LDAP サーバー

mksecldap -s コマンドは、 AIX® システムをセキュリティー認証およびデータ管理のための LDAP サーバーとしてセットアップします。

以下のタスクを実行します。

-S オプションを指定して RFC2307AIX スキーマを使用します。
SSL (Secure Sockets Layer) を使用するサーバーの設定には、-k オプションを使用します。この処理では、GSKit V8 ファイルセットおよび idsldap.clt_max_crypto32bit63.rte ファイルセット (32 ビット・システムの場合) または idsldap.clt_max_crypto64bit63.rte ファイルセット (64 ビット・システムの場合) をインストールする必要があります。ディレクトリー・サーバー用の鍵ペアを生成する場合は、ikeyman ユーティリティーを使用します。

評価の要件を満たすために、LDAP ユーザー・オプションを設定する必要があります。 RFC2370AIX スキーマにはユーザー属性を定義します。 BAS/EAL4+ システム構成の説明と同じ値を使用します。 Tivoli® Directory Server 管理者は自分のパスワードの定期的な変更を強制されません (例えば、管理パスワードに対する MaxAge 値がありません)。このために、LDAP 管理パスワードは AIX ユーザー (MaxAge = 8 (週)) と同じくらい頻繁に変更する必要があります。

Tivoli Directory Server 6.3 では、認証障害の処理はディレクトリー管理者または管理グループのメンバーに適用されません。パスワードの構成ルールも管理アカウントに適用されません。 Tivoli Directory Server 6.3 が使用される場合は、必ずこれらのルールに従ってください。

管理者がユーザー管理のために共通の LDAP データベース・バックエンドを使用しない場合でも、管理者は、ユーザー資格情報が収められているデータベースが 1 つのネットワーク内の異なる TCP オフロード・エンジン (TOE) システム部分の間で確実に整合性が維持されるようにする必要があります。以下に例を示します。

/etc/group
/etc/passwd
/etc/security/.ids
/etc/security/.profile
/etc/security/environ
/etc/security/group
/etc/security/limits
/etc/security/passwd
/etc/security/user