ドキュメントの品質向上のためのご意見をください

簡潔すぎた
読みづらかった、または難し過ぎた
重要な情報が欠けていた
内容が間違っていた
翻訳版が必要
--選択-- Deutch (German) Español (Spanish) Français (French) Italiano (Italian) Português Brasil (Portuguese) 日本語 (Japanese) 한국어 (Korean) 简体中文 (Simplified Chinese) 繁體中文 (Traditional Chinese) その他の言語 その他

Your rating has been updated

貴重なご意見を有り難うございました!

あなたの貴重なご意見はより良いドキュメント作成の手助けとなります 内容の品質向上と追加コメントのためのアンケートに参加されますか？

アンケートに回答しますいいえ、回答しません

ldapclient

- LDAP クライアントマシンの初期化または LDIF 形式での LDAP クライアントプロファイルの出力

形式

/usr/sbin/ldapclient [-v | -q] init [-a profileName=profileName]
     [-a domainName=domain] [-a proxyDN=proxyDN]
     [-a proxyPassword=password]
     [-a authenticationMethod=authenticationMethod]
     [-a enableShadowUpdate=true | false]
     [-a adminDN=adminDN]
     [-a adminPassword=adminPassword]
     [-a certificatePath=path] [-d bindDN] [-w bindPassword]
     [-j passwdFile] [-y passwdFile]
     [-z adminrPasswdFile] LDAP_server[:port_number]

/usr/sbin/ldapclient [-v | -q] manual [-a attrName=attrVal]

/usr/sbin/ldapclient [-v | -q] mod [-a attrName=attrVal]

/usr/sbin/ldapclient [-v | -q] list

/usr/sbin/ldapclient [-v | -q] uninit

/usr/sbin/ldapclient [-v | -q] genprofile -a profileName=profileName
     [-a attrName=attrVal]

機能説明

zoneadm ユーティリティーは、次のことに使用できます。

• LDAP クライアントマシンを初期化する

• LDAP クライアントにネットワークサービス環境を復元する

• LDAP クライアントのキャッシュの内容を人間が読める形式で一覧表示する。

ldapclient ユーティリティーの init 形式は、LDAP_server で指定された LDAP サーバーに格納されているプロファイルを使用して LDAP クライアントマシンを初期化するために使用されます。LDAP クライアントは、指定されたプロファイル内の属性を使用して LDAP クライアントの構成を決定します。構成プロファイルを使用すると、LDAP クライアントのインストールおよび LDAP クライアントへの構成変更の伝播を簡単に行うことができます。ldap_cachemgr(1M) ユーティリティーは、LDAP クライアントのキャッシュが期限切れになると、プロファイルを読み取ってクライアントの構成を更新します。構成プロファイルの詳細は、IETF ドキュメント『A Configuration Schema for LDAP Based Directory User Agents』を参照してください。

ldapclient ユーティリティーの manual 形式は、LDAP クライアントマシンを手動で初期化するために使用されます。LDAP クライアントは、コマンド行で指定された属性を使用します。指定されていない属性には、そのデフォルト値が割り当てられます。defaultServerList または preferredServerList 属性に、少なくとも 1 つのサーバーを指定する必要があります。domainName が設定されていない場合は、domainName 属性を指定する必要があります。

ldapclient ユーティリティーの mod 形式は、手動で設定された LDAP クライアントマシンの構成を変更するために使用されます。このオプションは、コマンド行で指定された LDAP クライアント構成属性だけを変更します。 mod オプションは、manual オプションを使用して初期化された LDAP クライアントだけに使用するようにしてください。

初期化にどの方法を使用するかにかかわらず、クライアントで proxy credentialLevel を使用するように構成する場合は、-a proxyDN=proxyDN および -a proxyPassword= proxyPassword オプションを使用してプロキシ資格を指定する必要があります。ただし、-a proxyPassword=proxyPassword が指定されていない場合、ldapclient はその入力を求めます。NULL パスワードは LDAP では許可されていません。self credentialLevel が構成されている場合、authenticationMethod は sasl/GSSAPI でなければなりません。

同様に、クライアントでシャドウ情報の更新を有効にし、proxy credentialLevel を使用するように構成する場合は、-a adminDN=adminDN および -a adminPassword= adminPassword を使用して管理者資格を指定する必要があります。ただし、self credentialLevel が構成されている場合は、シャドウ情報の更新に管理者資格は必要ありません。

ネームサービス固有の構成プロパティーは svc:/network/ldap/client SMF サービスに保存されます。SMF プロパティーを直接変更することはお勧めできません。代わりに、このツールを使用してください。

ほかの構成がインストール時に変更される場合があります。これは /var/ldap/restore にバックアップされます。初期化時に通常変更されるファイルは次のとおりです。

• /etc/nsswitch.conf

• /etc/defaultdomain (存在する場合)

• /var/yp/binding/`domainname` (NIS [YP] クライアントの場合)

LDAP 構成は場所プロファイルで管理されます。これは、存続させる LDAP 構成を作成する時期と方法に影響を与えます。場所プロファイルの詳細については、netcfg(1M)を、ネットワークの自動構成の使用時に LDAP 構成を管理する方法の詳細については、セクション「場所プロファイルとの相互作用」を参照してください。

ldapclient では、クライアントは DNS を使用してホスト名を解決するようには設定されません。/etc/nsswitch.ldap が /etc/nsswitch.conf に単純にコピーされます。ホスト解決に DNS を使用したい場合は、DNS の設定方法について DNS ドキュメントを参照してください。resolv.conf(4) を参照してください。認証方法として sasl/GSSAPI を使用する場合は、hosts および ipnodes の解決に DNS を使用する必要があります。

ldapclient ユーティリティーの list 形式は、LDAP クライアント構成を一覧表示するために使用されます。人間が読める形式で出力されます。LDAP 構成ファイルは人間が読めるとは限りません。セキュリティー上の理由から、adminDN および adminPassword の値は表示されません。

ldapclient ユーティリティーの uninit 形式は、ネットワークサービス環境の初期化を解除して、ldapclient が init または manual で最後に実行されたときより前の状態に復元するために使用されます。復元は、ldapclient の init または manual 形式によって作成されたバックアップファイルを使用するため、マシンがこれらのオプションで初期化されている場合のみ成功します。

genprofile オプションは、コマンド行で指定された属性に基づいて LDIF 形式の構成プロファイルを標準出力に書き出すために使用されます。このプロファイルは、あとで LDAP サーバーに読み込んでクライアントプロファイルとして使用でき、ldapclient init コマンドを使用してダウンロードすることができます。LDIF 形式のプロファイルをディレクトリサーバーに読み込むには、ldapadd(1) を使用するか、サーバー固有のインポートツールを使用します。属性 proxyDN、proxyPassword、certificatePath、domainName、enableShadowUpdate、adminDN、および adminPassword は、構成プロファイルに含まれていないため、許可されません。

genprofile オプションを除き、ldapclient コマンドを実行するにはスーパーユーザー特権が必要です。

ディレクトリに格納されている情報にアクセスするには、クライアントはディレクトリに認証してもらうか、無認証接続を使用します。LDAP クライアントは anonymous または proxy 資格レベルを持つように構成されます。最初のケースでは、クライアントはディレクトリから認証されません。2 番目のケースでは、クライアントは、読み取りアクセスにプロキシアイデンティティーを使用し、enableShadowUpdate が構成されてる場合は書き込みアクセスに管理者アイデンティティーを使用して、ディレクトリから認証されます。3 番目のケースでは、クライアントは、LDAP サーバーによって LDAP アイデンティティーにマッピングされている Kerberos 主体を使用して、ディレクトリから認証されます。アイデンティティーマッピングの詳細については、『Oracle Solaris Administration: Naming and Directory Services』のセキュリティーの実装に関する章、または該当するディレクトリサーバーのドキュメントを参照してください。

クライアントがアイデンティティーを使用するように構成されている場合は、クライアントでどの認証方法を使用するかを構成できます。LDAP クライアントは、次の認証方法をサポートします。

すべてのディレクトリサーバーでこれらの認証方法がすべてサポートされているとは限りません。simple の場合、バインドパスワードが平文で LDAP サーバーに送信されることに注意してください。TLS (Transport Layer Security) を使用する認証方法の場合は、セッション全体が暗号化されます。TLS を使用するには、適切な証明書データベースをインストールする必要があります。

場所プロファイルとの相互作用

前述したとおり、LDAP 構成は場所プロファイルで管理されます (場所プロファイルの詳細は、netcfg(1M)を参照してください)。これらのプロファイルは、固定 (つまり、ネットワーク構成は従来の方法で管理される) とリアクティブ (つまり、ネットワーク構成は自動的に管理され、プロファイルに指定されたポリシールールに従ってネットワーク環境の変更に反応する) のいずれかです。

固定の場所 (現在、場所として DefaultFixed の 1 つのみが存在できます) がアクティブの場合、その場所が無効のときに、SMF リポジトリに対する変更 (ldapclient などのツールを使用して間接的に行われる変更を含む) がその場所に適用されるため、その場所が後で再度有効にされた場合に、変更が復元されます。

リアクティブな場所がアクティブのときは、変更は SMF リポジトリに直接適用すべきではありません。これらの変更は場所プロファイルに保持されないため、場所が無効にされるか、svc:/network/physical:default および svc:/network/location:default によって管理されるシステムのネットワーク構成がリフレッシュまたは再起動された場合に失われます。代わりに、変更は、netcfg(1M) コマンドを使用して場所自体に適用すべきです。これによって、変更は場所プロファイルリポジトリに保存され、SMF リポジトリにも適用されます (現在アクティブな場所に対して変更が行われた場合)。

場所内の LDAP 構成のサポートは現在非常に制限されています。ユーザーは、完全な構成プロファイルを取得できる ldap-nameservice-servers プロパティーにサーバー名を指定する必要があります。その他のパラメータは指定できません。さらに、場所に LDAP 構成が含まれていない場合、その場所を有効にすると関連する LDAP サービスは無効にされます。

LDAP を構成するための適切な ldapclient コマンドを発行するスクリプトを作成することで、より高度な LDAP 構成を行うことができます。このスクリプトを使用して、必要に応じて有効/無効にできる ENM プロファイルを作成できます。ENM プロファイルの詳細は、netcfg(1M)を参照してください。

コマンド

次のコマンドがサポートされています。

init

サーバー上のプロファイルからクライアントを初期化します。

manual

指定された属性値を使用してクライアントを手動で初期化します。

mod

クライアントを手動で初期化したあとの構成ファイルの属性値を変更します。

list

LDAP クライアントのキャッシュの内容を人間が読める形式で標準出力に書き出します。

uninit

LDAP クライアントの初期化に ldapclient が使用されたことを前提に、クライアントの初期化を解除します。

genprofile

あとでディレクトリに格納してクライアントがこのコマンドの init 形式で使用できる、LDIF 形式の構成プロファイルを生成します。

属性

サポートされている属性は次のとおりです。

adminDN

シャドウ情報の更新に使用される管理者アイデンティティーのバインド識別名を指定します。資格レベルが proxy で、enableShadowUpdate が true に設定されている場合、このオプションは必須です。デフォルト値はありません。

adminPassword

管理者パスワードを指定します。資格レベルが proxy で、enableShadowUpdate が true に設定されている場合、このオプションは必須です。デフォルト値はありません。

attributeMap

サービスによって定義された属性から代替スキーマの属性へのマッピングを指定します。これを使用すると、特定のサービスに使用されるデフォルトのスキーマを変更できます。attributeMap の構文は、プロファイル IETF ドラフトで定義されています。このオプションは複数回指定できます。すべてのサービスでデフォルト値は NULL です。次に例を示します。

attributeMap: passwd:uid=employeeNumber

この場合、LDAP クライアントは passwd サービスの uid ではなく、LDAP 属性 employeeNumber を使用します。これは複数値属性です。

authenticationMethod

serviceAuthenticationMethod 属性でオーバーライドされた場合を除いてすべてのサービスで使用される、デフォルトの認証方法を指定します。セミコロン区切りのリストを使用して複数の値を指定できます。デフォルト値は none です。credentialLevel を使用し、credentialLevel が anonymous のサービスでは、この属性は無視されます。pam_ldap などのサービスは、credentialLevel が anonymous の場合でも、この属性を使用します。サポートされる認証方法については、上記を参照してください。authenticationMethod が sasl/GSSAPI の場合、/etc/nsswitch.conf の hosts および ipnodes に、たとえば次のように DNS サポートが構成されている必要があります。

hosts: dns files
ipnodes: dns files

bindTimeLimit

クライアントがバインド操作の実行に費やすべき最大時間 (秒)。これは正の整数に設定します。デフォルトの値は 30 です。

certificatePath

証明書データベースの場所を表す証明書パス。値は、セキュリティーデータベースファイルが置かれているパスです。これは、authenticationMethod および serviceAuthenticationMethod 属性で指定されている TLS サポートに使用されます。デフォルトは /var/ldap です。

credentialLevel

クライアントがディレクトリと通信するときに使用すべき資格レベルを指定します。サポートされている資格レベルは、anonymous、proxy、および self です。proxy 資格レベルを指定する場合は、認証メカニズムを決定するために authenticationMethod 属性を指定する必要があります。また、資格レベルが proxy で、認証方法の少なくとも 1 つにバインド DN が必要な場合は、proxyDN および proxyPassword 属性値を設定する必要があります。さらに、enableShadowUpdate が true に設定されている場合は、adminDN および adminPassword 値を設定する必要があります。self 資格レベルが指定されている場合、authenticationMethod は sasl/GSSAPI である必要があります。

defaultSearchBase

デフォルトの検索ベース DN を指定します。シグナルを送るプロセスまたはジョブにデフォルトはありません。serviceSearchDescriptor 属性を使用して、特定のサービスの defaultSearchBase をオーバーライドできます。

defaultSearchScope=one | sub

クライアントの検索操作のデフォルトの検索範囲を指定します。このデフォルトは、serviceSearchDescriptor を指定することにより、特定のサービスに関してオーバーライドできます。デフォルトは 1 レベル検索です。

defaultServerList

サーバー名またはサーバーアドレス (IPv4 または IPv6) を空白で区切ったリスト。サーバー名を指定する場合は、LDAP クライアントが LDAP ネームサービスを使用せずにその名前を解決できることを確認してください。files または dns を使用して LDAP サーバーの名前を解決する必要があります。LDAP サーバー名を解決できない場合、ネームサービスは失敗します。

ポート番号は省略できます。指定されていない場合は、認証方法で TLS が指定された場合を除き、デフォルトの LDAP サーバーポート番号 389 が使用されます。この場合、デフォルトの LDAP サーバーポート番号は 636 です。

IPv6 アドレスのポート番号を指定するための形式は次のとおりです。

[ipv6_addr]:port

IPv4 アドレスのポート番号を指定するには、次の形式を使用します。

ipv4_addr:port

ホスト名を指定する場合は、次の形式を使用します。

host_name:port

TLS を使用する場合は、LDAP サーバーのホスト名が TLS 証明書内のホスト名に一致する必要があります。通常、TLS 証明書内のホスト名は完全修飾ドメイン名です。TLS を使用する場合は、LDAP サーバーのホストアドレスが TLS 証明書内のホスト名に解決される必要があります。files または dns を使用してホストアドレスを解決する必要があります。

domainName

DNS ドメイン名を指定します。これはそのマシンのデフォルトドメインになります。デフォルトは、現在のドメイン名です。この属性はクライアントの初期化でのみ使用されます。

enableShadowUpdate=true | false

クライアントにシャドウ情報の更新を許可するかどうかを指定します。true に設定されている場合、資格レベルが proxy のときは、adminDN および adminPassword を指定する必要があります。

followReferrals=true | false

リフェラル設定を指定します。true の設定ではリフェラルが自動的にたどられることになり、false では結果としてリフェラルはたどられません。デフォルトは true です。

objectclassMap

サービスによって定義された objectclass から代替スキーマの objectclass へのマッピングを指定します。これを使用すると、特定のサービスに使用されるデフォルトのスキーマを変更できます。objectclassMap の構文は、プロファイル IETF ドラフトで定義されています。このオプションは複数回指定できます。すべてのサービスでデフォルト値は NULL です。次に例を示します。

objectclassMap=passwd:posixAccount=unixAccount 

この場合、LDAP クライアントは passwd サービスの posixAccount ではなく、unixAccount という LDAP objectclass を使用します。これは複数値属性です。

preferredServerList

defaultServerList 属性で指定されたサーバーより前に通信するサーバー名またはサーバーアドレス (IPv4 または IPv6) を空白で区切ったリストを指定します。サーバー名を指定する場合は、LDAP クライアントが LDAP ネームサービスを使用せずにその名前を解決できることを確認してください。files または dns を使用して LDAP サーバーの名前を解決する必要があります。LDAP サーバー名を解決できない場合、ネームサービスは失敗します。

ポート番号は省略できます。指定されていない場合は、認証方法で TLS が指定された場合を除き、デフォルトの LDAP サーバーポート番号 389 が使用されます。この場合、デフォルトの LDAP サーバーポート番号は 636 です。

IPv6 アドレスのポート番号を指定するための形式は次のとおりです。

[ipv6_addr]:port

IPv4 アドレスのポート番号を指定するには、次の形式を使用します。

ipv4_addr:port

ホスト名を指定する場合は、次の形式を使用します。

host_name:port

TLS を使用する場合は、LDAP サーバーのホスト名が TLS 証明書内のホスト名に一致する必要があります。通常、TLS 証明書内のホスト名は完全修飾ドメイン名です。TLS を使用する場合は、LDAP サーバーのホストアドレスが TLS 証明書内のホスト名に解決される必要があります。files または dns を使用してホストアドレスを解決する必要があります。

profileName

プロファイル名を指定します。ldapclient init の場合、この属性は、profileTTL 属性の値に応じて定期的にダウンロードできる既存プロファイルの名前です。ldapclient genprofile の場合、これは生成するプロファイルの名前です。デフォルト値は default です。

profileTTL

クライアント情報の TTL 値を秒単位で指定します。これが意味を持つのは、マシンがクライアントプロファイルを使用して初期化されている場合だけです。ldap_cachemgr(1M) が LDAP サーバーから LDAP クライアント構成のリフレッシュを試みないようにするには、profileTTL を 0 (ゼロ) に設定します。有効な値は、ゼロ 0 (有効期限なし) または正の整数 (秒) です。デフォルト値は 12 時間です。

proxyDN

プロキシアイデンティティーのバインド識別名を指定します。資格レベルが proxy で、認証方法の少なくとも 1 つにバインド DN が必要な場合、このオプションは必須です。デフォルト値はありません。

proxyPassword

クライアントのプロキシパスワードを指定します。資格レベルが proxy で、認証方法の少なくとも 1 つにバインド DN が必要な場合、このオプションは必須です。シグナルを送るプロセスまたはジョブにデフォルトはありません。

searchTimeLimit

LDAP 検索操作に許容される最大の秒数を指定します。デフォルト値は 30 秒です。サーバーに独自の検索制限時間がある場合もあります。

serviceAuthenticationMethod

サービスで使用する認証方法を servicename:authenticationmethod の形式で、たとえば次のように指定します。

pam_ldap:tls:simple

複数の認証方法を指定する場合は、セミコロン区切りのリストを使用します。デフォルト値ではサービスの認証方法はなく、この場合、各サービスはデフォルトで authenticationMethod 値になります。サポートされる認証については、上記を参照してください。

この機能は、passwd-cmd、keyserv、および pam_ldap の 3 つのサービスでサポートされています。passwd-cmd サービスは、ユーザーのパスワードやその他の属性を変更する場合に passwd(1) で使用する認証方法を定義するために使用されます。keyserv サービスは、chkey(1) および newkey(1M) ユーティリティーで使用する認証方法を識別するために使用されます。pam_ldap サービスは、pam_ldap(5) が構成されている場合にユーザーの認証に使用する認証方法を定義します。これらのサービスのいずれにもこの属性が設定されていない場合、authenticationMethod 属性を使用して認証方法が定義されます。これは複数値属性です。

serviceCredentialLevel

サービスで使用する資格レベルを指定します。空白区切りのリストで複数の値を指定できます。すべてのサービスでデフォルト値は NULL です。サポートされている資格レベルは、anonymous または proxy です。現時点では、この属性を使用するサービスはありません。これは複数値属性です。

serviceSearchDescriptor

特定のサービスについて、LDAP 検索のデフォルトのベース DN をオーバーライドします。記述子の形式では、各サービスのデフォルトの検索範囲および検索フィルタもオーバーライドできます。serviceSearchDescriptor の構文は、プロファイル IETF ドラフトで定義されています。すべてのサービスでデフォルト値は NULL です。これは複数値属性です。次に例を示します。

serviceSearchDescriptor=passwd:ou=people,dc=a1,dc=acme,dc=com?one

この場合、LDAP クライアントは passwd サービスの ou=people,defaultSearchBase ではなく、ou=people,dc=a1,dc=acme,dc=com で 1 レベル検索を実行します。

オプション

サポートしているオプションは、次のとおりです。

-a attrName=attrValue

attrName とその値を指定します。指定できる属性名と値の完全な一覧については、「形式」を参照してください。

-D bindDN

要求されたデータベースに対する読み取り権を持っているエントリを指定します。

-j passwdFile

バインド DN 用のパスワードまたは SSL クライアントの鍵データベース用のパスワードを含むファイルを指定します。パスワードを保護するには、このオプションをスクリプトで使用し、セキュリティー保護されたファイルにパスワードを保存します。このオプションは、-w オプションとは相互排他的です。

-q

静寂モード。出力は生成されません。

-v

詳細情報を出力します。

-w bindPassword

バインド DN の認証に使用するパスワード。このパラメータがない場合、このコマンドはパスワードの入力を求めます。NULL パスワードは LDAP ではサポートされていません。

-w bindPassword を使用して認証に使用するパスワードを指定すると、システムのほかのユーザーが ps コマンドを使用することで、スクリプトファイル内で、またはシェル履歴内でパスワードを見ることができます。

パスワードとして「-」(ハイフン) を指定した場合、このコマンドはパスワードの入力を求めます。

-y passwdFile

プロキシ DN 用のパスワードを含むファイルを指定します。パスワードを保護するには、このオプションをスクリプトで使用し、セキュリティー保護されたファイルにパスワードを保存します。このオプションは、-a proxyPassword オプションとは相互排他的です。

-z adminrPasswdFile

adminDN 用のパスワードを含むファイルを指定します。パスワードを保護するには、このオプションをスクリプトで使用し、セキュリティー保護されたファイルにパスワードを保存します。このオプションは、-a adminPassword オプションとは相互排他的です。

オペランド

次のオペランドを指定できます。

LDAP_server

プロファイルの読み込み元となる LDAP サーバーのアドレスまたは名前。nsswitch.conf ファイルに指定されている現在のネームサービスが使用されます。プロファイルが読み込まれると、プロファイルに指定されている preferredServerList と defaultServerList が使用されます。

使用例

例 1 指定された LDAP サーバーに格納されているデフォルトプロファイルを使用してクライアントを設定する

次の例は、指定された LDAP サーバーに格納されているデフォルトプロファイルを使用してクライアントを設定する方法を示しています。このコマンドが成功するのは、プロファイルで資格レベルが anonymous に設定されているか、認証方法が none に設定されている場合だけです。

example# ldapclient init 172.16.100.1

例 2 指定された LDAP サーバーに格納されている simple プロファイルを使用してクライアントを設定する

次の例は、指定された LDAP サーバーに格納されている simple プロファイルを使用してクライアントを設定する方法を示しています。ドメイン名は xyz.mycompany.com に設定され、プロキシパスワードは secret です。

example# ldapclient init -a profileName=simple \
-a domainName=xyz.mycompany.com \
-a proxyDN=cn=proxyagent,ou=profile,dc=xyz,dc=mycompany,dc=com \
-a proxyPassword=secret '['fe80::a00:20ff:fea3:388']':386

例 3 1 つのサーバーだけを使用してクライアントを設定する

次の例は、1 つのサーバーだけを使用してクライアントを設定する方法を示しています。認証方法は none に設定され、検索ベースは dc=mycompany,dc=com です。

example# ldapclient manual -a authenticationMethod=none \
-a defaultSearchBase=dc=mycompany,dc=com \
-a defaultServerList=172.16.100.1

例 4 リフェラルをたどらない 1 つのサーバーだけを使用してクライアントを設定する

次の例は、1 つのサーバーだけを使用してクライアントを設定する方法を示しています。資格レベルは proxy に設定されています。認証方法は sasl/CRAM-MD5 で、リフェラルをたどらないオプションが指定されています。ドメイン名は xyz.mycompany.com で、LDAP サーバーは IP アドレス 172.16.100.1 のポート番号 386 で実行されています。

example# ldapclient manual \
-a credentialLevel=proxy \
-a authenticationMethod=sasl/CRAM-MD5 \
-a proxyPassword=secret \
-a proxyDN=cn=proxyagent,ou=profile,dc=xyz,dc=mycompany,dc=com \
-a defaultSearchBase=dc=xyz,dc=mycompany,dc=com \
-a domainName=xyz.mycompany.com \
-a followReferrals=false \
-a defaultServerList=172.16.100.1:386

例 5 genprofile を使用して defaultSearchBase とサーバーアドレスだけを設定する

次の例は、genprofile コマンドを使用して defaultSearchBase とサーバーアドレスを設定する方法を示しています。

example# ldapclient genprofile -a profileName=myprofile \
-a defaultSearchBase=dc=eng,dc=sun,dc=com \
-a "defaultServerList=172.16.100.1 172.16.234.15:386" \
> myprofile.ldif

例 6 IPv6 サーバー上にプロファイルを作成する

次の例は、IPv6 サーバー上にプロファイルを作成します。

example# ldapclient genprofile -a profileName=eng \
-a credentialLevel=proxy \
-a authenticationMethod=sasl/DIGEST-MD5 \
-a defaultSearchBase=dc=eng,dc=acme,dc=com \
-a "serviceSearchDescriptor=passwd:ou=people,dc=a1,dc=acme,dc=com?one"\
-a preferredServerList= '['fe80::a00:20ff:fea3:388']' \
-a "defaultServerList='['fec0::111:a00:20ff:fea3:edcf']' \
    '['fec0::111:a00:20ff:feb5:e41']'" > eng.ldif

例 7 すべてのデフォルト値をオーバーライドするプロファイルを作成する

次の例は、すべてのデフォルト値をオーバーライドするプロファイルを示しています。

example# ldapclient genprofile -a profileName=eng \
-a credentialLevel=proxy -a authenticationMethod=sasl/DIGEST-MD5 \
-a bindTimeLimit=20 \
-a defaultSearchBase=dc=eng,dc=acme,dc=com \
-a "serviceSearchDescriptor=passwd:ou=people,dc=a1,dc=acme,dc=com?one"\
-a serviceAuthenticationMethod=pam_ldap:tls:simple \
-a defaultSearchScope=sub \
-a attributeMap=passwd:uid=employeeNumber \
-a objectclassMap=passwd:posixAccount=unixAccount \
-a followReferrals=false -a profileTTL=6000 \
-a preferredServerList=172.16.100.30 -a searchTimeLimit=30 \
-a "defaultServerList=172.16.200.1 172.16.100.1 192.168.5.6" > eng.ldif

終了ステータス

次の終了ステータスが返されます。

0

コマンドが正常に実行されました。

1

エラーが発生した。エラーメッセージが出力されます。

2

proxyDN および proxyPassword 属性が必要ですが、指定されていません。

ファイル

/var/ldap/ldap_client_cred

/var/ldap/ldap_client_file

クライアントの LDAP 構成が含まれています。これらのファイルは手動で変更するものではありません。その内容は人間が読めるとは限りません。それらを更新するには、ldapclient を使用します。

/etc/defaultdomain

LDAP サーバー内のデータのドメイン名に一致する、システムのデフォルトのドメイン名。defaultdomain(4) を参照してください。

/etc/nsswitch.conf

ネームサービススイッチの構成ファイル。nsswitch.conf(4) を参照してください。

/etc/nsswitch.ldap

LDAP およびファイルで構成されたネームサービススイッチのサンプル構成ファイル。

属性

属性についての詳細は、マニュアルページの attributes(5) を参照してください。

関連項目

chkey(1), ldapadd(1), ldapdelete(1), ldaplist(1), ldapmodify(1), ldapmodrdn(1), ldapsearch(1), idsconfig(1M), ldapaddent(1M), ldap_cachemgr(1M), netcfg(1M), defaultdomain(4), nsswitch.conf(4), resolv.conf(4), attributes(5)

注意

現在 StartTLS は libldap.so.5 でサポートされていないため、指定されたポート番号は、StartTLS シーケンスの一部として使用されるポートではなく、TLS オープン時に使用されるポートを指します。タイムアウト遅延を避けるために、TLS と TLS でない認証メカニズムを混合して使用することはお勧めしません。

例:

-h foo:1000 -a authenticationMethod=tls:simple

または

defaultServerList= foo:1000
authenticationMethod= tls:simple

上記は、セキュリティー保護されていないポート 1000 でのオープン ( StartTLS シーケンス) ではなく、ホスト foo ポート 1000 での生の TLS オープンを指します。ポート 1000 がセキュリティー保護されていない場合、接続は行われません。

2 つ目の例として、次の例では、セキュリティー保護されていないバインドで foo:636 への接続を試みる間にかなりのタイムアウト遅延が発生します。

defaultServerList= foo:636 foo:389
authenticationMethod= simple