LDAP のホスト・アクセス制御

AIX®は、システムのユーザーレベルのホストアクセス（ログイン）制御を提供する。 管理者は、 SYSTEM 属性を LDAP に設定することにより、 AIX システムにログインするように LDAP ユーザーを構成できます。

SYSTEM 属性は /etc/security/user ファイル内にあります。 属性の値を設定するには、次のように chuser コマンドを使用することができます。

# chuser -R LDAP SYSTEM=LDAP registry=LDAP foo 

これで、ユーザー foo がこのシステムにログインできるように LDAP 属性が設定されます。 また、レジストリーが LDAP に設定されます。これにより、ログイン・プロセスで foo のログイン試行が LDAP に記録できるようになり、さらに、LDAP で行われるすべてのユーザー管理タスクが可能になります。

特定のユーザーがログインできるように、 管理者は各クライアント・システムでそのようなセットアップを実行する必要があります。

AIXには、LDAPユーザーが特定のLDAPクライアント・システムにしかログインできないように制限する機能がある。 このフィーチャーにより、ホスト・アクセス制御の管理を集中化することができます。 管理者は、 ユーザー・アカウントに 2 つのホスト・アクセス制御リスト (許可リストと拒否リスト) を指定できます。 これらの 2 つのユーザー属性は、ユーザー・アカウントとともに LDAP サーバーに保管されます。 ユーザーは許可リストで指定されているシステムまたはネットワークにアクセスできるのに対し、 拒否リスト内のシステムまたはネットワークへのアクセスは拒否されます。 システムが許可リストと拒否リストの両方で指定されている場合、 ユーザーはシステムへのアクセスを拒否されます。 ユーザーがアクセス・リストを指定するには 2 とおりの方法があります。ユーザーの作成時に mkuser コマンドを使用する方法と、既存のユーザーに chuser コマンドを使用する方法です。 ユーザーに許可リストと拒否リストが両方ともない場合、後方互換性のために、 デフォルトでユーザーはすべての LDAP クライアント・システムへのログインを許可されます。

ユーザーの許可リストおよび拒否リストの設定の例を、以下に示します。

# mkuser -R LDAP hostsallowedlogin=host1,host2 foo 

これにより、ユーザー foo が作成され、ユーザー foo に、host1 および host2 へのログインだけが許可されます。

# mkuser -R LDAP hostsdeniedlogin=host2 foo

これにより、ユーザー foo が作成され、ユーザー foo に host2 以外のすべての LDAP クライアント・システムへのログインが許可されます。

# chuser -R LDAP hostsallowedlogin=192.9.200.1 foo 

これにより、アドレス 192.9.200.1でクライアント・システムにログインする権限を持つユーザー foo が設定されます。

# chuser -R LDAP hostsallowedlogin=192.9.200/24 hostsdeniedlogin=192.9.200.1 foo

これにより、アドレス 192.9.200.1のクライアント・システムを除く、 192.9.200/24 サブネット内のすべてのクライアント・システムにログインする権限を持つユーザー foo が設定されます。

詳しくは、 chuser コマンドを参照してください。