ldapaddent - 対応する /etc ファイルからの LDAP エントリの作成
ldapaddent [-cpv] [-a authenticationMethod] [-b baseDN] -D bindDN [-w bind_password] [-j passwdFile] [-f filename] database
ldapaddent [-cpv] -a sasl/GSSAPI [-b baseDN] [-f filename] database
ldapaddent -d [-v] [-a authenticationMethod] [-D bindDN] [-w bind_password] [-j passwdFile] database
ldapaddent [-cpv] -h LDAP_server[:serverPort] [-M domainName] [-N profileName] [-P certifPath] [-a authenticationMethod] [-b baseDN] -D bindDN [-w bind_password] [-f filename] [-j passwdFile] database
ldapaddent [-cpv] -h LDAP_server[:serverPort] [-M domainName] [-N profileName] [-P certifPath] [-a authenticationMethod] [-b baseDN] [-f filename] database
ldapaddent -d [-v] -h LDAP_server[:serverPort] [-M domainName] [-N profileName] [-P certifPath] [-a authenticationMethod] [-b baseDN] -D bindDN [-w bind_password] [-j passwdFile] database
ldapaddent は、LDAP コンテナのエントリを、それに対応する /etc ファイルから作成します。この操作は、Solaris システムの管理で使用される各標準コンテナ向けにカスタマイズされています。database 引数は、処理されるデータのタイプを指定します。このタイプに有効な値は、aliases、auto_*、bootparams、ethers、group、hosts (IPv4 と IPv6 の両方のアドレスを含む)、ipnodes (hosts の別名)、netgroup、netmasks、networks、passwd、shadow、protocols、publickey、rpc、および services のいずれかです。前記に加え、database 引数には RBAC 関連のいずれかのファイルを指定できます (rbac(7) を参照)。
/etc/user_attr
/etc/security/auth_attr
/etc/security/prof_attr
/etc/security/exec_attr
デフォルトでは、ldapaddent は標準入力から読み取り、コマンド行で指定されたデータベースに関連付けられた LDAP コンテナにこのデータを追加します。データを読み取ることができる入力ファイルを指定する場合は、–f オプションを使用します。
–h オプションを指定すると、ldapaddent は –N オプションで指定された DUAProfile を取得するために、このオプションで指定されたサーバーへの接続を確立します。取得された構成によって記述されるディレクトリにエントリが格納されます。
デフォルトでは (–h オプションが指定されていない場合)、エントリはクライアントの構成に基づいてディレクトリに格納されます。このユーティリティーをデフォルトモードで使用するには、Solaris LDAP クライアントをあらかじめ設定しておく必要があります。
エントリを書き込む場所は、–b オプションを使用してオーバーライドできます。
追加されるエントリがディレクトリに存在している場合、–c オプションが使用されていないかぎり、このコマンドはエラーを表示して終了します。
shadow データベースタイプはありますが、対応する shadow コンテナはありません。shadow および passwd データはどちらも people コンテナ自体に格納されます。同様に、networks および netmasks データベースのデータは networks コンテナに格納されます。
user_attr データは、デフォルトでは people コンテナに格納されます。prof_attr および exec_attr データは、デフォルトでは SolarisProfAttr コンテナに格納されます。
shadow データベースからエントリの追加を試みる前に、passwd データベースからエントリを追加する必要があります。対応する passwd エントリのない shadow エントリを追加すると失敗します。
user_attr データベースの前に passwd データベースを処理する必要があります。
パフォーマンス向上のため、次の順序でデータベースを読み込むことをお勧めします。
passwd データベースに続いて shadow データベース
networks データベースの次に netmasks データベース
bootparams データベースの次に ethers データベース
特定のタイプで最初に見つかったエントリだけが LDAP サーバーに追加されます。ldapaddent コマンドは重複エントリをスキップします。
ldapaddent コマンドは、次のオプションをサポートします。
認証方法を指定します。デフォルト値は、プロファイルで構成されているものです。サポートされる認証方法は次のとおりです。
simple
sasl/CRAM-MD5
sasl/DIGEST-MD5
sasl/GSSAPI
tls:simple
tls:sasl/CRAM-MD5
tls:sasl/DIGEST-MD5
simple を選択すると、パスワードがネットワーク経由で平文で送信されます。これを使用することは決してお勧めできません。さらに、認証を使用しないプロファイルを使用してクライアントが構成されている場合、つまり、credentialLevel 属性が anonymous に設定されているか、または authenticationMethod が none に設定されている場合、ユーザーはこのオプションを使用して認証方法を指定する必要があります。認証方法が sasl/GSSAPI の場合、bindDN と bindPassword は不要で、/etc/nsswitch.conf の hosts および ipnodes フィールドは次のように構成されている必要があります。
hosts: dns files ipnodes: dns files
nsswitch.conf(5) を参照してください。
baseDN ディレクトリ内にエントリを作成します。baseDN はクライアントのデフォルト検索ベースを基準にしているのではなく、エントリが作成される実際の場所です。このパラメータが指定されていない場合、サービスに定義されている最初の検索記述子またはデフォルトコンテナが使用されます。
ディレクトリサーバーエラーが発生したあとでも、ディレクトリへのエントリの追加を続行します。ディレクトリサーバーが応答しない場合、認証の問題が発生した場合、または入力データのエラーが検出された場合、エントリは追加されません。
baseDN への書き込み権を持つエントリを作成します。–d オプションとともに使用された場合、このエントリには読み取り権だけが必要です。
指定のデータベースに適した形式で LDAP コンテナを標準出力にダンプします。
/etc/ ファイル形式で読み取る入力ファイルを指定します。
エントリを格納する LDAP サーバーのアドレス (または名前) およびポート (オプション) を指定します。nsswitch.conf ファイルに指定されている現在のネームサービスが使用されます。認証方法として TLS が指定された場合を除き、ポートのデフォルト値は 389 です。この場合、デフォルトの LDAP サーバーポート番号は 636 です。
IPv6 アドレスのアドレスとポート番号を指定するための形式は次のとおりです。
[ipv6_addr]:port
IPv4 アドレスのアドレスとポート番号を指定するには、次の形式を使用します。
ipv4_addr:port
ホスト名を指定する場合は、次の形式を使用します。
host_name:port
バインド DN 用のパスワードまたは SSL クライアントの鍵データベース用のパスワードを含むファイルを指定します。パスワードを保護するには、このオプションをスクリプトで使用し、セキュリティー保護されたファイルにパスワードを保存します。このオプションは、–w オプションとは相互排他的です。
指定のサーバーから提供されるドメインの名前。指定されていない場合は、デフォルトのドメイン名が使用されます。
DUAProfile の名前を指定します。–h オプションで指定されたサーバー上に、このような名前のプロファイルが存在すると想定されています。それ以外の場合は、デフォルトの DUAProfile が使用されます。デフォルト値は default です。
証明書データベースの場所を表す証明書パス。値は、セキュリティーデータベースファイルが置かれているパスです。これは、authenticationMethod および serviceAuthenticationMethod 属性で指定されている TLS サポートに使用されます。デフォルトは /var/ldap です。
ファイルからパスワード情報を読み込むときに password フィールドを処理します。実際のパスワードは shadow ファイル内にあるため、password フィールドは通常は有効でなく、デフォルトでは無視されます。
bindDN の認証に使用するパスワード。このパラメータがない場合、このコマンドはパスワードの入力を求めます。NULL パスワードは LDAP ではサポートされていません。
–w bindPassword を使用して認証に使用するパスワードを指定すると、システムのほかのユーザーが ps コマンドを使用するかスクリプトファイル内またはシェル履歴内でパスワードを見ることができます。
パスワードとして「-」(ハイフン) を指定した場合は、パスワードの入力を求められます。
冗長。追加の –v オプションを指定すると、より詳細な情報が表示されます。
次のオペランドがサポートされています。
データベースの名前またはサービス名。サポートされている値は、aliases、auto_*、bootparams、ethers、group、hosts (IPv6 アドレスを含む)、netgroup、netmasks、networks、passwd、shadow、protocols、publickey、rpc、および services です。auth_attr、prof_attr、exec_attr、user_attr、および projects もサポートされています。
次の例は、ディレクトリサーバーにパスワードエントリを追加する方法を示しています。
example# ldapaddent -D "cn=directory manager" -w secret \ -f /etc/passwd passwd使用例 2 グループエントリを追加する
次の例は、認証方法として sasl/CRAM-MD5 を使用して、ディレクトリサーバーに group エントリを追加する方法を示しています。
example# ldapaddent -D "cn=directory manager" -w secret \ -a "sasl/CRAM-MD5" -f /etc/group group使用例 3 auto_master エントリを追加する
次の例は、ディレクトリサーバーに auto_master エントリを追加する方法を示しています。
example# ldapaddent -D "cn=directory manager" -w secret \ -f /etc/auto_master auto_master使用例 4 passwd エントリをディレクトリからファイルにダンプする
次の例は、password エントリをディレクトリからファイル foo にダンプする方法を示しています。
example# ldapaddent -d passwd > foo使用例 5 特定のディレクトリサーバーにパスワードエントリを追加する
次の例は、指定したディレクトリサーバーにパスワードエントリを追加する方法を示しています。
example# ldapaddent -h 10.10.10.10:3890 \ -M another.domain.name -N special_duaprofile \ -D "cn=directory manager" -w secret \ -f /etc/passwd passwd
次の終了ステータスが返されます。
正常終了。
エラーが発生しました。
クライアントの LDAP 構成が含まれているファイル。これらのファイルは手動で変更するものではありません。その内容は人間が読めるとは限りません。これらのファイルを更新するには、ldapclient(8) を使用します。
属性についての詳細は、マニュアルページの attributes(7) を参照してください。
|
ldaplist(1), nsswitch.conf(5), attributes(7), idsconfig(8), ldapclient(8), ldapservercfg(8)
Managing Auditing in Oracle Solaris 11.4
StartTLS と生の TLS の両方をサポートしています。StartTLS 要求は、ポート 636 を指定しない任意の接続で使用されます。例:
-h foo:1000 -a tls:simple
これは、ホスト foo、ポート 1000 でのセキュアではないオープン、その次に接続の確立後の StartTLS 要求を指しています。