LDAP 設定

表 2.6は、設定項目と対応するシェルコマンドです。

表2.6　LDAP設定

設定項目 機能説明 シェルコマンド 備考

LDAP使用表示 認証とユーザー権限のルックアップのためにLDAP サーバを使用しているか状態を表示します。

showlookup

LDAP 使用有効

／無効

認証とユーザー権限のルックアップのためにLDAP サーバの使用を有効／無効にするかを指定します。

setlookup 認証やユーザー権限デー

タをLDAPサーバに置くこ とを指定するとはじめに ローカルを探し、ローカル にデータがなければLDAP サーバを検索します。

クライアント表 示

LDAPクライアントの設定情報を表示します。 showldap バインドID LDAPサーバに接続する (バインドする:認証させ

る) ためのIDを登録します。

setldap バインドIDは最大128文

字です。

パスワード LDAPサーバに接続するときのパスワードを設定し ます。

指定できるパスワードは、

8～16文字です。

検索ベース LDAPツリーの検索ベース (baseDN) を設定します。 • 省略すると、ツリーの トップからの検索とな ります。

• 検索ベースは最大128文 字です。

証明書チェーン LDAPサーバの証明書チェーン (Certificate Chain) を インポートします。

証明書チェーンは、リモートファイルからセキュア なコピー (scp) でインポートします。

• 証明書チェーンは PEM フォーマットである必 要があります。(注)

• リモートファイルから 証明書をscpする場合、

パスワードを入力する ときがあります。

LDAP サーバ／

ポート

プライマリーとセカンダリーの LDAP サーバの IP アドレスとポート番号を指定します。

アドレスは IP アドレスかホスト名のどちらかを指 定します。

(例 ldap://foobar.east、ldaps://10.8.31.14:636)

ポ ー ト 番 号 を 指 定 し な かったときの LDAP のデ フォルトのポート番号は ldaps://が636、ldap://が389 です。

タイムアウト LDAP検索にかかるタイムアウト時間 (秒)を指定 します。

LDAPテスト LDAPサーバへの接続をテストします。

注) PEM : Privacy Enhanced Mail の略。メール通信中に暗号化を施し、プライバシーを強化した

メールのことをいいます。

• LDAPサーバの使用を有効／無効を設定するには

•

1 showlookup (8) コマンドで認証とユーザー権限のルックアップ方法を表示させます。

2 setlookup (8) コマンドでLDAPサーバの使用を有効／無効を設定します。

3 showlookup (8) コマンドでルックアップ方法を確認します。

• LDAPサーバ、ポート番号、バインドID、バインドパスワード、検索ベース (baseDN)、および 検索時間 (タイムアウト時間) を設定するには

•

1 showldap (8) コマンドでLDAPクライアント設定を表示させます。

2 setldap (8) コマンドでLDAPクライアント設定を行います。

XSCF> showlookup

Privileges lookup: Local only

Authentication lookup: Local and LDAP

< 例 > ユーザー認証とユーザー権限の両方について LDAP サーバの使用を有効指定 XSCF> setlookup -a ldap

XSCF> setlookup -p ldap

XSCF> showlookup

Privileges lookup: Local and LDAP Authentication lookup: Local and LDAP

XSCF> showldap

Bind Name: Not set Base Distinguished Name: Not set LDAP Search Timeout: 0 Bind Password: Not set LDAP Servers: Not set CERTS: None

< 例 1> バインド ID、検索ベース (baseDN) を指定

XSCF> setldap -b "cn=Directory Manager" -B "ou=Peo-ple,dc=users,dc=apl,dc=com,o=isp"

< 例 2> バインドパスワードを指定 XSCF> setldap -p

Password:xxxxxxxx

< 例 3> プライマリーおよびセカンダリーの LDAP サーバ、ポート番号を指定 XSCF> setldap -s ldap://onibamboo:389,ldaps://company2.com:636

< 例 4> LDAP 検索のためのタイムアウト時間を指定 XSCF> setldap -T 60

3 showldap (8) コマンドで設定を確認します。

• LDAPサーバの証明書チェーンをインストールするには

•

1 showldap (8) コマンドでLDAP設定を表示させます。

2 setldap (8) コマンドで証明書チェーンをインポートします。

3 showldap (8) コマンドで証明書チェーンがインポートされたかを確認します。

• LDAPサーバへの接続をテストするには

•

1 setldap (8) コマンドでテストします。

2 LDAPサーバに登録したユーザーにログインします。 入力したパスワードで認証されることを確 認します。

XSCF> showldap

Bind Name: cn=Directory Manager

Base Distinguished Name: ou=People,dc=users,dc=apl,dc=com,o=isp LDAP Search Timeout: 60

Bind Password: Set

LDAP Servers: ldap://onibamboo:389 ldaps://company2.com:636 CERTS: None

XSCF> showldap

Bind Name: cn=Directory Manager

Base Distinguished Name: ou=People,dc=users,dc=apl,dc=com,o=isp LDAP Search Timeout: 60

Bind Password: Set

LDAP Servers: ldap://onibamboo:389 ldaps://company2.com:636 CERTS: None

XSCF> setldap -c [email protected]:Cert.pem

XSCF> showldap

Bind Name: cn=Directory Manager

Base Distinguished Name: ou=People,dc=users,dc=apl,dc=com,o=isp LDAP Search Timeout: 60

Bind Password: Set

LDAP Servers: ldap://onibamboo:389 ldaps://company2.com:636 CERTS: Exists

XSCF> setldap -t sysadmin onibamboo:389 PASSED

login: sysadmin Password:xxxxxxxx

3 showuser (8) コマンドで表示されたユーザー権限がLDAPサーバに登録したユーザー権限と同じ か確認します。

XSCF> showuser

User Name: sysadmin (nonlocal) UID: 110

Privileges: platadm