LDAP ネームサービスを設定するには、まず、LDAP クライアントプロファイルの構成を計画する必要があります。ほとんどのネットワークでは、プロファイル属性のデフォルト値で十分です。ただし、ネットワークトポロジに基づいて、一部のプロファイル属性にデフォルト以外の値を指定できます。このセクションでは、構成する可能性のあるさまざまな属性について説明します。
LDAP ネットワークモデルを計画するときには、LDAP ネームサービス用に配備される物理サーバーを決定する必要があります。可用性およびパフォーマンスを保証するには、ネットワークのサブネットごとに LDAP サーバーを 1 台ずつ配備して、そのサブネット内の LDAP クライアントにサービスを提供する必要があります。このモデルを計画する際は、次の要素を考慮してください。
LDAP サーバーとして配備されるシステムの数
どのサーバーが指定されたマスターサーバーで、どのサーバーがバックアップとして機能する複製サーバーであるのか。
サーバーへのアクセス方法
すべての LDAP サーバーで、LDAP クライアントリクエストによるアクセスの優先度を等しくするべきかまたは、サーバーごとに異なる優先度を割り当て、優先度の高いものに最初にアクセスするべきかサーバーへのアクセスが等しくない場合は、これらのサーバーがアクセスする順序を一覧表示します。
指定された情報は、defaultServerList および preferredServerList 属性で管理されます。サーバーリストに関する次のガイドラインに注目してください。
コンセントレータ、バランサ、またはプールではなく、LDAP サーバーを使用します。
複数の LDAP サーバーを使用します。
SSL/TLS を使用している場合、ホスト名は証明書名に一致している必要があります。
ホスト名は IP アドレスに解決される必要があります。
タイムアウト係数
タイムアウト値は次のように決定します。
bindTimeLimit 属性は、TCP 接続リクエストが削除されるまで存続する期間を決定します。
searchTimeLimit 属性は、LDAP 検索操作が取り消されるまで継続する期間を決定します。
profileTTL 属性は、LDAP クライアントがサーバーからプロファイルをダウンロードする頻度を決定します。
たとえば、低速ネットワークでは、TCP 接続リクエストを検索および許可する時間が長くなる可能性があります。開発環境では、LDAP クライアントがプロファイルをダウンロードする頻度を制限することがあります。
LDAP ネームサービスでは、デフォルトのディレクトリ情報ツリー (DIT) を使用して情報が格納されます。DIT は LDAP スキーマに基づきます。
DIT は、階層的に構造化された情報のコンテナで構成されます。この構造は、RFC 2307 http://tools.ietf.org/html/rfc2307RFC 2307 および RFC 4876 http://tools.ietf.org/html/rfc4876RFC 4876 に説明されている標準 LDAP スキーマに準拠します。
ほとんどのネットワーク設定では、DIT のデフォルト構造で十分に LDAP を実装できます。デフォルトの構造では、次の点だけを決定する必要があります。
ネームサービスが特定のドメインに関する情報を検索するツリーのベースノード識別名 (DN)。defaultSearchBase 属性はベースノード情報を管理します。
ネームサービス検索機能で実行される検索の範囲。この範囲には、DN の 1 レベル下と DN の下のサブツリー全体のどちらかしか含めることができません。この情報は、defaultSearchScope 属性で管理されます。
DIT には、データを格納するためのより複雑な構造を含めることもできます。たとえば、DIT のさまざまな部分にユーザーアカウントに関するデータを格納できます。デフォルトの検索順序をオーバーライドする検索操作 (使用するベース DN、範囲、フィルタなど) の動作をカスタマイズする方法を決定してください。カスタマイズされた検索順序の情報は、serviceSearchDescriptor、attributeMap、および objectclassMap 属性で管理されます。検索順序の操作をカスタマイズする方法の詳細は、サービス検索記述子とスキーママッピングを参照してください。
複数のサーバーで単一の DIT を処理できます。この手順では、DIT のサブツリーが複数のサーバーに分散される可能性があります。したがって、リクエストされた情報を提供できる適切な LDAP サーバーに LDAP クライアントリクエストがリダイレクトされるように、LDAP サーバーをさらに構成する必要があります。followReferrals 属性が、適切なサーバーに LDAP クライアントリクエストをリダイレクトする方法に関する情報を管理します。
特定のドメインにすべてのネームデータを提供する単一 LDAP サーバーを設定することが、典型的な推奨される設定です。ただし、このシナリオでも、ほとんどの情報リクエストについて LDAP クライアントを読み取り専用複製サーバーにリダイレクトするように followReferrals を構成できます。読み取りおよび書き込み操作を実行するためのマスターサーバーへのアクセスは、通常は提供されません。リフェラル構成では、マスターサーバーを過負荷から防いでください。
ディレクトリ情報のリクエストを処理する LDAP 操作のセキュリティーのために、次の点を考慮してください。
LDAP クライアントが情報にアクセスする際に自身を識別する方法。これは、LDAP クライアントに指定する資格レベルで決まります。資格レベルは credentialLevel 属性によって管理され、この属性には次のいずれかの値を割り当てることができます。
anonymous
proxy
proxy anonymous
self
それぞれの値の詳細は、クライアント資格レベルを参照してください。
LDAP クライアントを認証する方法。これは、authenticationMethod 属性で管理されます。認証方法は、次のオプションのいずれかを割り当てることで指定できます。
none
simple
sasl/digest-MD5
sasl/cram-MD5
sasl/GSSAPI
tls:simple
tls:sasl/cram-MD5
tls:sasl/digest-MD5
それぞれの値の詳細は、LDAP ネームサービスの認証方法を参照してください。
LDAP クライアントに割り当てる資格レベルおよび使用する認証方法に加えて、次の点も考慮してください。
Kerberos およびユーザー別の認証を使用するかどうか。
サーバーの passwordStorageScheme 属性に指定する値
アクセス制御情報の設定
ACI の詳細は、使用しているバージョンの Oracle Directory Server Enterprise Edition に対応する管理者ガイドを参照してください。
LDAP アカウント管理の実行に pam_unix_* と pam_ldap モジュールのどちらを使用するのか
この考慮事項は、LDAP ネームサービスに NIS との互換性があるかどうかに関連しています。