LDAP (Lightweight Directory Access Protocol) は、ディレクトリサーバーにアクセスするための業界標準です。ldapclient(1M) を使用してクライアントを初期化し、ネームサービススイッチファイル /etc/nsswitch.conf でキーワード ldap を使用すると、Oracle Solaris クライアントは LDAP サーバーからネーミング情報を取得できます。ユーザー名、ホスト名、パスワードなどの情報は、DIT (Directory Information Tree) 内の LDAP サーバーに格納されます。DIT は、属性で構成されるエントリで構成されます。属性ごとに、1 つのタイプと 1 つ以上の値があります。
Oracle Solaris LDAP クライアントが LDAP サーバーからネーミング情報にアクセスするときは、LDAP v3 プロトコルを使用します。ネームサービスモデルが LDAP にマップされている RFC2307bis (ドラフト) で定義されたオブジェクトクラスおよび属性が、LDAP サーバーでサポートされている必要があります。RFC2307bis (ドラフト) で定義されたスキーマを使用する代わりに、その他のスキーマセットを使用するようにシステムを構成でき、スキーママッピング機能は 2 つのスキーマ間でマップするように構成されます。詳細については、Working With Oracle Solaris 11.2 Directory and Naming Services: LDAP を参照してください。
ldapclient(1M) ユーティリティーで適切なディレクトリ、ファイル、および構成情報を設定すると、Oracle Solaris マシンを LDAP クライアントにすることができます。LDAP クライアントは、この構成情報をローカルキャッシュファイルに格納します。この構成情報にアクセスするには、ldap_cachemgr(1M) デーモンを使用します。また、このデーモンによって LDAP サーバーから構成ファイル内の情報がリフレッシュされるため、パフォーマンスおよびセキュリティーが改善されます。ネーミングサービスが正しく動作するには、常に ldap_cachemgr が実行される必要があります。
プロファイルを介して使用できる情報と、クライアントごとに構成された情報の 2 種類の構成情報があります。プロファイルには、クライアントがディレクトリにアクセスする方法に関する情報がすべて含まれます。プロキシユーザーの資格情報はクライアントごとに構成され、プロファイルを介してダウンロードされません。
プロファイルには、サーバーで目的の LDAP ドメインを検索するときにすべてのクライアントが必要とするサーバー固有のパラメータが含まれます。たとえば、この情報にはサーバーの IP アドレスおよび検索ベースの識別名 (DN) が含まれることがあります。これはクライアントの初期化時にクライアントでデフォルトプロファイルから構成され、有効期限が経過すると定期的に ldap_cachemgr デーモンによって更新されます。
クライアントプロファイルは LDAP サーバーに格納でき、ldapclient ユーティリティーで使用すれば LDAP クライアントを初期化できます。クライアントマシンを構成するもっとも簡単な方法は、クライアントプロファイルを使用することです。 ldapclient(1M) を参照してください。
資格情報には、クライアントによって使用されるクライアント固有のパラメータが含まれています。この情報には、クライアントおよびパスワードのバインド DN (LDAP「ログイン」名) が含まれることがあります。これらのパラメータが必要な場合は、初期化時に ldapclient(1M) を使用して手動で定義されます。
ネーミング情報は、LDAP サーバー上のコンテナに格納されます。コンテナとは、ネームサービス情報を含む DIT 内のリーフ以外のエントリのことです。コンテナは NIS のマップに似ています。NIS データベースと LDAP 内のコンテナ間のデフォルトマッピングを次に示します。これらのコンテナの場所および名前は、serviceSearchDescriptors を使用することでオーバーライドできます。詳細については、ldapclient(1M) を参照してください。
|
クライアントのセキュリティーモデルは、使用される資格レベル、認証方法、および使用される PAM モジュールの組み合せによって定義されます。資格レベルでは、ディレクトリサーバーに対して認証を行なう際にクライアントが使用する必要のある資格が定義され、認証方式では選択する方法が定義されます。どちらにも複数の値を設定できます。Oracle Solaris LDAP の資格レベルでは、次の値がサポートされています:
|
Oracle Solaris LDAP の認証方式では、次の値がサポートされています:
|
資格レベルが self として構成されている場合は、DNS が構成され、認証方式は sasl/GSSAPI である必要があります。DNS (たとえば、hosts: dns files および ipnodes: dns files) を使用するには、/etc/nsswitch.conf に hosts および ipnodes を構成する必要があります。
これらがディレクトリサーバーで構成されない場合は、sasl/GSSAPI で自動的に GSSAPI の機密性および整合性オプションが使用されます。
self の資格レベルでは、ユーザーごとのネームサービス検索、またはディレクトリサーバーへの接続時にユーザーの GSSAPI 資格を使用する検索が可能です。Kerberos V5 のこのモデルでは、現在、GSSAPI メカニズムのみがサポートされています。この資格レベルを使用する前に、Kerberos を構成する必要があります。詳細については、kerberos(5) を参照してください。
アクセス制御を使用すると、より強力な保護が提供され、サーバーで特定のコンテナまたはエントリに対するアクセス権を付与できるようになります。アクセス制御は、LDAP サーバーに定義および格納されているアクセス制御リスト (ACL) で指定されます。LDAP サーバーのアクセス制御リストは、SunOne Directory Server ではアクセス制御命令 (ACI) と呼ばれます。各 ACI または ACL には、1 つ以上のディレクトリオブジェクトを指定します。たとえば、特定のコンテナの cn 属性、アクセス権を付与または拒否する 1 つ以上のクライアント、およびクライアントがオブジェクトに対して、またオブジェクトで実行できることを決定する 1 つ以上のアクセス権を指定します。クライアントにはユーザーまたはアプリケーションを指定できます。たとえば、読み取りおよび書き込みとしてアクセス権を指定できます。ネーミングリポジトリとして LDAP を使用する際の ACL および ACI の制限については、Working With Oracle Solaris 11.2 Directory and Naming Services: LDAP を参照してください。
nsswitch.ldap と呼ばれる nsswitch.conf(4) ファイルのサンプルは、/etc ディレクトリで提供されています。ldapclient(1M) ユーティリティーを使用すると、これが /etc/nsswitch.conf にコピーされます。このファイルでは、nsswitch.conf ファイル内のさまざまなデータベースのリポジトリとして LDAP が使用されます。
次に、LDAP に関連するユーザーコマンドのリストを示します:
Solaris LDAP クライアントがサポート可能になるように、SunOne Directory Server の準備を行ないます。
対応する /etc ファイルから LDAP エントリを作成します。
LDAP クライアントを初期化するか、ディレクトリに格納される構成プロファイルを生成します。
LDAP ネーミング領域の内容をリストします。
クライアントの LDAP 構成を含むファイル。これらのファイルを手動で変更しないでください。その内容は人間が読めるとは限りません。これを更新するには、ldapclient(1M) を使用します。
ネームサービススイッチの構成ファイル。
LDAP およびファイルで構成されたネームサービススイッチのサンプル構成ファイル。
PAM フレームワーク構成ファイルです。
代替の PAM フレームワーク構成ファイルです。
ldaplist(1)、idsconfig(1M) 、ldap_cachemgr(1M)、ldapaddent (1M)、ldapclient(1M)、nsswitch.conf(4)、pam.conf(4)、kerberos(5)pam_authtok_check(5)、 pam_authtok_get(5)、pam_authtok_store(5)、pam_dhkeys(5)、pam_ldap(5)、pam_passwd_auth(5)、pam_unix_account(5) 、pam_unix_auth(5)、pam_unix_session (5)