LDAP との連携

このトピックでは、 が LDAP と対話する方法について説明します。
capamsc141
このトピックでは、
PAM Server Control
が LDAP と対話する方法について説明します。
ユーザ名の転送
PAM Server Control
 と LDAP の両方を使用している場合は、独自に作成したスクリプトを使用して、両者の間でユーザ名を転送できます。サンプル スクリプトは、3 つ用意されています。
 
警告:
sebuildla および必要な LDAP 設定をセットアップするには、ldapsearch コマンドを実行します。ldap(1)、ldapsearch(1)についての man ページ、および LDAP クライアント用のマニュアルでセットアップの説明を参照することをお勧めします。
用意されているスクリプトのうち 2 つのスクリプト(ldap2seos および seos2ldap)では、ユーザのセット全体を、
PAM Server Control
から LDAP サーバにエクスポート(seos2ldap)し、LDAP サーバから
PAM Server Control
にインポート(ldap2seos)します。
3 つ目つのサンプル スクリプト S50CREATE_Ldap_u.sh では、新規 UNIX ユーザ名の作成時にそのユーザ名を
PAM Server Control
から LDAP に自動的に転送します。
サンプル スクリプトでは、Language Client API(LCA)ライブラリ拡張である tcllca.so を使用するため、TCL シェル環境にアクセスする必要があります。
 
注:
LCA および TCL 拡張の詳細については、「SDK 開発者ガイド
」の第5章「Language Client API」および付録A「LCA拡張機能」を参照してください。
TCL がない場合は、comp.lang.t_c_l に毎月掲示される Larry Virden による FAQ を参照してください。この FAQ は MIT Web サイトおよび Terafirm Web サイトで参照できます。
また、TCL に関するニュース、ドキュメント、およびリソースについても、Sun の Web サイトで参照できます。
S50CREATE_Ldap_u.sh
S50CREATE_Ldap_u は、新規 UNIX ユーザが作成されると、そのユーザを LDAP にアップロードします。
PAM Server Control
には、新規 UNIX ユーザを LDAP サーバに自動的にインポートするサンプル シェル スクリプトが用意されています。実際に必要なスクリプトは、サンプルとは異なる場合があります。
サンプル シェル スクリプトを使用するには、用意されている exit スクリプトをすでに使用していることを前提として、以下の手順に従います。
  1. S50CREATE_Ldap_u.sh ファイルをディレクトリ
    ACInstallDir
    /exits/USER_POST にコピーします。このディレクトリでは、スクリプトが post-user exit になります。
  2. seos.ini ファイルの[ldap]で、base_entry トークンに LDAP 基本エントリを設定します。
    たとえば、カナダにある ServerWorld という組織の場合、基本エントリは o=ServerWorld, c=CA となります。
  3. 同じセクションで、ホスト名として LDAP サーバのホスト名を設定します。LDAP 基本ディレクトリのパスを設定します(サンプル スクリプトにより、そのディレクトリの下の bin ディレクトリでライン コマンド ユーティリティが検索されます)。
Common Name(cn)はユーザのフルネームから取得されます。たとえば、
PAM Server Control
データベースにユーザの名前と姓のみが格納されている場合、Common Name はユーザの名前と姓で構成されます。ユーザは Common Name にロックされます。したがって、Common Name はユーザ名を基準にしないことをお勧めします。
その後で selang を使用して UNIX に追加される各ユーザは、自動的に LDAP サーバにアップロードされます。ユーザがすでに LDAP に存在する場合は、エラー メッセージが表示されます。
このスクリプトを使用してユーザを追加した場合、関連する LDAP の応答および警告が /tmp/add_User2Ldap.tcl.log ファイルに収集されます。このファイルにエラーがあるかどうかは、vi またはその他 UNIX の標準エディタを使用して確認できます。このファイルは、新規ユーザを追加するたびに、新しい応答および警告によって上書きされます。