Trusted Extensions LDAP クライアントの作成

次の手順では、既存の Trusted Extensions Directory Server 用の LDAP クライアントを作成します。

Trusted Extensions で大域ゾーンを LDAP クライアントにする

この手順では、LDAP クライアント上で大域ゾーンの LDAP ネームサービス構成を確立します。

txzonemgr スクリプトを使用します。

始める前に

Oracle Directory Server Enterprise Edition、つまり LDAP サーバーが存在しなければなりません。Trusted Extensions データベースのデータがサーバーに入力されていて、このクライアントシステムがサーバーと通信できなければなりません。したがって、LDAP サーバーによってセキュリティーテンプレートがこのクライアントに割り当てられている必要があります。明示的な割り当ては不要であり、ワイルドカード割り当てで十分です。

大域ゾーンで root 役割になっている必要があります。

1. DNS を使用する場合は、name-service/switch の構成に dns を追加します。

   LDAP 用の標準的なネームサービスのスイッチファイルは限定的であるため、Trusted Extensions には使用できません。

   1. 現在の構成を表示します。

      # svccfg -s name-service/switch listprop config
      config                       application
      config/value_authorization   astring       solaris.smf.value.name-service.switch
      config/default               astring       files ldap
      config/netgroup              astring       ldap
      config/printer               astring       "user files ldap"

   2. host プロパティーに dns を追加し、サービスをリフレッシュします。

      # svccfg -s name-service/switch setprop config/host = astring: "files dns ldap"
      # svccfg -s name-service/switch:default refresh

   3. 新しい構成を確認します。

      # svccfg -s name-service/switch listprop config
      config                       application
      config/value_authorization   astring       solaris.smf.value.name-service.switch
      config/default               astring       files ldap
      config/host                  astring       files dns ldap
      config/netgroup              astring       ldap
      config/printer               astring       "user files ldap"

      Trusted Extensions データベースはデフォルトの構成 files ldap を使用しているため、表示されません。

2. LDAP クライアントを作成するには、オプションを一切指定せずに txzonemgr コマンドを実行します。

   # txzonemgr &

   1. 大域ゾーンをダブルクリックします。
   2. 「Create LDAP Client」を選択します。
   3. 次の各プロンプトに答え、それぞれの回答のあとで「了解」をクリックします。

      Enter Domain Name:                   ドメイン名を入力します
      Enter Hostname of LDAP Server:       サーバーの名前を入力します
      Enter IP Address of LDAP Server servername: IP アドレスを入力します
      Enter LDAP Proxy Password:       サーバーへのパスワードを入力します
      Confirm LDAP Proxy Password:     サーバーへのパスワードを再度入力します
      Enter LDAP Profile Name:         プロファイル名を入力します

   4. 表示された値を確定するか取り消します。

      Proceed to create LDAP Client?

      ユーザーが確認すると、txzonemgr スクリプトは ldapclient init コマンドを実行します。

3. シャドウ更新を有効化してクライアントの構成を完了します。

   # ldapclient -v mod -a enableShadowUpdate=TRUE \
   > -a adminDN=cn=admin,ou=profile,dc=domain,dc=suffix
   System successfully configured

4. サーバーに関する情報が正しいことを確認します。
   1. 端末ウィンドウを開き、LDAP サーバーを照会します。

      # ldapclient list

      出力表示は次のようになります。

      NS_LDAP_FILE_VERSION= 2.0
      NS_LDAP_BINDDN= cn=proxyagent,ou=profile,dc=domain-name
      ...
      NS_LDAP_BIND_TIME= number

   2. エラーを修正します。

      エラーが発生した場合は、Step 2 からStep 4 までをやり直します。たとえば、次のエラーが表示される場合、LDAP サーバーにシステムのエントリがない可能性があります。

      LDAP ERROR (91): Can't connect to the LDAP server.
      Failed to find defaultSearchBase for domain domain-name

      このエラーを修正するには、LDAP サーバーを確認する必要があります。