この手順では、LDAP クライアント上で大域ゾーンの LDAP ネームサービス構成を確立します。
txzonemgr スクリプトを使用します。
始める前に
Oracle Directory Server Enterprise Edition、つまり LDAP サーバーが存在しなければなりません。Trusted Extensions データベースのデータがサーバーに入力されていて、このクライアントシステムがサーバーと通信できなければなりません。したがって、LDAP サーバーによってセキュリティーテンプレートがこのクライアントに割り当てられている必要があります。明示的な割り当ては不要であり、ワイルドカード割り当てで十分です。
大域ゾーンで root 役割になっている必要があります。
LDAP 用の標準的なネームサービスのスイッチファイルは限定的であるため、Trusted Extensions には使用できません。
# svccfg -s name-service/switch listprop config config application config/value_authorization astring solaris.smf.value.name-service.switch config/default astring files ldap config/netgroup astring ldap config/printer astring "user files ldap"
# svccfg -s name-service/switch setprop config/host = astring: "files dns ldap" # svccfg -s name-service/switch:default refresh
# svccfg -s name-service/switch listprop config config application config/value_authorization astring solaris.smf.value.name-service.switch config/default astring files ldap config/host astring files dns ldap config/netgroup astring ldap config/printer astring "user files ldap"
Trusted Extensions データベースはデフォルトの構成 files ldap を使用しているため、表示されません。
# txzonemgr &
Enter Domain Name: Type the domain name Enter Hostname of LDAP Server: Type the name of the server Enter IP Address of LDAP Server servername: Type the IP address Enter LDAP Proxy Password: Type the password to the server Confirm LDAP Proxy Password: Retype the password to the server Enter LDAP Profile Name: Type the profile name
Proceed to create LDAP Client?
ユーザーが確認すると、txzonemgr スクリプトは ldapclient init コマンドを実行します。
# ldapclient -v mod -a enableShadowUpdate=TRUE \ > -a adminDN=cn=admin,ou=profile,dc=domain,dc=suffix System successfully configured
# ldapclient list
出力表示は次のようになります。
NS_LDAP_FILE_VERSION= 2.0 NS_LDAP_BINDDN= cn=proxyagent,ou=profile,dc=domain-name ... NS_LDAP_BIND_TIME= number
エラーが発生した場合は、Step 2 からStep 4 までをやり直します。たとえば、次のエラーが表示される場合、LDAP サーバーにシステムのエントリがない可能性があります。
LDAP ERROR (91): Can't connect to the LDAP server. Failed to find defaultSearchBase for domain domain-name
このエラーを修正するには、LDAP サーバーを確認する必要があります。