ldapclient - LDAP クライアントマシンの初期化または LDIF 形式での LDAP クライアントプロファイルの出力
/usr/sbin/ldapclient [-v | -q] init [-a profileName=profileName]
[-a domainName=domain] [-a proxyDN=proxyDN]
[-a proxyPassword=password]
[-a authenticationMethod=authenticationMethod]
[-a enableShadowUpdate=true | false]
[-a adminDN=adminDN]
[-a adminPassword=adminPassword]
[-a certificatePath=path] [-d bindDN] [-w bindPassword]
[-j passwdFile] [-y passwdFile]
[-z adminrPasswdFile] LDAP_server[:port_number]
/usr/sbin/ldapclient [-v | -q] manual [-a attrName=attrVal]
/usr/sbin/ldapclient [-v | -q] mod [-a attrName=attrVal]
/usr/sbin/ldapclient [-v | -q] list
/usr/sbin/ldapclient [-v | -q] uninit
/usr/sbin/ldapclient [-v | -q] genprofile -a profileName=profileName
[-a attrName=attrVal]
zoneadm ユーティリティーは、次のことに使用できます。
LDAP クライアントマシンを初期化する
LDAP クライアントにネットワークサービス環境を復元する
LDAP クライアントのキャッシュの内容を人間が読める形式で一覧表示する。
ldapclient ユーティリティーの init 形式は、LDAP_server で指定された LDAP サーバーに格納されているプロファイルを使用して LDAP クライアントマシンを初期化するために使用されます。LDAP クライアントは、指定されたプロファイル内の属性を使用して LDAP クライアントの構成を決定します。構成プロファイルを使用すると、LDAP クライアントのインストールおよび LDAP クライアントへの構成変更の伝播を簡単に行うことができます。ldap_cachemgr(8) ユーティリティーは、LDAP クライアントのキャッシュが期限切れになると、プロファイルを読み取ってクライアントの構成を更新します。構成プロファイルの詳細は、IETF ドキュメント『A Configuration Schema for LDAP Based Directory User Agents』を参照してください。
ldapclient ユーティリティーの manual 形式は、LDAP クライアントマシンを手動で初期化するために使用されます。LDAP クライアントは、コマンド行で指定された属性を使用します。指定されていない属性には、そのデフォルト値が割り当てられます。defaultServerList または preferredServerList 属性に 1 つ以上のサーバーを指定する必要があります。domainName 属性は、クライアントの domainName が設定されていない場合、指定する必要があります。
ldapclient ユーティリティーの mod 形式は、手動で設定された LDAP クライアントマシンの構成を変更するために使用されます。このオプションは、コマンド行で指定された LDAP クライアント構成属性だけを変更します。 mod オプションは、manual オプションを使用して初期化された LDAP クライアントだけに使用するようにしてください。
初期化にどの方法を使用するかにかかわらず、クライアントで proxy credentialLevel を使用するように構成する場合は、–a proxyDN=proxyDN および –a proxyPassword= proxyPassword オプションを使用してプロキシ資格を指定する必要があります。ただし、–a proxyPassword=proxyPassword が指定されていない場合、ldapclient はその入力を求めます。NULL パスワードは LDAP では許可されていません。self credentialLevel が構成されている場合、authenticationMethod は sasl/GSSAPI でなければなりません。
同様に、クライアントでシャドウ情報の更新を有効にし、proxy credentialLevel を使用するように構成する場合は、–a adminDN=adminDN および –a adminPassword= adminPassword を使用して管理者資格を指定する必要があります。ただし、self credentialLevel が構成されている場合は、シャドウ情報の更新に管理者資格は必要ありません。
ネームサービス固有の構成プロパティーは svc:/network/ldap/client SMF サービスに保存されます。SMF プロパティーを直接変更することはお勧めできません。代わりに、このツールを使用してください。
ほかの構成がインストール時に変更される場合があります。これは /var/ldap/restore にバックアップされます。初期化時に通常変更されるファイルは次のとおりです。
/etc/nsswitch.conf
/etc/defaultdomain (存在する場合)
/var/yp/binding/`domainname` (NIS [YP] クライアントの場合)
ldapclient では、クライアントは DNS を使用してホスト名を解決するようには設定されません。/etc/nsswitch.ldap が /etc/nsswitch.conf に単純にコピーされます。ホスト解決に DNS を使用したい場合は、DNS の設定方法について DNS ドキュメントを参照してください。resolv.conf(5) を参照してください。認証方法として sasl/GSSAPI を使用する場合は、hosts および ipnodes の解決に DNS を使用する必要があります。
ldapclient ユーティリティーの list 形式は、LDAP クライアント構成を一覧表示するために使用されます。人間が読める形式で出力されます。LDAP 構成ファイルは人間が読めるとは限りません。セキュリティー上の理由から、adminDN および adminPassword の値は表示されません。
ldapclient ユーティリティーの uninit 形式は、ネットワークサービス環境の初期化を解除して、ldapclient が init または manual で最後に実行されたときより前の状態に復元するために使用されます。復元は、ldapclient の init または manual 形式によって作成されたバックアップファイルを使用するため、マシンがこれらのオプションで初期化されている場合のみ成功します。
genprofile オプションは、コマンド行で指定された属性に基づいて LDIF 形式の構成プロファイルを標準出力に書き出すために使用されます。このプロファイルは、あとで LDAP サーバーに読み込んでクライアントプロファイルとして使用でき、ldapclient init コマンドを使用してダウンロードすることができます。LDIF 形式のプロファイルをディレクトリサーバーに読み込むには、ldapadd を使用するか、サーバー固有のインポートツールを使用します。属性 proxyDN、proxyPassword、certificatePath、domainName、enableShadowUpdate、adminDN、および adminPassword は、構成プロファイルに含まれていないため、許可されません。
genprofile オプションを除き、ldapclient コマンドを実行するにはスーパーユーザー特権が必要です。
ディレクトリに格納されている情報にアクセスするには、クライアントはディレクトリに認証してもらうか、無認証接続を使用します。LDAP クライアントは anonymous または proxy 資格レベルを持つように構成されます。最初のケースでは、クライアントはディレクトリから認証されません。2 番目のケースでは、クライアントは、読み取りアクセスにプロキシアイデンティティーを使用し、enableShadowUpdate が構成されてる場合は書き込みアクセスに管理者アイデンティティーを使用して、ディレクトリから認証されます。3 番目のケースでは、クライアントは、LDAP サーバーによって LDAP アイデンティティーにマッピングされている Kerberos 主体を使用して、ディレクトリから認証されます。
クライアントがアイデンティティーを使用するように構成されている場合は、クライアントでどの認証方法を使用するかを構成できます。LDAP クライアントは、次の認証方法をサポートします。
すべてのディレクトリサーバーでこれらの認証方法がすべてサポートされているとは限りません。たとえば、バインドパスワードが平文で LDAP サーバーに送信されることに注意してください。TLS (Transport Layer Security) を使用する認証方法の場合は、セッション全体が暗号化されます。TLS を使用するには、適切な PEM 証明書ファイルをインストールする必要があります。
次のコマンドがサポートされています。
サーバー上のプロファイルからクライアントを初期化します。
指定された属性値を使用してクライアントを手動で初期化します。
クライアントを手動で初期化したあとの構成ファイルの属性値を変更します。
LDAP クライアントのキャッシュの内容を人間が読める形式で標準出力に書き出します。
LDAP クライアントの初期化に ldapclient が使用されたことを前提に、クライアントの初期化を解除します。
あとでディレクトリに格納してクライアントがこのコマンドの init 形式で使用できる、LDIF 形式の構成プロファイルを生成します。
サポートされている属性は次のとおりです。
シャドウ情報の更新に使用される管理者アイデンティティーのバインド識別名を指定します。資格レベルが proxy で、enableShadowUpdate が true に設定されている場合、このオプションは必須です。デフォルト値はありません。
管理者パスワードを指定します。資格レベルが proxy で、enableShadowUpdate が true に設定されている場合、このオプションは必須です。デフォルト値はありません。
サービスによって定義された属性から代替スキーマの属性へのマッピングを指定します。これを使用すると、特定のサービスに使用されるデフォルトのスキーマを変更できます。attributeMap の構文は、プロファイル IETF ドラフトで定義されています。このオプションは複数回指定できます。すべてのサービスでデフォルト値は NULL です。次に例を示します。
attributeMap: passwd:uid=employeeNumber
この場合、LDAP クライアントは passwd サービスの uid ではなく、LDAP 属性 employeeNumber を使用します。これは複数値属性です。
serviceAuthenticationMethod 属性でオーバーライドされた場合を除いてすべてのサービスで使用される、デフォルトの認証方法を指定します。セミコロン区切りのリストを使用して複数の値を指定できます。デフォルト値は none です。credentialLevel を使用し、credentialLevel が anonymous のサービスでは、この属性は無視されます。pam_ldap などのサービスは、credentialLevel が anonymous の場合でも、この属性を使用します。サポートされる認証方法については、上記を参照してください。authenticationMethod が sasl/GSSAPI の場合、/etc/nsswitch.conf の hosts および ipnodes に、たとえば次のように DNS サポートが構成されている必要があります。
hosts: dns files ipnodes: dns files
クライアントがバインド操作の実行に費やすべき最大時間 (秒)。これは正の整数に設定します。デフォルトの値は 30 です。
証明書ファイルの場所を表す証明書パス。値は、PEM 形式の証明書ファイルがあるパスです。これは、authenticationMethod および serviceAuthenticationMethod 属性で指定されている TLS サポートに使用されます。デフォルトは /var/ldap です。
クライアントがディレクトリと通信するときに使用すべき資格レベルを指定します。サポートされている資格レベルは、anonymous、proxy、および self です。proxy 資格レベルを指定する場合は、認証メカニズムを決定するために authenticationMethod 属性を指定する必要があります。また、資格レベルが proxy で、認証方法の少なくとも 1 つにバインド DN が必要な場合は、proxyDN および proxyPassword 属性値を設定する必要があります。さらに、enableShadowUpdate が true に設定されている場合は、adminDN および adminPassword 値を設定する必要があります。self 資格レベルが指定されている場合、authenticationMethod は sasl/GSSAPI である必要があります。
デフォルトの検索ベース DN を指定します。シグナルを送るプロセスまたはジョブにデフォルトはありません。serviceSearchDescriptor 属性を使用して、特定のサービスの defaultSearchBase をオーバーライドできます。
クライアントの検索操作のデフォルトの検索範囲を指定します。このデフォルトは、serviceSearchDescriptor を指定することにより、特定のサービスに関してオーバーライドできます。デフォルトは 1 レベル検索です。
サーバー名またはサーバーアドレス (IPv4 または IPv6) を空白で区切ったリスト。サーバー名を指定する場合は、LDAP クライアントが LDAP ネームサービスを使用せずにその名前を解決できることを確認してください。files または dns を使用して LDAP サーバーの名前を解決する必要があります。LDAP サーバー名を解決できない場合、ネームサービスは失敗します。
ポート番号は省略できます。指定されていない場合は、認証方法で TLS が指定された場合を除き、デフォルトの LDAP サーバーポート番号 389 が使用されます。この場合、デフォルトの LDAP サーバーポート番号は 636 です。
IPv6 アドレスのポート番号を指定するための形式は次のとおりです。
[ipv6_addr]:port
IPv4 アドレスのポート番号を指定するには、次の形式を使用します。
ipv4_addr:port
ホスト名を指定する場合は、次の形式を使用します。
host_name:port
TLS を使用する場合は、LDAP サーバーのホスト名が TLS 証明書内のホスト名に一致する必要があります。通常、TLS 証明書内のホスト名は完全修飾ドメイン名です。TLS を使用する場合は、LDAP サーバーのホストアドレスが TLS 証明書内のホスト名に解決される必要があります。files または dns を使用してホストアドレスを解決する必要があります。
DNS ドメイン名を指定します。これはそのマシンのデフォルトドメインになります。デフォルトは、現在のドメイン名です。この属性はクライアントの初期化でのみ使用されます。
クライアントにシャドウ情報の更新を許可するかどうかを指定します。true に設定されている場合、資格レベルが proxy のときは、adminDN および adminPassword を指定する必要があります。
リフェラル設定を指定します。true の設定ではリフェラルが自動的にたどられることになり、false では結果としてリフェラルはたどられません。デフォルトは true です。
サービスによって定義された objectclass から代替スキーマの objectclass へのマッピングを指定します。これを使用すると、特定のサービスに使用されるデフォルトのスキーマを変更できます。objectclassMap の構文は、プロファイル IETF ドラフトで定義されています。このオプションは複数回指定できます。すべてのサービスでデフォルト値は NULL です。次に例を示します。
objectclassMap=passwd:posixAccount=unixAccount
この場合、LDAP クライアントは passwd サービスの posixAccount ではなく、unixAccount という LDAP objectclass を使用します。これは複数値属性です。
defaultServerList 属性で指定されたサーバーより前に通信するサーバー名またはサーバーアドレス (IPv4 または IPv6) を空白で区切ったリストを指定します。サーバー名を指定する場合は、LDAP クライアントが LDAP ネームサービスを使用せずにその名前を解決できることを確認してください。files または dns を使用して LDAP サーバーの名前を解決する必要があります。LDAP サーバー名を解決できない場合、ネームサービスは失敗します。
ポート番号は省略できます。指定されていない場合は、認証方法で TLS が指定された場合を除き、デフォルトの LDAP サーバーポート番号 389 が使用されます。この場合、デフォルトの LDAP サーバーポート番号は 636 です。
IPv6 アドレスのポート番号を指定するための形式は次のとおりです。
[ipv6_addr]:port
IPv4 アドレスのポート番号を指定するには、次の形式を使用します。
ipv4_addr:port
ホスト名を指定する場合は、次の形式を使用します。
host_name:port
TLS を使用する場合は、LDAP サーバーのホスト名が TLS 証明書内のホスト名に一致する必要があります。通常、TLS 証明書内のホスト名は完全修飾ドメイン名です。TLS を使用する場合は、LDAP サーバーのホストアドレスが TLS 証明書内のホスト名に解決される必要があります。files または dns を使用してホストアドレスを解決する必要があります。
プロファイル名を指定します。ldapclient init の場合、この属性は、profileTTL 属性の値に応じて定期的にダウンロードできる既存プロファイルの名前です。ldapclient genprofile の場合、これは生成するプロファイルの名前です。デフォルト値は default です。
クライアント情報の TTL 値を秒単位で指定します。これが意味を持つのは、マシンがクライアントプロファイルを使用して初期化されている場合だけです。ldap_cachemgr(8) が LDAP サーバーから LDAP クライアント構成のリフレッシュを試みないようにするには、profileTTL を 0 (ゼロ) に設定します。有効な値は、ゼロ 0 (有効期限なし) または正の整数 (秒) です。デフォルト値は 12 時間です。
プロキシアイデンティティーのバインド識別名を指定します。資格レベルが proxy で、認証方法の少なくとも 1 つにバインド DN が必要な場合、このオプションは必須です。デフォルト値はありません。
クライアントのプロキシパスワードを指定します。資格レベルが proxy で、認証方法の少なくとも 1 つにバインド DN が必要な場合、このオプションは必須です。シグナルを送るプロセスまたはジョブにデフォルトはありません。
LDAP 検索操作に許容される最大の秒数を指定します。デフォルト値は 30 秒です。サーバーに独自の検索制限時間がある場合もあります。
サービスで使用する認証方法を servicename:authenticationmethod の形式で、たとえば次のように指定します。
pam_ldap:tls:simple
複数の認証方法を指定する場合は、セミコロン区切りのリストを使用します。デフォルト値ではサービスの認証方法はなく、この場合、各サービスはデフォルトで authenticationMethod 値になります。サポートされる認証については、上記を参照してください。
この機能は、passwd-cmd、keyserv、および pam_ldap の 3 つのサービスでサポートされています。passwd-cmd サービスは、ユーザーのパスワードやその他の属性を変更する場合に passwd(1) で使用する認証方法を定義するために使用されます。keyserv サービスは、chkey(1) および newkey(8) ユーティリティーで使用する認証方法を識別するために使用されます。pam_ldap サービスは、pam_ldap(7) が構成されている場合にユーザーの認証に使用する認証方法を定義します。これらのサービスのいずれにもこの属性が設定されていない場合、authenticationMethod 属性を使用して認証方法が定義されます。これは複数値属性です。
サービスで使用する資格レベルを指定します。空白区切りのリストで複数の値を指定できます。すべてのサービスでデフォルト値は NULL です。サポートされている資格レベルは、anonymous または proxy です。現時点では、この属性を使用するサービスはありません。これは複数値属性です。
特定のサービスについて、LDAP 検索のデフォルトのベース DN をオーバーライドします。記述子の形式では、各サービスのデフォルトの検索範囲および検索フィルタもオーバーライドできます。serviceSearchDescriptor の構文は、プロファイル IETF ドラフトで定義されています。すべてのサービスでデフォルト値は NULL です。これは複数値属性です。次に例を示します。
serviceSearchDescriptor=passwd:ou=people,dc=a1,dc=acme,dc=com?one
この場合、LDAP クライアントは passwd サービスの ou=people,defaultSearchBase ではなく、ou=people,dc=a1,dc=acme,dc=com で 1 レベル検索を実行します。
サポートしているオプションは、次のとおりです。
attrName とその値を指定します。指定できる属性名と値の完全な一覧については、「形式」を参照してください。
要求されたデータベースに対する読み取り権を持っているエントリを指定します。
バインド DN 用のパスワードまたは SSL クライアントの鍵データベース用のパスワードを含むファイルを指定します。パスワードを保護するには、このオプションをスクリプトで使用し、セキュリティー保護されたファイルにパスワードを保存します。このオプションは、–w オプションとは相互排他的です。
静寂モード。出力は生成されません。
詳細情報を出力します。
バインド DN の認証に使用するパスワード。このパラメータがない場合、このコマンドはパスワードの入力を求めます。NULL パスワードは LDAP ではサポートされていません。
–w bindPassword を使用して認証に使用するパスワードを指定すると、システムのほかのユーザーが ps コマンドを使用することで、スクリプトファイル内で、またはシェル履歴内でパスワードを見ることができます。
パスワードとして「-」(ハイフン) を指定した場合、このコマンドはパスワードの入力を求めます。
プロキシ DN 用のパスワードを含むファイルを指定します。パスワードを保護するには、このオプションをスクリプトで使用し、セキュリティー保護されたファイルにパスワードを保存します。このオプションは、–a proxyPassword オプションとは相互排他的です。
adminDN 用のパスワードを含むファイルを指定します。パスワードを保護するには、このオプションをスクリプトで使用し、セキュリティー保護されたファイルにパスワードを保存します。このオプションは、–a adminPassword オプションとは相互排他的です。
次のオペランドを指定できます。
プロファイルの読み込み元となる LDAP サーバーのアドレスまたは名前。nsswitch.conf ファイルに指定されている現在のネームサービスが使用されます。プロファイルが読み込まれると、プロファイルに指定されている preferredServerList と defaultServerList が使用されます。
次の例は、指定された LDAP サーバーに格納されているデフォルトプロファイルを使用してクライアントを設定する方法を示しています。このコマンドが成功するのは、プロファイルで資格レベルが anonymous に設定されているか、認証方法が none に設定されている場合だけです。
example# ldapclient init 172.16.100.1使用例 2 指定された LDAP サーバーに格納されている simple プロファイルを使用してクライアントを設定する
次の例は、指定された LDAP サーバーに格納されている simple プロファイルを使用してクライアントを設定する方法を示しています。ドメイン名は xyz.mycompany.com に設定され、プロキシパスワードは secret です。
example# ldapclient init -a profileName=simple \ -a domainName=xyz.mycompany.com \ -a proxyDN=cn=proxyagent,ou=profile,dc=xyz,dc=mycompany,dc=com \ -a proxyPassword=secret '['fe80::a00:20ff:fea3:388']':386使用例 3 1 つのサーバーだけを使用してクライアントを設定する
次の例は、1 つのサーバーだけを使用してクライアントを設定する方法を示しています。認証方法は none に設定され、検索ベースは dc=mycompany,dc=com です。
example# ldapclient manual -a authenticationMethod=none \ -a defaultSearchBase=dc=mycompany,dc=com \ -a defaultServerList=172.16.100.1使用例 4 リフェラルをたどらない 1 つのサーバーだけを使用してクライアントを設定する
次の例は、1 つのサーバーだけを使用してクライアントを設定する方法を示しています。資格レベルは proxy に設定されています。認証方法は sasl/CRAM-MD5 で、リフェラルをたどらないオプションが指定されています。ドメイン名は xyz.mycompany.com で、LDAP サーバーは IP アドレス 172.16.100.1 のポート番号 386 で実行されています。
example# ldapclient manual \ -a credentialLevel=proxy \ -a authenticationMethod=sasl/CRAM-MD5 \ -a proxyPassword=secret \ -a proxyDN=cn=proxyagent,ou=profile,dc=xyz,dc=mycompany,dc=com \ -a defaultSearchBase=dc=xyz,dc=mycompany,dc=com \ -a domainName=xyz.mycompany.com \ -a followReferrals=false \ -a defaultServerList=172.16.100.1:386使用例 5 genprofile を使用して defaultSearchBase とサーバーアドレスだけを設定する
次の例は、genprofile コマンドを使用して defaultSearchBase とサーバーアドレスを設定する方法を示しています。
example# ldapclient genprofile -a profileName=myprofile \ -a defaultSearchBase=dc=eng,dc=sun,dc=com \ -a "defaultServerList=172.16.100.1 172.16.234.15:386" \ > myprofile.ldif使用例 6 IPv6 サーバー上にプロファイルを作成する
次の例は、IPv6 サーバー上にプロファイルを作成します。
example# ldapclient genprofile -a profileName=eng \
-a credentialLevel=proxy \
-a authenticationMethod=sasl/DIGEST-MD5 \
-a defaultSearchBase=dc=eng,dc=acme,dc=com \
-a "serviceSearchDescriptor=passwd:ou=people,dc=a1,dc=acme,dc=com?one"\
-a preferredServerList= '['fe80::a00:20ff:fea3:388']' \
-a "defaultServerList='['fec0::111:a00:20ff:fea3:edcf']' \
'['fec0::111:a00:20ff:feb5:e41']'" > eng.ldif
使用例 7 すべてのデフォルト値をオーバーライドするプロファイルを作成する
次の例は、すべてのデフォルト値をオーバーライドするプロファイルを示しています。
example# ldapclient genprofile -a profileName=eng \ -a credentialLevel=proxy -a authenticationMethod=sasl/DIGEST-MD5 \ -a bindTimeLimit=20 \ -a defaultSearchBase=dc=eng,dc=acme,dc=com \ -a "serviceSearchDescriptor=passwd:ou=people,dc=a1,dc=acme,dc=com?one"\ -a serviceAuthenticationMethod=pam_ldap:tls:simple \ -a defaultSearchScope=sub \ -a attributeMap=passwd:uid=employeeNumber \ -a objectclassMap=passwd:posixAccount=unixAccount \ -a followReferrals=false -a profileTTL=6000 \ -a preferredServerList=172.16.100.30 -a searchTimeLimit=30 \ -a "defaultServerList=172.16.200.1 172.16.100.1 192.168.5.6" > eng.ldif
次の終了ステータスが返されます。
コマンドが正常に実行されました。
エラーが発生しました。エラーメッセージが出力されます。
proxyDN および proxyPassword 属性が必要ですが、指定されていません。
クライアントの LDAP 構成が含まれています。これらのファイルは手動で変更するものではありません。その内容は人間が読めるとは限りません。それらを更新するには、ldapclient を使用します。
LDAP サーバー内のデータのドメイン名に一致する、システムのデフォルトのドメイン名。defaultdomain(5) を参照してください。
ネームサービススイッチの構成ファイル。nsswitch.conf(5) を参照してください。
LDAP およびファイルで構成されたネームサービススイッチのサンプル構成ファイル。
属性についての詳細は、マニュアルページの attributes(7) を参照してください。
|
chkey(1), ldaplist(1), defaultdomain(5), nsswitch.conf(5), resolv.conf(5), attributes(7), idsconfig(8), ldap_cachemgr(8), ldapaddent(8)
CRAM-MD5 および DIGEST-MD5 のメカニズムは、弱く、旧式で、セキュアでないとみなされます。これらは、暗号化された TLS 接続なしに使用すべきではありません。
StartTLS と生の TLS の両方をサポートしています。StartTLS 要求は、ポート 636 を指定しない任意の接続で使用されます。
例:
defaultServerList= foo:636 bar:1000 baz:389 authenticationMethod= tls:simple
これは、ポート 636 で生の TLS オープンを試行し、その次に接続をセキュリティー保護するための StartTLS 要求を使用してポート 1000 でセキュアではない接続を試行して、最後にポート 389 で類似したセキュアではない接続と引き続きの StartTLS 要求を試行します。
これは、古い Solaris システムで検出された動作とは多少異なります。古いシステムでは、3 つすべてのケースで、システムは、指定されたこれらのポート上の 3 つすべてのホストで生の TLS 接続を試行します。セキュア接続とセキュアではない接続の両方を処理する単一のポートはサポートされていませんでした。
次の例では、foo:636 への接続を試みる間にかなりのタイムアウト遅延が発生します。
defaultServerList= foo:636 foo:389 authenticationMethod= simple
これは、ポート 636 が通常はデフォルトの TLS ポートであり、「簡易」認証がそのポートで SSL または StartTLS 接続を試行しないためです。foo:636 への接続が失敗したあと、foo:389 での再試行が成功するまで待機している間に遅延が発生します。
LDAP クライアントの SMF プロパティーは、svc:/network/ldap/client サービスに含まれています。ldapclient ツールで管理される前述の SMF プロパティーに加えて、次の SMF プロパティーによって LDAP クライアントが制御されます。
LDAP サーバーからグループを取得するときに、ユーザーまたはメンバーリストの一部として返されるユーザーを制御します。これは、名前または GID によって、または列挙を使用して指定されたグループの取得に適用されます。
指定可能なプロパティー値は次のとおりです。
LDAP クライアントが LDAP 属性 "member" および "uniqueMember" をフェッチし、関連付けられたユーザーがユーザーまたはメンバーリストの一部として返されることを停止します。これらの属性の値は、グループメンバーの LDAP 識別名です。
LDAP クライアントが LDAP 属性 "memberUid" をフェッチし、関連付けられたユーザーがユーザーまたはメンバーリストの一部として返されることを停止します。属性の値は、グループメンバーのユーザー名です。
識別名の値であるグループメンバーを処理すると、ユーザー名を検索するために各識別名の値で追加の LDAP 検索が必要になる可能性があるため、時間がかかる可能性があります。識別名の値には、すべてのグループメンバーを検索するために処理する必要があるその他の LDAP グループを指定することもできます。
"nomember" を設定すると、グループユーザーまたはメンバーリストが LDAP "memberUid" 属性でのみ指定される Solaris 11 以前の動作に Solaris が変更されます。このような制御によって、getgrouplist() または groups によって返されるグループは影響を受けません。