LDAP のための Solaris 管理コンソールの設定 (作業マップ)
Solaris 管理コンソールは、Trusted Extensions を実行しているシステムのネットワークを管理するための GUI です。
|
作業 |
説明 |
参照先 |
|---|---|---|
|
Solaris 管理コンソールを初期化します。 |
Solaris 管理コンソールを初期化します。この手順は、大域ゾーンのシステムごとに 1 回実行します。 | |
|
資格を登録します |
LDAP サーバーによって Solaris 管理コンソールを認証します。 | |
|
システムで遠隔管理を有効にします。 |
デフォルトでは、Solaris 管理コンソール クライアントは別のシステムにあるコンソールサーバーと通信できません。明示的に遠隔管理を有効にしてください。 | |
|
LDAP ツールボックスを作成します |
Trusted Extensions 用の Solaris 管理コンソールに LDAP ツールボックスを作成します。 | |
|
通信を確認します。 |
Trusted Extensions ホストが LDAP クライアントになれることを確認します。 |
LDAP の資格を Solaris 管理コンソールに登録する
始める前に
Trusted Extensions を実行している LDAP サーバーで root ユーザーになります。このサーバーはプロキシサーバーでもかまいません。
Sun Java System Directory Server が構成されている必要があります。次のいずれかの構成を完了しています。
-
LDAP 管理資格を登録します。
LDAP-Server # /usr/sadm/bin/dtsetup storeCred Administrator DN:Type the value for cn on your system Password:Type the Directory Manager password Password (confirm):Retype the password
-
ディレクトリサーバー上のスコープを一覧表示します。
LDAP-Server # /usr/sadm/bin/dtsetup scopes Getting list of manageable scopes... Scope 1 file:Displays name of file scope Scope 2 ldap:Displays name of ldap scope
サーバー設定によって、表示される LDAP スコープが決定されます。LDAP スコープは、LDAP ツールボックスを編集するまで一覧表示されません。ツールボックスは、サーバーを登録するまで編集できません。
例 5–1 LDAP 資格の登録
この例で、LDAP サーバーの名前は LDAP1 であり、cn の値はデフォルトの Directory Manager です。
# /usr/sadm/bin/dtsetup storeCred Administrator DN:cn=Directory Manager Password:abcde1;! Password (confirm):abcde1;! # /usr/sadm/bin/dtsetup scopes Getting list of manageable scopes... Scope 1 file:/LDAP1/LDAP1 Scope 2 ldap:/LDAP1/cd=LDAP1,dc=example-domain,dc=com |
Solaris 管理コンソール でのネットワーク接続の受け付けを有効にする
デフォルトでは、Solaris システムはセキュリティー上の危険があるポートでは待機しないように設定されます。そのため、遠隔で管理するシステムは、ネットワーク通信を受け付けるように明示的に構成します。たとえば、LDAP サーバー上のネットワークデータベースをクライアントから管理するには、LDAP サーバー上の Solaris 管理コンソール サーバーがネットワーク通信を受け付けるようにします。
LDAP サーバーがあるネットワークのための Solaris 管理コンソール の構成要件については、『Oracle Solaris Trusted Extensions 管理の手順』の「Solaris 管理コンソール を使用したクライアントサーバー通信」を参照してください。
始める前に
Solaris 管理コンソール サーバーシステム上で大域ゾーンのスーパーユーザーでなくてはなりません。この手順では、そのシステムを遠隔システムと呼びます。また、スーパーユーザーとしてクライアントシステムにコマンド行からアクセスできることも必要です。
-
遠隔システムで、遠隔接続を受け付けるようにシステムを設定します。
smc デーモンは wbem サービスによって制御されます。wbem サービスの options/tcp_listen プロパティーが true に設定されている場合、Solaris 管理コンソール サーバーは遠隔接続を受け付けます。
# /usr/sbin/svcprop -p options wbem options/tcp_listen boolean false # svccfg -s wbem setprop options/tcp_listen=true
-
wbem サービスの再表示と再起動を行います。
# svcadm refresh wbem # svcadm restart wbem
-
wbem サービスが遠隔接続を受け付けるように設定されていることを確認します。
# svcprop -p options wbem options/tcp_listen boolean true
-
遠隔システムおよび Solaris 管理コンソール にアクセスするすべてのクライアントで、smcserver.config ファイルで遠隔接続が有効になっていることを確認します。
注意事項
wbem サービスを再起動または有効にする場合、smcserver.config ファイルの remote.connections パラメータが true のままであることを確認します。
Solaris 管理コンソールの LDAP ツールボックスを編集する
始める前に
LDAP サーバー上のスーパーユーザーでなくてはなりません。LDAP 資格を Solaris 管理コンソールに登録する必要があり、/usr/sadm/bin/dtsetup scopes コマンドの出力について知っている必要があります。詳細は、「LDAP の資格を Solaris 管理コンソールに登録する」を参照してください。
-
LDAP ツールボックスを探します。
# cd /var/sadm/smc/toolboxes/tsol_ldap # ls *tbx tsol_ldap.tbx
-
LDAP サーバー名を入力します。
-
トラステッドエディタを開きます。
-
tsol_ldap.tbx ツールボックスのフルパス名をコピーして、引数としてエディタにペーストします。
たとえば、次のパスが LDAP ツールボックスのデフォルトの位置です。
/var/sadm/smc/toolboxes/tsol_ldap/tsol_ldap.tbx
-
スコープ情報を置き換えます。
<Scope> タグと </Scope> タグの間にある server タグを、ldap:/...... 行の出力 (/usr/sadm/bin/dtsetup scopes コマンドから) で置き換えます。
<Scope>ldap:/<ldap-server-name>/<dc=domain,dc=suffix></Scope>
-
<?server?> または <?server ?> のすべてのインスタンスを LDAP サーバーと置き換えます。
<Name>This Computer (ldap-server-name: Scope=ldap, Policy=TSOL)</Name> services and configuration of ldap-server-name.</Description> and configuring ldap-server-name.</Description> ...
-
ファイルを保存し、エディタを終了します。
-
-
wbem サービスの再表示と再起動を行います。
# svcadm refresh wbem # svcadm restart wbem
例 5–2 LDAP ツールボックスの設定
この例では、LDAP サーバーの名前は LDAP1 です。ツールボックスを設定するには、管理者が <?server ?> のインスタンスを LDAP1 と置き換えます。
# cd /var/sadm/smc/toolboxes/tsol_ldap # /usr/dt/bin/trusted_edit /tsol_ldap.tbx <Scope>ldap:/LDAP1/cd=LDAP1,dc=example-domain,dc=com</Scope ... <Name>This Computer (LDAP1: Scope=ldap, Policy=TSOL)</Name> services and configuration of LDAP1.</Description> and configuring LDAP1.</Description> ... |
Solaris 管理コンソールに Trusted Extensions 情報が含まれていることを確認する
LDAP サーバーがあるネットワークと LDAP サーバーがないネットワークのための Solaris 管理コンソール の構成要件については、『Oracle Solaris Trusted Extensions 管理の手順』の「Solaris 管理コンソール を使用したクライアントサーバー通信」を参照してください。
始める前に
管理役割になって、またはスーパーユーザーとして LDAP クライアントにログインします。システムを LDAP クライアントにする場合は、「Trusted Extensions で大域ゾーンを LDAP クライアントにする」を参照してください。
ローカルシステムを管理するには、「Trusted Extensions で Solaris 管理コンソールサーバーを初期化する」を完了してください。
ローカルシステムから遠隔システム上のコンソールサーバーに接続するには、両方のシステムで「Trusted Extensions で Solaris 管理コンソールサーバーを初期化する」を完了してください。また、遠隔システムで、「Solaris 管理コンソール でのネットワーク接続の受け付けを有効にする」を完了してください。
LDAP ネームサービス中のデータベースを LDAP クライアントから管理するには、LDAP サーバーで、上の手順に加えて「Solaris 管理コンソールの LDAP ツールボックスを編集する」完了してください。
-
Solaris 管理コンソールを起動します。
# /usr/sbin/smc &
-
Trusted Extensions ツールボックスを開きます。
Trusted Extensions ツールボックスの値は Policy=TSOL です。
-
LDAP をネームサービスとして使用するトラステッドネットワークでは、次のテストを実行します。
-
ローカル管理データベースにアクセスできることを確認するには、次のツールボックスを開きます。
このコンピュータ (this-host: Scope=Files, Policy=TSOL)
-
LDAP サーバーのローカル管理データベースにアクセスできることを確認するには、次のツールボックスを指定します。
このコンピュータ (ldap-server: Scope=Files, Policy=TSOL)
-
LDAP サーバー上のネームサービスデータベースにアクセスできることを確認するには、次のツールボックスを指定します。
このコンピュータ (ldap-server: Scope=LDAP, Policy=TSOL)
-
-
LDAP をネームサービスとして使用しないトラステッドネットワークでは、次のテストを実行します。
-
-
「システムの構成」領域で、「コンピュータとネットワーク」、「セキュリティーテンプレート」と移動します。
-
正しいテンプレートおよびラベルが遠隔システムに適用されていることを確認します。
注 –LDAP サーバーではないシステムからネットワークデータベース情報にアクセスしようとしても、処理に失敗します。コンソールを使用すると、遠隔ホストにログインしてツールボックスを開くことができます。ただし、情報にアクセスしたり情報を変更したりしようとした場合、LDAP サーバーではないシステム上で Scope=LDAP を選択したことを示す、次のエラーメッセージが表示されます。
Management server cannot perform the operation requested. ... Error extracting the value-from-tool. The keys received from the client were machine, domain, Scope. Problem with Scope.
注意事項
LDAP 構成をトラブルシューティングするには、『System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP)』の第 13 章「LDAP Troubleshooting (Reference)」を参照してください。
- © 2010, Oracle Corporation and/or its affiliates