ドキュメントの品質向上のためのご意見をください

簡潔すぎた
読みづらかった、または難し過ぎた
重要な情報が欠けていた
内容が間違っていた
翻訳版が必要
--選択-- Deutch (German) Español (Spanish) Français (French) Italiano (Italian) Português Brasil (Portuguese) 日本語 (Japanese) 한국어 (Korean) 简体中文 (Simplified Chinese) 繁體中文 (Traditional Chinese) その他の言語 その他

Your rating has been updated

貴重なご意見を有り難うございました!

あなたの貴重なご意見はより良いドキュメント作成の手助けとなります 内容の品質向上と追加コメントのためのアンケートに参加されますか？

アンケートに回答しますいいえ、回答しません

LDAP の構成で発生する問題とその解決方法

以降のセクションでは、LDAP の構成で発生する問題とそれらの解決方法について説明します。

未解決のホスト名

LDAP クライアントのバックエンドは、ホスト検索に対して (gethostbyname() や getaddrinfo() によって返されるホスト名などの) 完全修飾ホスト名を返します。格納済みの名前が指定されている (1 つ以上のドットが含まれている) 場合、クライアントはその名前をそのまま返します。たとえば、格納されている名前が hostB.eng であれば、返される名前も hostB.eng です。

LDAP ディレクトリに格納された名前が指定されていない (ドットが含まれない) 場合、クライアントのバックエンドは、その名前にドメイン部分を追加します。たとえば、格納されている名前が hostA であれば、返される名前は hostA.domainname となります。

LDAP ドメイン内のシステムにリモートアクセスできない

DNS ドメイン名が LDAP ドメイン名とは異なる場合、格納されたホスト名が完全指定でない限り LDAP ネームサービスをホスト名に対して使用することはできません。

ログインできない

LDAP クライアントはログイン中、ユーザー認証に PAM モジュールを使用します。UNIX 標準の PAM モジュールでは、パスワードをサーバーから読み込みクライアント側で検査します。このプロセスは、次のいずれかの理由で失敗することがあります。

1. ldap が、ネームサービススイッチ内の passwd データベースに関連付けられていない。

2. プロキシエージェントが、サーバーリスト上のユーザーの userPassword 属性を読み取ることができない。プロキシエージェントが比較のためにパスワードをクライアントに返すので、少なくともプロキシエージェントはパスワードを読めなければならない。pam_ldap に関しては、パスワードへの読み取りアクセスを必要としない

3. プロキシエージェントが適切なパスワードを保持していない

4. 該当するエントリに shadowAccount オブジェクトクラスが定義されていない

5. パスワードが定義されていない

   ldapaddent を使用する場合、-p オプションを使用してパスワードをユーザーエントリに確実に追加する必要があります。ldapaddent を -p オプションなしで使用すると、ldapaddent を使用して /etc/shadow ファイルも追加しないかぎり、ユーザーのパスワードはディレクトリ内に格納されません。

6. LDAP サーバーに到達することができない

   サーバーのステータスを確認します。

   # /usr/lib/ldap/ldap_cachemgr -g

7. pam.conf の構成が不正である

8. LDAP 名前空間でユーザーが定義されていない

9. pam_unix_* モジュールに関して NS_LDAP_CREDENTIAL_LEVEL が anonymous に設定されているため、匿名ユーザーが userPassword を使用できない。

10. パスワードが crypt 形式で格納されていない

11. アカウント管理をサポートするように pam_ldap が構成されている場合は、次のいずれかの原因でログインに失敗します。

    • ユーザーのパスワード期限が切れている

    • ログインを何回も行なったために、ユーザーアカウントがロックされる

    • 管理者がユーザーアカウントを非アクティブにした

    • ユーザーが、ssh や sftp などの、パスワードを使用しないプログラムを使用してログインしようとした。

12. ユーザー別の認証および sasl/GSSAPI を使用している場合、一部の Kerberos コンポーネントまたは pam_krb5 構成が正しく設定されません。これらの問題の解決についての詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』を参照してください。

検索が遅すぎる

LDAP データベースは、検索パフォーマンス向上にインデックスを使用します。インデックスが正しく構成されていない場合、大幅にパフォーマンスが低下することがあります。このドキュメントには、インデックスを作成する必要のある共通の属性セットを記述しています。また、独自のインデックスを追加して、パフォーマンスの向上を図ることができます。

ldapclient コマンドがサーバーにバインドできない

profileName 属性が指定された init オプションを使用しているときに、ldapclient コマンドがクライアントの初期化に失敗しました。考えられる失敗の原因は次のとおりです。

1. コマンド行で不正なドメイン名が指定された

2. 指定されたクライアントドメインのエントリポイントを表す nisDomain 属性が DIT (ディレクトリ情報ツリー) 内に設定されていない

3. アクセス制御情報がサーバー上で適正に設定されていないため、LDAP データベース内の匿名検索が許可されない

4. ldapclient コマンドに正しくないサーバーアドレスが渡されました。ldapsearch コマンドを使用してサーバーアドレスを確認してください。

5. ldapclient コマンドに正しくないプロファイル名が渡されました。ldapsearch コマンドを使用して DIT 内のプロファイル名を確認してください。

6. クライアントのネットワークインタフェースに対して snoop を実行して外向きのトラフィックを検査して、どのサーバーにアクセスしているかを確認する

デバッグでの ldap_cachemgr デーモンの使用

-g オプションを指定して ldap_cachemgr デーモンを実行すると、現在のクライアント構成や統計情報を表示できるため、デバッグのための有効な方法になることがあります。例:

# ldap_cachemgr -g 

この結果、すでに説明したように、すべての LDAP サーバーのステータスを含む現在のクライアント構成および統計が標準出力に出力されます。このコマンドを実行するのに、スーパーユーザーになる必要はありません。

設定中に ldapclient コマンドがハングアップする

ldapclient コマンドがハングアップした場合、Ctrl-C キーを押すと以前の環境を復元したあとで終了します。この状況が発生する場合、サーバーが動作していることをサーバー管理者に確認してください。

プロファイルまたはコマンド行に指定されたサーバーリスト属性で、サーバー情報が適正であることを確認してください。