LDAP では、この手順で大域ゾーンにネームサービス設定を構築します。LDAP を使用していない場合、この手順は省略できます。
Solaris 10 5/08 リリース以降、Solaris Trusted Extensions (CDE) ワークスペースにいるユーザーは、txzonemgr スクリプトまたは Trusted CDE アクションを使って LDAP クライアントを作成できます。Solaris Trusted Extensions (JDS) または Solaris Trusted Extensions (GNOME) ワークスペースにいるユーザーは、txzonemgr スクリプトを使用する必要があります。
あるユーザーが各ラベル付きゾーン内でネームサーバーを設定することを計画している場合、各ラベル付きゾーンへの LDAP クライアント接続を確立する責任はそのユーザーにあります。
Sun Java System Directory Server、つまり LDAP サーバーが存在しなければなりません。Trusted Extensions データベースのデータがサーバーに入力されていて、システムがサーバーと通信できなければなりません。そのため、構成しているシステムで、LDAP サーバー上の tnrhdb データベースへのエントリが必要です。あるいは、この手順を実行する前に、このシステムがワイルドカードエントリに含まれていなければなりません。
Trusted Extensions が設定された LDAP サーバーが存在しない場合、次に示す手順を実行する前に、第 5 章Trusted Extensions のための LDAP の構成 (手順) の手順を完了します。
DNS を使用している場合、nsswitch.ldap ファイルを変更します。
元の nsswitch.ldap ファイルのコピーを保存します。
LDAP 用の標準的なネームサービスのスイッチファイルは限定的であるため、Trusted Extensions には使用できません。
# cd /etc # cp nsswitch.ldap nsswitch.ldap.orig |
次の各サービスの nsswitch.ldap ファイルエントリを変更します。
正しいエントリは次のとおりです。
hosts: files dns ldap ipnodes: files dns ldap networks: ldap files protocols: ldap files rpc: ldap files ethers: ldap files netmasks: ldap files bootparams: ldap files publickey: ldap files services: files |
Trusted Extensions によって、次の 2 つのエントリが追加されます。
tnrhtp: files ldap tnrhdb: files ldap |
変更した nsswitch.ldap ファイルを nsswitch.conf にコピーします。
# cp nsswitch.ldap nsswitch.conf |
次の手順のいずれかを実行して LDAP クライアントを作成します。
txzonemgr スクリプトを実行し、LDAP に関するプロンプトに答えます。
「Create LDAP Client」メニュー項目によって構成されるのは、大域ゾーンだけです。
「txzonemgr スクリプトを実行する」の手順に従います。
このダイアログボックスのタイトルは「Labeled Zone Manager」です。
「Create LDAP Client」を選択します。
次の各プロンプトに答え、それぞれの回答のあとで「了解」をクリックします。
Enter Domain Name: Type the domain name Enter Hostname of LDAP Server: Type the name of the server Enter IP Address of LDAP Server servername: Type the IP address Enter LDAP Proxy Password: Type the password to the server Confirm LDAP Proxy Password: Retype the password to the server Enter LDAP Profile Name: Type the profile name |
表示された値を確定するか取り消します。
Proceed to create LDAP Client? |
確定した場合、txzonemgr スクリプトによって LDAP クライアントが追加されます。その後、コマンド出力がウィンドウに表示されます。
Trusted CDE ワークスペースで、「LDAP クライアントを作成」アクションを検索して使用します。
背景でマウスボタン 3 をクリックして Trusted_Extensions フォルダに移動します。
ワークスペースメニューで、「アプリケーション」->「アプリケーション・マネージャ」を選択します。
Trusted_Extensions フォルダのアイコンをダブルクリックします。
このフォルダには、インタフェース、LDAP クライアント、およびラベル付きゾーンを設定するためのアクションが含まれています。
「LDAP クライアントを作成」アクションをダブルクリックします。
次のプロンプトに答えます。
Domain Name: Type the domain name Hostname of LDAP Server: Type the name of the server IP Address of LDAP Server: Type the IP address LDAP Proxy Password: Type the password to the server Profile Name: Type the profile name |
「了解 (OK)」をクリックします。
次の完了メッセージが表示されます。
global zone will be LDAP client of LDAP-server System successfully configured. *** Select Close or Exit from the window menu to close this window *** |
アクションウィンドウを閉じます。
端末ウィンドウで、enableShadowUpdate パラメータに TRUE を設定します。
# ldapclient -v mod -a enableShadowUpdate=TRUE \ > -a adminDN=cn=admin,ou=profile,dc=domain,dc=suffix System successfully configured |
「LDAP クライアントを作成」アクションと txzonemgr スクリプトは ldapclient init コマンドのみを実行します。Trusted Extensions では、シャドウ更新を有効にするため、初期化された LDAP クライアントに変更を加える必要もあります。
サーバーに関する情報が正しいことを確認します。
端末ウィンドウを開き、LDAP サーバーを照会します。
# ldapclient list |
出力表示は次のようになります。
NS_LDAP_FILE_VERSION= 2.0 NS_LDAP_BINDDN= cn=proxyagent,ou=profile,dc=domain-name ... NS_LDAP_BIND_TIME= number |
エラーを修正します。
エラーが表示された場合は、もう一度 LDAP クライアントを作成し、正しい値を指定してください。たとえば、次のエラーが表示される場合、LDAP サーバーにシステムのエントリがない可能性があります。
LDAP ERROR (91): Can't connect to the LDAP server. Failed to find defaultSearchBase for domain domain-name |
このエラーを修正するには、LDAP サーバーを確認する必要があります。
この例では、管理者が、ある特定の DNS サーバー群をシステムから使用可能にします。管理者は、トラステッドネットワーク上のサーバーから resolv.conf ファイルをコピーします。DNS はまだアクティブになっていないため、管理者はサーバーの IP アドレスを使ってサーバーを特定します。
# cd /etc # cp /net/10.1.1.2/export/txsetup/resolv.conf resolv.conf |
resolv.conf ファイルがコピーされ、nsswitch.conf ファイルの hosts エントリに dns が含められると、管理者はホスト名を使ってシステムを特定できるようになります。