sebuildla ユーティリティ - lookaside データベースの作成
UNIX で該当
capamsc141
UNIX で該当
sebuildla ユーティリティは、
CA Privileged Access Manager
の seosd デーモンで使用される lookaside データベースを作成します。seosd デーモンは、lookaside データベースを使用して、UNIX UID をユーザ名に、GID をグループ名に、ホストの IP アドレスをホスト名に、およびサービス ポートをポート名にそれぞれ変換します。このデータベースには、名前を変換するための数値のみが含まれています。sebuildla を使用すると、LDAP ディレクトリ情報ツリー(DIT)からユーザ lookaside データベースに情報を追加することもできます。 sebuildla および必要な LDAP 設定をセットアップするには、LDAP をよく理解していて、ldapsearch コマンドを実行できる必要があります。ldap (1)、ldapsearch (1)についての man ページ、および LDAP クライアント用のマニュアルでセットアップの説明を参照することをお勧めします。また、sebuildla を使用して lookaside データベースを作成する前に、その lookaside データベースの完全パスを lookaside_path 構成設定に指定できます。
初めて lookaside データベースを作成する場合は、以下のコマンドを実行します。
sebuildla -a
このコマンドによって、データベースの
すべての
コンポーネントが作成されます。このデータベースの各ファイルは、適切なスイッチを使用して後で更新できます。CA Privileged Access Manager
を NIS サーバ、NIS+ サーバ、または DNS サーバにインストールした場合は、sebuildla ユーティリティの呼び出しを、関連する makefile に挿入します。デフォルトでは、lookaside データベース ファイル(groupdb.la、hostdb.la、servdb.la、および userdb.la)は、sebuildla プログラムによるアクセスを除くすべてのユーザ アクセスから保護されています。
sebuildla ユーティリティは、/etc ファイルや NIS などのシステムの解決メカニズムをスキャンして、lookaside データベースを作成します。
- sebuildla は /etc/resolv.conf を読み取り、使用したドメイン名を取得します。CA Privileged Access Managerがホスト名を完全修飾名に解決するには、resolv.conf ファイルに定義済みのドメイン設定オプションまたは検索設定オプションが含まれている必要があります。resolv.conf ファイルの詳細については、このファイルの man ページを参照してください。
- sebuildla はシステム解決オプションを使用して、lookaside データベースを作成します(通常、これはネットワーク キャッシング デーモンです)。
- CA Privileged Access Managerは、(ネットワーク キャッシング デーモンまたはその他のシステム解決オプションに)/etc/nsswitch.conf ファイルを使用して、データを取得する場所を決定します。
たとえば、/etc/nsswitch.conf ファイルにホストに関する以下の行が含まれている場合、情報はまずローカル コンピュータのファイル(/etc/hosts)から取得されます。その後、DNS、NIS から順に情報が取得されます。
hosts: files dns nis
ファイルに以下の行が含まれている場合、情報はローカル コンピュータのファイルからのみ取得されます。lookaside データベースには、/etc/hosts 内のホストのみが含まれます。
hosts: files
ホストに完全修飾名がある場合、sebuildla はその完全修飾名を使用します。
コンピュータの環境設定の違いが原因で、sebuildla でローカル環境名が一部表示されない場合があります。その場合は、sebuildla を使用して、必要なすべてのエントリをリスト ファイルからロードすることができます。これを行うには、各オブジェクト名が別々の行に指定されたリスト ファイルを作成します。sebuildla はこのリスト ファイルを読み取り、必要に応じて、そのリストファイル内のすべてのオブジェクトが、関連する lookaside データベースに追加されたことを確認します。sebuildla では、重複したオブジェクトは無視されます。
以下の表に、sebuildla が各 lookaside データベースの作成に使用するファイルを示します。
リスト ファイル内のオブジェクト | 追加先データベース |
ACInstallDir /ladb/userlist | ユーザの lookaside データベース |
ACInstallDir /ladb/grouplist | グループの lookaside データベース |
ACInstallDir /ladb/hostlist | ホストの lookaside データベース |
ACInstallDir /ladb/servlist | サービスの lookaside データベース |
ACInstallDir
/ladb ディレクトリにあるファイルの形式は、以下のとおりです。- sebuildla では、空白行と、感嘆符(!)、番号記号(#)、またはセミコロン(;)で始まる行は無視されます。
- その他の行は、sebuildla が適切な lookaside データベースに追加する必要があるエントリを示します(エントリが解決できる場合)。
- ユーザ名、グループ名、ホスト名、またはサービス名は、行の先頭から開始する必要があります。
リスト ファイルの作成には dbmgr -dump -r を使用できます。たとえば、ローカル データベースの HOST クラスに定義されているホストのリストを作成するには、以下のように入力します。
dbmgr -dump -r l HOST > /opt/CA/PAMSC/ladb/hostlist
-l スイッチを指定すると、各ホスト エントリを取得するたびにその FQDN を DNS サーバに問い合わせる代わりに、デフォルト ドメイン内の全ホストのリストに対する要求が DNS から一括して行われます。高速ロード オプションは、DNS がインストールされている場合にのみ有効です。完全修飾されるのは、デフォルト ドメイン内のホスト名のみです。完全修飾名は、そのままの状態です。システム メカニズムでスキャンされた完全修飾されていないホスト名およびデフォルト ドメインにないホスト名は、未修飾のままです。hostlist ファイルからロードされた完全修飾されていないホスト名は除外されます。
このコマンドの形式は以下のようになります。
sebuildla switch [options]
- switchsebuildla ユーティリティの操作モードを指定します。以下のいずれかを指定できます。
- -aすべての lookaside データベース ファイルを作成します。
- -eDNS を除く、ホストの lookaside データベース ファイルを作成します。
- -gグループの lookaside データベース ファイルを作成します。
- -hDNS でホストの lookaside データベース ファイルを作成します。
- -helpこのユーティリティのヘルプ画面を表示します。
- -nLDAP ディレクトリ情報ツリー(DIT)から情報を収集し、プライマリ ユーザ データ ソース(-u スイッチ)から作成したユーザの lookaside データベースにその情報を追加します。このスイッチは、-u スイッチまたは -a スイッチと共に使用できます。このため、LDAP DIT が、追加のユーザ データを提供し、システムのネーミング サービスとして使用されない場合は、最も便利なスイッチとなります。このスイッチを使用する前に、以下の手順に従います。
- CA Privileged Access Managerが LDAP サービスを検索できるように、seos.ini ファイルの ldap_base、ldap_hostname、および ldap_userdn の各トークンを設定します。
- seldapcred ユーティリティを実行して、暗号化された LDAP パスワードを格納します。
- (オプション)ldap_port トークンおよび ldap_timeout トークンを現在の環境に設定します。LDAP サービスから情報を取得する際にかかる時間は、LDAP サービスの実行速度、および DIT に格納されているユーザ データ量によって異なります。これらのことを考慮した上で、seos.ini ファイルの [seos] セクション内の ldap_timeout トークンを調整します。
- (オプション)標準以外のスキーマを使用している場合は、ldap_uid_attr、ldap_uidNumber_attr、および ldap_user_class の各トークンを設定します。
- -sサービスの lookaside データベース ファイルを作成します。
- -uユーザの lookaside データベース ファイルを作成します。-n スイッチを -u スイッチと共に指定して、LDAP サービスから収集したユーザ データを追加することができます。
- -Gグループの lookaside データベース ファイルの内容を一覧表示します。
- -H [IPv4 | IPv6]ホストの lookaside データベース ファイルの内容を一覧表示します。
- -Sサービスの lookaside データベース ファイルの内容を一覧表示します。
- -Uユーザの lookaside データベース ファイルの内容を一覧表示します。
- オプションユーティリティが情報を表示する方法を変更する、オプションの修飾子を定義します。以下の 1 つまたは複数の修飾子を指定できます。
- -lリスト ファイルのみを使用して lookaside データベースをロードします。この場合、システムの解決メカニズムは除外されます。
- -f-h スイッチを使用して、lookaside データベース(ホストのみ)を高速でロードします。