ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 でのネームサービスおよびディレクトリサービスの作業 Oracle Solaris 11.1 Information Library (日本語) |
4. Oracle Solaris Active Directory クライアントの設定 (タスク)
LDAP 用のクライアントプロファイルおよびデフォルト属性値の計画
ldapaddent コマンドを使用してサーバーに host エントリを生成する方法
11. LDAP クライアントと Oracle Directory Server Enterprise Edition の設定 (タスク)
セキュリティーモデルを計画する場合、最初に、LDAP クライアントが LDAP サーバーとの通信に使用する識別情報を考慮する必要があります。たとえば、企業全体でシングルサインオンソリューションを使用するかどうか、ネットワークにパスワードを送信しないかどうか、ネットワークに流れるデータの暗号化、およびディレクトリサーバーで生成される制御データへのユーザー別のアクセス機能などを決定する必要があります。また、強力な認証を使用してネットワーク上を流れるユーザーパスワードを保護するかどうか、また LDAP クライアントと LDAP サーバー間のセッションを暗号化して送信される LDAP データを保護する必要があるかなども決定する必要があります。
これには、プロファイル内の credentialLevel および authenticationMethod 属性が使用されます。credentialLevel に指定できる資格レベルとして、anonymous、proxy、proxy anonymous、self の 4 つがあります。LDAP ネームサービスのセキュリティー概念については、「LDAP ネームサービスのセキュリティーモデル」を参照してください。
注 - 以前は、pam_ldap アカウント管理を有効にすると、システムにログインする際には、常にすべてのユーザーが認証用にログインパスワードを入力する必要がありました。そのため、ssh などのツールを使用した、パスワードに基づかないログインは失敗します。
アカウント管理を実行し、ユーザーがログインしているときに Directory Server への認証を行わずにユーザーのアカウントステータスを取得します。Directory Server 上の新しい制御は 1.3.6.1.4.1.42.2.27.9.5.8 です。これはデフォルトで有効になっています。
この制御をデフォルト以外に変更する場合は、Directory Server 上でアクセス制御情報 (ACI) を追加します。
dn: oid=1.3.6.1.4.1.42.2.27.9.5.8,cn=features,cn=config objectClass: top objectClass: directoryServerFeature oid:1.3.6.1.4.1.42.2.27.9.5.8 cn:Password Policy Account Usable Request Control aci: (targetattr != "aci")(version 3.0; acl "Account Usable"; allow (read, search, compare, proxy) (groupdn = "ldap:///cn=Administrators,cn=config");) creatorsName: cn=server,cn=plugins,cn=config modifiersName: cn=server,cn=plugins,cn=config
注 - 企業全体のシングルサインオンソリューションとして pam_krb5 および Kerberos を有効にする場合、セッション開始時にのみログインパスワードを必要とするシステムを設計できます。詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』を参照してください。一般に、Kerberos を有効にする場合には、DNS も有効にする必要があります。詳細については、このマニュアルの DNS に関する章を参照してください。
セキュリティーモデルを計画する際の主要な決定事項を次に示します。
Kerberos およびユーザー別の認証を使用するか。
LDAP クライアントは、どの資格レベルおよび認証方式を使用するか。
TLS を使用するか。
NIS との下位互換性が必要ですか。つまり、クライアントは pam_unix_* または pam_ldap モジュールのどちらを使用しますか。
サーバーの passwordStorageScheme 属性をどのように設定するか。
アクセス制御情報をどのように設定するか。
ACI の詳細については、使用しているバージョンの Oracle Directory Server Enterprise Edition の『管理者ガイド』を参照してください。
クライアントは、pam_unix_* または pam_ldap モジュールのどちらを使用して LDAP アカウント管理を実行しますか。