Solaris -> DirectoryServer

Directory Server (Entry) 環境の構築

使用可能なエントリは /opt/SUNWdsee/ds6/schema/xxx.ldif ファイルに定義されている
objectclass を使用する。
デフォルトでは、パスワードポリシー互換モード が Directory Server 5 互換モードに
なっている。参照
5 互換モードの場合、オブジェクトクラス "passwordPolicy"を使用できる。
互換モードを Directory Server 6 モードに変更すると、新しいパスワードポリシーの機能を使用できる。
互換モードの変更は DSCCコンソールの ディレクトリサーバ-エントリの管理-パスワードポリシーで行う。
今回の設定は Directory Server 6 モード で行う。

エントリの属性

ユーザエントリ

People

DSCCでユーザを作成した場合のエントリ。
オブジェクトタイプ:ユーザー(inetOrgPerson)を選択した場合。

dn: uid=ldap101,ou=people,dc=tk,dc=local
cn: ldap101
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
sn: ldap101
uid: ldap101
userpassword: {SSHA}**********************

この状態ではログインできないので以下を
DSCCのテキストビューの編集可能な属性に追加する。
objectclass: posixAccount 及び
uidNumber,gidNumber,homeDirectory がMUST属性を追加。

objectclass: posixAccount
uidNumber: 10101
gidNumber: 0
homeDirectory: /tmp

posixAccount追加後のエントリ
dn: uid=ldap101,ou=people,dc=tk,dc=local
objectclass: top
objectclass: person
objectclass: posixAccount
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: ldap101
sn: ldap101
gidnumber: 1
homedirectory: /tmp
uid: ldap101
uidnumber: 10101
userpassword: {SSHA}**********************

この状態だとユーザを認識可能だがパスワード入力で
ログインができないので、さらに shadowaccount を追加する。
objectclass: shadowAccount 

ログイン可能な状態
dn: uid=ldap101,ou=people,dc=tk,dc=local
objectclass: top
objectclass: shadowAccount
objectclass: person
objectclass: posixAccount
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: ldap101
gidnumber: 1
homedirectory: /tmp
sn: ldap101
uid: ldap101
uidnumber: 10101
userpassword: {SSHA}**********************


個別のパスワードポリシーをエントリに追加する場合
dn: uid=ldap101,ou=people,dc=tk,dc=local
objectclass: top
objectclass: shadowAccount
objectclass: person
objectclass: posixAccount
objectclass: organizationalPerson
objectclass: inetOrgPerson
objectclass: pwdPolicy
cn: ldap101
gidnumber: 1
homedirectory: /tmp
pwdAttribute: userPassword
pwdExpirewarning: 1036800
pwdmaxage: 3196800
sn: ldap101
uid: ldap101
uidnumber: 10101
userpassword: {SSHA}**********************


グループエントリ

group

dn: cn=operator,ou=group,dc=tk,dc=local
gidNumber: 10001
objectClass: posixGroup
objectClass: top
cn: operator
memberUid: ldap101  グループメンバを記述する

グループのメンバをldifファイルで追加する場合は以下のフォーマットで記述する
---------------------------------------------
dn: cn=operator,ou=group,dc=tk,dc=local
changetype: modify
add: memberUid
memberUid: ldap102
---------------------------------------------

追加コマンド
# ldapmodify -D cn="Directory Manager" -f groupadd.ldif


auto_homeエントリ

auto_home

ldap101 ユーザのホーム/home/ldap101は 
sv01サーバの/export/home/ldap101をマウントする設定は以下の通り
dn: automountkey=ldap101,automountMapName=auto_home,dc=tk,dc=local
objectclass: top
objectclass: automount
automountkey: ldap101
automountinformation: sv01:/export/home/ldap101

全てのユーザ共通のエントリは以下の設定
dn: automountkey=*,automountMapName=auto_home,dc=tk,dc=local
objectclass: top
objectclass: automount
automountkey: *
automountinformation: sv01:/export/home/&

サーバ側での共有許可設定
共有させるディレクトリを定義
/etc/dfs/dfstab
share -F nfs -o rw /export/home

 /etc/dfs/dfstab ファイルを反映
#shareall

 内容確認
#share
-    /export/home rw ""

パスワードポリシーエントリ

グループ別のポリシーエントリを作成する場合。
dn: cn=Operator,ou=GroupPwdPolicy,dc=tk,dc=local
cn: Operator
objectclass: top
objectclass: pwdPolicy
objectclass: ldapSubEntry
pwdattribute: userPassword
pwdMaxAge: 864000        パスワード有効期限:10日
pwdexpirewarning: 86400  
         期限切れ警告1日
         * 期限切れの1日前になるとログイン時に以下のメッセージが表示される。
         Your password will expire in xx days(hours).


このポリシーを適用するユーザエントリに以下の属性を追加する。
passwordpolicysubentry: cn=Operator,ou=GroupPwdPolicy,dc=tk,dc=local

アカウント操作

アカウントロック・ロック解除

自動ロック
アカウントロックはログイン失敗回数により自動ロックされる場合。
と任意のユーザを手動でロックさせる方法がある。

失敗回数による自動ロックは、
該当するパスワードポリシーエントリの以下の属性で指定する。
pwdlockout: TRUE
  ロックアウトを有効にする場合は TRUE
pwdmaxfailure: 3
  失敗回数を指定 3: 3回失敗するとロックする。
pwdfailurecountinterval: 600
  失敗回数のリセットする時間(秒)を指定。


  パスワードをミスすると以下の読み取り専用属性がユーザエントリに追加される。
  pwdfailuretime: 20090106032455.0000000051Z
  
  2回ミスすると
  pwdfailuretime: 20090106032636.0000000054Z
  pwdfailuretime: 20090106032455.0000000051Z

  3回ミスすると
  pwdfailuretime: 20090106032755.0000000056Z
  pwdfailuretime: 20090106032636.0000000054Z
  pwdfailuretime: 20090106032455.0000000051Z
  ロック回数に達すると以下の属性が追加されログインできなくなる。
  pwdaccountlockedtime: 000001010000Z

  失敗回数のリセット
  2回ミスすると
  pwdfailuretime: 20090106032636.0000000054Z
  pwdfailuretime: 20090106032455.0000000051Z

  pwdfailurecountinterval: 600の指定により10分経過後失敗回数はリセットされる。
  ただし以下の属性はそのまま残る。
  pwdfailuretime: 20090106032636.0000000054Z
  pwdfailuretime: 20090106032455.0000000051Z

  10分経過後次に失敗した場合。新たに1つ追加される
  pwdfailuretime: 20090106032805.0000000050Z
  またはログインに成功すると属性は消える。
自動ロックからの解除

 自動でのロックアウトの場合以下の項目がロックアウトに関する項目となる
 これらの属性は読み取り専用項目の為削除できない。
 userPassword 属性を更新することにより、削除されロックアウトが解除となる。

  pwdfailuretime: 20090106032755.0000000056Z
  pwdfailuretime: 20090106032636.0000000054Z
  pwdfailuretime: 20090106032455.0000000051Z
  pwdaccountlockedtime: 000001010000Z

  更新する項目
  userPassword: {SSHA}xxxxxxxxxxxxxxxxx

  LDIFファイルの例
  ----------------------------------------------
  dn: uid=ope001,ou=people,dc=tk,dc=local
  changetype: modify
  replace: userPassword
  userPassword {SSHA}xxxxxxxxxxxxxxxxxxxx
  ----------------------------------------------

手動ロック
以下の属性をユーザエントリに追加する。
nsaccountlock: true

  LDIFファイルの例
  ----------------------------------------------
  dn: uid=ope001,ou=people,dc=tk,dc=local
  changetype: modify
  add: nsaccountlock
  nsaccountlock: true
  ----------------------------------------------

手動ロック解除
以下の属性をユーザエントリから削除する。
nsaccountlock: true


  LDIFファイルの例
  ----------------------------------------------
  dn: uid=ope001,ou=people,dc=tk,dc=local
  changetype: modify
  delete: nsaccountlock
  ----------------------------------------------

DSCC管理コンソールで作成する

ou=Peopleを作成する手順 (ou=groupも同様)












読み取り専用属性について


パスワードを変更すると pwdChangedTime 属性が更新される。
DSCCで変更した場合及び、ldif ファイルでuserPassword属性を変更した場合、
ユーザ自身がパスワードを変更した場合でもこの値が更新される。
例) pwdChangedTime: 20090106023201Z   * GMT YYYYMMDDHHMMSS


先頭へ

      Document-Folder          一覧
HP-UX
HULFT
JAVA
JP1
JavaScript
Linux
MAC
PHP
Perl
Python
Ruby
SOA
Solaris
Unix全般
Windows
XML
エクセル
スタイルシート
セキュリティー
データベース
ネットワーク
パソコン
ブラウザ
プログラム構文
仮想化
          RSS-Folder
ニュース
   アットマーク・アイティ(@IT)
   シンクイット(ThinkIT)
   インターネットコム
   インターネットウォッチ
   日経IT-Pro
   日経パソコン
   CNET Japan
   ZD-NetJapan
   MYCOM
   RBB-Today
ベンダー
   日本IBM
   日本HP
   サンマイクロシステムズ
   NEC
   富士通
   日立
ソフトウェア
   マイクロソフト
   トレンドマイクロ
   オラクル
   サイボウズ
   Mozilla
   野村総合研究所
   (その他ソフトウェア企業)
更新履歴 一覧
 07/08 PERF
プログラム構文
 07/07 PERF
プログラム構文
 06/25 オブジェクトプログラミング2
Perl>サンプル
 07/12 クローン作成
仮想化>vCenter
 07/12 vyatta設定
ネットワーク>vyatta
 07/12 vyattaインストール
ネットワーク>vyatta
 07/12 リポジトリサーバ
Linux>サーバ構築
 07/05 VMwareのインストール
仮想化>VMware
 07/05 PXEブート
仮想化>KVM
 07/01 DHCPでのPXEブート
仮想化>KVM
 06/27 qcow2仮想DISK作成
仮想化>KVM
 06/13 NWの設定
仮想化>VMwareEsxi
 06/13 IPアドレスの変更
仮想化>VMwareEsxi
 06/12 自動ssh
Unix全般>シェル>Bash
 06/12 diffプログラミング
Python
Google