CLI を使用した Lightweight Directory Access Protocol (LDAP) によるリモート認証サービスの構成

コマンド・ライン・インターフェース (CLI) を使用して、Lightweight Directory Access Protocol (LDAP) (IBM Security Services および Active Directory (AD) など) を実装したサーバーに対してユーザーを認証するようにシステムを構成できます。

このタスクについて

  • 提供された LDAP サーバー上で、スーパーバイザー・アクセスまたはスーパーバイザー役割の IBMRBS 許可を持つユーザーは、管理者としてシステムにログインすることはできますが、satask コマンドは実行することができません。
  • すべての認証コマンドおよび設定は使用不可にされています。
    • 自動的に提供された設定をユーザーが確認することはでききません。また、lssystem あるいは lsldapserver コマンドでも表示されません。
    • chauthservice -refresh コマンドは使用可能です。
システム GUI の LDAP ページのオプションはすべて使用不可です。
ヒント: リモート Lightweight Directory Access Protocol (LDAP サーバー) を使用しているスーパーユーザーを認証することはできません。ただし、他のユーザーはこの方法で認証することができます。

手順

LDAP によるユーザー認証を有効にするには、以下のステップを実行します。

  1. chldap コマンドを発行して、LDAP を構成します。
    このコマンドは、Tivoli Directory Server と AD の両方のデフォルト設定値を提供します。例えば、Tivoli Directory Server スキーマのデフォルトとトランスポート層セキュリティー (TLS) を使用して認証を構成するには、次のコマンドを発行します。
    chldap -type itds -security tls
    LDAP 構成を検査するには、lsldap コマンドを使用します。
    注: 送信されるパスワードが暗号化されるため、TLS が推奨されます。
  2. mkldapserver コマンドを指定して、認証に使用する最大 6 つの LDAP サーバーを定義します。
    さまざまなユーザー・セットへのアクセスを提供するため、または冗長性を確保するために、複数のサーバーを構成できます。すべてのサーバーが、chldap で構成された設定値を共有する必要があります。例えば、Secure Socket Layer (SSL) 証明書と cn=users,dc=company,dc=com サブツリーのユーザーを使用して LDAP サーバーを構成するには、次のコマンドを発行します。
    mkldapserver -ip 9.71.45.108 -basedn cn=users,dc=company,dc=com -sslcert /tmp/sslcert.pem

    また、ユーザーを認証するために優先的に使用されるサーバーを構成することもできます。

    LDAP サーバー構成情報を見るには、lsldapserver を指定します。構成済み LDAP サーバーを変更するには、chldapserver および rmldapserver を指定します。

  3. 認証サービスで使用されているユーザー・グループとの突き合わせを行って、システム上にユーザー・グループを構成します。
    認証サービスに認識されているそれぞれのインタレストのグループごとに、同じ名前および使用可能になっているリモート設定値を使用して、システムのユーザー・グループを作成する必要があります。 例えば、sysadmins というグループのメンバーにシステム管理者 (admin) の役割が必要な場合は、次のコマンドを発行します。
    mkusergrp -name sysadmins -remote -role Administrator

    いずれのユーザー・グループもシステム・ユーザー・グループと一致しない場合、ユーザーはシステムにアクセスできません。

  4. testldapserver コマンドを使用して、LDAP 構成を検査します。
    LDAP サーバーへの接続をテストするには、オプションを指定せずにコマンドを発行します。 構成エラーがないかをテストするには、ユーザー名を指定する際にパスワードを指定しても指定しなくてもかまいません。 各サーバーに対する完全な認証の試行を処理するには、以下のコマンドを発行します。
    testldapserver -username username -password password
  5. LDAP 認証を有効にするには、次のコマンドを発行します。
    chauthservice -type ldap -enable yes
  6. セキュア・シェル (SSH) 鍵アクセスを必要としないユーザーを構成します。
    リモート認証サービスを使用する必要があり、SSH 鍵アクセスを必要としないシステム・ユーザーを削除します。
    要確認: スーパーユーザーは削除できず、また、リモート認証サービスを使用できません。
  7. SSH 鍵アクセスを必要とするユーザーを構成します。

    リモート認証サービスを使用し、SSH 鍵アクセスを必要とするすべてのシステム・ユーザーは、リモート設定値を使用可能にし、有効な SSH 鍵をシステムで構成する必要があります。