LDAP サーバーへのクライアントの接続をデバッグする

LDAP サーバーでクライアントエントリの構成が誤っていると、クライアントがサーバーと通信できない場合があります。同様に、クライアント上のファイルの構成が誤っていると通信できない場合があります。クライアントサーバー間の通信問題をデバッグするときは、次のエントリとファイルを確認します。

始める前に

LDAP クライアント上の大域ゾーンで、セキュリティー管理者役割である必要があります。

1. LDAP サーバーと LDAP サーバーへのゲートウェイのリモートホストテンプレートが正しいことを確認します。
   1. tncfg または tninfo コマンドを使用して情報を表示します。

      # tncfg get host=LDAP-server
      # tncfg get host=gateway-to-LDAP-server

      # tninfo -h LDAP-server
      # tninfo -h gateway-to-LDAP-server

   2. サーバーへの経路を確認します。

      # route get LDAP-server

   間違ったテンプレート割り当てが見つかった場合は、ホストを正しいテンプレートに追加します。

2. /etc/hosts ファイルを確認し、必要であれば修正します。

   使用しているシステム、システム上のラベル付きゾーンのインタフェース、LDAP サーバーへのゲートウェイ、および LDAP サーバーがファイルに一覧表示されている必要があります。さらに多くのエントリがある可能性があります。

   重複しているエントリを捜します。ほかのシステムのラベル付きゾーンであるエントリを削除します。たとえば、Lserver が LDAP サーバーの名前であり、LServer-zones がラベル付きゾーンの共有インタフェースである場合、/etc/hosts ファイルから LServer-zones を削除します。

3. DNS を使用している場合は、svc:/network/dns/client サービスの構成を確認します。

   # svccfg -s dns/client listprop config
   config                       application
   config/value_authorization   astring       solaris.smf.value.name-service.dns.switch
   config/nameserver            astring       192.168.8.25 192.168.122.7

4. 値を変更するには、svccfg コマンドを使用します。

   # svccfg -s dns/client setprop config/search = astring: example1.domain.com
   # svccfg -s dns/client setprop config/nameserver = net_address: 192.168.8.35
   # svccfg -s dns/client:default refresh
   # svccfg -s dns/client:default validate
   # svcadm enable dns/client
   # svcadm refresh name-service/switch
   # nslookup some-system
   Server:         192.168.135.35
   Address:        192.168.135.35#53
   
   Name:   some-system.example1.domain.com
   Address: 10.138.8.22
   Name:   some-system.example1.domain.com
   Address: 10.138.8.23

5. name-service/switch サービスの tnrhdb エントリと tnrhtp エントリが正確であることを確認します。

   次の出力では、tnrhdb および tnrhtp エントリが表示されていません。したがって、これらのデータベースではデフォルトの files ldap ネームサービスがこの順番で使用されます。

   # svccfg -s name-service/switch listprop config
   config                       application
   config/value_authorization   astring       solaris.smf.value.name-service.switch
   config/default               astring       "files ldap"
   config/host                  astring       "files dns"
   config/netgroup              astring       ldap

6. サーバー上で、クライアントが正しく構成されていることを確認します。

   # ldaplist -l tnrhdb client-IP-address

7. ラベル付きゾーンのインタフェースが LDAP サーバー上で正しく構成されていることを確認します。

   # ldaplist -l tnrhdb client-zone-IP-address

8. 現在実行中のすべてのゾーンから LDAP サーバーに接続できること確認します。

   # ldapclient list
   ...
   NS_LDAP_SERVERS= LDAP-server-address
   # zlogin zone-name1 ping LDAP-server-address
   LDAP-server-address is alive
   # zlogin zone-name2 ping LDAP-server-address
   LDAP-server-address is alive
   ...

9. LDAP を構成してリブートします。
   1. 手順については、Trusted Extensions で大域ゾーンを LDAP クライアントにするを参照してください。
   2. 各ラベル付きゾーンで、ゾーンを LDAP サーバーのクライアントとして再構築します。

      # zlogin zone-name1
      # ldapclient init \
      -a profileName=profileName \
      -a domainName=domain \
      -a proxyDN=proxyDN \
      -a proxyPassword=password LDAP-Server-IP-Address
      # exit
      # zlogin zone-name2 ...

   3. すべてのゾーンを停止し、リブートします。

      # zoneadm list
      zone1
      zone2
      ,
      ,
      ,
      # zoneadm -z zone1 halt
      # zoneadm -z zone2 halt
      .
      .
      .
      # reboot

      代わりに txzonemgr GUI を使用してラベル付きゾーンを停止してもかまいません。