第20章 ディレクトリーサーバー
20.1. OpenLDAP
LDAP (Lightweight Directory Access Protocol) は、ネットワーク上で一元的に保存された情報にアクセスするために使用されるオープンプロトコルのセットです。これは、ディレクトリー共有の X.500 標準に基づいていますが、それほど複雑ではなく、リソースを大量に消費します。このため、LDAP は 「X.500 Lite」 と呼ばれることもあります。
X.500 と同様に、LDAP はディレクトリーを使用して階層的な方法で情報を編成します。これらのディレクトリーは、名前、アドレス、電話番号などのさまざまな情報を保存し、Network Information Service (NIS) と同様に使用でき、ユーザーが LDAP 対応のネットワーク上のマシンからアカウントにアクセスできるようにすることもできます。
LDAP は通常、一元管理されたユーザーおよびグループ、ユーザー認証、またはシステム設定に使用されます。また、ユーザーは仮想電話ディレクトリーとしても提供でき、ユーザーは他のユーザーの連絡先情報に簡単にアクセスすることができます。さらに、ユーザーが世界中の他のLDAPサーバーを参照できるようにするため、情報のアドホックなグローバルリポジトリを提供できます。ただし、大学、政府機関、民間企業などの個々の組織で最も頻繁に使用されます。
本セクションでは、LDAPv2 プロトコルおよび LDAPv3 プロトコルのオープンソース実装である OpenLDAP 2.4 のインストールおよび設定を説明します。
20.1.1. LDAP の概要
クライアントサーバーアーキテクチャーを使用すると、LDAP は、ネットワークからアクセスできる中央情報ディレクトリーを作成する信頼できる手段を提供します。クライアントがこのディレクトリー内で情報の修正を試みると、サーバーは、ユーザーに変更を行うパーミッションを検証し、要求された時にエントリーを追加または更新します。通信が保護されるようにするには、Transport Layer Security (TLS) 暗号プロトコルを使用して、攻撃者が送信を傍受しないようにすることができます。
重要
Red Hat Enterprise Linux 6nbsp;Hat Enterprise Linux 6nbsp;LinuxRed Hat Enterprise Linux 6nbsp;6 の OpenLDAP スイートは OpenSSL を使用しなくなりました。代わりに、Network Security Services (NSS)の Mozilla 実装を使用します。OpenLDAP は、引き続き既存の証明書、鍵、およびその他の TLS 設定と連携します。Mozilla 証明書およびキーデータベースを使用する 『ように設定する方法は、「Mozilla NSS で TLS/SSL を使用する方法」を』 参照してください。
重要
Resolution for POODLE SSLv3.0 vulnerability (CVE-2014-3566) for components that do not allow SSLv3 to be disabled via configuration settings(設定から SSLv3 を無効にできないコンポーネントで POODLE SSLv3.0 脆弱性 (CVE-2014-3566) を解決する方法) に説明されている脆弱性により、Red Hat はセキュリティー保護のために
SSLv3 に依存しないことを推奨しています。OpenLDAP は、SSLv3 を効果的に無効にできるようにする設定パラメーターを提供しないシステムコンポーネントの 1 つです。リスクを軽減するには、stunnel コマンドを使用してセキュアなトンネルを提供し、SSLv3 の使用から stunnel を無効にすることが推奨されます。stunnel の使用方法は、『 Red Hat Enterprise Linux 6 セキュリティーガイド』 を参照してください。
LDAPサーバーは、いくつかのデータベースシステムをサポートしているため、管理者は、提供する予定の情報の種類に最適なソリューションを柔軟に選択できます。明確に定義されたクライアントの アプリケーションプログラミングインターフェース (API) により、LDAP サーバーと通信できるアプリケーションの数は多数であり、数量と品質の両方で増加します。
20.1.1.1. LDAP の用語
以下は、本章で使用される LDAP 固有の用語の一覧です。
- entry
- LDAP ディレクトリー内の単一のユニット。各エントリーは、固有の 識別名 (DN) で識別されます。
- attribute
- エントリーに直接関連付けられた情報。たとえば、組織が LDAP エントリーとして表されている場合、この組織に関連付けられている属性にはアドレス、ファx 番号などが含まれます。同様に、個人の電話番号やメールアドレスなどの一般的な属性のエントリーとして、ユーザーを表示することもできます。属性は、単一の値、または順序付けられていないスペースで区切られた値のリストのいずれかを持つことができます。特定の属性は任意ですが、その他は必須です。必要な属性は
objectClassクラス定義を使用して指定し、/etc/openldap/slapd.d/cn=config/cn=schema/ディレクトリーにあるスキーマファイルで確認できます。属性とそれに対応する値のアサーションは、RDN (Relative Distinguished Name) とも呼ばれます。グローバルで一意となる識別名とは異なり、相対識別名はエントリーごとに一意のみになります。 - LDIF
- LDAP データ交換形式 (LDIF) は LDAP エントリーのプレーンテキスト表現です。以下の形式を取ります。
[id] dn: distinguished_name attribute_type: attribute_value attribute_type: attribute_value ...任意の id は、エントリーの編集に使用されるアプリケーションによって決定される数値です。各エントリーには、対応するスキーマファイルにすべて定義されている限り、必要が数の attribute_type と attribute_value のペアを含めることができます。空白行は、エントリーの最後を示します。
20.1.1.2. OpenLDAP の機能
OpenLDAP スイートは、以下の重要な機能を提供します。
- LDAPv3 サポート: LDAP バージョン 2 以降のプロトコルの変更の多くは、LDAP よりセキュアにするように設計されています。また、これには、Simple Authentication and Security Layer(SASL)、Transport Layer Security(TLS)プロトコルのサポートが含まれます。
- LDAP Over IPC: プロセス間の通信 (IPC) を使用すると、ネットワーク上で通信する必要がなくなります。
- IPv6 サポート: OpenLDAP は、インターネットプロトコルの次世代である IPv6 (Internet Protocol version 6) に準拠しています。
- LDIFv1 サポート: OpenLDAP は LDIF バージョン 1 に完全に準拠しています。
- 更新された C API: 現在の C API は、プログラマーが LDAP ディレクトリーサーバーに接続し、使用する方法を向上させます。
- 強化されたスタンドアロン LDAP サーバー: これには、更新されたアクセス制御システム、スレッドプール、より良いツールなどが含まれています。
20.1.1.3. OpenLDAP サーバーの設定
Red Hat Enterprise Linuxnbsp;Hat Enterprise Red Hat Enterprise Linuxnbsp;Linux に LDAP サーバーを設定する一般的な手順は以下のとおりです。
- OpenLDAP スイートをインストールします。必要なパッケージの詳細は、「OpenLDAP スイートのインストール」 を参照してください。
- 「OpenLDAP サーバーの設定」 の説明に従って設定をカスタマイズします。
- 「OpenLDAP サーバーの実行」 の説明に従って
slapdサービスを起動します。 - ldapadd ユーティリティーを使用して、エントリーを LDAP ディレクトリーに追加します。
- ldapsearch ユーティリティーを使用して、
slapdサービスが情報が正しくアクセスされていることを確認します。
20.1.2. OpenLDAP スイートのインストール
OpenLDAP ライブラリーおよびツールのスイートは、以下のパッケージで提供されます。
| パッケージ | 説明 |
|---|---|
| openldap | OpenLDAP サーバーとクライアントアプリケーションの実行に必要なライブラリーを含むパッケージ。 |
| openldap-clients | LDAP サーバーのディレクトリーを表示および変更するコマンドラインユーティリティーを含むパッケージ。 |
| openldap-servers | LDAP サーバーを設定し、実行するサービスとユーティリティーの両方を含むパッケージ。これには、スタンドアロン LDAP デーモン slapd が含まれます。 |
| compat-openldap | OpenLDAP 互換性ライブラリーを含むパッケージ。 |
また、以下のパッケージは、一般的に LDAP サーバーで使用されます。
| パッケージ | 説明 |
|---|---|
| sssd | SSSD(System Security Services Daemon) を含むパッケージ。リモートディレクトリーおよび認証メカニズムへのアクセスを管理するデーモンセットです。システムおよびプラグ可能な認証モジュール(PAM)に Name Service Switch(NSS)インターフェースおよびプラグ可能な認証モジュール(PAM)インターフェースを提供して、複数の異なるアカウントソースに接続します。 |
| mod_authz_ldap | mod_authz_ldap (Apache HTTP Server の LDAP 認証モジュール)が含まれるパッケージ。このモジュールは、サブジェクトとクライアント SSL 証明書の発行者に識別名の短縮形式を使用して、LDAP ディレクトリー内のユーザーの識別名を決定します。また、そのユーザーの LDAP ディレクトリーエントリーの属性に基づいてユーザーを承認し、アセットのユーザーおよびグループの権限に基づいてアセットへのアクセスを判定し、期限切れのパスワードを持つユーザーのアクセスを拒否することもできます。mod_authz_ldap モジュールを使用する場合は mod_ssl モジュールが必要になることに注意してください。
|
これらのパッケージをインストールするには、以下の形式で yum コマンドを使用します。
yum install package
たとえば、基本的な LDAP サーバーインストールを実行するには、シェルプロンプトで以下を入力します。
~]# yum install openldap openldap-clients openldap-servers
このコマンドを実行するには、スーパーユーザーの権限 (つまり
root としてログイン) が必要であることに注意してください。Red Hat Enterprise Linuxnbsp;Hat Enterprise Linuxnbsp;Linux に新しいパッケージをインストールする方法の詳細は、「パッケージのインストール」 を参照してください。
20.1.2.1. OpenLDAP サーバーユーティリティーの概要
管理タスクを実行するには、openldap-servers パッケージにより、
slapd サービスとともに次のユーティリティーがインストールされます。
| コマンド | 説明 |
|---|---|
| slapacl | 属性の一覧へのアクセスを確認できます。 |
| slapadd | LDIF ファイルから LDAP ディレクトリーにエントリーを追加できます。 |
| slapauth | 認証および承認権限のIDのリストを確認できます。 |
| slapcat | デフォルト形式の LDAP ディレクトリーからエントリーを取得し、LDIF ファイルに保存できます。 |
| slapdn | 利用可能なスキーマ構文に基づいて、識別名(DN)の一覧を確認できます。 |
| slapindex | 現在の内容に基づいて slapd ディレクトリーを再インデックス化できます。設定ファイルのインデックスオプションを変更する場合に、このユーティリティーを実行します。 |
| slappasswd | ldapmodify ユーティリティーまたは slapd 設定ファイルで使用する暗号化されたユーザーパスワードを作成できます。 |
| slapschema | 対応するスキーマでデータベースのコンプライアンスを確認できます。 |
| slaptest | LDAP サーバー設定を確認できるようにします。 |
これらのユーティリティーとその使用方法の詳細な説明は、「インストールされているドキュメント」 と呼ばれる対応する man ページを参照してください。
ファイルに正しい所有者があることを確認します。
slapadd を実行できるのは
root のみですが、slapd サービスは ldap ユーザーとして実行します。このため、ディレクトリーサーバーは slapadd により作成されたファイルを変更できません。この問題を修正するには、slapd ユーティリティーを実行した後に、シェルプロンプトで以下を入力します。
~]# chown -R ldap:ldap /var/lib/ldapこれらのユーティリティーを使用する前に slapd を停止する
データの整合性を保持するには、slapadd、slapcat、または slapindex を使用する前に
slapd サービスを停止します。これを行うには、シェルプロンプトで以下を実行できます。
~]# service slapd stop
Stopping slapd: [ OK ]slapd サービスの現在の状態の開始、停止、再起動、および確認の方法は、「OpenLDAP サーバーの実行」 を参照してください。
20.1.2.2. OpenLDAP クライアントユーティリティーの概要
openldap-clients パッケージは、LDAP ディレクトリーのエントリーの追加、変更、および削除に使用できる以下のユーティリティーをインストールします。
| コマンド | 説明 |
|---|---|
| ldapadd | エントリーは、ファイルまたは標準入力から LDAP ディレクトリーに追加できます。ldapmodify -a へのシンボリックリンクです。 |
| ldapcompare | 指定属性を LDAP ディレクトリーエントリーと比較できます。 |
| ldapdelete | LDAP ディレクトリーからエントリーを削除できます。 |
| ldapexop | 拡張 LDAP 操作を実行できます。 |
| ldapmodify | LDAP ディレクトリー(ファイルまたは標準入力のいずれか)のエントリーを変更できます。 |
| ldapmodrdn | LDAP ディレクトリーエントリーの RDN 値を変更できます。 |
| ldappasswd | LDAP ユーザーのパスワードを設定または変更できるようにします。 |
| ldapsearch | LDAP ディレクトリーエントリーを検索できます。 |
| ldapurl | LDAP URL の組み立てまたは分解を可能にします。 |
| ldapwhoami | LDAP サーバーで whoami 操作を実行できます。 |
ldapsearch の例外により、各ユーティリティーは、LDAP ディレクトリー内で変更する各エントリーに対してコマンドを入力するのではなく、変更を含むファイルを参照することで簡単に使用できます。このようなファイルの形式は、各ユーティリティーの man ページで説明されています。
20.1.2.3. 共通 LDAP クライアントアプリケーションの概要
サーバー上でディレクトリーを作成して変更できる各種のグラフィカル LDAP クライアントがありますが、Red Hat Enterprise Linuxnbsp;Hat Enterprise Linuxnbsp;Linux にはこれらは含まれません。読み取り専用モードでディレクトリーにアクセスできる一般的なアプリケーションには、Mozilla Thunderbird、Evolution、Ekiga が含まれます。
20.1.3. OpenLDAP サーバーの設定
デフォルトでは、OpenLDAP は設定を
/etc/openldap/ ディレクトリーに保存します。表20.5「OpenLDAP 設定ファイルとディレクトリーの一覧」 このディレクトリー内の最も重要なファイルおよびディレクトリーを強調表示します。
| パス | 説明 |
|---|---|
/etc/openldap/ldap.conf | OpenLDAP ライブラリーを使用するクライアントアプリケーションの設定ファイルこれには ldapadd、ldapsearch、Evolution などが含まれます。 |
/etc/openldap/slapd.d/ | slapd 設定が含まれるディレクトリー。 |
Red Hat Enterprise Linux 6nbsp;Hat Enterprise Linux 6nbsp;LinuxRed Hat Enterprise Linux 6nbsp;6 では、
slapd サービスは /etc/openldap/slapd.d/ ディレクトリーにある設定データベースを使用し、このディレクトリーが存在しない場合は、古い /etc/openldap/slapd.conf 設定ファイルのみを読み取ります。以前のインストールの既存の slapd.conf ファイルがある場合は、次にこのパッケージを更新する際に openldap-servers パッケージが新しい形式に変換するか、root で次のコマンドを実行します。
~]# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/slapd 設定は、階層的なディレクトリー構造で整理された LDIF エントリーで構成されます。これらのエントリーを編集する方法として、「OpenLDAP サーバーユーティリティーの概要」 に記載されているサーバーユーティリティーを使用することが推奨されます。
LDIF ファイルを直接編集しないでください。
LDIF ファイルのエラーは、
slapd サービスを起動できない場合があります。このため、/etc/openldap/slapd.d/ ディレクトリーの LDIF ファイルを直接編集しないことが強く推奨されます。
20.1.3.1. グローバル設定の変更
LDAP サーバーのグローバル設定オプションは、
/etc/openldap/slapd.d/cn=config.ldif ファイルに保存されます。一般的には、以下のディレクティブが使用されます。
-
olcAllows olcAllowsディレクティブを使用すると、有効にする機能を指定できます。以下の形式を取ります。olcAllows: feature表20.6「利用可能なolcAllows オプション」 に記載されている、スペースで区切られた機能のリストを受け入れます。デフォルトオプションはbind_v2です。表20.6 利用可能なolcAllows オプション オプション 説明 bind_v2LDAP バージョン 2 バインド要求の受け入れを有効にします。 bind_anon_cred識別名(DN) が空でない場合は匿名バインドを有効にします。 bind_anon_dn識別名(DN) が空 でない 場合は匿名バインドを有効にします。 update_anon匿名更新操作の処理を有効にします。 proxy_authz_anon匿名プロキシーの承認制御の処理を有効にします。 例20.1 olcAllows ディレクティブの使用
olcAllows: bind_v2 update_anon
-
olcConnMaxPending olcConnMaxPendingディレクティブを使用すると、匿名セッションの保留中の要求の最大数を指定できます。以下の形式を取ります。olcConnMaxPending: numberデフォルトオプションは100です。例20.2 olcConnMaxPending ディレクティブの使用
olcConnMaxPending: 100
-
olcConnMaxPendingAuth olcConnMaxPendingAuthディレクティブを使用すると、認証されたセッションの保留中のリクエストの最大数を指定できます。以下の形式を取ります。olcConnMaxPendingAuth: numberデフォルトオプションは1000です。例20.3 olcConnMaxPendingAuth ディレクティブの使用
olcConnMaxPendingAuth: 1000
-
olcDisallows olcDisallowsディレクティブを使用すると、無効にする機能を指定できます。以下の形式を取ります。olcDisallows: feature表20.7「利用可能な olcDisallows オプション」 に記載されている、スペースで区切られた機能のリストを受け入れます。デフォルトでは、機能は無効になりません。表20.7 利用可能な olcDisallows オプション オプション 説明 bind_anon匿名バインド要求の受け入れを無効にします。 bind_simple簡単なバインド認証メカニズムを無効にします。 tls_2_anonSTARTTLS コマンドを受け取ると、匿名セッションの強制を無効にします。 tls_authc認証時に STARTTLS コマンドを許可しません。 例20.4 olcDisallows ディレクティブの使用
olcDisallows: bind_anon
-
olcIdleTimeout olcIdleTimeoutディレクティブを使用すると、アイドル状態の接続を閉じる前に待機する秒数を指定できます。以下の形式を取ります。olcIdleTimeout: numberこのオプションは、デフォルトでは無効になっています (つまり0に設定されます)。例20.5 olcIdleTimeout ディレクティブの使用
olcIdleTimeout: 180
-
olcLogFile olcLogFileディレクティブを使用すると、ログメッセージを書き込むファイルを指定できます。以下の形式を取ります。olcLogFile: file_nameログメッセージはデフォルトで標準エラーに書き込まれます。例20.6 olcLogFile ディレクティブの使用
olcLogFile: /var/log/slapd.log
-
olcReferral olcReferralオプションでは、サーバーがこれを処理できない場合に、要求を処理するサーバーの URL を指定できます。以下の形式を取ります。olcReferral: URLこのオプションはデフォルトで無効になっています。例20.7 olcReferral ディレクティブの使用
olcReferral: ldap://root.openldap.org
-
olcWriteTimeout olcWriteTimeoutオプションでは、未処理の書き込み要求との接続を閉じる前に待機する秒数を指定できます。以下の形式を取ります。olcWriteTimeoutこのオプションは、デフォルトでは無効になっています (つまり0に設定されます)。例20.8 olcWriteTimeout ディレクティブの使用
olcWriteTimeout: 180
20.1.3.2. データベース固有の設定の変更
デフォルトでは、OpenLDAP サーバーは Berkeley DB(BDB)をデータベースバックエンドとして使用します。このデータベースの設定は、
/etc/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif ファイルに保存されます。以下のディレクティブは、データベース固有の設定で一般的に使用されます。
-
olcReadOnly olcReadOnlyディレクティブを使用すると、データベースを読み取り専用モードで使用できます。以下の形式を取ります。olcReadOnly: booleanTRUE(読み取り専用モードを有効) またはFALSE(データベースの変更を有効) のいずれかを受け入れます。デフォルトのオプションはFALSEです。例20.9 olcReadOnly ディレクティブの使用
olcReadOnly: TRUE
-
olcRootDN olcRootDNディレクティブを使用すると、LDAP ディレクトリー上の操作に設定されたアクセス制御または管理制限パラメーターが無制限のユーザーを指定できます。以下の形式を取ります。olcRootDN: distinguished_name識別名 (DN) を受け入れます。デフォルトのオプションはcn=Manager,dc=my-domain,dc=comです。例20.10 olcRootDN ディレクティブの使用
olcRootDN: cn=root,dc=example,dc=com
-
olcRootPW olcRootPWディレクティブを使用すると、olcRootDNディレクティブを使用して指定されるユーザーのパスワードを設定できます。以下の形式を取ります。olcRootPW: passwordプレーンテキストの文字列またはハッシュのいずれかを指定できます。ハッシュを生成するには、シェルプロンプトで以下を入力します。~]$ slappaswd New password: Re-enter new password: {SSHA}WczWsyPEnMchFf1GRTweq2q7XJcvmSxD例20.11 olcRootPW ディレクティブの使用
olcRootPW: {SSHA}WczWsyPEnMchFf1GRTweq2q7XJcvmSxD-
olcSuffix olcSuffixディレクティブでは、情報を提供するドメインを指定できます。以下の形式を取ります。olcSuffix: domain_name完全修飾ドメイン名 (FQDN) を受け入れます。デフォルトのオプションはdc=my-domain,dc=comです。例20.12 olcSuffix ディレクティブの使用
olcSuffix: dc=example,dc=com
20.1.3.3. スキーマの拡張
OpenLDAP 2.3 以降、
/etc/openldap/slapd.d/cn=config/cn=schema/ ディレクトリーには、/etc/openldap/schema/ に以前あった LDAP 定義も含まれます。OpenLDAPで使用されるスキーマを拡張して、デフォルトのスキーマファイルをガイドとして使用して、追加の属性タイプとオブジェクトクラスをサポートすることができます。ただし、このタスクは本章の範囲外です。このトピックに関する詳細は を参照してください http://www.openldap.org/doc/admin/schema.html。
20.1.4. OpenLDAP サーバーの実行
本セクションでは、スタンドアロンの LDAP デーモン を起動、停止、再起動、および現在のステータスの確認を行う方法を説明します。システムサービスの管理全般に関する詳細情報は、12章サービスおよびデーモン を参照してください。
20.1.4.1. サービスの起動
slapd サービスを実行するには、シェルプロンプトで以下を入力します。
~]# service slapd start
Starting slapd: [ OK ]
システムの起動時にサービスを自動的に起動するようにするには、以下のコマンドを使用します。
~]# chkconfig slapd on
「サービスの有効化および無効化」 で説明されているように、Service Configuration ユーティリティーを使用することもできます。
20.1.4.2. サービスの停止
実行中の
slapd サービスを停止するには、シェルプロンプトで以下を入力します。
~]# service slapd stop
Stopping slapd: [ OK ]
システムの起動時にサービスが自動的に起動しないようにするには、以下を入力します。
~]# chkconfig slapd off
または、「サービスの有効化および無効化」 の説明に従って Service Configuration ユーティリティーを使用できます。
20.1.4.3. サービスの再起動
実行中の
slapd サービスを再起動するには、シェルプロンプトで以下を入力します。
~]# service slapd restart
Stopping slapd: [ OK ]
Starting slapd: [ OK ]
これにより、サービスが停止し、再起動します。以下のコマンドを使用して、設定を再読み込みします。
20.1.4.4. サービスステータスの確認
サービスが実行中かどうかを確認するには、シェルプロンプトで以下を入力します。
~]# service slapd status
slapd (pid 3672) is running...20.1.5. OpenLDAP を使用してシステムを認証するためのシステムの設定
OpenLDAP を使用してシステムを認証するように設定するには、適切なパッケージが LDAP サーバーとクライアントマシンの両方にインストールされていることを確認してください。サーバーの設定方法は、「OpenLDAP スイートのインストール」 および 「OpenLDAP サーバーの設定」 の手順に従います。クライアントで、シェルプロンプトで以下を入力します。
~]# yum install openldap openldap-clients sssd
13章認証の設定 では、認証に LDAP を使用するようにアプリケーションを設定する方法に関する詳細な手順を説明します。
20.1.5.1. 以前の認証情報の LDAP 形式への移行
migrationtools パッケージは、認証情報を LDAP 形式に移行するのに役立つシェルおよび Perl スクリプトのセットを提供します。このパッケージをインストールするには、シェルプロンプトで以下を入力します。
~]# yum install migrationtools
これにより、スクリプトが
/usr/share/migrationtools/ ディレクトリーにインストールされます。インストールが完了したら、/usr/share/migrationtools/migrate_common.ph ファイルを編集し、以下の行を変更して正しいドメインを反映させます。
# Default DNS domain $DEFAULT_MAIL_DOMAIN = "example.com"; # Default base $DEFAULT_BASE = "dc=example,dc=com";
または、コマンドラインで直接環境変数を指定することもできます。たとえば、デフォルトのベースを
dc=example,dc=com に設定して migrate_all_online.sh スクリプトを実行するには、以下を入力します。
~]# export DEFAULT_BASE="dc=example,dc=com" \ /usr/share/migrationtools/migrate_all_online.sh
ユーザーデータベースを移行するために実行するスクリプトを決定するには、表20.8「一般的に使用される LDAP 移行スクリプト」 を参照してください。
| 既存のネームサービス | LDAP が実行しているか? | 使用するスクリプト |
|---|---|---|
/etc フラットファイル | はい | migrate_all_online.sh |
/etc フラットファイル | いいえ | migrate_all_offline.sh |
| NetInfo | はい | migrate_all_netinfo_online.sh |
| NetInfo | いいえ | migrate_all_netinfo_offline.sh |
| NIS (YP) | はい | migrate_all_nis_online.sh |
| NIS (YP) | いいえ | migrate_all_nis_offline.sh |
このスクリプトの使用方法は、
/usr/share/doc/migrationtools-version/ ディレクトリーの README ファイルおよび migration-tools.txt ファイルを参照してください。
20.1.6. その他のリソース
以下のリソースは、Lightweight Directory Access Protocol に関する追加情報を提供します。システムで LDAP を設定する前に、『OpenLDAP Software 管理者ガイド』 など、これらのリソースを確認することを強く推奨します。
20.1.6.1. インストールされているドキュメント
以下のドキュメントは、openldap-servers パッケージでインストールされます。
/usr/share/doc/openldap-servers-version/guide.html- 『OpenLDAP ソフトウェアチャンネルのガイド の』 コピー。
/usr/share/doc/openldap-servers-version/README.schema- インストールされたスキーマファイルの説明が含まれる README ファイル。
また、パッケージ openldap、openldap-servers、および openldap-clientsでインストールされる man ページも多数あります。
- クライアントアプリケーション
- man ldapadd: LDAP ディレクトリーにエントリーを追加する方法を説明します。
- man ldapdelete: LDAP ディレクトリー内のエントリーを削除する方法を説明します。
- man ldapmodify: LDAP ディレクトリー内のエントリーを変更する方法を説明しています。
- man ldapsearch: LDAP ディレクトリー内のエントリーの検索方法を説明します。
- man ldappasswd: LDAP ユーザーのパスワードを設定または変更する方法を説明します。
- man ldapcompare: ldapcompare ツールの使用方法について説明しています。
- man ldapwhoami: ldapwhoami ツールの使用方法について説明しています。
- man ldapmodrdn: エントリーの RDN を変更する方法を説明しています。
- サーバーアプリケーション
- man slapd: LDAP サーバーのコマンドラインオプションを説明しています。
- 管理アプリケーション
- man slapadd: slapd データベースにエントリーを追加するために使用されるコマンドラインオプションを説明しています。
- man slapcat: slapd データベースから LDIF ファイルを生成するために使用されるコマンドラインオプションを説明しています。
- man slapindex: slapd データベースの内容に基づいてインデックスを再生成するために使用されるコマンドラインオプションを説明しています。
- man slappasswd: LDAP ディレクトリーのユーザーパスワードを生成するのに使用されるコマンドラインオプションを説明しています。
- 設定ファイル
- man ldap.conf: LDAP クライアントの設定ファイルで利用可能な形式とオプションを説明しています。
- man slapd-config: 設定ディレクトリー内で利用可能な形式とオプションを説明しています。
20.1.6.2. 便利な Web サイト
- http://www.openldap.org/doc/admin24/
- 『OpenLDAP ソフトウェアチャンネルガイドの』 現行バージョン
