ldap2seos スクリプト - LDAP からユーザを取得して CA Privileged Access Manager Server Control に追加
UNIX で該当
capamsc141
UNIX で該当
ldap2seos ユーティリティは、サーバ ホストにある LDAP データベースからユーザを抽出して、
CA Privileged Access Manager
データベースに追加します。CA Privileged Access Manager
では、LDAP ユーザ ストアがオペレーティング システムによって使用される場合(つまり、エンタープライズ ユーザ ストアの場合)、LDAP ユーザをインポートせずに直接使用できます。ldap2seos ユーティリティの代わりに、CA Privileged Access Manager
のこの機能を使用することも検討してください。ldap2seos ユーティリティを実行すると、定義されたユーザに関する情報が LDAP サーバから抽出されます。抽出された情報を使用して、データベースにユーザを追加する selang のコマンドが自動的に実行されます。生成されたコマンドは標準出力にも記録され、/tmp/ldap2seos.tcl.log というファイルに自動的に保存されます。
このユーティリティでは TCL シェル環境にアクセスする必要があります。ldap2seos スクリプトでは、TCL シェルのパスが /usr/local/bin/tclsh であるとみなされます。TCL シェルが他の場所にある場合は、スクリプトの最初の行を変更します。
このユーティリティが正常に機能するには、
CA Privileged Access Manager
が実行されている必要があります。このユーティリティはデータベースを更新するため、ADMIN 権限を持つユーザが実行する必要があります。また、このユーザは LDAP データベース設定で検索クエリの実行が許可されている必要があります。このスクリプトの構文は以下のとおりです。
ldap2seos [options]
- -accfldaccount-fieldCA Privileged Access Managerのユーザ ID が格納されている LDAP フィールド名を指定します。UNIX ユーザ ID が LDAP ユーザ ID フィールド内に指定されている場合、このオプションは不要です。UNIX ユーザ ID がユーザ ID フィールド以外の LDAP フィールドに割り当てられている場合は、その LDAP フィールドをaccount-fieldとして指定します。このように指定すると、LDAP ユーザ ID フィールドは無視されます。このスクリプトでユーザ ID を検出できない場合、ユーザはCA Privileged Access Managerデータベースにアップロードされません。
- -bbase-entryユーザが抽出される LDAP データベースの基本エントリを指定します。このエントリは、LDAP データベース内で有効である必要があります。基本エントリを省略した場合は、デフォルトの基本エントリを使用してユーザが抽出されます。
- -ddn-wスイッチで別のユーザとして LDAP への認証を行う際に使用されるエントリ名を指定します。これが最も必要になるのは、ADMIN ユーザとして LDAP にログインする場合です。
- -ffilenameLDAP サーバから取得したデータを一時的に格納するファイルを指定します。
- -hこのユーティリティのヘルプを表示します。ヘルプ画面には seos2ldap の使用法およびオプションの一覧と説明が表示されます。
- -hldap-hostLDAP データベースが格納されているホストの名前を指定します。デフォルトは、ローカル ホストです。
- -lldap-dirbin サブディレクトリにあると想定される、ライン コマンド ユーティリティが格納されているディレクトリを指定します。デフォルトでは /usr/local/ldap です。
- -pportLDAP で接続に使用されるポートを指定します。デフォルトでは 389 です。
- -u-h と同様にヘルプを表示します。ヘルプ画面には seos2ldap の使用法およびオプションの一覧と説明が表示されます。
- -wbindpasswdユーザ パスワードを指定します。LDAP データベースにアクセスするための認証が必要な場合に、-d オプション付きで使用します。
例: ユーザ情報の抽出
以下のコマンドは、ホスト myhost.mysite.com にある LDAP データベースからユーザに関する情報を抽出し、その情報を
CA Privileged Access Manager
データベースに追加します。ldap2seos -h myhost.mysite.com