クライアントプロファイル

Solaris クライアントの設定を簡略化するには、クライアントプロファイルを定義する必要があります。このプロファイルはサーバー上に作成する必要があります。クライアントは初期化時にプロファイル名とサーバーのアドレスを指定するだけで、簡単にシステムを設定できます。クライアントプロファイルによって、システム管理者は、Solaris クライアントが使用する LDAP 環境を定義できます。

プロファイルを使用することによる顕著な効果は、マシンのインストール作業が容易になることです。しかし、プロファイルの本当の利点がわかるのは、自分の環境に変更 (たとえばサーバーの追加や削除) を加え始めたときです。詳細は、ldap_gen_profile(1M) のマニュアルページを参照してください。

次に、クライアントプロファイルに定義できる属性をまとめておきます。

• SolarisLDAPServers

  コンマで区切られた LDAP サーバー IP アドレスのリストです。IP アドレスの後に、クライアントが使用するポート番号をコロンで区切って指定できます。このパラメータにデフォルト値はありません。少なくとも 1 つの LDAP サーバーを定義する必要があります。複数のサーバーを定義すると、最初のサーバーから応答がないときには、次のサーバーが使用されます。

• SolarisSearchBaseDN

  名前情報が格納される LDAP ネーム起点識別名です。

• SolarisBindDN

  クライアントが認証処理で使用する LDAP の識別情報です。通常は、プロキシエージェントの DN です。デフォルトは NULL 文字列です。

• SolarisBindPassword

  SIMPLE 認証および CRAM_MD5 認証を使用するときの SolarisBindDN のパスワードです。デフォルトは NULL 文字列です。

• SolarisAuthMethod

  クライアントが使用する認証方式の順序付きリストです。使用可能な認証方式として、NONE、SIMPLE、CRAM_MD5 があります。デフォルトは NONE です。複数の認証方式を指定すると、資格以外の理由で最初の方式による認証に失敗したとき、次の認証方式が試されます。

• SolarisTransportSecurity

  クライアントが使用する安全な通信方法です。デフォルトは NONE です。現在のところ、NONE しか指定できません。

• SolarisDataSearchDN

  名前情報を検索するときの代替の起点識別名 (baseDN) です。この属性を指定することによって、デフォルトの名前情報タイプを無効にできます。代替 baseDN の書式は次のとおりです。

  database:alternate-baseDN-list

  database は nsswitch.conf ファイルに定義された情報タイプ、alternate-baseDN-list は代替 baseDN のリストです。リストの各要素はコンマで区切り、リスト全体を括弧で囲みます。各データベースは、このパラメータに指定された順序で検索されます。デフォルトは、どのコンテナでも NULL です。

• SolarisSearchScope

  名前情報を検索するときに適用する検索範囲です。指定可能な値は、Base、One level、Subtree のいずれかです。デフォルトは One level です。

• SolarisSearchTimeLimit

  名前情報を検索するときの LDAP 検索時間の上限 (秒) です。デフォルトは 30 秒です。

• SolarisCacheTTL

  クライアントが自身のプロファイル情報をサーバーから取得して更新するまでの有効期限です。ldap_cachemgr による自動更新を行いたくないときは、client_TTL に 0 (ゼロ) を設定します。指定できる値は、ゼロ (期限切れなし)、または正の整数 (秒) です。デフォルトは 43200 (12 時間) です。

• SolarisSearchReferral

  名前情報を検索するときの参照の扱いを指定します。参照に従うまたは参照に従わないのいずれかを指定できます。デフォルトでは常に参照に従います。

クライアントプロファイルを作成するための ldap_gen_profile(1M) コマンドは、Solaris クライアントツールの一部として提供されています。このツールは LDIF ファイルを生成します。生成された LDIF ファイルを LDAP サーバーに格納するには、ldapadd(1) コマンドを使用します。次に、クライアントプロファイルの作成方法を示します。

クライアントプロファイルを作成する

1. ldap_gen_profile(1M) を使用してクライアントプロファイルを作成します。

   # /usr/sbin/ldap_gen_profile \ -P myprofile \ -b dc=mkt,dc=mainstore,dc=com \ -a simple -w mypasswd \ -D cn=proxyagent,ou=profile,dc=mkt,dc=mainstore,dc=com \ 100.100.100.100

   作成されたプロファイルの例を次に示します。

   dn: cn=myprofile,ou=profile,dc=mkt,dc=mainstore,dc=com SolarisBindDN: cn=proxyagent,ou=profile,dc=mkt,dc=mainstore,dc=com SolarisBindPassword: {NS1}xxxxxxxxxxxxxx SolarisLDAPServers: 100.100.100.100 SolarisSearchBaseDN: dc=mkt,dc=mainstore,dc=com SolarisAuthMethod: NS_LDAP_AUTH_SIMPLE SolarisTransportSecurity: NS_LDAP_SEC_NONE SolarisSearchReferral: NS_LDAP_FOLLOWREF SolarisSearchScope: NS_LDAP_SCOPE_ONELEVEL SolarisSearchTimeLimit: 30 SolarisCacheTTL: 43200 cn: myprofile ObjectClass: top ObjectClass: SolarisNamingProfile

2. 作成されたプロファイルを (profile.ldif などの) ファイルに保存し、ldapadd(1) を使用して LDAP サーバーに格納します。

   # ldapadd -h ldap_server_hostname -D "cn=Directory Manager" \ -w nssecret -f profile.ldif

各クライアントマシン上の ldap_cachemgr(1M) は、LDAP 構成ファイルの内容を自動的に更新します。つまり、サーバー上のプロファイル情報を変更すると、変更内容が自動的に名前空間内のすべてのクライアントに反映されます。定期的な更新は、プロファイルの SolarisCacheTTL 属性に指定された TTL (time to live: 有効期限) の値に基づいて行われます。