LDAP サーバーへのクライアント接続をデバッグする
LDAP サーバーでクライアントエントリの構成が誤っていると、クライアントがサーバーと通信できない場合があります。同様に、クライアント上のファイルの構成が誤っていると通信できない場合があります。クライアントサーバー間の通信問題をデバッグするときは、次のエントリとファイルを確認します。
始める前に
LDAP クライアント上の大域ゾーンで、セキュリティー管理者役割である必要があります。
-
LDAP サーバーと LDAP サーバーへのゲートウェイの遠隔ホストテンプレートが正しいことを確認します。
# tninfo -h LDAP-server # route get LDAP-server # tninfo -h gateway-to-LDAP-server
遠隔ホストテンプレートの割り当てが正しくない場合、Solaris 管理コンソールの「セキュリティーテンプレート」ツールを使用して、ホストを正しいテンプレートに割り当てます。
-
/etc/hosts ファイルを確認し、修正します。
使用しているシステム、システム上のラベル付きゾーンのインタフェース、LDAP サーバーへのゲートウェイ、および LDAP サーバーがファイルに一覧表示されている必要があります。さらに多くのエントリがあるかもしれません。
重複しているエントリを捜します。ほかのシステムのラベル付きゾーンであるエントリを削除します。たとえば、Lserver が LDAP サーバーの名前であり、LServer-zones がラベル付きゾーンの共有インタフェースである場合、/etc/hosts から LServer-zones を削除します。
-
DNS を使用している場合、resolv.conf ファイルのエントリを確認し修正します。
# more resolv.conf search list of domains domain domain-name nameserver IP-address ... nameserver IP-address
-
nsswitch.conf ファイルの tnrhdb および tnrhtp エントリが正しいことを確認します。
-
サーバー上で、クライアントが正しく構成されていることを確認します。
# ldaplist -l tnrhdb client-IP-address
-
ラベル付きゾーンのインタフェースが LDAP サーバー上で正しく構成されていることを確認します。
# ldaplist -l tnrhdb client-zone-IP-address
-
現在実行中のすべてのゾーンから LDAP サーバーを ping できること確認します。
# ldapclient list ... NS_LDAP_SERVERS= LDAP-server-address # zlogin zone-name1 ping LDAP-server-address LDAP-server-address is alive # zlogin zone-name2 ping LDAP-server-address LDAP-server-address is alive ...
-
LDAP を構成して再起動します。
-
手順については、『Oracle Solaris Trusted Extensions 構成ガイド』の「Trusted Extensions で大域ゾーンを LDAP クライアントにする」を参照してください。
-
各ラベル付きゾーンで、ゾーンを LDAP サーバーのクライアントとして再構築します。
# zlogin zone-name1 # ldapclient init \ -a profileName=profileName \ -a domainName=domain \ -a proxyDN=proxyDN \ -a proxyPassword=password LDAP-Server-IP-Address # exit # zlogin zone-name2 ...
-
すべてのゾーンを停止し、ファイルシステムをロックして再起動します。
Solaris ZFS を使用している場合は、再起動の前にゾーンを停止し、ファイルシステムをロックします。ZFS を使用していない場合は、ゾーンの停止とファイルシステムのロックを行わずに再起動することができます。
# zoneadm list # zoneadm -z zone-name halt # lockfs -fa # reboot
-
- © 2010, Oracle Corporation and/or its affiliates