Solaris -> DirectoryServer

Directory Server (LDAP_Client) 環境の構築

  以下の手順でクライアントの設定を行う

クライアント側に提供するサーバ側の設定

idsconfig

# /usr/lib/ldap/idsconfig

It is strongly recommended that you BACKUP the directory server
before running idsconfig.

Hit Ctrl-C at any time before the final confirmation to exit.

Do you wish to continue with server setup (y/n/h)? [n] y


  入力部分は省略 以下の設定値になるようにする


Do you want to add another Authentication Method? n
              Summary of Configuration

  1  Domain to serve               : tk.local
  2  Base DN to setup              : dc=tk,dc=local
  3  Profile name to create        : default
  4  Default Server List           : 192.168.0.201
  5  Preferred Server List         :
  6  Default Search Scope          : one
  7  Credential Level              : proxy
  8  Authentication Method         : simple
  9  Enable Follow Referrals       : TRUE
 10  iDS Time Limit                : -1
 11  iDS Size Limit                : -1
 12  Enable crypt password storage : TRUE
 13  Service Auth Method pam_ldap  : pam_ldap:simple
 14  Service Auth Method keyserv   : keyserv:simple
 15  Service Auth Method passwd-cmd: passwd-cmd:simple
 16  Search Time Limit             : 30
 17  Profile Time to Live          : 43200
 18  Bind Limit                    : 10
 19  Service Search Descriptors Menu

Enter config value to change: (1-19 0=commit changes) [0]
Enter DN for proxy agent: [cn=proxyagent,ou=profile,dc=tk,dc=local]
Enter passwd for proxyagent:
Re-enter passwd:

WARNING: About to start committing changes. (y=continue, n=EXIT) y


proxy agentを使用するので以下のエントリが必要
dn: cn=proxyagent,ou=Profile,dc=tk,dc=local
objectClass: person
objectClass: top
sn: proxyagent
cn: proxyagent


idsconfigで登録したプロファイルエントリは以下の通り
dn: cn=default,ou=profile,dc=tk,dc=local
objectClass: top
objectClass: DUAConfigProfile
defaultServerList: 192.168.234.201
defaultSearchBase: dc=tk,dc=local
authenticationMethod: simple
followReferrals: TRUE
defaultSearchScope: one
searchTimeLimit: 30
profileTTL: 43200
cn: default
credentialLevel: proxy
bindTimeLimit: 10
serviceAuthenticationMethod: pam_ldap:simple
serviceAuthenticationMethod: keyserv:simple
serviceAuthenticationMethod: passwd-cmd:simple

Ldapクライアントの初期化

プロキシの資格を使用してクライアントを初期化する

# ldapclient init -a profileName=default \             
-a proxyDN=cn=proxyagent,ou=profile,dc=tk,dc=local \   
-a domainName=tk.local \                               
-a proxyPassword=****** 192.168.0.201                  

System successfully configured
#

profileName=default  * idsconfig で指定した Profile name to create :default と同じ値

設定内容を確認する
# ldapclient list
NS_LDAP_FILE_VERSION= 2.0
NS_LDAP_BINDDN= cn=proxyagent,ou=profile,dc=tk,dc=local
NS_LDAP_BINDPASSWD= {NS1}a10952b985e684efa6
NS_LDAP_SERVERS= 192.168.234.201
NS_LDAP_SEARCH_BASEDN= dc=tk,dc=local
NS_LDAP_AUTH= simple
NS_LDAP_SEARCH_REF= TRUE
NS_LDAP_SEARCH_SCOPE= one
NS_LDAP_SEARCH_TIME= 30
NS_LDAP_CACHETTL= 43200
NS_LDAP_PROFILE= default
NS_LDAP_CREDENTIAL_LEVEL= proxy
NS_LDAP_BIND_TIME= 10
NS_LDAP_SERVICE_AUTH_METHOD= pam_ldap:simple
NS_LDAP_SERVICE_AUTH_METHOD= keyserv:simple
NS_LDAP_SERVICE_AUTH_METHOD= passwd-cmd:simple
#


※ 最初からやり直す場合は以下のコマンドを実行する
# ldapclient -uninit


Ldapクライアント側デーモン起動

ldap_cachemgr デーモン起動

ldap_cachemgr デーモンは ldapclient コマンドを実行すると
起動するのでプロセスが起動しているか確認する。


# ps -ef | grep ldap_cachemgr
    root 25582 24890   0 16:17:15 ?           0:00 /usr/lib/ldap/ldap_cachemgr
#
# svcs svc:/network/ldap/client
STATE          STIME    FMRI
online         16:19:06 svc:/network/ldap/client:default
#


起動していない場合は以下のコマンドで起動させる

# svcadm enable svc:/network/ldap/client

ldapclient コマンド実行前に enable に変更しても online にはならず
offline 状態となる。


LDAPネームサービスの設定

/etc/nsswitch.conf

ldapの提供する該当サービスに ldap を追加する
今回は以下の3サービスのみldapを使用する

passwd:     files ldap
group:      files ldap
automount:  files ldap 

ldapclient コマンドを実行すると
/etc/nsswitch.ldap が/etc/nsswitch.conf に置き換わる。
元のファイルは /etc/nsswitch.file に保存されているので、
自分で修正したい場合はこれを使用する

ネームサービスキャッシュデーモン(nscd)の再起動

nscd を再起動させnsswitch.conf の内容を再読込ませる
# svcadm disable svc:/system/name-service-cache:default
# svcadm enable svc:/system/name-service-cache:default

実行される起動スクリプト
/lib/svc/method/svc-nscd


PAM 認証モジュールにLDAPを追加する

/etc/pam.conf

追加するサービス部分のみ記述 (赤フォント部分を修正・追加する)

login   auth required           pam_unix_auth.so.1 (変更前)
login   auth binding            pam_unix_auth.so.1 server_policy
login   auth required           pam_ldap.so.1

other   auth required           pam_unix_auth.so.1 (変更前)
other   auth binding            pam_unix_auth.so.1 server_policy
other   auth required           pam_ldap.so.1

passwd  auth required           pam_passwd_auth.so.1 (変更前)
passwd  auth sufficient         pam_passwd_auth.so.1
passwd  auth required           pam_ldap.so.1

other   account required        pam_unix_account.so.1 (変更前)
other   account binding         pam_unix_account.so.1 server_policy
other   account required        pam_ldap.so.1

※ パスワードを設定しない場合は以下の記述をする
login   auth required           pam_ldap.so.1 try_first_pass
other   auth required           pam_ldap.so.1 try_first_pass
passwd  auth required           pam_ldap.so.1 try_first_pass
other   account required        pam_ldap.so.1 try_first_pass



先頭へ

      Document-Folder          一覧
HP-UX
HULFT
JAVA
JP1
JavaScript
Linux
MAC
PHP
Perl
Python
Ruby
SOA
Solaris
Unix全般
Windows
XML
エクセル
スタイルシート
セキュリティー
データベース
ネットワーク
パソコン
ブラウザ
プログラム構文
仮想化
          RSS-Folder
ニュース
   アットマーク・アイティ(@IT)
   シンクイット(ThinkIT)
   インターネットコム
   インターネットウォッチ
   日経IT-Pro
   日経パソコン
   CNET Japan
   ZD-NetJapan
   MYCOM
   RBB-Today
ベンダー
   日本IBM
   日本HP
   サンマイクロシステムズ
   NEC
   富士通
   日立
ソフトウェア
   マイクロソフト
   トレンドマイクロ
   オラクル
   サイボウズ
   Mozilla
   野村総合研究所
   (その他ソフトウェア企業)
更新履歴 一覧
 07/08 PERF
プログラム構文
 07/07 PERF
プログラム構文
 06/25 オブジェクトプログラミング2
Perl>サンプル
 07/12 クローン作成
仮想化>vCenter
 07/12 vyatta設定
ネットワーク>vyatta
 07/12 vyattaインストール
ネットワーク>vyatta
 07/12 リポジトリサーバ
Linux>サーバ構築
 07/05 VMwareのインストール
仮想化>VMware
 07/05 PXEブート
仮想化>KVM
 07/01 DHCPでのPXEブート
仮想化>KVM
 06/27 qcow2仮想DISK作成
仮想化>KVM
 06/13 NWの設定
仮想化>VMwareEsxi
 06/13 IPアドレスの変更
仮想化>VMwareEsxi
 06/12 自動ssh
Unix全般>シェル>Bash
 06/12 diffプログラミング
Python
Google