LDAP に関する章では、iPlanet Directory Server 5.1 で動作するように Solaris ネームサービスクライアントを設定する方法を説明します。一般的なディレクトリサーバー要件については、第 18 章「一般的なリファレンス」で簡潔に説明します。
ディレクトリサーバーは LDAP サーバーである必要はありませんが、LDAP に関する章では、「ディレクトリサーバー」という語は「LDAP サーバー」の同義語として使用します。
LDAP ネームサービスに関するこれらの章は、LDAP に関する実務上の知識を持つシステム管理者を対象としています。以下のリストは、本書を利用して Solaris ベースの LDAP ネームサービスを配備する前によく理解しておく必要のある概念の一部です。
LDAP 情報モデル (エントリ、オブジェクトクラス、属性、タイプ、値)
LDAP ネームモデル (ディレクトリ情報ツリー (DIT) 構造)
LDAP 機能モデル (検索パラメータ: ベースオブジェクト (DN)、スコープ、サイズ制限、時間制限、フィルタ (iPlanet Directory Server のインデックスを表示する)、属性リスト)
LDAP セキュリティモデル (認証方式、アクセス制御モデル)
LDAP ディレクトリサービスの全体計画および設計 (データの計画方法、DIT、トポロジ、複製、およびセキュリティの設計方法を含む)
前述の概念を詳しく知りたい場合、または LDAP や一般的なディレクトリサービスの配備について知りたい場合、以下のドキュメントが役に立ちます。
『Understanding and Deploying LDAP Directory Services 』Timothy A. Howes, Ph.D、Mark C. Smith 共著
LDAP ディレクトリサービスの処理をはじめから終わりまで紹介するとともに、大規模な大学、大規模な多国籍企業、およびエクストラネットを備えた企業への LDAP 導入に関する有用なケーススタディが含まれています。
『iPlanet Directory Server 5.1 導入ガイド』。 このドキュメントは、Solaris 9 Documentation CD に含まれています。
このドキュメントでは、基本的なディレクトリ計画 (ディレクトリ設計、スキーマ設計、ディレクトリツリー、トポロジ、複製、およびセキュリティを含む) が説明されています。最後の章では、簡単な配備に加え、世界中に存在する何百万ものユーザーをサポートする複雑な配備を行う際の参考になる、サンプルの開発シナリオを紹介しています。
『iPlanet Directory Server 5.1 管理者ガイド』。 このドキュメントは、Solaris 9 Documentation CD に含まれています。
NIS+ から LDAP への移行を行う場合、『Solaris のシステム管理 (ネーミングとディレクトリサービス : FNS、NIS+ 編)』の付録「NIS+ から LDAP への移行」を参照して移行を完了してから、本書の各章に進んでください。
iPlanet Directory Server 5.1 のインストールが必要な場合は、『iPlanet Directory Server 5.1 インストールガイド』を参照してください。
以下に、FNS、DNS、NIS、NIS+、および LDAP ネームサービスの比較一覧を示します。
|
DNS |
NIS |
NIS+ |
FNS |
LDAP |
---|---|---|---|---|---|
名前空間 |
階層 |
フラット |
階層 |
階層 |
階層 |
データ記憶領域 |
ファイル/ リソースレコード |
2 列のマップ |
複数列のテーブル |
マップ |
ディレクトリ (可変) をインデックス化したデータベース |
サーバー |
マスター/スレーブ |
マスター /スレーブ |
ルートマスター/ 非ルートマスター主/ 副キャッシュ/スタブ |
なし |
マスター/複製 マルチマスター複製 |
セキュリティ |
なし |
なし (root または、なし) |
DES 認証 |
なし (root または、なし) |
SSL、可変 |
トランスポート |
TCP/IP |
RPC |
RPC |
RPC |
TCP/IP |
スケール |
グローバル |
LAN |
LAN |
グローバル (DNS 付)/LAN |
グローバル |
LDAP クライアントと NIS や NIS+ クライアントとの 1 つの重要な相違点は、LDAP クライアントが DNS の場合と同様、ホスト名として常に完全指定ドメイン名 (FQDN) を返すことです。たとえば、次のドメイン名を考えてみましょう。
west.example.net |
この場合、ホスト名 server を検索する場合、gethostbyname() および getipnodebyname () はホスト名を FQDN で返します。
server.west.example.net |
また、server-# のようなインタフェース固有の別名を使用した場合も、完全指定ホスト名の長いリストが返されます。ホスト名を使用してファイルシステムの共有や他の検査を実行する場合、この点に留意する必要があります。ローカルホストには非 FQDN を想定し、DNS 解決済み遠隔ホストにのみ FQDN を想定している場合は特に注意が必要です。DNS と異なるドメイン名を使用して LDAP を設定すると、同じホストでも検索元によって FQDN が異なることがあります。
LDAP を使用すると、アプリケーション固有の情報を置き換えて情報の整理統合を実行し、管理するデータベースの数を減らすことができる
LDAP を使用すると、マスターと複製との間でより頻繁にデータの同期を取ることができる
LDAP では、プラットフォーム間およびベンダー間の互換性が維持されている
以下に、その他のネームサービスと比較して LDAP の欠点を示します。
Solaris 8 より前のクライアントがサポートされない
LDAP サーバーをそのクライアントとして使用することはできない
LDAP ネームサービスの設定および管理がより複雑なため、注意深い計画が必要である
ディレクトリサーバー (LDAP サーバー) をそのクライアントとして使用することはできません。つまり、ディレクトリサーバーソフトウェアを実行中のマシンを、LDAP ネームサーバークライアントにすることはできません。
idsconfig の使用による、LDAP ディレクトリサーバー設定の簡略化
強力な認証、TLS 暗号化セッションをサポートする、より堅牢なセキュリティモデル。クライアントのプロキシ資格は、ディレクトリサーバー上のクライアントプロファイルには格納されていない
ldapaddent コマンドを使用して、データをサーバー上に生成およびダンプすることができる
サービス検索記述子および属性マップ
新規プロファイルスキーマ
NIS+ は、将来のリリースでサポートされない可能性があります。Solaris 9 オペレーティング環境には、NIS+ から LDAP への移行を支援するツールが用意されています。
詳細については、http://www.sun.com/directory/nisplus/transition.html を参照してください。
NIS+ から LDAP への移行の詳細については、第 19 章「NIS+ から LDAP への移行」を参照してください。
作業 |
参照先 |
---|---|
ネットワークモデルの計画 | |
DIT の計画 | |
複製サーバーの設定 | |
セキュリティモデルの計画 | |
クライアントプロファイルおよびデフォルト属性値の選択 | |
データ生成の計画 | |
iPlanet Directory Server 5.1 を構成して、LDAP ネームサービスから使用可能にする | |
iPlanet Directory Server 5.1 を設定して、LDAP ネームクライアントから使用可能にする | 第 15 章「iPlanet Directory Server 5.1 の設定 (手順)」 |
プリンタエントリの管理 | |
LDAP クライアントの初期化 | 「クライアントの初期設定」 |
プロファイルを使用したクライアントの初期化 | |
手動によるクライアントの初期化 | |
クライアントの初期化解除 | |
サービス検索記述子を使用した、クライアントプロファイルの変更 | |
ネームサービス情報の取得 | |
クライアント環境のカスタマイズ |