このドキュメントで説明するソフトウェアは、Extended SupportまたはSustaining Supportのいずれかにあります。 詳細は、https://www.oracle.com/us/support/library/enterprise-linux-support-policies-069172.pdfを参照してください。
Oracleでは、このドキュメントに記載されているソフトウェアをできるだけ早くアップグレードすることをお薦めします。

機械翻訳について

23.4.8 LDAPへのユーザーの追加

ノート

この手順では、次の項目を前提としています。

  • LDAPによって、ou=Peopleou=GroupsおよびnisMapName=auto.homeの情報が提供されます。

  • LDAPサーバーは、NFSを使用してユーザーのホーム・ディレクトリをエクスポートします。 第21.2.2項「NFSファイル・システムのマウント」を参照してください。

ユーザーのアカウントをLDAPサーバーに作成するには:

  1. LDAPサーバーによってユーザーのホーム・ディレクトリのベース・ディレクトリがエクスポートされていない場合は、LDAPサーバーで次のステップを実行します。

    1. ユーザーのディレクトリのベース・ディレクトリ(例: /nethome)を作成します。 

      # mkdir /nethome

    2. /etc/exportsに次のようなエントリを追加します。 

      /nethome    *(rw,sync)

      ファイル・システムをマウントできるクライアントを制限することができます。 たとえば、次のエントリでは、192.168.1.0/24サブネットのクライアントのみが/nethomeをマウントできます。 

      /nethome    192.168.1.0/24(rw,sync)

    3. 次のコマンドを使用して、ファイル・システムをエクスポートします。 

      # exportfs -i -o ro,sync *:/nethome

  2. ユーザー・アカウントを作成しますが、ローカル・ログインは許可しません。 

    # useradd -b base_dir -s /sbin/nologin -u UID -U username

    次に例を示します。 

    # useradd -b /nethome -s /sbin/nologin -u 5159 -U arc815

    このコマンドによって、/etc/passwdファイルが更新されて、LDAPサーバーの/nethomeの下にホーム・ディレクトリが作成されます。

    ユーザーのログイン・シェルは、LDAPに設定されているLoginShell値によってオーバーライドされます。

  3. 次の例のように、idコマンドを使用して、ユーザーとそのユーザーに割り当てられているグループIDをリストします。 

    # id arc815
uid=5159(arc815) gid=5159(arc815) groups=5159(arc815)

  4. ユーザーを定義するLDIFファイル(例: arc815-user.ldif)を作成します。 

    # UPG arc815
dn: cn=arc815,ou=Groups,dc=mydom,dc=com
cn: arc815
gidNumber: 5159
objectclass: top
objectclass: posixGroup

# User arc815
dn: uid=arc815,ou=People,dc=mydom,dc=com
cn: John Beck
givenName: John
sn: Beck
uid: arc815
uidNumber: 5159
gidNumber: 5159
homeDirectory: /nethome/arc815
loginShell: /bin/bash
mail: johnb@mydom.com
objectClass: top
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
userPassword: {SSHA}x

    この例では、ユーザーは、同じファイルに定義されているユーザー・プライベート・グループ(UPG)に属します。 ユーザーのログイン・シェル属性LoginShellは、/bin/bashに設定されています。 ユーザーのパスワード属性userPasswordは、プレースホルダ値に設定されています。 LDAPでKerberos認証を使用する場合、この属性は使用されません。

  5. LDAP認証を構成済の場合は、次のコマンドを使用してユーザーをLDAPに追加します。 

    # ldapadd -cxWD cn=admin,dc=mydom,dc=com -f arc815-user.ldif
Enter LDAP Password: admin_password
adding new entry "cn=arc815,ou=Groups,dc=mydom,dc=com"

adding new entry "uid=arc815,ou=People,dc=mydom,dc=com"

    Kerberos認証を構成済の場合は、kinitを使用してadminプリンシパル用のチケット発行チケット(TGT)を取得し、次の形式のldapaddコマンドを使用します。 

    # ldapadd -f arc815-user.ldif

  6. LDAPでユーザーおよびユーザーのUPGを検索できることを確認します。 

    # ldapsearch -LLL -x -b "dc=mydom,dc=com" '(|(uid=arc815)(cn=arc815))'
dn: cn=arc815,ou=Groups,dc=mydom,dc=com
cn: arc815
gidNumber: 5159
objectClass: top
objectClass: posixGroup

dn: uid=arc815,ou=People,dc=mydom,dc=com
cn: John Beck
givenName: John
sn: Beck
uid: arc815
uidNumber: 5159
gidNumber: 5159
homeDirectory: /home/arc815
loginShell: /bin/bash
mail: johnb@mydom.com
objectClass: top
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount

  7. LDAP認証を構成済の場合は、次のコマンドを使用してユーザー・パスワードをLDAPに設定します。 

    # ldappasswd -xWD "cn=admin,dc=mydom,dc=com" \
  -S "uid=arc815,ou=people,dc=mydom,dc=com"
New password: user_password
Re-enter new password: user_password
Enter LDAP Password: admin_password

    Kerberos認証を構成済の場合は、kinitを使用してadminプリンシパル用のチケット発行チケット(TGT)を取得し、次のようにkadminコマンドを使用してユーザー(プリンシパル)およびパスワードをKerberosドメインのデータベースに追加します。 

    # kadmin -q "addprinc alice@MYDOM.COM"

詳細は、kadmin(1)ldapadd(1)ldappasswd(1)およびldapsearch(1)の各マニュアル・ページを参照してください。

Copyright © 2013, 2021, Oracle and/or its affiliates. 法律上の注意点