LDAP ユーザー管理

オンライン編集

LDAP セキュリティー情報サーバー上のユーザーやグループの管理は、高水準コマンドを使用すれば、どの LDAP クライアントからでも行うことができます。

LDAP セキュリティー情報サーバー上のユーザーおよびグループは、高水準コマンドと -R フラグを使用して、LDAP および他の認証ロード・モジュール (DCE、NIS、KRB5 など) で管理できます。 -R フラグについて詳しくは、ユーザー管理コマンドまたはグループ管理コマンドをそれぞれ参照してください。

LDAP によってユーザーを認証できるようにするには、chuser コマンドを実行して、ユーザーの SYSTEM 属性値を LDAP に変更します。 定義済みの構文に従って SYSTEM 属性値を設定することにより、ユーザーを複数のロード・モジュール (compat や LDAP など) で認証することが可能になります。 ユーザーの認証方式の設定について詳しくは、「 ユーザー認証 」トピックおよび /etc/security/user ファイルで定義されている SYSTEM 属性構文を参照してください。

ユーザーは、以下のいずれかの形式で -u フラグを指定して mksecldap コマンドを実行することにより、クライアントのセットアップ時に LDAP ユーザーになることができます。

  • mksecldap -c -u user1,user2,...

    ここで、 user1、 user2、... パラメーターはユーザーのリストです。 このリストの中のユーザーは、ローカルに定義されていてもよいし、 あるいはリモートの LDAP 定義ユーザーであってもかまいません。 SYSTEM 属性は、/etc/security/user ファイルの各ユーザーのスタンザで LDAP に設定されます。 このようなユーザーは、LDAP によってのみ認証できます。 このリスト内のユーザーは、LDAP セキュリティー情報サーバーに存在していなければなりません。存在していないと、このホストからログインできません。 chuser コマンドを実行して SYSTEM 属性を変更し、ローカルや LDAP などの複数の方法による認証を許可します。

  • mksecldap -c -u ALL

    このコマンドは、ローカルに定義されたすべてのユーザーについて、 /etc/security/user ファイル内の各ユーザーのスタンザで SYSTEM 属性を LDAP に設定します。 このようなユーザーは、すべて LDAP によってのみ認証されます。 ローカルに定義済みのユーザーは、LDAP セキュリティー情報サーバーに存在していなければなりません。存在していないと、 このホストからログインできません。 LDAP サーバーには定義されているが、 ローカルには定義されていないユーザーは、 このホストからはログインできません。 リモートの LDAP 定義ユーザーがこのホストからログインできるようにするには、chuser コマンドを実行して、 そのユーザーで SYSTEM 属性を LDAP に設定します。

または、/etc/security/user ファイルの「デフォルト」スタンザを変更してその値として「LDAP」を使用することで、ローカルで定義されているかどうかにかかわらず、すべての LDAP ユーザーをローカル・ホストの LDAP を介して認証できるようにすることもできます。 自分の SYSTEM 属性に値が定義されていないユーザーは、デフォルト・スタンザに定義されている値を使用する必要があります。 例えば、デフォルトのスタンザが「"SYSTEM = "compat""である場合、これを「"SYSTEM = "compat OR LDAP""」に変更すると、AIX®またはLDAPを介して、すべてのLDAPユーザーの認証が可能になる。 デフォルト・スタンザを "SYSTEM = "LDAP"" に変更すると、これらのユーザーは LDAP によってだけ認証可能になります。 SYSTEM 属性値が定義されているユーザーは、デフォルト・スタンザには影響されません。