idmap

- ネイティブアイデンティティーマッピングサービスの構成と管理

形式

idmap

idmap -f command-file

idmap add [-d] name1 name2

idmap dump [-n] [-v]

idmap export [-f file] format

idmap flush [-a]

idmap get-namemap name

idmap help

idmap import [-F] [-f file] format

idmap list

idmap remove [-t|-f] name

idmap remove -a

idmap remove [-d] name1 name2

idmap set-namemap [-a authenticationMethod] [-D bindDN]
     [-j passwdfile] name1 name2

idmap show [-c] [-v] [-V] identity [target-type]

idmap unset-namemap [-a authenticationMethod] [-D bindDN]
     [-j passwdfile] name [target-type]

機能説明

idmap ユーティリティーは、ネイティブアイデンティティーマッピングサービスの構成や管理に使用されます。

ネイティブアイデンティティーマッピングサービスでは、Windows のセキュリティー識別子 (SID) と POSIX のユーザー ID およびグループ ID (UID および GID) との次のタイプのマッピングをサポートします。

• 名前ベースマッピング。管理者が、Windows と UNIX のユーザーやグループのマッピングを名前に基づいて行います。

• 一時 ID マッピング。まだ名前に基づいてマッピングされていないすべての SID に、UID または GID が動的に割り当てられます。

• ローカル SID マッピング。一時的でない UID や GID が、アルゴリズムで生成されたローカル SID にマッピングされます。

idmap ユーティリティーを使用すると、名前ベースマッピングの作成や管理を行なったり、使用中のマッピングを監視したりできます。

idmap ユーティリティーの呼び出し時にサブコマンドもオプションも指定されなかった場合、ユーティリティーは標準入力からサブコマンドを読み取ります。標準入力が TTY であった場合、idmap コマンドは使用方法に関するメッセージを出力したあとに終了します。

マッピングメカニズム

idmapd(1M) デーモンは次のようにして、Windows のユーザーやグループの SID を UNIX の UID や GID にマッピングします。

1. SID が名前に基づいてマッピングされます。

   このマッピングでは、システム管理者が手動で設定した名前ベースマッピングが使用されます。

2. 名前ベースマッピングが見つからない場合、SID は動的に割り当てられた一時 ID にマッピングされます。

   この割り当てでは、2³¹ から 2³² - 2 の範囲内で次に使用可能な UID または GID が使用されます。

ローカル SID マッピングは、UNIX から Windows へのマッピングを行う場合に使用されます。

別名の問題が発生しないようにするには、すべてのファイルシステム、アーカイブおよびバックアップ形式、およびプロトコルが、SID を格納するか、あるいは 2³¹ から 2³² - 2 の範囲内の UID および GID をすべて nobody ユーザーおよびグループにマッピングする必要があります。

また、対角マッピングを作成することもできます。これは、Windows グループと Solaris ユーザーとの間、および Solaris グループと Windows ユーザーとの間のマッピングです。こうしたマッピングが必要となるのは、Windows があるグループアイデンティティーをファイル所有者として使用したり、その逆を行なったりする場合です。

名前ベースマッピング

名前ベースマッピングは、Windows のユーザーやグループと UNIX ネームサービスの対応する情報との間に、名前の等価性を確立します。これらのマッピングはリブート後も持続します。たとえば、次のコマンドは、Windows ユーザーを同じ名前の UNIX ユーザーにマッピングします。

# idmap add "winuser:*@mywindomain.com" "unixuser:*"

idmapd(1M) は、ディレクトリサービスを使用するように構成されている場合は、まず Active Directory (AD) またはネイティブ LDAP ディレクトリサービス、あるいはその両方のユーザーオブジェクトまたはグループオブジェクトに格納されたマッピング情報の使用を試みます。たとえば、特定の Windows ユーザーまたはグループの AD オブジェクトを拡張し、対応する Solaris ユーザーまたはグループの名前や数値 ID を含めることができます。同様に、特定の Solaris ユーザーまたはグループのネイティブ LDAP オブジェクトを拡張し、対応する Windows ユーザーまたはグループの名前を含めることができます。

AD またはネイティブ LDAP ディレクトリ、あるいはその両方に基づく名前マッピングを使用するように idmapd(1M) を構成するには、idmap サービスの対応するサービス管理機能 (SMF) プロパティーを設定します。詳細については、後述の「サービスプロパティー」を参照してください。

ディレクトリベースの名前マッピングが構成されていない場合や、構成されていても見つからない場合には、idmapd(1M) はローカルに格納された名前ベースのマッピング規則を処理します。

idmap では、Windows の既知の名前のマッピングがサポートされています。そのいくつかを次に一覧表示します。

Administrator
Guest
KRBTGT
Domain Admins
Domain Users
Domain Guest
Domain Computers
Domain Controllers

idmap 規則を追加すると、これらの既知の名前が標準形式に展開されます。つまり、デフォルトドメイン名が追加される (既知でない名前の場合) か、あるいは適切な組み込みのドメイン名が追加されます。このドメイン名は、その既知の名前の種類に応じて null、BUILTIN、またはローカルホスト名のいずれかになります。

次の一連の idmap コマンドは、既知でない名前 fred と既知の名前 administrator、guest がどのように処理されるかを示したものです。

# idmap add winname:fred unixuser:fredf
add     winname:fred    unixuser:fredf

# idmap add winname:administrator unixuser:root
add     winname:administrator   unixuser:root

# idmap add winname:guest unixuser:nobody
add     winname:guest   unixuser:nobody

# idmap add wingroup:administrators sysadmin
add     wingroup:administrators unixgroup:sysadmin

# idmap list
add     winname:Administrator@examplehost  unixuser:root
add     winname:Guest@examplehost  unixuser:nobody
add     wingroup:Administrators@BUILTIN unixgroup:sysadmin
add     winname:fred@example.com       unixuser:fredf

一時マッピング

idmapd デーモンは、その再起動の前後で一時 ID マッピングの維持を試みます。しかし、ID の維持に失敗した場合、デーモンは以前にマッピングされていた各 SID を新しい一時 UID または GID の値にマッピングします。このデーモンは、一時 UID または GID の再利用を行いません。idmapd デーモンが一時 UID および GID を使い果たしてしまうと、エラーが返され、さらに名前によるマッピングが不可能な SID のデフォルトの UID または GID が返されます。

動的な ID マッピングは、リブート後は維持されません。このため、UNIX の UID や GID に動的にマッピングされた SID はすべて、システムリブート後に別の ID にマッピングされる可能性が高くなります。

ローカル SID マッピング

名前ベースマッピングが見つからない場合、一時的でない UID や GID は、アルゴリズムで生成されたローカル SID にマッピングされます。マッピングの生成方法は次のとおりです。

local SID for UID = <machine SID> - <1000 + UID>
local SID for GID = <machine SID> - <2^31 + GID>

<machine SID> は、idmap サービスがその実行元となるホストに対して生成する一意の SID です。

規則検索順序

Windows 名から UNIX 名へのマッピング時には、名前ベースマッピング規則の検索が次の順序で実行されます。

1. windows-name@domain から ""

2. windows-name@domain から unix-name

3. windows-name@* から ""

4. windows-name@* から unix-name

5. *@domain から *

6. *@domain から ""

7. *@domain から unix-name

8. *@* から *

9. *@* から ""

10. *@* から unix-name

UNIX 名から Windows 名へのマッピング時には、名前ベースマッピング規則の検索が次の順序で実行されます。

1. unix-name から ""

2. unix-name から windows-name@domain

3. * から *@domain

4. * から ""

5. * から windows-name@domain

サービスプロパティー

idmapd(1M) デーモンの動作はサービスプロパティーによって決まります。これらのプロパティーは、SMF リポジトリ (smf(5) を参照) のプロパティーグループ config の下に格納されます。これらのプロパティーへのアクセスや変更を行うには、svccfg(1M) を使用しますが、それには solaris.smf.value.idmap 承認が必要となります。idmap サービスのサービスプロパティーを次に示します。

config/ad_unixuser_attr

UNIX ユーザー名を含む AD 属性の名前を指定します。デフォルトはありません。

config/ad_unixgroup_attr

UNIX グループ名を含む AD 属性の名前を指定します。デフォルトはありません。

config/nldap_winname_attr

Windows ユーザー/グループ名を含むネイティブ LDAP 属性の名前を指定します。デフォルトはありません。

config/directory_based_mapping

ディレクトリサービスに格納されたデータを使用したアイデンティティーマッピングのサポートを制御します。

none を指定すると、ディレクトリベースのマッピングが無効になります。

name を指定すると、前述のプロパティーを使用した名前ベースマッピングが有効になります。

idmu を指定すると、Microsoft の Identity Management for UNIX (IDMU) を使用したマッピングが有効になります。この Windows コンポーネントを使用すると、管理者は各 Windows ユーザーの UNIX ユーザー ID を指定できるため、Windows アイデンティティーから対応する UNIX アイデンティティーへのマッピングが可能となります。使用されるのは、Solaris システムをメンバーに持つドメインからの IDMU データだけです。

サービスプロパティーを変更しても、実行中の idmap サービスには何の影響もありません。変更を反映するには、(svcadm(1M) を使用して) サービスを更新する必要があります。

オペランド

idmap コマンドで使用できるオペランドは、次のとおりです。

format

export および import サブコマンド向けの、ユーザー名マッピングの記述形式を指定します。サポートされている外部形式は、Netapp usermap.cfg と Samba smbusers です。これらの外部形式を使用できるのはユーザーに対してのみであり、グループには使用できません。

• usermap.cfg 規則マッピング形式は次のとおりです。

  windows-username [direction] unix-username

  windows-username は、domain\username または username@domain のいずれかの形式の Windows ユーザー名です。

  unix-username は UNIX ユーザー名です。

  direction は次のいずれかになります。

  • == は双方向マッピングを意味します。これがデフォルトです。

  • => または <= は単方向マッピングを意味します。

  IP 修飾子はサポートされません。

• smbusers 規則マッピング形式は次のとおりです。

  unixname = winname1 winname2 ...

  winname にスペースが含まれる場合は、値を二重引用符で囲んでスペースをエスケープします。たとえば次のファイルは、idmap コマンドの有効な形式でスペースを指定する方法を示したものです。

  $ cat myusermap
  terry="Terry Maddox"
  pat="Pat Flynn"
  cal=cbrown

  これらのマッピングは、Windows 名から UNIX 名への単方向マッピングとしてインポートされます。

  この形式は、samba.org Web サイトで利用可能な smb.conf マニュアルページの「username map」エントリに基づいています。windows-name でのアスタリスク (*) の使用はサポートされています。ただし、@group 指令やマッピングの連鎖はサポートされていません。

  smbusers ファイルにマッピングエントリが 1 つも含まれていない場合、Samba はデフォルトで windows-name を、それと同等の unix-name が存在する場合はその名前にマッピングします。Samba と同じマッピングを設定する場合には、次の idmap コマンドを使用します。

  idmap add -d "winuser:*@*" "unixuser:*"

identity

ユーザー名、ユーザー ID、グループ名、グループ ID のいずれかを指定します。identity は type:value として指定します。type は次のいずれかになります。

usid

テキスト形式の Windows ユーザー SID

gsid

テキスト形式の Windows グループ SID

sid

ユーザー、グループのいずれかに所属可能なテキスト形式の Windows グループ SID

uid

数値 POSIX UID

gid

数値 POSIX GID

unixuser

UNIX ユーザー名

unixgroup

UNIX グループ名

winuser

Windows ユーザー名

wingroup

Windows グループ名

winname

Windows ユーザー名またはグループ名

value は、指定された type に適した数値または文字列です。たとえば、unixgroup:staff は、UNIX グループ名 staff を指定します。アイデンティティー gid:10 は、UNIX グループ staff に対応する GID 10 を表します。

name

名前ベースマッピング規則で使用可能な UNIX 名 (unixuser、unixgroup) または Windows 名 (winuser、wingroup) を指定します。

Windows セキュリティーエンティティー名は、次のいずれかの方法で指定できます。

• domain\name

• name@domain

• name。デフォルトのマッピングドメインが使用されます。

name が空の文字列 ("") の場合、マッピングが抑制されます。マッピングされていない Windows ユーザーのログインを防止するため、"" を名前として使用しないようにしてください。

name でワイルドカード (*) が使用された場合、それは、ほかのマッピングに一致しないすべての名前に一致します。同様に、name がワイルドカードを使用した Windows 名 (*@*) である場合、それは、ほかのマッピングに一致しないすべてのドメイン内のすべての名前に一致します。

マッピング規則の両側で name にワイルドカードが使用された場合、Windows ユーザーと Solaris ユーザーの名前は同じになります。たとえば、規則が "*@domain" == "*" の場合、Windows ユーザー名の jp@domain はこの規則に一致し、Solaris ユーザー名の jp にマッピングされます。

name のタイプは、コマンド行に指定されたほかの引数やタイプから推定できる場合には、指定しなくてもかまいません。

target-type

show および unset-namemap サブコマンドで使用されます。show の場合、表示するべきマッピングタイプを指定します。たとえば、target-type が sid の場合、コマンド行に指定されたアイデンティティーにマッピングされている SID が idmap show から返されます。unset-namemap の場合、name オペランドで指定されたオブジェクト内の属性を特定します。

オプション

idmap コマンドでは 1 つのオプションと一連のサブコマンドがサポートされます。サブコマンドにもオプションがあります。

コマンド行のオプション

-f command-file

command-file から idmap のサブコマンドを読み取って実行します。idmap -f - コマンドは標準入力から読み取ります。このオプションは、サブコマンドでは使用されません。

サブコマンド

サポートされているサブコマンドは次のとおりです。

add [-d] name1 name2

名前ベースマッピング規則を追加します。名前マッピングはデフォルトでは双方向になります。-d オプションを使用すると、name1 から name2 への単方向マッピングが作成されます。

name1、name2 の一方が Windows 名、他方が UNIX 名でなければなりません。Windows 名の場合、winname アイデンティティータイプは使用できません。代わりに、winuser または wingroup のいずれかのタイプを指定します。name オペランドについては、「オペランド」を参照してください。

マッピング対象となる名前が同じでマッピング方向が異なる 2 つの単方向マッピングは、1 つの双方向マッピングと同等です。

このサブコマンドでは solaris.admin.idmap.rules 承認が必要となります。

dump [-n] [-v]

前回のシステム起動以降にキャッシュされたすべてのマッピングをダンプします。-n オプションを指定すると、名前も表示されます。デフォルトで表示されるのは、sid、uid、および gid だけです。-v オプションを指定すると、マッピングがどのようにして生成されたかが表示されます。

export [-f file] format

名前ベースマッピング規則を、指定された format で標準出力にエクスポートします。-f file オプションを指定すると、指定された出力ファイルに規則が書き込まれます。

flush [-a]

将来のマッピング要求が現在の規則やディレクトリ情報に基づいて完全に処理されるように、アイデンティティーマッピングのキャッシュをフラッシュします。これは中断を伴わない操作です。規則が変更されると自動的にキャッシュがフラッシュされます。この手動操作を使用すると、新しく変更されたディレクトリ情報を強制的に有効化できます。

-a を指定すると、キャッシュがクリーンアップされます。この操作は、実行中の操作を中断する可能性があるため、アイドル状態のシステムでのみ使用するようにしてください。-a が必要になることは通常は考えられませんが、「白紙状態」のテストケースを設定する場合には、このオプションが役立つ可能性があります。

get-namemap name

指定された名前で表される AD またはネイティブ LDAP ユーザーオブジェクトまたはグループオブジェクトから、ディレクトリベース名前マッピングの情報を取得します。

help

使用方法に関するメッセージを表示します。

import [-F] [-f file] format

名前ベースマッピング規則を、指定された format を使用して標準入力からインポートします。-f file オプションを指定すると、指定されたファイルから規則が読み取られます。-F オプションを指定すると、既存の名前ベースマッピング規則がフラッシュされたあとで新しい規則が追加されます。

どの外部形式を使用する場合でも、インポートした規則を処理する際には、前述の「規則検索順序」節で説明したセマンティクスや順序が使用されます。

このサブコマンドでは solaris.admin.idmap.rules 承認が必要となります。

list

すべての名前ベースマッピング規則を一覧表示します。各規則は idmap add 形式で表示されます。

remove [-t|-f] name

指定された名前を含む名前ベースマッピング規則をすべて削除します。name には UNIX、Windows のいずれかのユーザー名またはグループ名を指定できます。

-f オプションを指定すると、name をマッピング元として使用する規則が削除されます。-t オプションを指定すると、name をマッピング先として使用する規則が削除されます。これらのオプションは相互に排他的です。

このサブコマンドでは solaris.admin.idmap.rules 承認が必要となります。

remove -a

すべての名前ベースマッピング規則を削除します。

このサブコマンドでは solaris.admin.idmap.rules 承認が必要となります。

remove [-d] name1 name2

name1 と name2 との間の名前ベースマッピング規則を削除します。-d オプションを指定すると、name1 から name2 への規則が削除されます。

name1、name2 の一方が Windows 名、他方が UNIX 名でなければなりません。

このサブコマンドでは solaris.admin.idmap.rules 承認が必要となります。

set-namemap [-a authenticationMethod] [-D bindDN] [-j passwdfile] name1 name2

AD またはネイティブ LDAP のユーザーオブジェクトまたはグループオブジェクトに、名前マッピング情報を設定します。name1、name2 の一方が Windows 名、他方が UNIX 名でなければなりません。

name1 が Windows 名の場合は、name1 で表される AD オブジェクトに UNIX 名 name2 が追加されます。同様に、name1 が UNIX 名の場合は、name1 で表されるネイティブ LDAP エントリに Windows 名 name2 が追加されます。

次のオプションがサポートされています。

-a authenticationMethod

ネイティブ LDAP エントリを変更するときの認証方式を指定します。詳細については、ldapaddent(1M) を参照してください。デフォルト値は sasl/GSSAPI です。

-D bindDN

識別名 bindDN を使用してディレクトリにバインドします。

-j passwdfile

ディレクトリへの認証用のパスワードを含むファイルを指定します。

show [-c] [-v] [-V] name [target-type]

指定された name のマッピング先となる target-type タイプのアイデンティティーを表示します。省略可能な target-type を省略した場合には、非対角マッピングが表示されます。

このサブコマンドがデフォルトで表示するのは、すでに確立されたマッピングだけです。-c オプションを指定すると、名前ベースマッピング構成の評価や ID の動的割り当てが強制的に行われます。

-v オプションを指定すると、このマッピングがどのように生成されたのかが表示されるほか、このマッピングが単純に生成されたのか、またはキャッシュから取得されたのかも表示されます。-V オプションを指定すると、拒否された暫定的な手順やアプローチなど、マッピングを決定する際に決定された具体的な手順が詳しく表示されます。

unset-namemap [-a authenticationMethod] [-D bindDN] [-j passwdfile] name [target-type]

指定された名前や省略可能なターゲットのタイプで表される AD またはネイティブ LDAP ユーザーオブジェクトまたはグループオブジェクトから、ディレクトリベース名前マッピングの情報を設定解除します。

オプションについては、set-namemap サブコマンドを参照してください。

使用例

例 1 名前ベースマッピング規則の両側でのワイルドカードの使用

次のコマンドは、xyz.com ドメインのすべての Windows ユーザー名を同じ名前の UNIX ユーザーにマッピングします。ただし、そのような UNIX ユーザーが存在しない場合や別のマッピングが存在する場合は除きます。そのような規則に一致したが UNIX ユーザー名が存在しなかった場合、一時 ID マッピングが使用されます。

# idmap add "winuser:*@xyz.com" "unixuser:*"

例 2 名前ベースマッピング規則の片側でのワイルドカードの使用

次のコマンドは、xyz.com ドメイン内のマッピングされていないすべての Windows ユーザーを guest UNIX ユーザーにマッピングします。-d オプションは、*@xyz.com ユーザーから guest ユーザーへの単方向マッピングを指定します。

# idmap add -d "winuser:*@xyz.com" unixuser:guest

例 3 双方向の名前ベースマッピング規則の追加

次のコマンドは、Windows ユーザー foobar@example.com から UNIX ユーザー foo へのマッピング、およびその逆のマッピングを行います。

# idmap add winuser:foobar@example.com unixuser:foo

次のコマンドは、前述のコマンドで追加されたマッピングの削除方法を示しています。

# idmap remove winuser:foobar@example.com unixuser:foo

例 4 UID - SID 間マッピングの表示

• 次のコマンドは、指定された UID uid:50000 のマッピング先となる SID を表示します。

  # idmap show uid:50000 sid
  uid:50000 -> usid:S-1-5-21-3223191800-2000

• 次のコマンドは、指定された Windows ユーザー名 joe@example.com のマッピング先となる UNIX ユーザー名を表示します。

  # idmap show joe@example.com unixuser
  winuser:joe@example.com -> unixuser:joes

例 5 キャッシュ内の SID - UID 間マッピングの一覧表示

次のコマンドは、キャッシュ内に存在するすべての SID- UID マッピングを表示します。

# idmap dump | grep "uid:"
usid:S-1-5-21-3223191800-2000    ==     uid:50000
usid:S-1-5-21-3223191800-2001    ==     uid:50001
usid:S-1-5-21-3223191800-2006    ==     uid:50010
usid:S-1-5-21-3223191900-3000    ==     uid:2147491840
usid:S-1-5-21-3223191700-4000    =>     uid:60001

例 6 idmap 要求のバッチ処理

次のコマンドは、idmap 要求のバッチ処理を行う方法を示したものです。この特定のコマンドシーケンスで実行される処理は、次のとおりです。

• foobar@example.com に対する以前の規則をすべて削除します。

• Windows ユーザー foobar@example.com から UNIX ユーザー bar へのマッピング、およびその逆のマッピングを行います。

• Windows グループ members から UNIX グループ staff へのマッピング、およびその逆のマッピングを行います。

# idmap <<EOF
       remove winuser:foobar@example.com
       add winuser:foobar@example.com unixuser:bar
       add wingroup:members unixgroup:staff
EOF

例 7 名前ベースマッピング規則の一覧表示

次のコマンドは、名前ベースマッピング規則を一覧表示する方法を示したものです。

# idmap list
add winuser:foobar@example.com unixuser:bar
add wingroup:members unixgroup:staff

例 8 usermap.cfg ファイルからの名前ベースマッピング規則のインポート

usermap.cfg ファイルを使用すると、名前ベースマッピング規則を構成できます。次の usermap.cfg ファイルは、Windows ユーザー foo@example.com を UNIX ユーザー foo にマッピングし、foobar@example.com を UNIX ユーザー foo にマッピングするマッピング規則を示しています。

# cat usermap.cfg
foo@example.com == foo
foobar@example.com => foo

次の idmap コマンドは、usermap.cfg の情報を idmapd データベースにインポートします。

# cat usermap.cfg | idmap import usermap.cfg

このコマンドは、1 つ前のコマンドと同じ処理を行います。

# idmap import -f usermap.cfg usermap.cfg

次のコマンドは、前述の idmap import コマンドと同等です。

# idmap <<EOF
       add winuser:foo@example.com unixuser:foo
       add -d winuser:foobar@example.com unixuser:foo
EOF

例 9 アイデンティティー機能マッピングや例外とともに使用する、名前ベースマッピングと一時 ID マッピング

次のコマンドは、example.com Windows ドメイン内のすべてのユーザーを同じ名前の UNIX ユーザーアカウントにマッピングします。また、このコマンドでは次の Windows ユーザーのマッピングも指定されています。joe@example.com、jane.doe@example.com、administrator@example.com。すべてのドメイン内の administrator が nobody にマッピングされています。対応する UNIX アカウントを持たない Windows ユーザーはすべて、使用可能な一時 UID に動的にマッピングされます。

# idmap import usermap.cfg <<EOF
       joe@example.com == joes
       jane.doe@example.com == janed
       administrator@* => nobody
       *@example.com == *
       *@example.com => nobody
EOF

例 10 AD ユーザーオブジェクトへのディレクトリベース名前マッピングの追加

次のコマンドは、Windows ユーザー joe@example.com を UNIX ユーザー joe にマッピングするために、joe@example.com の AD オブジェクトにその UNIX 名を追加します。

# idmap set-namemap winuser:joe@example.com joes

例 11 ネイティブ LDAP ユーザーオブジェクトへのディレクトリベース名前マッピングの追加

次のコマンドは、UNIX ユーザー foo を Windows ユーザー foobar@example.com にマッピングするために、foo のネイティブ LDAP オブジェクトにその Windows 名を追加します。

# idmap set-namemap unixuser:foo foobar@example.com

例 12 AD ユーザーオブジェクトからのディレクトリベース名前マッピングの削除

次のコマンドは、joe@example.com を表す AD オブジェクトから UNIX ユーザー名 unixuser を削除します。

# idmap unset-namemap winuser:joe@example.com unixuser

終了ステータス

0

正常終了。

>0

エラーが発生しました。診断メッセージが標準エラー出力に書き込まれます。

属性

次の属性についての詳細は、attributes(5) を参照してください。

関連項目

svcs(1), idmapd(1M), ldapaddent(1M), svcadm(1M), svccfg(1M), ad(5), attributes(5), smf(5)

注意事項

idmapd サービスは、サービス管理機能 smf(5) によって管理されます。idmapd サービスのサービス識別子は、svc:/system/idmap です。

サービスの有効化、無効化、再起動などの管理操作をこのサービスで実行するには、svcadm コマンドを使用します。これらのアクションには solaris.smf.manage.idmap 承認が必要となります。サービスのステータスに対するクエリーを実行するには、svcs コマンドを使用します。

Windows ユーザー名では大文字と小文字の区別がありませんが、UNIX ユーザー名ではその区別があります。idmap の名前規則や idmap show コマンド行で Windows 名が大文字、小文字のどちらで表示されるかは、重要ではありません。

すべて小文字のユーザー名を使用するのが UNIX 環境の一般的な方法であるため、ワイルドカード名前規則による Windows 名から UNIX ユーザー/グループ名へのマッピングは、次のようになります。まず、標準の Windows 名 (つまり、ディレクトリに表示されるとおりの大文字、小文字の使い方を採用した名前) が、UNIX ユーザー名またはグループ名として使用されます。そのような UNIX エンティティーが存在しない場合には、Windows 名の大文字がすべて小文字に変換され、その結果が UNIX ユーザー名またはグループ名として使用されます。

この大文字、小文字に応じた処理が異なるため、一致すると思われるユーザー名が一致として認識されない場合が発生します。大文字、小文字の使い方だけが異なるそのような文字列のペアを処理するための規則を作成する必要があります。たとえば、Windows ユーザー sam@example を Solaris ユーザー Sam にマッピングするには、次の規則を作成する必要があります。

# idmap add "winuser:*@example" "unixuser:*"
# idmap add winuser:sam@example unixuser:Sam

Active Directory スキーマの変更に関するガイダンスについては、Microsoft のドキュメント『スキーマおよび表示 Specifier を使った Active Directory の高度な管理』を参照してください。このドキュメントは、technet Web サイト http://technet.microsoft.com/ja-jp/library/bb727064.aspx から入手できます。