーとなり、そのほかは下位レベルのドメインをサポートする 

svcadm enable

ルート複製サーバーの構成 

構成したばかりのサーバーのうち、1 台または複数をルートドメインの複製として指定する 

nisserver

svcadm

ルート以外のドメインの構成 

新しいドメインを作成します以前の手順で使用可能にしたサーバーを、そのマスターとして指定する。その管理グループと管理資格を作成する 

nisserver

テーブルの生成 

新しいドメインのクライアントの資格を作成する。テキストファイルまたは NIS マップから、新しいドメインの NIS+ テーブルを生成する 

nispopulate

ルート以外のドメインのクライアントを構成する 

新しいドメインのクライアントを構成する (一部のクライアントは、後に下位レベルのドメインのサーバーとなる場合がある)。ユーザーを NIS+ クライアントとして初期設定する 

nisclient

NIS+ スクリプトを使用することによって、上の作業で示される個々の手順の大部分を省略できます。

NIS+ とサービス管理機能

NIS+ サービスに関連したコマンド行管理タスクのほとんどは、サービス管理機能 (SMF) によって管理されます。SMF の概要については、『Solaris のシステム管理 (基本編)』の「サービスの管理 (概要)」を参照してください。詳細については、svcadm(1M)svcs(1) の各マニュアルページも参照してください。

svcadmrpc.nisd -x とともに使用する

一般に、/usr/sbin/rpc.nisd デーモンは svcadm コマンドを使って管理します。ただし、rpc.nisd-x nisplusLDAPinitialUpdateOnly=yes を使って呼び出された場合、rpc.nisd は指定された操作を実行して、終了します。つまり、rpc.nisd はデーモンとして動作しません。SMF は -x nisplusLDAPinitialUpdateOnly=yes とともに使用しません。SMF は、それ以外で rpc.nisd デーモンを起動、停止、または再起動する場合にいつでも使用できます。

rpc.nisd-x nisplusLDAPinitialUpdateOnly=yes で使用する例を次に示します。


# /usr/sbin/rpc.nisd -m mappingfile \
-x nisplusLDAPinitialUpdateAction=from_ldap \
-x nisplusLDAPinitialUpdateOnly=yes

/lib/svc/method/nisplus ファイルの変更

SMF を使って rpc.nisd デーモンを呼び出すときに特定のオプションを指定する場合は、そのオプションを /lib/svc/method/nisplus ファイルに追加します。次に、よく使われるオプションをいくつか示します。

-S 0

サーバーのセキュリティレベルを 0 に設定します。現時点ではブートストラップに必要です。 

cred テーブルがまだ存在しないので、NIS+ 主体は資格を持つことができません。このため、高いセキュリティレベルを使用すると、サーバーからロックアウトされます。

-B

DNS 転送をサポートします。 

-Y

NIS 互換モードで NIS+ デーモンを起動します。 

/lib/svc/method/nisplus ファイルの変更方法

  1. スーパーユーザーになるか、同等の役割になります。

    役割には、承認と特権コマンドが含まれます。役割の詳細については、Solaris のシステム管理 (セキュリティサービス)』の「役割に基づくアクセス制御の使用 (作業)」を参照してください。

  2. NIS+ サービスを停止します。


    # svcadm disable network/rpc/nisplus:default

  3. /lib/svc/method/nisplus ファイルを開きます。

    適切なテキストエディタを使用します。

  4. ファイルを編集して必要なオプションを追加します。

    例 —

    変更前: 


    /usr/sbin/rpc.nisd $nisd_flags || exit $?

    変更後: 


    /usr/sbin/rpc.nisd $nisd_flags -Y -B || exit $?

    この例では、-Y および -B オプションが rpc.nisd に追加され、起動時に自動的に実装されます。

  5. 保存して終了します。

  6. NIS+ サービスを開始します。


    # svcadm enable network/rpc/nisplus:default