このドキュメントで説明するソフトウェアは、Extended SupportまたはSustaining Supportのいずれかにあります。 詳細は、https://www.oracle.com/us/support/library/enterprise-linux-support-policies-069172.pdfを参照してください。
Oracleでは、このドキュメントに記載されているソフトウェアをできるだけ早くアップグレードすることをお薦めします。
この手順では、次の項目を前提としています。
LDAPによって、
ou=People
、ou=Groups
およびnisMapName=auto.home
の情報が提供されます。LDAPサーバーは、NFSを使用してユーザーのホーム・ディレクトリをエクスポートします。 第21.2.2項「NFSファイル・システムのマウント」を参照してください。
ユーザーのアカウントをLDAPサーバーに作成するには:
LDAPサーバーによってユーザーのホーム・ディレクトリのベース・ディレクトリがエクスポートされていない場合は、LDAPサーバーで次のステップを実行します。
ユーザーのディレクトリのベース・ディレクトリ(例:
/nethome
)を作成します。#
mkdir /nethome
/etc/exports
に次のようなエントリを追加します。/nethome *(rw,sync)
ファイル・システムをマウントできるクライアントを制限することができます。 たとえば、次のエントリでは、192.168.1.0/24サブネットのクライアントのみが
/nethome
をマウントできます。/nethome 192.168.1.0/24(rw,sync)
次のコマンドを使用して、ファイル・システムをエクスポートします。
#
exportfs -i -o ro,sync *:/nethome
ユーザー・アカウントを作成しますが、ローカル・ログインは許可しません。
#
useradd -b
base_dir
-s /sbin/nologin -u
UID
-U
username
次に例を示します。
#
useradd -b /nethome -s /sbin/nologin -u 5159 -U arc815
このコマンドによって、
/etc/passwd
ファイルが更新されて、LDAPサーバーの/nethome
の下にホーム・ディレクトリが作成されます。ユーザーのログイン・シェルは、LDAPに設定されている
LoginShell
値によってオーバーライドされます。次の例のように、idコマンドを使用して、ユーザーとそのユーザーに割り当てられているグループIDをリストします。
#
id arc815
uid=5159(arc815) gid=5159(arc815) groups=5159(arc815)ユーザーを定義するLDIFファイル(例:
arc815-user.ldif
)を作成します。# UPG arc815 dn: cn=arc815,ou=Groups,dc=mydom,dc=com cn: arc815 gidNumber: 5159 objectclass: top objectclass: posixGroup # User arc815 dn: uid=arc815,ou=People,dc=mydom,dc=com cn: John Beck givenName: John sn: Beck uid: arc815 uidNumber: 5159 gidNumber: 5159 homeDirectory: /nethome/arc815 loginShell: /bin/bash mail: johnb@mydom.com objectClass: top objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount userPassword: {SSHA}x
この例では、ユーザーは、同じファイルに定義されているユーザー・プライベート・グループ(UPG)に属します。 ユーザーのログイン・シェル属性
LoginShell
は、/bin/bash
に設定されています。 ユーザーのパスワード属性userPassword
は、プレースホルダ値に設定されています。 LDAPでKerberos認証を使用する場合、この属性は使用されません。LDAP認証を構成済の場合は、次のコマンドを使用してユーザーをLDAPに追加します。
#
ldapadd -cxWD cn=admin,dc=mydom,dc=com -f arc815-user.ldif
Enter LDAP Password:
adding new entry "cn=arc815,ou=Groups,dc=mydom,dc=com" adding new entry "uid=arc815,ou=People,dc=mydom,dc=com"admin_password
Kerberos認証を構成済の場合は、kinitを使用して
admin
プリンシパル用のチケット発行チケット(TGT)を取得し、次の形式のldapaddコマンドを使用します。#
ldapadd -f arc815-user.ldif
LDAPでユーザーおよびユーザーのUPGを検索できることを確認します。
#
ldapsearch -LLL -x -b "dc=mydom,dc=com" '(|(uid=arc815)(cn=arc815))'
dn: cn=arc815,ou=Groups,dc=mydom,dc=com cn: arc815 gidNumber: 5159 objectClass: top objectClass: posixGroup dn: uid=arc815,ou=People,dc=mydom,dc=com cn: John Beck givenName: John sn: Beck uid: arc815 uidNumber: 5159 gidNumber: 5159 homeDirectory: /home/arc815 loginShell: /bin/bash mail: johnb@mydom.com objectClass: top objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccountLDAP認証を構成済の場合は、次のコマンドを使用してユーザー・パスワードをLDAPに設定します。
#
ldappasswd -xWD "cn=admin,dc=mydom,dc=com"
\-S "uid=arc815,ou=people,dc=mydom,dc=com"
New password:
Re-enter new password:user_password
Enter LDAP Password:user_password
admin_password
Kerberos認証を構成済の場合は、kinitを使用して
admin
プリンシパル用のチケット発行チケット(TGT)を取得し、次のようにkadminコマンドを使用してユーザー(プリンシパル)およびパスワードをKerberosドメインのデータベースに追加します。#
kadmin -q "addprinc alice@MYDOM.COM"
詳細は、kadmin(1)
、ldapadd(1)
、ldappasswd(1)
およびldapsearch(1)
の各マニュアル・ページを参照してください。