NIS+ からLDAP への移行の概要

NIS+ サーバーデーモン rpc.nisd は、 /var/nis/data ディレクトリにある独自フォーマットファイルに NIS+ データを保存します。 NIS+ データは、LDAP と同期化することができます。従来は、そのために外部エージェントが必要でした。 しかし、新しい NIS+ デーモンでは、LDAP サーバーを NIS+ データのデータリポジトリとして使用できるようになりました。 これにより、NIS+ および LDAP クライアントが同一のネームサービス情報を共有できるため、メインネームサービスを NIS+ から LDAP に移行する作業がより簡単になりました。

デフォルトの rpc.nisd デーモンは、従来と同様に機能し、/var/nis/data の NIS+ データベースにデータを格納します。 システム管理者は、必要に応じて、NIS+ データベースの一部の権限を LDAP サーバーに譲渡し、NIS+ データのリポジトリとして使用することができます。 この場合、/var/nis/data ファイルは rpc.nisd デーモンのキャッシュとして機能するため、LDAP ルックアップトラフィックが減少します。 また、LDAP サーバーが一時的に使用できなくなった場合でも、 rpc.nisd デーモンは動作を継続できます。 NIS+ および LDAP は常に同期化されるだけでなく、NIS+ および LDAP 間でデータをアップロードまたはダウンロードすることができます。

LDAP に対するデータのマッピングは、構成ファイルの柔軟な構文を使用して行います。 client_info.org_dir および timezone.org_dir 以外のすべての標準 NIS+ テーブルは、テンプレートマッピングファイル /var/nis/NIS+LDAPmapping.template で対応できます。 ほとんどの NIS+ インストールのテーブルは、変更する必要がないか、わずかな変更で済みます。 (client_info.org_dir と timezone.org_dir については、client_info および timezone テーブルを参照)。 NIS+ データは、LDAP ディレクトリ情報ツリー (DIT) に配置されます。また、マッピングファイルでは、LDAP から入力された NIS+ データに対して生存期間 (TTL) を設定できます。 多くの場合、NIS+ 列値および LDAP 属性値は 1 対 1 で対応づけられますが、マッピングファイルはより複雑な関係にも対応できます。

新しい /etc/default/rpc.nisd ファイルは、LDAP サーバーと認証を選択するときに使用し、rpc.nisd の一般的な動作をいくつか制御します。 rpc.nisd(4) のマニュアルページを参照してください。 マッピングの詳細は、/var/nis/NIS+LDAPmapping ファイルを使用して指定します。 詳細については、NIS+LDAPmapping(4) のマニュアルページを参照してください。 このファイルの名前を変更するときは、rpc.nisd に -m コマンド行オプションを指定して使用します。 詳細については、rpc.nisd(1M) のマニュアルページを参照してください。

この章では、次の用語を使用します。

• コンテナ

  すべての関連エントリが格納される LDAP DIT 内の場所。 たとえば、ユーザーアカウント情報は、多くの場合、 ou=People コンテナに格納される。 また、ホストアドレス情報は、 ou=Hosts コンテナに格納される

• ネット名

  認証可能な SecureRPC 内のエンティティ (ユーザーまたはマシン)

• マッピング

  NIS+ オブジェクトと LDAP エントリとの関係。 たとえば、 passwd.org_dir NIS+ テーブルの name 列のデータ (アカウントのユーザー名など) が、ou=People コンテナ内の posixAccount オブジェクトクラスの LDAP uid 属性に対応しているとする。 構成によって、name 列と uid 属性が対応づけられる。 name 列が uid 属性に対応づけられる (またはその逆) とも表現できる

• 主体

  認証可能な NIS+ のエンティティ (ユーザーまたはマシン) 。 通常、ネット名と主体名は 1 対 1 で対応づけられる

構成ファイル

2 つのを使用して、rpc.nisd 処理を制御します。

• /etc/default/rpc.nisd

  LDAP サーバーと認証、NIS+ ベースドメイン、LDAP デフォルト検索ベース、例外処理、および rpc.nisd の一般的な構成に関する情報を含みます。このファイルは、LDAP マッピングが有効であるかどうかにかかわらず適用されます。

• /var/nis/NIS+LDAPmapping

  NIS+ データと LDAP との間のマッピング情報を含みます。 テンプレートファイル (/var/nis/NIS+LDAPmapping.template) は、client_info.org_dir と timezone.org_dir 以外のすべての標準 NIS+ オブジェクトに対応しています。 client_info および timezone テーブルと NIS+LDAPmapping(4) を参照してください。

構成とは、値を定義済みの属性に割り当てることです。 構成ファイル以外に、構成属性を LDAP から読み取ることもできます (構成情報を LDAP に格納する を参照)。 また、rpc.nisd コマンドの -x オプションに構成属性を指定することもできます。 複数の場所で同じ属性が指定されている場合、優先順位 (高から低) は次のとおりです。

1. rpc.nisd -x オプション

2. 構成ファイル

3. LDAP *

属性とオブジェクトクラスの作成

NIS+ と LDAP のマッピングの構成によっては、新しい LDAP 属性とオブジェクトクラスをいくつか作成しなければならないことがあります。 次の例では、これらの作成方法として、ldapadd コマンドの入力として使用できる LDIF データを指定する方法を示します。 LDIF データを含むファイルを作成してから、ldapadd(1) を起動します。

# ldapadd -D bind-DN -f ldif -file

この方法は、Sun ONE Directory Server で機能します。また、その他の LDAP サーバーでも機能することがあります。

ただし、defaultSearchBase、 preferredServerList、および authenticationMethod 属性を除き、この章で使用されているオブジェクト識別子 (OID) は、SYNTAX 仕様と同様に、説明用に挙げているだけです。 OID の基準はありません。任意の OID を使用できます。