LDAP クライアントのセットアップ
クライアントが認証ならびにユーザーおよびグループ情報のために LDAP を使用できるようにセットアップするには、各クライアントが LDAP クライアント・パッケージをインストール済みであることを確認してください。 LDAP クライアント・パッケージのインストールに固有の情報については、ステップ 3 から 7を参照してください。 Secure Sockets Layer (SSL) または Transport Layer Security (TLS) のサポートが必要であれば、GSKit をインストールする必要があります。 キーを作成して、LDAP サーバーの SSL キー証明書をこのキーに加える必要があります。 ステップ 1 から 2を参照してください。
LDAP サーバーのセットアップと同様に、クライアントのセットアップを mksecldap コマンドを使用して行うことができます。 このクライアントが LDAP セキュリティー情報サーバーに連絡できるようにするには、 セットアップ時にサーバー名を提供しておく必要があります。 サーバーのバインドDNとパスワードは、サーバー上のAIX®ツリーへのクライアントアクセスにも必要です。 mksecldap コマンドは、サーバー上のサーバー・バインド DN、パスワード、サーバー名、 AIX ツリー DN、SSL 鍵パスとパスワード、およびその他の構成属性を /etc/security/ldap/ldap.cfg ファイルに保存します。
mksecldap コマンドは、BIND パスワードと SSL キー・パスワード (SSL が構成されている場合) を、暗号化された形式で /etc/security/ldap/ldap.cfg ファイルに保存します。 暗号化されたパスワードはシステム固有であり、そのパスワードが生成されたシステム上で secldapclntd デーモンによってのみ実行することができます。 secldapclntd デーモンは、 /etc/security/ldap/ldap.cfg ファイルから平文または暗号化されたパスワードを使用できます。
クライアントのセットアップ時に、複数のサーバーを mksecldap コマンドに提供することができます。 この場合は、クライアントは、提供されている順にサーバーに連絡し、クライアントが正常にバインドできた最初のサーバーとの接続を設定します。 クライアントとサーバーとの間に接続エラーが発生した場合は、 同じ論理を使用して、再接続要求が試行されます。 セキュリティー LDAP 活用モデルでは参照はサポートされていません。 複製サーバーが同期を保っていることは、 重要です。
クライアントは、クライアント・サイド・デーモン (secldapclntd) を介して LDAP セキュリティー情報サーバーと通信します。 LDAP ロード・モジュールがクライアントで使用可能になっている場合、高位コマンドは、LDAP で定義されているユーザーのライブラリー API を介してデーモンに経路指定されます。 デーモンは要求された LDAP エントリーの キャッシュを保守します。 要求がキャッシュで満たされない場合は、デーモンは、 サーバーに照会し、キャッシュを更新し、呼び出し側に情報を戻します。
別の微調整オプションとして、クライアントのセットアップ時の mksecldap コマンドに、デーモンの使用するスレッド数の設定、 キャッシュ・エントリー・サイズ、キャッシュ満了タイムアウトなどを指定することができます。 これらのオプションは、経験豊かなユーザーのためのものです。 ほとんどの環境では、デフォルト値だけで十分です。
クライアントのセットアップの最終ステップでは、mksecldap コマンドによってクライアント側のデーモンを開始し、/etc/inittab ファイルにエントリーを追加して、リブートするたびにデーモンを開始するようにします。 ls-secldapclntd コマンドを使用して secldapclntd デーモン・プロセスを検査することにより、セットアップが成功したかどうかを確認できます。 LDAP セキュリティー情報サーバーがセットアップされて実行されるとき、 このセットアップが正常に終了していれば、このデーモンが実行されます。
- root ユーザーとして GSKit 関連ファイルセットをインストールします。
- AIX 7.2 拡張パック DVD をマウントします。
- ディレクトリーを GSKit ファイルセットのロケーションに変更します。
cd <mount_point>/installp/ppc
- installp コマンドを実行して、GSKit パッケージをインストールします。
- GSKit 64 ビット・パッケージをインストールするには、以下のコマンドを実行します。
installp -acXgYd . GSKit8.gskcrypt64.ppc.rte installp -acXgYd . GSKit8.gskssl64.ppc.rte - GSKit 32 ビット・パッケージをインストールするには、以下のコマンドを実行します。
installp -acXgYd . GSKit8.gskcrypt32.ppc.rte installp -acXgYd . GSKit8.gskssl32.ppc.rte注: SMIT または SMITTY を使用して、DVD から GSKit ファイルセットをインストールすることもできます。
- GSKit 64 ビット・パッケージをインストールするには、以下のコマンドを実行します。
- root ユーザーとして idsldap クライアントをインストールします。
- AIX 7.2 DVD の 2 つ目のボリューム (2/2) をマウントします。
- idsLicense コマンドを実行します。
cd <mount_point>/license ./idsLicense
- ソフトウェアのご使用条件に同意する場合は、次の使用可能なオプションのリストから 1 を入力します。
1: To accept the license agreement. 2: To decline the license agreement and exit the installation. 3: To print the license agreement. 4: To read non-IBM terms in the license agreement. 99: To go back to the previous screen.ソフトウェアのご使用条件に同意すると、LAPID ファイルおよびライセンス・フォルダーが、IBM Security Directory Server のインストール場所に作成されます。 ライセンス・フォルダーには、すべてのサポート対象言語で IBM Security Directory Server ライセンス・ファイルが入っています。
- IBM Security Directory Server を判別します。idsldapインストールするクライアント・パッケージ。
- SSL 以外の LDAP クライアントの機能のためには、以下のファイルセットをインストールします。
- idsldap.license64
- idsldap.cltbase64
- idsldap.clt32bit64
- idsldap.clt64bit64
- SSL LDAP クライアントの機能のためには、以下のファイルセットをインストールします。
- idsldap.license64
- idsldap.cltbase64
- idsldap.clt32bit64
- idsldap.clt64bit64
- idsldap.clt_max_crypto32bit64
- idsldap.clt_max_crypto64bit64
注: SSL 機能を使用するには、 GSKitv8 ファイルセットをインストールする必要があります。
- SSL 以外の LDAP クライアントの機能のためには、以下のファイルセットをインストールします。
- Security Directory Server idsldap クライアント・パッケージをインストールします。
- 1 つ以上の IBM Security Directory Server idsldap クライアント・パッケージをインストールするには、次のコマンドを実行します。
cd <mount_point>/installp/ppc/ installp -acXgYd . <package_names>注: SMIT または SMITTY を使用して、識別されたファイルセットおよびパッケージを DVD からインストールすることもできます。
- 1 つ以上の IBM Security Directory Server idsldap クライアント・パッケージをインストールするには、次のコマンドを実行します。
- システム生成インストール・サマリーを使用して、IBM Security Directory Server インストールが正常に行われたかどうかを確認します。
- LDAP クライアントを構成するには、環境に応じて値を置き換えて、次のコマンドを実行します。
# mksecldap -c -h server1.ibm.com -a cn=admindn -p adminpwd -d cn=basedn