次の 2 つの方法のいずれかで、ldapclient を使用して LDAP クライアントを初期化できます。
プロファイルを使用する
ldapclient コマンドを発行するときは、少なくともプロファイルおよびドメインのサーバーアドレスを指定する必要があります。プロファイル指定しなかった場合は、デフォルトのプロファイルが指定されていると見なされます。プロキシと証明書データベースの情報を除いて、必要な情報の残りはプロファイルから提供されます。
クライアントの資格レベルがプロキシまたは匿名プロキシである場合は、プロキシのバインド DN とパスワードを入力してください。詳細は、クライアント資格レベルを参照してください。シャドウデータの更新を有効にするには、管理者の資格情報 (adminDN および adminPassword) を指定する必要があります。
プロファイルを使用すると、特にエンタープライズ環境で LDAP 構成の複雑さが軽減されます。
単一のコマンド行ですべてのパラメータを定義する
プロファイルは存在しません。つまり、クライアント自体でプロファイルを作成します。この方法を使用しても、プロファイル情報はキャッシュファイルに格納されサーバーによってリフレッシュされることはありません。
ldapclient コマンドを使用した別のコマンド構文を使用すると、クライアントを初期化できます。
デフォルト値で構成されているプロファイルを使用して、クライアントを初期化します。例:
# ldapclient init -a profilename=new -a domainname=west.example.com 192.168.0.1 System successfully configured
ユーザー別の資格情報を含むプロファイルが構成されているクライアントを初期化し、sasl/GSSAPI 認証方法を使用します。
この例では、idsconfig コマンドを使用して DIT を構築する際に、適切な認証方法および資格レベル (資格レベルには self、認証方法には sasl/GSSAPI など) が指定されたことが前提となっています。idsconfig コマンドの出力の一部を次に示します。ここでは、サーバー上にユーザー別のプロファイルが作成されています。
# /usr/lib/ldap/idsconfig Do you wish to continue with server setup (y/n/h)? [n] y Enter the Directory Server's hostname to setup: kdc.example.com Enter the port number for DSEE (h=help): [389] <Enter your port> Enter the directory manager DN: [cn=Directory Manager] <Enter your DN> Enter passwd for cn=Directory Manager: <Enter your password> Enter the domainname to be served (h=help): [example.com] <Enter your domain> Enter LDAP Base DN (h=help): [dc=example,dc=com] <Enter your DN> GSSAPI is supported. Do you want to set up gssapi:(y/n) [n] y Enter Kerberos Realm: [EXAMPLE.COM] EXAMPLE.COM
プロファイルの名前は gssapi_EXAMPLE.COM です。例で示した方法でプロファイルを作成したあとに ldapclient コマンドを発行すると、ユーザー別のプロファイルを含むクライアントを初期化できます。
# ldapclient init -a profilename=gssapi_EXAMPLE.COM -a \ domainname=example.com 9.9.9.50
プロキシ資格情報を使用するクライアントを初期化します。例:
# ldapclient init \ -a proxyDN=cn=proxyagent,ou=profile,dc=west,dc=example,dc=com \ -a domainname=west.example.com \ -a profilename=pit1 \ -a proxypassword=test1234 192.168.0.1
使用されるプロファイルが proxy 用に設定される場合は、–a proxyDN と –a proxyPassword が必要です。サーバーに保存されているプロファイルにはこの資格情報が含まれていないため、クライアントを初期設定するときは資格情報を入力する必要があります。この方法は、プロキシの資格情報をサーバーに保存していた従来の方法に比べて安全性が高くなります。
これらのプロキシ情報は、config および cred プロパティーグループ内の svc:/network/ldap/client サービス内に格納されます。
クライアントを初期化して、シャドウデータの更新を有効にします。例:
# ldapclient init \ -a adminDN=cn=admin,ou=profile,dc=west,dc=example,dc=com \ -a adminPassword=admin-password \ -a domainName=west.example.com \ -a profileName=WestUserProfile \ -a proxyDN=cn=proxyagent,ou=profile,dc=west,dc=example,dc=com \ -a proxyPassword=proxy-password \ -a enableShadowUpdate=TRUE \ 192.168.0.1 System successfully configured