test

Sun Directory Services 3.1 管理ガイド

RADIUS から LDAP へのマッピング

Sun Directory Services が提供するすべての辞書ファイルに定義されている RADIUS 属性と値は、LDAP 属性にマップされます。このマッピングは /etc/opt/SUNWconn/ldap/current/mapping/radius.mapping に定義されます。

RADIUS 属性と LDAP 属性には 1 対 1 の関係があるので、マッピング構文は非常に簡単です。独自の RADIUS 属性を Sun Directory Services 提供のデフォルトマッピングに簡単に追加できます。

radius.mapping ファイルは、RADIUS サーバーが LDAP ディレクトリの検索を行うときに使用します。

デフォルトマッピング

表 7-2 は、RADIUS 属性と LDAP 属性の 1 対 1 の対応を示しています。この表は、各 RADIUS 属性のソースも示しています。RADIUS 属性には次のような種類があります。

標準の RADIUS 属性は、『RFC 2138 Remote Authentication Dial In User Service 』と『RFC 2138 Remote Authentication Dial In User Service』に指定されています。ベンダー固有の属性は、NAS ベンダーによって定義され、ベンダーがハードウェアとともに提供する辞書ファイルで提供されます。

RADIUS サービスに対する LDAP 属性は、スキーマ属性ファイル dsserv.at.conf のセクション見出し「SUN Radius Attributes」の下に指定されています。これらの属性は、スキーマオブジェクトクラスファイル dsserv.oc.conf のコメント行「Object classes for RADIUS」の下にもリストされています。

Sun Directory Services の属性は、「属性リファレンス」で説明します。それらの属性は、RADIUS ユーザープロファイルと動的アカウントパラメータを表します。

表 7-2 RADIUS から LDAP への属性マッピング

RADIUS 属性 

ソース 

LDAP 属性 

User-Name 

RFC 2138 

uid 

Crypt-Password 

Sun Directory Services 

userPassword 

CHAP-Password 

RFC 2138 

chapPassword 

NAS-IP-Address 

RFC 2138 

ipHostNumber 

NAS-Identifier 

RFC 2138 

authNASidentifier 

NAS-Port 

RFC 2138 

authHostPortNumber 

Service-Type 

RFC 2138 

authServiceProtocol 

Framed-Protocol 

RFC 2138 

framedProtocol 

Framed-IP-Address 

RFC 2138 

framedIPAddress 

Framed-IP-Netmask 

RFC 2138 

ipNetmaskNumber 

Framed-Routing 

RFC 2138 

framedRouting 

Filter-Id 

RFC 2138 

authFilterId 

Framed-MTU 

RFC 2138 

framedMTU 

Framed-Compression 

RFC 2138 

framedCompression 

Login-IP-Host 

RFC 2138 

ipLoginHost 

Login-Service 

RFC 2138 

authLoginService 

Login-TCP-Port 

RFC 2138 

ipLoginPort 

Reply-Message 

RFC 2138 

authReplyMessage 

Callback-Number 

RFC 2138 

userCallbackNumber 

Callback-Id 

RFC 2138 

userCallbackId 

Framed-Route 

RFC 2138 

framedRoute 

Framed-IPX-Network 

RFC 2138 

ipxNetworkNumber 

State 

RFC 2138 

authState 

Session-Timeout 

RFC 2138 

sessionTimeoutNumber 

Idle-Timeout 

RFC 2138 

idleTimeoutNumber 

Termination-Action 

RFC 2138 

authTerminationAction 

Called-Station-Id 

RFC 2138 

authCalleddStationId 

Calling-Station-Id 

RFC 2138 

authCallingStationId 

NAS-Port-Type 

RFC 2138 

authHostPortType 

Port-Limit 

RFC 2138 

authPortLimit 

Acct-Status-Type 

RFC 2139 

acctStatusType 

Acct-Delay-Time 

RFC 2139 

acctDelayTime 

Acct-Input-Octets 

RFC 2139 

acctInputOctet 

Acct-Input-Packets 

RFC 2139 

acctInputPacket 

Acct-Output-Octets 

RFC 2139 

acctOutputOctet 

Acct-Output-Packets 

RFC 2139 

acctOutputPacket 

Acct-Session-Id 

RFC 2139 

acctSessionId 

Acct-Authentic 

RFC 2139 

acctAuthentic 

Acct-Session-Time 

RFC 2139 

acctSessionTime 

Acct-Terminate-Cause 

RFC 2139 

acctTerminateCause 

Expiration 

Sun Directory Services 

expirationDate 

Auth-Type 

Sun Directory Services 

Auth-Type 

Menu 

Sun Directory Services 

authStartMenuId 

Termination-Menu 

Sun Directory Services 

authStopMenuId 

Prefix 

Sun Directory Services 

authPrefixName 

Suffix 

Sun Directory Services 

authSuffixName 

user-check 

Sun Directory Services 

grpCheckInfo 

user-reply 

Sun Directory Services 

grpReplyInfo 

Login-Profile 

Sun Directory Services 

radiusLoginProfile 

PPP-Profile 

Sun Directory Services 

radiusPppProfile 

SLIP-Profile 

Sun Directory Services 

radiusSlipProfile 

Login-Passwd 

Sun Directory Services 

radiusLoginPasswd 

PPP-Passwd 

Sun Directory Services 

radiusPppPasswd 

SLIP-Passwd 

Sun Directory Services 

radiusSlipPasswd 

Login-Expiration 

Sun Directory Services 

radiusLoginExpiration 

PPP-Expiration 

Sun Directory Services 

radiusPppExpiration 

SLIP-Expiration 

Sun Directory Services 

radiusSlipExpiration 

Auth-Failed-Access 

Sun Directory Services 

radiusAuthFailedAccess 

Dynamic-Session-Counter 

Sun Directory Services 

dynamicSessionCounter 

Dynamic-SessionId 

Sun Directory Services 

dynamicSessionId 

Dynamic-IPAddress 

Sun Directory Services 

dynamicIPAddress 

Dynamic-IPAddr-Binding 

Sun Directory Services 

DynamicIPaddrBinding 

Dictionary-File 

Sun Directory Services 

dictionaryFile 

AcctAttr-File 

Sun Directory Services 

acctattrFile 

デフォルトマッピングの拡張

radius.mapping のデフォルトマッピングは、必要に合わせて変更できます。NAS に対する辞書ファイルの一部である RADIUS 属性をデフォルトのマッピングに追加する場合は、radius.mapping ファイルに存在しない RADIUS 属性ごとに LDAP 属性を作成し、その RADIUS 属性と LDAP 属性の対を radius.mapping ファイルに追加する必要があります。

RADIUS と LDAP のマッピング定義を作成するには

  1. 必要な RADIUS 属性に対する LDAP 属性を作成します。

    これによりスキーマを変更します。「新しい属性を作成するには」を参照してください。

  2. テキストエディタで、この属性を radius.mapping ファイルのリストに追加します。

    この属性は、必ずファイルの「Import」セクションと「Export」セクションの両方に追加してください。この操作を行うには、スーパーユーザー (root) としてログインしていなければなりません。

  3. dsservd デーモンを再起動し、スキーマの変更を有効にします。次に、dsradiusd デーモンを再起動し、新しいマッピングファイルを有効にします。

  4. dejasync を実行します。スーパーユーザー (root) として次のように入力します。

    # /opt/SUNWconn/ldap/sbin/dejasync

    コマンドのオプションの詳細は、dejasync(1M) のマニュアルページを参照してください。Deja ツールを使ってディレクトリの RADIUS エントリを変更する場合は、dejasync を実行しなければなりません。