この章では、Solaris Trusted Extensions が設定されたシステムでの Sun Java System Directory Server (ディレクトリサーバー) の使用法について説明します。
複数の Trusted Extensions システムを使用するセキュリティードメイン内でユーザー、ホスト、ネットワーク属性の一貫性を達成するために、ほとんどの構成情報の配布にはネームサービスを使用します。LDAP はネームサービスの一例です。どのネームサービスを使用するかは、nsswitch.conf ファイルによって決定されます。LDAP は、Trusted Extensions で推奨されるネームサービスです。
Directory Server は、Trusted Extensions および Solaris クライアントに LDAP ネームサービスを提供することができます。サーバーには Trusted Extensions ネットワークデータベースが含まれている必要があり、Trusted Extensions クライアントはマルチレベルポートでサーバーに接続する必要があります。セキュリティー管理者は、Trusted Extensions を構成する際にマルチレベルポートを指定します。
Trusted Extensions は、LDAP サーバーに 2 つのトラステッドネットワークデータベース、 tnrhdb および tnrhtp を追加します。これらのデータベースは、Solaris 管理コンソールの「セキュリティーテンプレート」ツールを使用して管理されます。Scope=LDAP, Policy=TSOL のツールボックスは構成の変更をディレクトリサーバーに格納します。
Solaris OS での LDAP ネームサービスの使用法については、『Solaris のシステム管理 (ネーミングとディレクトリサービス : DNS、NIS、LDAP 編)』を参照してください。
Trusted Extensions クライアントに対するディレクトリサーバーの設定については、『Oracle Solaris Trusted Extensions 構成ガイド』を参照してください。Trusted Extensions システムは、Trusted Extensions が設定された LDAP プロキシサーバーを使用して、Solaris LDAP サーバーのクライアントになることができます。
Trusted Extensions が設定されたシステムは、NIS または NIS+ マスターのクライアントになることはできません。
サイトでネームサービスを使用していない場合は、ユーザー、ホスト、ネットワークの構成情報がすべてのホストで同じであることを、管理者が確認する必要があります。1 つのホストで行なった変更は、すべてのホストで行う必要があります。
ネットワーク接続されていない Trusted Extensions システムでは、構成情報は /etc、/etc/security、および /etc/security/tsol ディレクトリに格納されます。Trusted_Extensions フォルダ内のアクションによって、一部の構成情報を変更できます。Solaris 管理コンソールの「セキュリティーテンプレート」ツールを使用すると、ネットワークデータベースのパラメータを修正することができます。ユーザー、役割、権利は、「ユーザーアカウント」、「管理役割」、および「権利」の各ツールで修正します。このコンピュータ Scope=Files, Policy=TSOL のツールボックスにローカルの構成変更が格納されています。
Trusted Extensions では、ディレクトリサーバーのスキーマを拡張して、tnrhdb データベースおよび tnrhtp データベースに対応しています。Trusted Extensions では、ipTnetNumber および ipTnetTemplateName の 2 つの属性と、ipTnetHost および ipTnetTemplate の 2 つのオブジェクトクラスが新しく定義されています。
属性の定義は次のとおりです。
ipTnetNumber ( 1.3.6.1.1.1.1.34 NAME 'ipTnetNumber' DESC 'Trusted network host or subnet address' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) |
ipTnetTemplateName ( 1.3.6.1.1.1.1.35 NAME 'ipTnetTemplateName' DESC 'Trusted network template name' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) |
オブジェクトクラスの定義は次のとおりです。
ipTnetTemplate ( 1.3.6.1.1.1.2.18 NAME 'ipTnetTemplate' SUP top STRUCTURAL DESC 'Object class for Trusted network host templates' MUST ( ipTnetTemplateName ) MAY ( SolarisAttrKeyValue ) ) ipTnetHost ( 1.3.6.1.1.1.2.19 NAME 'ipTnetHost' SUP top AUXILIARY DESC 'Object class for Trusted network host/subnet address to template mapping' MUST ( ipTnetNumber $ ipTnetTemplateName ) ) |
LDAP での cipso テンプレート定義は、次のようなものです。
ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com objectClass=top objectClass=organizationalUnit ou=ipTnet ipTnetTemplateName=cipso,ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com objectClass=top objectClass=ipTnetTemplate ipTnetTemplateName=cipso SolarisAttrKeyValue=host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH; ipTnetNumber=0.0.0.0,ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com objectClass=top objectClass=ipTnetTemplate objectClass=ipTnetHost ipTnetNumber=0.0.0.0 ipTnetTemplateName=internal |
Trusted Extensions では、LDAP ネームサービスは Solaris OS の場合と同じように管理されます。次に、役立つコマンドの例と、詳細情報の参照先を示します。
LDAP 構成の問題解決のストラテジについては、『System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP)』の第 13 章「LDAP Troubleshooting (Reference)」を参照してください。
クライアントとサーバーの LDAP 接続においてラベルの影響を受ける問題のトラブルシューティングについては、「LDAP サーバーへのクライアント接続をデバッグする」を参照してください。
クライアントとサーバーの LDAP 接続におけるその他の問題のトラブルシューティングについては、『System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP)』の第 13 章「LDAP Troubleshooting (Reference)」を参照してください。
LDAP クライアントから LDAP エントリを表示するには、次のように入力します。
$ ldaplist -l $ ldap_cachemgr -g |
LDAP サーバーから LDAP エントリを表示するには、次のように入力します。
$ ldap_cachemgr -g $ idsconfig -v |
LDAP が管理するホストを一覧表示するには、次のように入力します。
$ ldaplist -l hosts Long listing $ ldaplist hosts One-line listing |
LDAP 上のディレクトリ情報ツリー (DIT) 内の情報を一覧表示するには、次のように入力します。
$ ldaplist -l services | more dn: cn=apocd+ipServiceProtocol=udp,ou=Services,dc=exampleco,dc=com objectClass: ipService objectClass: top cn: apocd ipServicePort: 38900 ipServiceProtocol: udp ... $ ldaplist services name dn=cn=name+ipServiceProtocol=udp,ou=Services,dc=exampleco,dc=com |
クライアント上の LDAP サービスのステータスを表示するには、次のように入力します。
# svcs -xv network/ldap/client svc:/network/ldap/client:default (LDAP client) State: online since date See: man -M /usr/share/man -s 1M ldap_cachemgr See: /var/svc/log/network-ldap-client:default.log Impact: None. |
LDAP クライアントを起動および停止するには、次のように入力します。
# svcadm enable network/ldap/client |
# svcadm disable network/ldap/client |
バージョン 5.2 の Sun Java System Directory Server ソフトウェアで LDAP サーバーを起動および停止するには、次のように入力します。
# installation-directory/slap-LDAP-server-hostname/start-slapd # installation-directory/slap-LDAP-server-hostname/stop-slapd |
バージョン 6 の Sun Java System Directory Server ソフトウェアで LDAP サーバーを起動および停止するには、次のように入力します。
# dsadm start /export/home/ds/instances/your-instance # dsadm stop /export/home/ds/instances/your-instance |
バージョン 6 の Sun Java System Directory Server ソフトウェアで LDAP プロキシサーバーを起動および停止するには、次のように入力します。
# dpadm start /export/home/ds/instances/your-instance # dpadm stop /export/home/ds/instances/your-instance |