ldap - ネーミングリポジトリとしての LDAP
LDAP refers to Lightweight Directory Access Protocol, which is an industry standard for accessing directory servers.ldapclient(8) を使用してクライアントを初期化し、ネームサービスのスイッチファイル /etc/nsswitch.conf でキーワード ldap を使用することによって、Oracle Solaris クライアントは LDAP サーバーからネーミング情報を取得できます。ユーザー名、ホスト名、パスワードなどの情報は、DIT (Directory Information Tree) 内の LDAP サーバーに格納されます。DIT は、属性で構成されるエントリで構成されます。属性ごとに、1 つのタイプと 1 つ以上の値があります。
Oracle Solaris LDAP クライアントが LDAP サーバーからネーミング情報にアクセスするときは、LDAP v3 プロトコルを使用します。ネームサービスモデルが LDAP にマップされている RFC2307bis (ドラフト) で定義されたオブジェクトクラスおよび属性が、LDAP サーバーでサポートされている必要があります。RFC2307bis (ドラフト) で定義されたスキーマを使用する代わりに、その他のスキーマセットを使用するようにシステムを構成でき、スキーママッピング機能は 2 つのスキーマ間でマップするように構成されます。
ldapclient(8) ユーティリティーは、適切なディレクトリ、ファイル、および構成情報を設定することによって Oracle Solaris マシンを LDAP クライアントにできます。LDAP クライアントは、この構成情報をローカルキャッシュファイルに格納します。この構成情報には、ldap_cachemgr(8) デーモンを使用してアクセスします。また、このデーモンによって LDAP サーバーから構成ファイル内の情報がリフレッシュされるため、パフォーマンスおよびセキュリティーが改善されます。ネーミングサービスが正しく動作するには、常に ldap_cachemgr が実行される必要があります。
プロファイルを介して使用できる情報と、クライアントごとに構成された情報の 2 種類の構成情報があります。プロファイルには、クライアントがディレクトリにアクセスする方法に関する情報がすべて含まれます。プロキシユーザーの資格情報はクライアントごとに構成され、プロファイルを介してダウンロードされません。
プロファイルには、サーバーで目的の LDAP ドメインを検索するときにすべてのクライアントが必要とするサーバー固有のパラメータが含まれます。たとえば、この情報にはサーバーの IP アドレスおよび検索ベースの識別名 (DN) が含まれることがあります。これはクライアントの初期化時にクライアントでデフォルトプロファイルから構成され、有効期限が経過すると定期的に ldap_cachemgr デーモンによって更新されます。
クライアントプロファイルは LDAP サーバーに格納でき、ldapclient ユーティリティーで使用すれば LDAP クライアントを初期化できます。クライアントマシンを構成するもっとも簡単な方法は、クライアントプロファイルを使用することです。ldapclient(8) を参照してください。
資格情報には、クライアントによって使用されるクライアント固有のパラメータが含まれています。この情報には、クライアントおよびパスワードのバインド DN (LDAP「ログイン」名) が含まれることがあります。これらのパラメータが必要な場合は、ldapclient(8) を使用して、初期化中に手動で定義されます。
ネーミング情報は、LDAP サーバー上のコンテナに格納されます。コンテナとは、ネームサービス情報を含む DIT 内のリーフ以外のエントリのことです。コンテナは NIS のマップに似ています。NIS データベースと LDAP 内のコンテナ間のデフォルトマッピングを次に示します。これらのコンテナの場所および名前は、serviceSearchDescriptors を使用することでオーバーライドできます。詳細は、ldapclient(8) を参照してください。
|
クライアントのセキュリティーモデルは、使用される資格レベル、認証方法、および使用される PAM モジュールの組み合せによって定義されます。資格レベルでは、ディレクトリサーバーに対して認証を行なう際にクライアントが使用する必要のある資格が定義され、認証方式では選択する方法が定義されます。どちらにも複数の値を設定できます。Oracle Solaris LDAP の資格レベルでは、次の値がサポートされています:
Oracle Solaris LDAP の認証方式では、次の値がサポートされています:
資格レベルが self として構成されている場合は、DNS が構成され、認証方式は sasl/GSSAPI である必要があります。DNS (たとえば、hosts: dns files および ipnodes: dns files) を使用するには、/etc/nsswitch.conf に hosts および ipnodes を構成する必要があります。
これらがディレクトリサーバーで構成されない場合は、sasl/GSSAPI で自動的に GSSAPI の機密性および整合性オプションが使用されます。
self の資格レベルでは、ユーザーごとのネームサービス検索、またはディレクトリサーバーへの接続時にユーザーの GSSAPI 資格を使用する検索が可能です。Kerberos V5 のこのモデルでは、現在、GSSAPI メカニズムのみがサポートされています。この資格レベルを使用する前に、Kerberos を構成する必要があります。
When TLS is specified, the default acceptable minimum protocol is TLSv1.1.受け入れ可能な最小 TLS プロトコルは、環境変数 LDAPTLS_PROTOCOL_MIN でオーバーライドできます。SSLv3 は「3.0」、TLSv1.0 は「3.1」、TLSv1.1 は「3.2」、TLSv1.2 は「3.3」として指定されます。受け入れ可能な暗号化スイートは、環境変数 LDAPTLS_CIPHER_SUITE でオーバーライドできます。暗号化スイートのリストは、コロンで区切られたリストです。暗号化スイート名は、OpenSSL によって使用されます。These environment variables are defined by the OpenLDAP client configuration in ldap.conf(5oldap).
アクセス制御を使用すると、より強力な保護が提供され、サーバーで特定のコンテナまたはエントリに対するアクセス権を付与できるようになります。アクセス制御は、LDAP サーバーに定義および格納されているアクセス制御リスト (ACL) で指定されます。The Access Control Lists on the LDAP server are called Access Control Instructions (ACIs) by the Oracle Directory Server Enterprise Edition (DSEE).各 ACI または ACL には、1 つ以上のディレクトリオブジェクトを指定します。たとえば、特定のコンテナの cn 属性、アクセス権を付与または拒否する 1 つ以上のクライアント、およびクライアントがオブジェクトに対して、またオブジェクトで実行できることを決定する 1 つ以上のアクセス権を指定します。クライアントにはユーザーまたはアプリケーションを指定できます。たとえば、読み取りおよび書き込みとしてアクセス権を指定できます。
nsswitch.ldap と呼ばれる nsswitch.conf(5) ファイルのサンプルは、/etc ディレクトリで提供されています。これは、ldapclient(8) ユーティリティーによって /etc/nsswitch.conf にコピーされます。このファイルでは、nsswitch.conf ファイル内のさまざまなデータベースのリポジトリとして LDAP が使用されます。
次のリストは、LDAP に関連したユーザーコマンドで構成されています。
Prepares a DSEE server to be ready to support Solaris LDAP clients.
Prepares other directory servers to be ready to support Solaris LDAP clients.
対応する /etc ファイルから LDAP エントリを作成します。
LDAP クライアントを初期化するか、ディレクトリに格納される構成プロファイルを生成します。
LDAP ネーミング領域の内容をリストします。
クライアントの LDAP 構成を含むファイル。これらのファイルを手動で変更しないでください。その内容は人間が読めるとは限りません。これらを更新するには、ldapclient(8) を使用します。
ネームサービススイッチの構成ファイル。
LDAP およびファイルで構成されたネームサービススイッチのサンプル構成ファイル。
PAM フレームワーク構成ファイルです。
代替の PAM フレームワーク構成ファイルです。
ldaplist(1), nsswitch.conf(5), ldap.conf(5oldap), pam.conf(5), pam_authtok_check(7), pam_authtok_get(7), pam_authtok_store(7), pam_dhkeys(7), pam_ldap(7), pam_passwd_auth(7), pam_unix_account(7), pam_unix_auth(7), pam_unix_session(7), idsconfig(8), ldap_cachemgr(8), ldapaddent(8), ldapclient(8), ldapservercfg(8), slapd(8oldap)