ldapaddent(1M)

名前

ldapaddent - 対応する /etc ファイルからの LDAP エントリの作成

形式

ldapaddent [-cpv] [-a 
authenticationMethod] [-b baseDN]
     -D bindDN [-w 
bind_password] [-j passwdFile] [
-f filename]
     database

ldapaddent [-cpv] -a sasl/GSSAPI [
-b baseDN] [-f 
filename]
     database

ldapaddent -d [-v] [
-a authenticationMethod] [-D 
bindDN]
     [-w bind_password] [-j
 passwdFile] database

ldapaddent [-cpv] -h 
LDAP_server[:serverPort] [-M 
domainName]
     [-N profileName]  [-P
 certifPath] [-a 
authenticationMethod]
     [-b baseDN] -D 
bindDN [-w bind_password] [
-f filename]
     [-j passwdFile] database

ldapaddent [-cpv] -h 
LDAP_server[:serverPort] [-M 
domainName]
     [-N profileName]  [-P
 certifPath] [-a 
authenticationMethod]
     [-b baseDN] [-f 
filename] database

ldapaddent -d [-v] 
-h LDAP_server[:serverPort] [
-M domainName]
     [-N profileName]  [-P
 certifPath] [-a 
authenticationMethod]
     [-b baseDN] -D 
bindDN [-w bind_password] [
-j passwdFile]
     database

説明

ldapaddent は、LDAP コンテナのエントリを、それに対応する /etc ファイルから作成します。この操作は、Solaris システムの管理で使用される各標準コンテナ向けにカスタマイズされています。database 引数は、処理されるデータのタイプを指定します。このタイプに有効な値は、aliases、auto_*、bootparams、ethers、group、hosts (IPv4 と IPv6 の両方のアドレスを含む)、ipnodes (hosts の別名)、netgroup、netmasks、networks、passwd、shadow、protocols、publickey、rpc、services のいずれかです。上記に加え、database 引数には RBAC 関連のいずれかのファイルを指定できます (rbac(5) を参照)。

• /etc/user_attr

• /etc/security/auth_attr

• /etc/security/prof_attr

• /etc/security/exec_attr

デフォルトでは、ldapaddent は標準入力から読み取り、コマンド行で指定されたデータベースに関連付けられた LDAP コンテナにこのデータを追加します。データを読み取ることができる入力ファイルを指定する場合は、–f オプションを使用します。

–h オプションを指定すると、ldapaddent は –N オプションで指定された DUAProfile を取得するために、このオプションで指定されたサーバーへの接続を確立します。取得された構成によって記述されるディレクトリにエントリが格納されます。

デフォルトでは (–h オプションが指定されていない場合)、エントリはクライアントの構成に基づいてディレクトリに格納されます。このユーティリティーをデフォルトモードで使用するには、Solaris LDAP クライアントをあらかじめ設定しておく必要があります。

エントリを書き込む場所は、–b オプションを使用してオーバーライドできます。

追加されるエントリがディレクトリに存在している場合、–c オプションが使用されていないかぎり、このコマンドはエラーを表示して終了します。

shadow データベースタイプはありますが、対応する shadow コンテナはありません。shadow および passwd データはどちらも people コンテナ自体に格納されます。同様に、networks および netmasks データベースのデータは networks コンテナに格納されます。

user_attr データは、デフォルトでは people コンテナに格納されます。prof_attr および exec_attr データは、デフォルトでは SolarisProfAttr コンテナに格納されます。

shadow データベースからエントリの追加を試みる前に、passwd データベースからエントリを追加する必要があります。対応する passwd エントリのない shadow エントリを追加すると失敗します。

user_attr データベースの前に passwd データベースを処理する必要があります。

パフォーマンス向上のため、次の順序でデータベースを読み込むことをお勧めします。

• passwd データベースに続いて shadow データベース

• networks データベースの次に netmasks データベース

• bootparams データベースの次に ethers データベース

特定のタイプで最初に見つかったエントリだけが LDAP サーバーに追加されます。ldapaddent コマンドは重複エントリをスキップします。

オプション

ldapaddent コマンドは、次のオプションをサポートします。

–a authenticationMethod

認証方法を指定します。デフォルト値は、プロファイルで構成されているものです。サポートされる認証方法は次のとおりです。

• simple

• sasl/CRAM-MD5

• sasl/DIGEST-MD5

• sasl/GSSAPI

• tls:simple

• tls:sasl/CRAM-MD5

• tls:sasl/DIGEST-MD5

simple を選択すると、パスワードがネットワーク経由で平文で送信されます。これを使用することは決してお勧めできません。さらに、クライアントに認証を使用しないプロファイルが構成されている場合、つまり、credentialLevel 属性が anonymous に設定されているか、または authenticationMethod が none に設定されている場合、ユーザーはこのオプションを使用して認証方法を指定する必要があります。認証方法が sasl/GSSAPI の場合、bindDN と bindPassword は不要で、/etc/nsswitch.conf の hosts および ipnodes フィールドは次のように構成されている必要があります。

hosts: dns files
ipnodes: dns files

nsswitch.conf(4) を参照してください。

–b baseDN

baseDN ディレクトリ内にエントリを作成します。baseDN はクライアントのデフォルト検索ベースを基準にしているのではなく、エントリが作成される実際の場所です。このパラメータが指定されていない場合、サービスに定義されている最初の検索記述子またはデフォルトコンテナが使用されます。

–c

ディレクトリサーバーエラーが発生したあとでも、ディレクトリへのエントリの追加を続行します。ディレクトリサーバーが応答しない場合、認証の問題が発生した場合、または入力データのエラーが検出された場合、エントリは追加されません。

–D bindDN

baseDN への書き込み権を持つエントリを作成します。–d オプションとともに使用された場合、このエントリには読み取り権だけが必要です。

–d

指定のデータベースに適した形式で LDAP コンテナを標準出力にダンプします。

–f filename

/etc/ ファイル形式で読み取る入力ファイルを指定します。

–h LDAP_server[: serverPort]

エントリを格納する LDAP サーバーのアドレス (または名前) およびポート (オプション) を指定します。nsswitch.conf ファイルに指定されている現在のネームサービスが使用されます。認証方法として TLS が指定された場合を除き、ポートのデフォルト値は 389 です。この場合、デフォルトの LDAP サーバーポート番号は 636 です。

IPv6 アドレスのアドレスとポート番号を指定するための形式は次のとおりです。

[ipv6_addr]:port

IPv4 アドレスのアドレスとポート番号を指定するには、次の形式を使用します。

ipv4_addr:port

ホスト名を指定する場合は、次の形式を使用します。

host_name:port

–j passwdFile

バインド DN 用のパスワードまたは SSL クライアントの鍵データベース用のパスワードを含むファイルを指定します。パスワードを保護するには、このオプションをスクリプトで使用し、セキュリティー保護されたファイルにパスワードを保存します。このオプションは、–w オプションとは相互排他的です。

–M domainName

指定のサーバーから提供されるドメインの名前。指定されていない場合は、デフォルトのドメイン名が使用されます。

–N profileName

DUAProfile の名前を指定します。–h オプションで指定されたサーバー上に、このような名前のプロファイルが存在すると想定されています。それ以外の場合は、デフォルトの DUAProfile が使用されます。デフォルト値は default です。

–P certifPath

証明書データベースの場所を表す証明書パス。値は、セキュリティーデータベースファイルが置かれているパスです。これは、authenticationMethod および serviceAuthenticationMethod 属性で指定されている TLS サポートに使用されます。デフォルトは /var/ldap です。

–p

ファイルからパスワード情報を読み込むときに password フィールドを処理します。実際のパスワードは shadow ファイル内にあるため、password フィールドは通常は有効でなく、デフォルトでは無視されます。

–w bindPassword

bindDN の認証に使用するパスワード。このパラメータがない場合、このコマンドはパスワードの入力を求めます。NULL パスワードは、LDAP ではサポートされていません。

–w bindPassword を使用して認証に使用するパスワードを指定すると、システムのほかのユーザーが ps コマンドを使用するかスクリプトファイル内またはシェル履歴内でパスワードを見ることができます。

パスワードとして「-」(ハイフン) を指定した場合は、パスワードの入力を求められます。

–v

冗長。

オペランド

次のオペランドがサポートされています。

database

データベースの名前またはサービス名。サポートされている値は、aliases、auto_*、bootparams、ethers、group、hosts (IPv6 アドレスを含む)、netgroup、netmasks、networks、passwd、shadow、protocols、publickey、rpc、および services です。auth_attr、prof_attr、exec_attr、user_attr、および projects もサポートされています。

例

使用例 1 ディレクトリサーバーにパスワードエントリを追加する

次の例は、ディレクトリサーバーにパスワードエントリを追加する方法を示しています。

example# ldapaddent -D "cn=directory manager" -w secret \
      -f /etc/passwd passwd

使用例 2 グループエントリを追加する

次の例は、認証方法として sasl/CRAM-MD5 を使用して、ディレクトリサーバーに group エントリを追加する方法を示しています。

example# ldapaddent -D "cn=directory manager" -w secret \
     -a "sasl/CRAM-MD5" -f /etc/group group

使用例 3 auto_master エントリを追加する

次の例は、ディレクトリサーバーに auto_master エントリを追加する方法を示しています。

example# ldapaddent -D "cn=directory manager" -w secret \
     -f /etc/auto_master auto_master

使用例 4 passwd エントリをディレクトリからファイルにダンプする

次の例は、password エントリをディレクトリからファイル foo にダンプする方法を示しています。

example# ldapaddent -d passwd > foo

使用例 5 特定のディレクトリサーバーにパスワードエントリを追加する

次の例は、指定したディレクトリサーバーにパスワードエントリを追加する方法を示しています。

example# ldapaddent -h 10.10.10.10:3890 \
-M another.domain.name -N special_duaprofile \
-D "cn=directory manager" -w secret \
-f /etc/passwd passwd

終了ステータス

次の終了ステータスが返されます。

0

正常終了。

>0

エラーが発生した。

ファイル

/var/ldap/ldap_client_file

/var/ldap/ldap_client_cred

クライアントの LDAP 構成が含まれているファイル。これらのファイルは手動で変更するものではありません。その内容は人間が読めるとは限りません。これらのファイルを更新するには、ldapclient(1M) を使用します。

属性

属性についての詳細は、マニュアルページの attributes(5) を参照してください。

属性タイプ 属性値 使用条件 system/network/nis インタフェースの安定性 確実

関連項目

ldaplist(1), ldapmodify(1), ldapmodrdn(1), ldapsearch(1), idsconfig(1M), ldapclient(1M), nsswitch.conf(4), attributes(5)

Oracle Solaris 11.2 でのシステムおよび接続されたデバイスのセキュリティー保護

注意

現在 StartTLS は libldap.so.5 でサポートされていないため、指定されたポート番号は、StartTLS シーケンスの一部として使用されるポートではなく、TLS オープン時に使用されるポートを指します。例:

-h foo:1000 -a tls:simple

上記は、セキュリティー保護されていないポート 1000 でのオープン ( StartTLS シーケンス) ではなく、ホスト foo ポート 1000 での生の TLS オープンを指します。ポート 1000 がセキュリティー保護されていない場合、接続は行われません。