ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
マニュアルページセクション 1M: システム管理コマンド Oracle Solaris 11.1 Information Library (日本語) |
- 対応する /etc ファイルからの LDAP エントリの作成
ldapaddent [-cpv] [-a authenticationMethod] [-b baseDN] -D bindDN [-w bind_password] [-j passwdFile] [-f filename] database
ldapaddent [-cpv] -a sasl/GSSAPI [-b baseDN] [-f filename] database
ldapaddent -d [-v] [-a authenticationMethod] [-D bindDN] [-w bind_password] [-j passwdFile] database
ldapaddent [-cpv] -h LDAP_server[:serverPort] [-M domainName] [-N profileName] [-P certifPath] [-a authenticationMethod] [-b baseDN] -D bindDN [-w bind_password] [-f filename] [-j passwdFile] database
ldapaddent [-cpv] -h LDAP_server[:serverPort] [-M domainName] [-N profileName] [-P certifPath] [-a authenticationMethod] [-b baseDN] [-f filename] database
ldapaddent -d [-v] -h LDAP_server[:serverPort] [-M domainName] [-N profileName] [-P certifPath] [-a authenticationMethod] [-b baseDN] -D bindDN [-w bind_password] [-j passwdFile] database
ldapaddent は、LDAP コンテナのエントリを、それに対応する /etc ファイルから作成します。この操作は、Solaris システムの管理で使用される各標準コンテナ向けにカスタマイズされています。database 引数は、処理されるデータのタイプを指定します。このタイプに有効な値は、aliases、auto_*、bootparams、ethers、group、hosts (IPv4 と IPv6 の両方のアドレスを含む)、ipnodes (hosts の別名)、netgroup、netmasks、networks、passwd、shadow、protocols、publickey、rpc、services のいずれかです。上記に加え、database 引数には RBAC 関連のファイルの 1 つを指定できます (rbac(5) を参照)。
/etc/user_attr
/etc/security/auth_attr
/etc/security/prof_attr
/etc/security/exec_attr
デフォルトでは、ldapaddent は標準入力から読み取り、コマンド行で指定されたデータベースに関連付けられた LDAP コンテナにこのデータを追加します。データを読み取ることができる入力ファイルを指定する場合は、-f オプションを使用します。
-h オプションを指定すると、ldapaddent は -N オプションで指定された DUAProfile を取得するために、このオプションで指定されたサーバーへの接続を確立します。取得された構成によって記述されるディレクトリにエントリが格納されます。
デフォルトでは (-h オプションが指定されていない場合)、エントリはクライアントの構成に基づいてディレクトリに格納されます。このユーティリティーをデフォルトモードで使用するには、Solaris LDAP クライアントをあらかじめ設定しておく必要があります。
エントリを書き込む場所は、-b オプションを使用してオーバーライドできます。
追加されるエントリがディレクトリに存在している場合、-c オプションが使用されていないかぎり、このコマンドはエラーを表示して終了します。
shadow データベースタイプはありますが、対応する shadow コンテナはありません。shadow および passwd データはどちらも people コンテナ自体に格納されます。同様に、networks および netmasks データベースのデータは networks コンテナに格納されます。
user_attr データはデフォルトで people コンテナに格納されます。prof_attr および exec_attr データはデフォルトで SolarisProfAttr コンテナに格納されます。
shadow データベースからエントリの追加を試みる前に、passwd データベースからエントリを追加する必要があります。対応する passwd エントリのない shadow エントリを追加すると失敗します。
user_attr データベースの前に passwd データベースを処理する必要があります。
パフォーマンス向上のため、次の順序でデータベースを読み込むことをお勧めします。
passwd データベースに続いて shadow データベース
networks データベースに続いて netmasks データベース
bootparams データベースに続いて ethers データベース
特定のタイプで最初に見つかったエントリだけが LDAP サーバーに追加されます。ldapaddent コマンドは重複エントリをスキップします。
ldapaddent コマンドは、次のオプションをサポートします。
認証方法を指定します。デフォルト値は、プロファイルで構成されているものです。サポートされる認証方法は次のとおりです。
simple
sasl/CRAM-MD5
sasl/DIGEST-MD5
sasl/GSSAPI
tls:simple
tls:sasl/CRAM-MD5
tls:sasl/DIGEST-MD5
simple を選択すると、パスワードがネットワーク経由で平文で送信されます。これを使用することは決してお勧めできません。また、クライアントが認証を使用しないプロファイルで構成されている場合、つまり、credentialLevel 属性が anonymous に設定されているか authenticationMethod が none に設定されている場合、ユーザーはこのオプションを使用して認証方法を指定する必要があります。認証方法が sasl/GSSAPI の場合、bindDN と bindPassword は不要で、/etc/nsswitch.conf の hosts および ipnodes フィールドは次のように構成されている必要があります。
hosts: dns files ipnodes: dns files
nsswitch.conf(4) を参照してください。
baseDN ディレクトリのエントリを作成します。baseDN は、クライアントのデフォルト検索ベースからの相対位置ではなく、エントリが作成される実際の場所です。このパラメータが指定されていない場合、サービスに定義されている最初の検索記述子またはデフォルトコンテナが使用されます。
エラーのあともディレクトリへのエントリの追加を継続します。ディレクトリサーバーが応答していない場合や認証の問題がある場合、エントリは追加されません。
baseDN への書き込み権を持つエントリを作成します。-d オプションとともに使用された場合、このエントリには読み取り権だけが必要です。
指定のデータベースに適した形式で LDAP コンテナを標準出力にダンプします。
/etc/ ファイル形式で読み取る入力ファイルを指定します。
エントリを格納する LDAP サーバーのアドレス (または名前) およびポート (省略可能) を指定します。nsswitch.conf ファイルに指定されている現在のネームサービスが使用されます。認証方法として TLS が指定された場合を除き、ポートのデフォルト値は 389 です。この場合、デフォルトの LDAP サーバーポート番号は 636 です。
IPv6 アドレスのアドレスとポート番号を指定するための形式は次のとおりです。
[ipv6_addr]:port
IPv4 アドレスのアドレスとポート番号を指定するには、次の形式を使用します。
ipv4_addr:port
ホスト名を指定する場合は、次の形式を使用します。
host_name:port
バインド DN 用のパスワードまたは SSL クライアントの鍵データベース用のパスワードを含むファイルを指定します。パスワードを保護するには、このオプションをスクリプトで使用し、セキュリティー保護されたファイルにパスワードを保存します。このオプションは、-w オプションとは相互排他的です。
指定のサーバーから提供されるドメインの名前。指定されていない場合は、デフォルトのドメイン名が使用されます。
DUAProfile の名前を指定します。-h オプションで指定されたサーバー上に、このような名前のプロファイルが存在すると想定されています。それ以外の場合は、デフォルトの DUAProfile が使用されます。デフォルト値は default です。
証明書データベースの場所を表す証明書パス。値は、セキュリティーデータベースファイルが置かれているパスです。これは、authenticationMethod および serviceAuthenticationMethod 属性で指定されている TLS サポートに使用されます。デフォルトは /var/ldap です。
ファイルからパスワード情報を読み込むときに password フィールドを処理します。実際のパスワードは shadow ファイル内にあるため、password フィールドは通常は有効でなく、デフォルトでは無視されます。
bindDN の認証に使用するパスワード。このパラメータがない場合、このコマンドはパスワードの入力を求めます。NULL パスワードは LDAP ではサポートされていません。
-w bindPassword を使用して認証に使用するパスワードを指定すると、システムのほかのユーザーが ps コマンドを使用するかスクリプトファイル内またはシェル履歴内でパスワードを見ることができます。
パスワードとして「-」(ハイフン) を指定した場合は、パスワードの入力を求められます。
冗長。
次のオペランドがサポートされています。
データベースの名前またはサービス名。サポートされている値は、aliases、auto_*、bootparams、ethers、group、hosts (IPv6 アドレスを含む)、netgroup、netmasks、networks、passwd、shadow、protocols、publickey、rpc、および services です。auth_attr、prof_attr、exec_attr、user_attr、および projects もサポートされています。
例 1 ディレクトリサーバーにパスワードエントリを追加する
次の例は、ディレクトリサーバーにパスワードエントリを追加する方法を示しています。
example# ldapaddent -D "cn=directory manager" -w secret \ -f /etc/passwd passwd
例 2 グループエントリを追加する
次の例は、認証方法として sasl/CRAM-MD5 を使用して、ディレクトリサーバーに group エントリを追加する方法を示しています。
example# ldapaddent -D "cn=directory manager" -w secret \ -a "sasl/CRAM-MD5" -f /etc/group group
例 3 auto_master エントリを追加する
次の例は、ディレクトリサーバーに auto_master エントリを追加する方法を示しています。
example# ldapaddent -D "cn=directory manager" -w secret \ -f /etc/auto_master auto_master
例 4 passwd エントリをディレクトリからファイルにダンプする
次の例は、password エントリをディレクトリからファイル foo にダンプする方法を示しています。
example# ldapaddent -d passwd > foo
例 5 特定のディレクトリサーバーにパスワードエントリを追加する
次の例は、指定したディレクトリサーバーにパスワードエントリを追加する方法を示しています。
example# ldapaddent -h 10.10.10.10:3890 \ -M another.domain.name -N special_duaprofile \ -D "cn=directory manager" -w secret \ -f /etc/passwd passwd
次の終了ステータスが返されます。
正常終了。
エラーが発生した。
クライアントの LDAP 構成が含まれているファイル。これらのファイルは手動で変更するものではありません。その内容は人間が読めるとは限りません。これらのファイルを更新するには ldapclient(1M) を使用します。
属性についての詳細は、マニュアルページの attributes(5) を参照してください。
|
ldaplist(1), ldapmodify(1), ldapmodrdn(1), ldapsearch(1), idsconfig(1M), ldapclient(1M), nsswitch.conf(4), attributes(5)
『Oracle Solaris 11.1 の管理: セキュリティーサービス』
現在 StartTLS は libldap.so.5 でサポートされていないため、指定されたポート番号は、StartTLS シーケンスの一部として使用されるポートではなく、TLS オープン時に使用されるポートを指します。例:
-h foo:1000 -a tls:simple
上記は、セキュリティー保護されていないポート 1000 でのオープン ( StartTLS シーケンス) ではなく、ホスト foo ポート 1000 での生の TLS オープンを指します。ポート 1000 がセキュリティー保護されていない場合、接続は行われません。