Go to main content
Oracle® Solaris 11.3 ディレクトリサービスとネームサービスでの作業: LDAP

印刷ビューの終了

更新: 2016 年 11 月
 
 

LDAP クライアントの初期化

次の 2 つの方法のいずれかで、ldapclient を使用して LDAP クライアントを初期化できます。

  • プロファイルの使用 - ldapclient コマンドを使用するときに、プロファイルおよびドメインのサーバーアドレスを指定する必要があります。プロファイル指定しなかった場合は、デフォルトのプロファイルが指定されていると見なされます。プロキシと証明書データベースの情報を除いて、必要な情報の残りはプロファイルから提供されます。

    クライアントの資格レベルがプロキシまたは匿名プロキシである場合は、プロキシのバインド DN とパスワードを入力してください。詳細は、クライアント資格レベルを参照してください。

    シャドウデータの更新を有効にするには、管理者の資格情報 (adminDN および adminPassword) を指定する必要があります。

    プロファイルを使用すると、特にエンタープライズ環境で LDAP 構成の複雑さが軽減されます。

  • 単一コマンド行でのすべてのパラメータの定義 – プロファイルが存在しない場合、クライアント自体でプロファイルを作成できます。この方法を使用しても、プロファイル情報はキャッシュファイルに格納されサーバーによってリフレッシュされることはありません。

ldapclient コマンドでさまざまなオプションを使用して、クライアントのタイプとクライアントプロファイルに応じてクライアントを初期化できます。

  • デフォルト値で構成されているプロファイルを使用した、クライアントの初期化。例: 

    # ldapclient init -a profilename=new -a domainname=west.example.com 192.168.0.1
System successfully configured

  • ユーザー別の資格情報を含むプロファイルが構成されているクライアントを初期化し、sasl/GSSAPI 認証方法を使用します。

    注 -  Kerberos の構成や DNS サーバーの構成など、ユーザー別の資格情報を使用して構成されたクライアントを初期化して、LDAP を操作する際には、いくつかの要件を満たしている必要があります。Kerberos については、Oracle Solaris 11.3 での Kerberos およびその他の認証サービスの管理を参照してください。DNS 構成の詳細は、Oracle Solaris 11.3 ディレクトリサービスとネームサービスでの作業: DNS と NIS の 第 3 章, DNS サーバーとクライアントサービスの管理を参照してください。

    この例では、idsconfig コマンドを使用して DIT を構築する際に、適切な認証方法および資格レベル (資格レベルには self、認証方法には sasl/GSSAPI など) が指定されたことが前提となっています。次の出力は、idsconfig コマンドを使用してユーザー別資格情報を作成する方法を示します。

    # /usr/lib/ldap/idsconfig
Do you wish to continue with server setup (y/n/h)? [n] y
Enter the Directory Server's hostname to setup: kdc.example.com
Enter the port number for DSEE (h=help): [389] <Enter your port>
Enter the directory manager DN: [cn=Directory Manager] <Enter your DN>
Enter passwd for cn=Directory Manager: <Enter your password>
Enter the domainname to be served (h=help): [example.com] <Enter your domain>
Enter LDAP Base DN (h=help): [dc=example,dc=com] <Enter your DN>
GSSAPI is supported. Do you want to set up gssapi:(y/n) [n] y
Enter Kerberos Realm: [EXAMPLE.COM] EXAMPLE.COM

    この例では、プロファイルの名前は gssapi_EXAMPLE.COM です。プロファイルの作成後、ldapclient コマンドを発行してユーザー別プロファイルでクライアントを初期化できます。

    # ldapclient init -a profilename=gssapi_EXAMPLE.COM -a \
domainname=example.com 9.9.9.50

  • プロキシ資格情報を使用するクライアントの初期化。例: 

    # ldapclient init \
-a proxyDN=cn=proxyagent,ou=profile,dc=west,dc=example,dc=com \
-a domainname=west.example.com \
-a profilename=pit1 \
-a proxypassword=test1234 192.168.0.1

    使用するプロファイルが proxy 用に設定されている場合、–a proxyDN および –a proxyPassword オプションが必要です。サーバーに保存されているプロファイルにはこの資格情報が含まれていないため、クライアントを初期設定するときは資格情報を入力する必要があります。この方法は、プロキシの資格情報をサーバーに保存していた従来の方法に比べて安全性が高くなります。

    これらのプロキシ情報は、config および cred プロパティーグループ内の svc:/network/ldap/client サービス内に格納されます。

  • シャドウデータの更新を有効にするためのクライアントの初期化。例: 

    # ldapclient init \
-a adminDN=cn=admin,ou=profile,dc=west,dc=example,dc=com \
-a adminPassword=admin-password \
-a domainName=west.example.com \
-a profileName=WestUserProfile \
-a proxyDN=cn=proxyagent,ou=profile,dc=west,dc=example,dc=com \
-a proxyPassword=proxy-password \
-a enableShadowUpdate=TRUE \
192.168.0.1
System successfully configured
Copyright © 2002, 2016, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ