クライアントの初期設定

ldapclient(1M) は、Solaris オペレーティング環境で LDAP クライアントを設定するためのユーティリティです。ldapclient ユーティリティでは、サーバーがすでに適切なクライアントプロファイルで構成されていることを前提としています。サーバーをインストールして、適切なプロファイルで構成してからクライアントを設定する必要があります。

ldapclient を使用してクライアントを設定するには、次の 2 つの方法があります。

• 「プロファイル」

  少なくとも、使用するプロファイルとドメインを含むサーバーアドレスを指定する必要があります。プロファイルが指定されていない場合は、デフォルトのプロファイルが使用されます。プロキシと認証データベースの情報を除いて、必要な情報はサーバーから入手できます。クライアントの資格レベルがプロキシまたは匿名プロキシである場合は、プロキシのバインド DN とパスワードを入力する必要があります。詳細については、「クライアント資格レベルの割り当て」を参照してください。

• 「手動」

  クライアント自体でプロファイルを設定します。つまり、コマンド行からすべてのパラメータを定義します。このため、プロファイル情報はキャッシュファイルに格納されサーバーによってリフレッシュされることはありません。

クライアントを手動で構成することも可能ですが、お勧めしません。構成用のプロファイルを使用すると、クライアントの管理が容易になりコストも削減できます。

プロファイルを使用してクライアントを初期化する

プロファイルを使用してクライアントを初期化する方法

1. スーパーユーザーになります。

2. init を指定して ldapclient を実行します。

   # ldapclient init -a profileName=new -a ¥

   domainName=west.example.com 192.168.0.0

   System successfully configured

プロキシの資格を使用する

プロキシの資格を使用してクライアントを初期化する方法

1. スーパーユーザーになります。

2. ldapclient を実行します (プロキシ値を定義します)。

   # ldapclient init -a proxyDn=cn=proxyagent,ou=profile,dc=west,dc=example,dc=com -a domainname=west.example.com -a profilename=pit1 -a proxypassword=test1234 192.168.0.0

   System successfully configured

使用するプロファイルがプロキシ用に設定されている場合は、-a proxyDn と -a proxypassword が必須です。サーバーに保存されているプロファイルにはこの資格情報が含まれていないため、クライアントを初期設定するときは資格情報を入力する必要があります。この方法は、プロキシの資格情報をサーバーに保存していた従来の方法に比べて安全性が高くなります。

プロキシ情報は /var/ldap/ldap_client_cred の作成に使用され、それ以外の情報は/var/ldap/ldap_client_file に格納されます。

どちらのクライアント構成ファイルも直接編集しないでください。これらのファイルの内容を作成または変更する場合は、ldapclient を使用してください。

クライアントを手動で初期設定する

スーパーユーザーは、クライアントの構成を手動で行うことができます。ただし、この処理では多数のチェックが省略されるため、システムを正しく構成できないことがよくあります。また、プロファイルを使用するときのように一括に設定するのではなく、「マシンごとに」設定を変更する必要があります。

クライアントを手動で初期設定する方法

1. スーパーユーザーになります。

2. ldapclient manual を実行します。

   # ldapclient manual -a domainName=dc=west.example.com ¥

   -a credentialLevel=proxy -a defaultSearchBase=dc=west, dc=example, dc=com ¥

   -a proxyDN=cn=proxyagent,ou=profile,dc=west,dc=example,dc=com ¥

   -a proxyPassword=testtest 192.168.0.0

3. ldapclient list を使用して確認します。

   NS_LDAP_FILE_VERSION= 2.0 NS_LDAP_BINDDN= cn=proxyagent,ou=profile,dc=west,dc=example,dc=com NS_LDAP_BINDPASSWD= {NS1}4a3788e8c053424f NS_LDAP_SERVERS= 192.168.0.0 NS_LDAP_SEARCH_BASEDN= dc=west,dc=example,dc=com NS_LDAP_CREDENTIAL_LEVEL= proxy

手動によるクライアント構成を変更する

手動による構成を変更する方法

1. スーパーユーザーになります。

2. ldapclient mod を実行して、認証方法を simple に変更します。

   # ldapclient mod -a authenticationMethod=simple

3. ldapclient list を実行して、更新が行われたことを確認します。

   # ldapclient list

   NS_LDAP_FILE_VERSION= 2.0 NS_LDAP_BINDDN= cn=proxyagent,ou=profile,dc=west,dc=example,dc=com NS_LDAP_BINDPASSWD= {NS1}4a3788e8c053424f NS_LDAP_SERVERS= 192.168.0.0 NS_LDAP_SEARCH_BASEDN= dc=west,dc=example,dc=com NS_LDAP_AUTH= simple NS_LDAP_CREDENTIAL_LEVEL= proxy

クライアントの初期設定を解除する

クライアントの初期設定を解除する方法

1. スーパーユーザーになります。

2. ldapclient uninit を実行します。

   # ldapclient uninit

   System successfully recovered

ldapclient uninit コマンドは、クライアントのネームサービスを元の状態 (init、modify、または manual の最後の操作が行われる前の状態) に復元します。言い換えれば、最後に行われた手順を「元に戻します」。たとえば、profile1 を使用するようにクライアントを設定した後で profile2 を使用するように変更した場合、ldapclient uninit を実行すると、クライアントで profile1 を使用するように設定が元に戻ります。

TLS セキュリティの設定

cert7.db と key3.db の各ファイルには、どのユーザーも読み取り権が必要です。key3.db ファイルに非公開鍵を含めないようにしてください。

TLS を使用する場合は、必要なセキュリティデータベースをインストールしなければなりません。特に、cert7.db と key3.db の両ファイルは必須です。cert7.db ファイルには、信頼できる認証のデータベースが入ります。key3.db ファイルには、クライアントの鍵が入ります。LDAP ネームサービスクライアントではクライアントの鍵を使用しませんが、このファイルは必要です。

ldapclient を実行する前に、この節に記述されている必要なセキュリティデータベースファイルを設定およびインストールしておく必要があります。

これらのファイルを作成および管理する方法については、『iPlanet Directory Server 5.1 管理者ガイド』のLDAP クライアントの構成に関する節を参照してください。これらのファイルを構成したら、LDAP ネームサービスクライアントで使用できるように所定の場所にそれらを格納する必要があります。この場所を判断するために、属性 certificatePath が使用されます。この属性はデフォルトで /var/ldap です。

たとえば、Netscape Communicator を使用して必要な cert7.db ファイルと key3.db ファイルを設定した後で、それらのファイルをデフォルトの位置にコピーします。

# cp $HOME/.netscape/cert7.db /var/ldap

# cp $HOME/.netscape/key3.db /var/ldap

次に、すべてのユーザーに読み取り権を付与します。

# chmod 444 /var/ldap/cert7.db

# chmod 444 /var/ldap/key3.db

Netscape では、cert7.db とkey3.db の各ファイルを $HOME/.netscape ディレクトリで管理します。このため、それらのセキュリティデータベースを LDAP ネームサービスクライアントで使用する場合は、そのコピーをローカルファイルシステム上に格納する必要があります。

PAM を構成する

pam_ldap を使用する場合は、「pam_ldap に対応した pam.conf ファイルの例 」に説明されている pam.conf ファイルの例に従って、pam_ldap.so.1 が含まれる行をクライアントの /etc/pam.conf ファイルに追加します。pam_ldap.so.1 が含まれる行がすべて必要なわけではありません。pam_ldap を必要とするコマンド、ログイン、パスワードなどに関するセクションだけが変更の対象となります。詳細については、pam.conf(4) のマニュアルページを参照してください。