この章では、 SunTM ONE Directory Server 5.1 (以前の名称は、 iPlanetTM Directory Server 5.1) 上で動作する Solaris LDAP ネームサービスクライアントの設定方法について説明します。一般的なディレクトリサーバー要件については、第 18 章「LDAP の一般的なリファレンス」で簡潔に説明します。
ディレクトリサーバーは、必ずしも LDAP サーバーである必要はありません。しかし、この章では「ディレクトリサーバー」という言葉は 「LDAP サーバー」と同じ意味で使っています。
LDAP ネームサービスに関するこれらの章は、LDAP に関する実務上の知識を持つシステム管理者を対象としています。以下のリストはこの章を読む前によく理解しておく必要のある概念の一部です。以下の概念を知らない場合は、このマニュアルを使って Solaris 環境に LDAP ネームサービスを導入することは難しいかもしれません。
LDAP 情報モデル (エントリ、オブジェクトクラス、属性、タイプ、値)
LDAP ネームモデル (ディレクトリ情報ツリー (DIT) 構造)
LDAP 機能モデル (検索パラメータ: ベースオブジェクト (DN)、スコープ、サイズ制限、時間制限、フィルタ (Sun ONE Directory Server のインデックスを表示する)、属性リスト)
LDAP セキュリティモデル (認証方式、アクセス制御モデル)
データの計画方法と DIT、トポロジ、複製、セキュリティの設計方法を含む LDAP ディレクトリサービスの計画と設計全般
前述の概念についての詳細、また一般的な LDAP とディレクトリサービスの導入について知りたい場合は、以下の文書を参照してください。
Timothy A. Howes, Ph.D、Mark C. Smith 共著『Understanding and Deploying LDAP Directory Services』
この本には LDAP ディレクトリサービスの扱い方に関する詳細だけでなく、LDAP を配備する上で役に立つケーススタディが書かれています。配備事例には、大規模な大学、多国籍企業、そしてエクストラネットを使った企業などがあります。
『iPlanet Directory Server 5.1 導入ガイド』。 このドキュメントは、Solaris 9 Documentation CD に含まれています。
このドキュメントでは、基本的なディレクトリ計画 (ディレクトリ設計、スキーマ設計、ディレクトリツリー、トポロジ、複製、およびセキュリティを含む) が説明されています。最後の章では、単純で小規模な配備計画と、複雑な世界に広がる配備計画の両方のシナリオを説明しています。
『iPlanet Directory Server 5.1 管理者ガイド』。 このドキュメントは、Solaris 9 Documentation CD に含まれています。
NIS+ から LDAP の使用への移行については、 第 19 章「NIS+ から LDAP への移行」を参照してください。これらの章に進む前に、移行を完了させてください。
Sun ONE Directory Server 5.1 をインストールする場合は、『iPlanet Directory Server 5.1 インストールガイド』を参照してください。
次の表は、FNS、DNS、 NIS、 NIS+ 、LDAP ネームサービスを比較したものです。
|
DNS |
NIS |
NIS+ |
FNS |
LDAP |
---|---|---|---|---|---|
名前空間 |
階層 |
フラット |
階層 |
階層 |
階層 |
データ記憶領域 |
ファイル/リソースレコード |
2 列のマップ |
複数列のテーブル |
マップ |
ディレクトリ (可変) インデックス化したデータベース |
サーバー |
マスター/スレーブ |
マスター/スレーブ |
ルートマスター/ 非ルートマスター主/ 副キャッシュ/スタブ |
なし |
マスター/複製 マルチマスター複製 |
セキュリティ |
なし |
なし (root または、なし) |
DES- 認証
|
なし (root またはなし) |
SSL、可変 |
トランスポート |
TCP/IP |
RPC |
RPC |
RPC |
TCP/IP |
スケール |
グローバル |
LAN |
LAN |
グローバル (DNS 付)/LAN |
グローバル |
NIS や NIS+ クライアントと違い、 LDAP クライアントは常にホスト名として完全指定のドメイン名 (FQDN、Fully Qualified Domain Name) を返します。LDAP のFQDN は、DNS によって返される FQDN に似ています。たとえば、次のドメイン名を考えてみましょう。
west.example.net |
ホスト名 server を検索する場合、gethostbyname() および getipnodebyname() はホスト名を FQDN で返します。
server.west.example.net |
また、server-# のようなインタフェース固有の別名を使用した場合も、完全指定ホスト名の長いリストが返されます。ホスト名を使用してファイルシステムを共有したり他の検査を実行したりする場合、この点に留意する必要があります。たとえば、ローカルホストは FQDN ではなく、リモートの DNS で解決されるホストだけが FQDN であると想定している場合は、その違いに留意する必要があります。DNS とは違うドメイン名で LDAP を設定する場合、参照先によって同じホストが結果的に2つの異なる FQDN になる可能性があります。
LDAP を使用すると、アプリケーション固有の情報を置き換えて情報の整理統合を実行し、管理するデータベースの数を減らすことができる
LDAP を使用すると、マスターと複製との間でより頻繁にデータの同期を取ることができる
LDAP では、プラットフォーム間およびベンダー間の互換性が維持されている
以下に、その他のネームサービスと比較して LDAP の欠点を示します。
Solaris 8 以前のクライアントはサポートしていない
LDAP サーバーをそのクライアントとして使用することはできない
LDAP ネームサービスの設定および管理がより複雑なため、注意深い計画が必要である
ディレクトリサーバー (LDAP サーバー) をそのクライアントとして使用することはできません。つまり、ディレクトリサーバーソフトウェアを実行中のマシンを、LDAP ネームサーバークライアントにすることはできません。
LDAP ディレクトリサーバー構成は、 idsconfig を使うことにより簡単に設定することができます。
強力な認証と暗号化されたセッションのトランスポートレイヤーセキュリティ (Transport Layer Security, TLS) をサポートするより堅牢なセキュリティモデルクライアントのプロキシ資格は、ディレクトリサーバー上のクライアントプロファイルには格納されていない
ldapaddent コマンドを使用して、データをサーバー上に生成およびダンプすることができる
サービス検索記述子と属性の割り当て
新規プロファイルスキーマ
NIS+ は、将来のリリースでサポートされない可能性があります。Solaris 9 オペレーティング環境には、NIS+ から LDAP への移行を支援するツールが用意されています。
詳細については、http://www.sun.com/directory/nisplus/transition.html を参照してください。
NIS+ から LDAP への移行の詳細については、 第 19 章「NIS+ から LDAP への移行」を参照してください。
作業 |
参照先 |
ネットワークモデルの計画 | |
DIT の計画 | |
複製サーバーの設定 | |
セキュリティモデルの計画 | |
クライアントプロファイルおよびデフォルト属性値の選択 | |
データ生成の計画 | |
Sun ONE Directory Server 5.1 を構成して、LDAP ネームサービスから使用可能にする | |
Sun ONE Directory Server 5.1 を設定して、LDAP ネームクライアントから使用可能にする | 第 15 章「Sun ONE Directory Server 5.1 の設定 (手順)」 |
プリンタエントリの管理 | |
LDAP クライアントの初期化 | クライアントの初期設定 |
プロファイルを使用したクライアントの初期化 | |
手動によるクライアントの初期化 | |
クライアントの初期化解除 | |
サービス検索記述子を使用した、クライアントプロファイルの変更 | |
ネームサービス情報の取得 | |
クライアント環境のカスタマイズ |