4 スタンドアロン Active Directory サーバーと OpenVMS ACME LDAP エージェ
4.4 非セキュアポートのための ACME LDAP エージェントの構成
非セキュアポートで ACME LDAP エージェントを構成する手順は以下のとおりです。
1. 2.3 項「SYS$ACM (ACMELOGIN) 対応の LOGIN PCSI キットおよび ACME LDAP PCSI キットのインストール」で説明した手順で、ACMELOGIN および ACMELDAP キットをイ ンストールします。
2. 次のコマンドで 2 つのイメージが正しくロードされているかどうか確認します。
ANALYZE/IMAGE/INTER SYS$COMMON:[SYSEXE]LOGINOUT.EXE
$ ANALYZE/IMAGE/INTER SYS$COMMON:[SYSEXE]LOGINOUT.EXE This is an OpenVMS IA64 (Elf format) executable image file
38 スタンドアロン Active Directory サーバーと OpenVMS ACME LDAP エージェントの構成例
Image Identification Information, in section 3.
Image name: "LOGINOUT"
Global Symbol Table name: "LOGINOUT"
Image file identification: "LOGIN98 X-1"
Image build identification: "XC7Q-BL4-000000"
Link identification: "Linker I02-37"
Link Date/Time: 8-FEB-2010 15:23:06.56
ANALYZE/IMAGE/INTER SYS$COMMON:[SYSEXE]SETP0.EXE
$ ANALYZE/IMAGE/INTER SYS$COMMON:[SYSEXE]SETP0.EXE
This is an OpenVMS IA64 (Elf format) executable image file Image Identification Information, in section 3.
Image name: "SETP0"
Global Symbol Table name: "SETP0"
Image file identification: "LOGIN98 X-1"
Image build identification: "XC7Q-BL4-000000"
Link identification: "Linker I02-37"
Link Date/Time: 8-FEB-2010 15:25:05.14
3. LDAP ペルソナ拡張を設定します。ペルソナ拡張の設定方法については 2.4 項「LDAP ペ
ルソナ拡張の設定」を参照してください。
4. ペルソナ拡張を設定した後、OpenVMS システムを再起動してください。
5. 非セキュアポートに対し、LDAP 構成ファイルSYS$STARTUP:LDAPACME$CONFIG-STD.INI の属性に以下の値を入力してください。
server = cssn-ddrs.testdomain.hpe.com
この場合、Active directory システムに対して下記のコマンドを実行できることを確認 してください。
$ TCPIP PING cssn-ddrs.testdomain.hpe.com port = 389
これは非セキュアポートのデフォルト値です。
bind_dn = CN=query_account,CN=Users,DC=testdomain,DC=hpe,DC=com
この値は .ldf ファイルから取得できます。 値の展開方法については 4.3.2 項
「base_dn、bind_dn および login_attribute の展開」を参照してください。
bind_password = welcome@123
これは Active Directory で query_account に対して与えられるパスワードです。 4.2 項
「Active Directory のアカウント作成」を参照してください。
base_dn = DC=testdomain,DC=hpe,DC=com
これは、他のすべてのアカウントが存在するベースアカウントです。 4.2 項「Active
Directory のアカウント作成」を参照してください。
login_attribute = samaccountname
4.2 項「Active Directory のアカウント作成」を参照してください。
scope = sub
デフォルト値 sub を残します。
port_security = none
これは非セキュアポートなのでデフォルト値を none と置き換えます。
password_type = active-directory
Active Directory で構成が行われているので、デフォルト値を active-directory と置き換 えます。
データーが反映された構成ファイルは以下のようになります。
4.4 非セキュアポートのための ACME LDAP エージェントの構成 39
server = cssn-ddrs.testdomain.hpe.com port = 389
bind_dn = CN=query_account,CN=Users,DC=testdomain,DC=hpe,DC=com bind_password = welcome@123
base_dn = DC=testdomain,DC=hpe,DC=com login_attribute = samaccountname scope = sub
port_security = none
password_type = active-directory
6. SYS$MANAGER:ACME$START.COMに以下の論理名を追加します。
$ DEFINE/SYSTEM/EXECUTIVE LDAPACME$INIT SYS$STARTUP:LDAPACME$CONFIG-STD.INI
そして、@SYS$STARTUP:LDAPACME$STARTUP-STDのコメントを外します。
7. ACME サーバーを再起動します。
$ SET SERVER ACME/EXIT/WAIT
$ SET SERVER ACME/START=AUTO
8. SHOW SERVER ACME/FULL を実行して、ACME LDAP エージェントがロードされている かどうかを確認します。
$ SHOW SERVER ACME/FULL
ACME Information on node EARWIG 18-FEB-2010 06:03:42.00 Uptime 0 00:15:24 ACME Server id: 2 State: Processing New Requests
Agents Loaded: 2 Active: 2 Thread Maximum: 1 Count: 1 Request Maximum: 826 Count: 0 Requests awaiting service: 0 Requests awaiting dialogue: 0
Requests awaiting AST: 0
Requests awaiting resource: 0 Logging status: Active
Tracing status: Inactive
Log file: "SYS$SYSROOT:[SYSMGR]ACME$SERVER.LOG;19"
ACME Agent id: 1 State: Active Name: "VMS"
Image: "DISK$I64SYS:[VMS$COMMON.SYSLIB]VMS$VMS_ACMESHR.EXE;1"
Identification: "VMS ACME built 20-SEP-2006"
Information: "No requests completed since the last startup"
Domain of Interpretation: Yes Execution Order: 1
Credentials Type: 1 Name: "VMS"
Resource wait count: 0
ACME Agent id: 2 State: Active Name: "LDAP-STD"
Image: "DISK$I64SYS:[VMS$COMMON.SYSLIB]LDAPACME$LDAP-STD_ACMESHR.EXE;1"
Identification: "ACME LDAP Standard V1.5"
Information: "ACME_LDAP_DOI Agent is initialized"
Domain of Interpretation: Yes Execution Order: 2
Credentials Type: 3 Name: "LDAP"
Resource wait count: 0
9. SYSUAF.DATファイルにユーザー jdoe を追加します。
$ @SYS$COMMON:[SYSHLP.EXAMPLES]ADDUSER.COM
***************************************************************************
* Creating a NEW user account... If at ANY TIME you need help about a *
* prompt, just type "?". *
***************************************************************************
Username(s) - separate by commas: jdoe
40 スタンドアロン Active Directory サーバーと OpenVMS ACME LDAP エージェントの構成例
*** Processing JDOE's account ***
Full name for JDOE: John Doe
Password (password is not echoed to terminal) [JDOE]:
UIC Group number [200]:
UIC Member number: 201 Account name: TEST
Privileges [TMPMBX,NETMBX]:
Login directory [JDOE]:
Login device [SYS$SYSDEVICE:]:
%CREATE-I-EXISTS, SYS$SYSDEVICE:[JDOE] already exists
%UAF-I-PWDLESSMIN, new password is shorter than minimum password length
%UAF-E-UAEERR, invalid user name, user name already exists
%UAF-I-NOMODS, no modifications made to system authorization file
%UAF-I-RDBNOMODS, no modifications made to rights database Check newly created account:
Username: JDOE Owner:
Account: TEST UIC: [201,2011] ([JDOE])
CLI: DCL Tables: DCLTABLES
Default: SYS$SYSDEVICE:[JDOE]
LGICMD:
Flags: VMSAuth
Primary days: Mon Tue Wed Thu Fri
Secondary days: Sat Sun
No access restrictions
Expiration: (none) Pwdminimum: 6 Login Fails: 1 Pwdlifetime: 90 00:00 Pwdchange: (pre-expired)
Last Login: (none) (interactive), (none) (non-interactive)
Maxjobs: 0 Fillm: 128 Bytlm: 128000
Maxacctjobs: 0 Shrfillm: 0 Pbytlm: 0
Maxdetach: 0 BIOlm: 150 JTquota: 4096
Prclm: 8 DIOlm: 150 WSdef: 4096
Prio: 4 ASTlm: 300 WSquo: 8192
Queprio: 4 TQElm: 100 WSextent: 16384
CPU: (none) Enqlm: 4000 Pgflquo: 256000 Authorized Privileges:
NETMBX TMPMBX Default Privileges:
NETMBX TMPMBX
%UAF-I-NOMODS, no modifications made to system authorization file
%UAF-I-RDBNOMODS, no modifications made to rights database Is everything satisfactory with the account [YES]:
10. ユーザー jdoe に対して ExtAuth および VMSAuth フラグを設定します。 SYSUAF アカウン トの追加については 2.6 項「OpenVMS での ExtAuth および VMSAuth フラグの指定」を 参照してください。
$ SET DEF SYS$SYSTEM
$ MC AUTHORIZE
UAF> modify jdoe/flags=(EXTAUTH,VMSAUTH)
%UAF-I-MDFYMSG, user record(s) updated UAF> SHOW jdoe
Username: JDOE Owner:
Account: TEST UIC: [201,2011] ([JDOE])
CLI: DCL Tables: DCLTABLES
Default: SYS$SYSDEVICE:[JDOE]
LGICMD:
Flags: ExtAuth VMSAuth
Primary days: Mon Tue Wed Thu Fri
Secondary days: Sat Sun
No access restrictions
Expiration: (none) Pwdminimum: 6 Login Fails: 1 Pwdlifetime: 90 00:00 Pwdchange: (pre-expired)
4.4 非セキュアポートのための ACME LDAP エージェントの構成 41
Last Login: (none) (interactive), (none) (non-interactive)
Maxjobs: 0 Fillm: 128 Bytlm: 128000
Maxacctjobs: 0 Shrfillm: 0 Pbytlm: 0
Maxdetach: 0 BIOlm: 150 JTquota: 4096
Prclm: 8 DIOlm: 150 WSdef: 4096
Prio: 4 ASTlm: 300 WSquo: 8192
Queprio: 4 TQElm: 100 WSextent: 16384
CPU: (none) Enqlm: 4000 Pgflquo: 256000 Authorized Privileges:
NETMBX TMPMBX Default Privileges:
NETMBX TMPMBX UAF>
11. ユーザー jdoe としてシステムにログインします。