ldap.cfg ファイル・フォーマット
目的
secldapclntd LDAP クライアント・サイド・デーモン構成ファイル。
説明
/etc/security/ldap/ldap.cfg ファイルには、 secldapclntd デーモンを開始して正しく機能させるための情報、およびデーモンのパフォーマンスを微調整するための情報が含まれています。 クライアントのセットアップ時に mksecldap コマンドを実行すると、 /etc/security/ldap/ldap.cfg ファイルが更新されます。
/etc/security/ldap/ldap.cfg ファイルには、以下のフィールドが含まれている可能性があります。
| 項目 | 説明 |
|---|---|
| ldapservers | Lightweight Directory Access Protocol (LDAP) セキュリティー情報サーバーのコンマ区切りリストを指定します。 これらのサーバーは、プライマリー・サーバーにすることも、プライマリー・サーバーのレプリカにすることもできます。 リスト内の最初のサーバーが最高の優先順位を持ちます。 |
| binddn | 1 つ以上の LDAP セキュリティー情報サーバーにバインドするために使用される識別名 (DN) LDAP を指定します。 |
| bindpwd | binddnのパスワードを指定します。 |
| authtype | 使用する認証メカニズムを指定します。 有効な値は unix_auth および ldap_auth です。 デフォルトは unix_authです。
|
| useSSL | SSL 通信を使用するかどうかを指定します。 有効な値は、 yes、 SSL、 TLS、 NONE 、および noです。 デフォルト値は noです。 注: この機能を有効にするには、SSL 鍵とその鍵のパスワードが必要です。
|
| ldapsslkeyf | SSL または TLS 鍵の絶対パスを指定します。 |
| ldapsslkeypwd | SSL または TLS 鍵のパスワードを指定します。 注: スタッシュされたパスワードを使用するには、この行をコメント化します。 パスワード stash ファイルは、SSL または TLS 鍵と同じディレクトリーになければなりません。 パスワード stash ファイルの名前は鍵ファイルと同じでなければなりませんが、拡張子は .kdbではなく .sth でなければなりません。
|
| useKRB5 | サーバーへの初期バインドに Kerberos を使用するかどうかを指定します。 有効な値は はい または いいえです。 デフォルトは、いいえです。 注: この機能を有効にするには、 Kerberos プリンシパル、鍵パス、および kinit コマンド・ディレクトリーが必要です。 Kerberos バインドが使用可能な場合、 binddn および bindpwd は必要ありません。
|
| krbprincipal | サーバーへのバインドに使用される Kerberos プリンシパルを指定します。 |
| krbkeypath | Kerberos キータブへのパスを指定します。 デフォルトは /etc/security/ldap/krb5.keytabです。 |
| krbcmddir | Kerberos kinit コマンドを含むディレクトリーを指定します。 デフォルトは /usr/krb5/bin/です。 |
| pwdalgorithm | unix_auth モードで使用されるパスワード暗号化アルゴリズムを指定します。 LDAP 認証 (ldap_auth) モードでは、この属性は無視されます。 有効な値は、 crypt または systemです。 デフォルト値は 暗号です。
|
| userattrmappath | ユーザーの AIX®-LDAP 属性マップへの絶対パスを指定します。 |
| groupattrmappath | グループの AIX-LDAP 属性マップへの絶対パスを指定します。 |
| idattrmappath | ID の AIX-LDAP 属性マップへの絶対パスを指定します。 これらの ID は、LDAP ユーザーを作成するために mkuser コマンドによって使用されます。 |
| userbasedn | ユーザー基本 DN を指定します。 詳しくは、 詳細情報を参照してください。 |
| groupbasedn | グループ基本 DN を指定します。 詳しくは、 詳細情報を参照してください。 |
| idbasedn | ID ベース DN を指定します。 詳しくは、 詳細情報を参照してください。 |
| hostbasedn | ホスト基本 DN を指定します。 詳しくは、 詳細情報を参照してください。 |
| servicebasedn | サービス・ベース DN を指定します。 詳しくは、 詳細情報を参照してください。 |
| protocolbasedn | プロトコル基本 DN を指定します。 詳しくは、 詳細情報を参照してください。 |
| networkbasedn | ネットワーク基本 DN を指定します。 詳しくは、 詳細情報を参照してください。 |
| netgroupbasedn | ネットグループ基本 DN を指定します。 詳しくは、 詳細情報を参照してください。 |
| rpcbasedn | RPC 基本 DN を指定します。 詳しくは、 詳細情報を参照してください。 |
| aliasbasedn | 別名の基本 DN を指定します。 詳しくは、 詳細情報を参照してください。 |
| automountbasedn | 自動マウント基本 DN を指定します。 詳しくは、 詳細情報を参照してください。 |
| bootparambasedn | bootparams 基本 DN を指定します。 詳しくは、 詳細情報を参照してください。 |
| etherbasedn | イーサネット基本 DN を指定します。 詳しくは、 詳細情報を参照してください。 |
| authbasedn | 許可ベース DN を指定します。 詳しくは、 詳細情報を参照してください。 |
| rolebasedn | 役割のベース DN を指定します。 詳しくは、 詳細情報 を参照してください。 |
| privcmdbasedn | 特権コマンドの基本 DN を指定します。 詳しくは、 詳細情報 を参照してください。 |
| privdevbasedn | 特権デバイスの基本 DN を指定します。 詳しくは、 詳細情報 を参照してください。 |
| privfilebasedn | 特権ファイルの基本 DN を指定します。 詳しくは、 詳細情報 を参照してください。 |
| domainbasedn | ドメイン基本 DN を指定します。 詳しくは、 詳細情報 を参照してください。 |
| domobjbasedn | ドメイン・オブジェクトの基本 DN を指定します。 詳しくは、 詳細情報 を参照してください。 |
| tsddatbasedn | ファイルのトラステッド・シグニチャー・データベースの基本 DN を指定します。 詳しくは、 詳細情報を参照してください。 |
| tepoliciesbasedn | マシンのトラステッド実行ポリシーのベース DN を指定します。 詳しくは、 詳細情報を参照してください。 |
| userclasses | ユーザー項目に使用されるオブジェクト・クラスのコンマ区切りリストを指定します。 詳しくは、 詳細情報を参照してください。 |
| groupclasses | グループ項目に使用されるオブジェクト・クラスのコンマ区切りリストを指定します。 詳しくは、 詳細情報を参照してください。 |
| ldapversion | LDAP サーバーのプロトコル・バージョンを指定します。 デフォルトは 3 です。 |
| ldapport | LDAP サーバーが listen するポートを指定します。 デフォルト値は 389 です。 また、TLS はこのポートをデフォルト・ポートとして使用します。 |
| ldapsslport | LDAP サーバーが listen する SSL ポートを指定します。 デフォルト値は 636 です。 |
| followaliase | 別名に従うかどうかを指定します。 有効な値は、 NEVER、 SEARCH、 FINDING、および ALWAYSです。 デフォルトは NEVERです。 |
| usercachesize | ユーザー・キャッシュ・サイズを指定します。 有効な値は 100 から 65536 項目です。 デフォルト値は 1000 です。 |
| groupcachesize | グループ・キャッシュ・サイズを指定します。 有効な値は 10 から 65536 項目です。 デフォルト値は 100 です。 |
| cachetimeout | ユーザーおよびグループのキャッシュ TTL (存続時間) を指定します。 値は 0 秒以上でなければなりません。 デフォルトは 300 です。 キャッシングを無効にするには、0 に設定します。 注: cachetimeout フィールドは推奨されない属性です。 代わりに、usercachetimeout 属性と groupcachetimeout 属性を使用できます。
|
| usercachetimeout | ユーザーのキャッシュ TTL (存続時間) を指定します。 値は 0 秒以上でなければなりません。 デフォルトは 300 です。 ユーザー・キャッシュを無効にするには、0 に設定します。 この値を指定すると、 cachetimeout 設定がオーバーライドされます。 |
| groupcachetimeout | グループのキャッシュ TTL (存続時間) を指定します。 値は 0 秒以上でなければなりません。 デフォルトは 300 です。 グループ・キャッシングを無効にするには、0 に設定します。 この値を指定すると、 cachetimeout 設定がオーバーライドされます。 |
| ldapsizelimit | ALL 照会で LDAP サーバーに要求される最大エントリー数を指定します。 デフォルトは 0 (制限なし) です。 ldapsizelimit がサーバー・サイズ制限より大きい場合、サーバー・サイズによって返される項目数が制限されます。 ldapsizelimit を小さい数値に設定すると、一部のコマンドのパフォーマンスが向上します。 例えば、 lsuser -R LDAP ALL コマンドなどです。 |
| heartbeatinterval | クライアントがサーバーに接続してサーバー状況を確認する間隔を秒単位で指定します。 有効な値は 5 から 3,600 秒です。 デフォルトは 300 です。 |
| numberofthread | secldapclntd デーモンのスレッド数を指定します。 有効な値は 1 から 256 です。 デフォルトは 10 です。 |
| nsorder | secldapclntd デーモンによるホスト名解決の順序を指定します。 デフォルトの順序は dns、 nn、 localです。 有効なリゾルバーについて詳しくは、 TCP/IP Name Resolutionを参照してください。 注: nis_ldap は使用しないでください。使用すると、 secldapclntd デーモンがハングする可能性があります。
|
| searchmode | リトリーブするユーザー属性とグループ属性のセットを指定します。 この属性は、パフォーマンス上の理由で使用するためのものです。 AIX コマンドは、すべての非 OS 属性をサポートできるわけではありません。 有効な値は ALL および OSです。 デフォルトは ALLです。
|
| defaultentrylocation | デフォルトのエントリーのロケーションを指定します。 有効な値は ldap および local です。 デフォルトは ldapです。
|
| ldaptimeout | サーバーに対する LDAP クライアント要求のタイムアウト期間を秒単位で指定します。 この値は、クライアントが LDAP サーバーからの応答を待機する時間を決定します。 有効な範囲は 0 から 3600 (1 時間) です。 デフォルトは 60 秒に設定されています。 タイムアウトを無効にするには、この値を 0 に設定します。 |
| connectionsperserver | LDAP サーバーへの接続の最大数を指定します。 指定された値が numberofthread フィールドの値より大きい場合、 secldapclntd フィールドは代わりに numberofthread フィールドの値を使用します。 secldapclntd デーモンは、1 つの接続で開始し、LDAP 要求が多いときに新規接続を connectionsperserver フィールドに動的に追加し、要求が少ないときにアイドル接続を閉じます。 このフィールドの有効な値の範囲は 1 から 100 です。 デフォルト値は 10 です。 |
| connectionmissratio | 最初の試行で LDAP ハンドルを失う可能性がある LDAP 操作のパーセンテージを指定します (ハンドル・ミス)。 失敗した試行回数がこの値に達すると、 secldapclntd デーモンは新しい接続を追加します。 接続の総数が connectionsperserver フィールドの値を超えることはありません。 このフィールドの有効な値の範囲は 10 から 90 です。 デフォルト値は 50 です。 |
| newconnT | 新規接続を作成する必要があるかどうかを判別するために、接続ミス率 (connectionmissratio) を検査する間隔を指定します。 |
| connectiontimeout | サーバーへの LDAP 接続がアイドル状態でいられる時間を秒単位で指定します。この時間が経過すると、 secldapclntd デーモンはその接続を閉じます。 有効な値は 5 秒以上です。 デフォルト値は 300 です。 |
| serverschematype | LDAP サーバーのスキーマ・タイプを指定します。 mksecldap コマンドは、LDAP クライアント構成時に serverschematype フィールドを設定します。 この属性を変更しないでください。 有効な値は、 rfc2307aix、 rfc2307、 aix、 sfu30、および sfur2です。 |
| enableutf8_xlation | このフィールドは、 UTF-8 形式で LDAP サーバーにデータを保存できるようにします。 有効な値は yes および no です。 デフォルト値は noです。 |
| rbacinterval | secldapclntd デーモンがカーネル RBAC テーブルを更新するために setkst コマンドを呼び出す時間間隔 (秒単位) を指定します。 値は 60 秒より大きくなければなりません。 setkst コマンドを無効にするには、値を 0 に設定します。 デフォルト値は 3600です。 |
| useprivport | LDAP サーバーへの接続にローカル特権ポートを使用するかどうかを指定します。 有効な値は、 はい および いいえです。 デフォルト値は noです。 useprivport 属性は、以前のバージョンとのみ互換性があります。 |
| memberfulldn | グループ・メンバーに DN を使用するか、アカウント名を使用するかを指定します。 有効な値は、 はい および いいえです。 デフォルト値は noです。 通常、アカウント名を使用する場合は、 memberfulldn 属性の値を変更しないでください。 DN 形式のグループ・メンバーが必要な場合は、値を yesに設定します。 以前のバージョンとの互換性のために、LDAP サーバーが Active Directoryの場合、グループ・メンバー属性は msSFU30PosixMember メンバーにマップされます。 secldapclntd デーモンは、この設定に関係なく、常に DN フォーマットを使用します。 |
| pwdpolicydn | LDAP サーバー・グローバル・パスワード・ポリシーの DN を指定します。 secldapclntd デーモンは、このポリシー・エントリーを使用して、非準拠パスワードが使用されたときの誤りをユーザーに通知します。 パスワード・ポリシーが指定されている場合は、グローバル・ポリシーの代わりに、指定されたポリシーが使用されます。 |
| usrkeystorebasedn | ユーザーの EFS PKCS#12 鍵ストアの基本 DN を指定します。 詳しくは、 詳細情報を参照してください。 |
| grpkeystorebasedn | グループの EFS PKCS#12 鍵ストア基本 DN を指定します。 詳しくは、 詳細情報を参照してください。 |
| efscookiesbasedn | EFS Cookie ベース DN を指定します。 詳しくは、 詳細情報を参照してください。 |
| admkeystorebasedn | EFS 管理者の PKCS#12 鍵ストアの基本 DN を指定します。 詳しくは、 詳細情報を参照してください。 |
| followreferrals | AIX LDAP クライアントが、LDAP サーバーから受け取った参照を追跡する必要があるかどうかを指定します。 有効な値は オン および オフで、デフォルトは参照を追跡することを意味します。 |
| caseExactAccountName | アカウント名を大/小文字を区別するか、大/小文字を区別しないかを指定します。 ほとんどの LDAP サーバーは、アカウント名を大/小文字を区別しないものとして扱います。 したがって、 foo、 Foo、 FOo、および FOO などのアカウント名は同じユーザーとして扱われ、これらのサーバーでは、LDAP で定義されているアカウント名のうちの 1 つのみが許可されます。 有効な値は以下のとおりです。
|
| auditpolicy | LDAP 上の監査構成に変更がある場合に実行する必要があるアクションを指定します。 これは、属性 auditrefreshed が設定されている場合にのみ有効です。 以下の 2 つの値を取ります。
|
| auditrefreshed | secldapclntd デーモンが auditpolicy 属性に従って動作するように、時間間隔 (秒単位) または時間を 24 時間形式で指定します。 auditpolicy 属性が設定されていない場合、この属性は無効になります。 時間間隔は秒単位で示されます。 値は 60 秒より大きくなければなりません。 無効にするには、値を 0 に設定します。 デフォルト値は 3600 です。 時刻が 24 時間形式で示されている場合は、文字 T で始まる必要があります。 |
| DisplayNetgroupUserInfo | Netgroup 対応の LDAP モジュールに属するユーザーを表示するために、非特権ユーザーが lsldap -a passwd コマンドを実行できるかどうかを指定します。 yesを指定します。これは、 Netgroup が有効になっている LDAP モジュールのユーザーを表示するためのデフォルト値です。 Netgroup が有効になっている LDAP モジュールのユーザーを表示しない場合は、 no を指定します。 このオプションは、 aix.security.ldap 権限を持つ root ユーザーには影響しません。 |
| reconnT | LDAP 接続の試行がタイムアウトになるまで待機する時間を秒単位で指定します。 このフィールドの有効な値の範囲は 5 から 3600 秒です。 デフォルト値は 75 秒です。 |
詳細情報
- 複数の基本 DN
- すべての基本 DN 属性は複数の値を受け入れ、各
<basedn>: <value>ペアは別々の行に配置されます。 例えば、ou=dept1users,cn=aixdata基本 DN およびou=dept2users,cn=aixdata基本 DN のユーザーがシステムにログインできるようにするには、以下のように userbasedn 属性を指定します。userbasedn: ou=dept1users,cn=aixdata userbasedn: ou=dept2users,cn=aixdata/etc/security/ldap/ldap.cfg ファイルでは、エンティティーごとに最大 10 個の基本 DN を指定できます。 基本 DN は、 /etc/security/ldap/ldap.cfg ファイルに表示される順序で優先順位付けされます。 以下のリストでは、複数の基本 DN に関するシステム動作について説明します。- lsuser コマンドなどの照会操作は、一致するアカウントが見つかるまで、指定された基本 DN 順序に従って実行されます。 すべての基本 DN が一致を検出せずに検索された場合にのみ、失敗が返されます。
- chuser コマンドなどの変更操作は、最初に一致したアカウントに対して実行されます。
- rmuser コマンドなどの削除操作は、最初に一致したアカウントに対して実行されます。
- mkuser コマンドなどの作成操作は、最初の基本 DN に対してのみ実行されます。
- ドメイン RBAC 基本 DN
#domainbasedn:ou=domains,cn=aixdata #domobjbasedn:ou=domobjs,cn=aixdata時間間隔 (分) は、カーネル RBAC およびドメイン RBAC テーブルが更新される頻度を指定します。 値 0 は、自動更新を無効にします。rbacinterval: 0- 拡張基本 DN フォーマット
- 基本 DN 属性の検索範囲および検索フィルターのオプション・パラメーターを指定できます。 パラメーターは、疑問符 (?) 文字で区切られたフィールドを使用して基本 DN に追加できます。 以下のリストは、有効な基本 DN フォーマットを示しています。
- 以下の形式は、 secldapclntd デーモンが使用するデフォルトの形式を表しています。
userbasedn: ou=people, cn=aixdata - このフォーマットは、スコープ属性によって検索を制限します。
userbasedn: ou=people, cn=aixdata?scopescope 属性の有効な値は、 sub、 one、および baseです。 スコープ属性を指定しない場合、デフォルト値は subです。
- このフォーマットは、フィルター属性によって検索を制限します。
userbasedn: ou=people, cn=aixdata??filterフィルター属性は、LDAP サーバーで定義される項目を制限します。 このフィルターを使用して、特定のプロパティーを持つユーザーのみがシステムに表示されるようにすることができます。 以下のリストは、いくつかの有効なフィルター・フォーマットを示しています。ここで、 attribute は LDAP 属性の名前であり、 value は検索基準を指定します。これはワイルドカード (*) にすることができます。(attribute=value)(&(attribute=value)(attribute=value))(|(attribute=value)(attribute=value))
- このフォーマットは、スコープ属性とフィルター属性の両方を使用します。
userbasedn: ou=people, cn=aixdata?scope?filter
- オブジェクト・クラス
リスト内の最初のオブジェクト・クラスは、検索操作に使用できるキー・オブジェクト・クラスです。 デフォルトでは、属性マッピング・ファイル内の keyobjectclass 属性がこの目的に使用されます。 ただし、マッピング・ファイルが存在しない場合、または keyobjectclass 属性がマッピング・ファイルに存在しない場合は、このリストの最初のオブジェクト・クラスが使用されます。