コマンド・ライン・インターフェース (CLI) を使用して、Lightweight Directory Access Protocol (LDAP) (IBM Security Services および Active Directory (AD) など) を実装したサーバーに対してユーザーを認証するようにシステムを構成できます。
このタスクについて
- 提供された LDAP サーバー上で、スーパーバイザー・アクセスまたはスーパーバイザー役割の IBMRBS 許可を持つユーザーは、管理者としてシステムにログインすることはできますが、satask コマンドは実行することができません。
- すべての認証コマンドおよび設定は使用不可にされています。
システム GUI の LDAP ページのオプションはすべて使用不可です。
ヒント: リモート Lightweight Directory Access Protocol (LDAP サーバー) を使用しているスーパーユーザーを認証することはできません。ただし、他のユーザーはこの方法で認証することができます。
手順
LDAP によるユーザー認証を有効にするには、以下のステップを実行します。
- chldap コマンドを発行して、LDAP を構成します。
このコマンドは、Tivoli Directory Server と AD の両方のデフォルト設定値を提供します。例えば、Tivoli Directory Server スキーマのデフォルトとトランスポート層セキュリティー (TLS) を使用して認証を構成するには、次のコマンドを発行します。
chldap -type itds -security tls
LDAP 構成を検査するには、
lsldap コマンドを使用します。
注: 送信されるパスワードが暗号化されるため、TLS が推奨されます。
- mkldapserver コマンドを指定して、認証に使用する最大 6 つの LDAP サーバーを定義します。
さまざまなユーザー・セットへのアクセスを提供するため、または冗長性を確保するために、複数のサーバーを構成できます。すべてのサーバーが、
chldap で構成された設定値を共有する必要があります。例えば、Secure Socket Layer (SSL) 証明書と
cn=users,dc=company,dc=com サブツリーのユーザーを使用して LDAP サーバーを構成するには、次のコマンドを発行します。
mkldapserver -ip 9.71.45.108 -basedn cn=users,dc=company,dc=com -sslcert /tmp/sslcert.pem
また、ユーザーを認証するために優先的に使用されるサーバーを構成することもできます。
LDAP サーバー構成情報を見るには、lsldapserver を指定します。構成済み LDAP サーバーを変更するには、chldapserver および rmldapserver を指定します。
- 認証サービスで使用されているユーザー・グループとの突き合わせを行って、システム上にユーザー・グループを構成します。
認証サービスに認識されているそれぞれのインタレストのグループごとに、同じ名前および使用可能になっているリモート設定値を使用して、システムのユーザー・グループを作成する必要があります。 例えば、
sysadmins というグループのメンバーにシステム管理者 (admin) の役割が必要な場合は、次のコマンドを発行します。
mkusergrp -name sysadmins -remote -role Administrator
いずれのユーザー・グループもシステム・ユーザー・グループと一致しない場合、ユーザーはシステムにアクセスできません。
- testldapserver コマンドを使用して、LDAP 構成を検査します。
LDAP サーバーへの接続をテストするには、オプションを指定せずにコマンドを発行します。
構成エラーがないかをテストするには、ユーザー名を指定する際にパスワードを指定しても指定しなくてもかまいません。
各サーバーに対する完全な認証の試行を処理するには、以下のコマンドを発行します。
testldapserver -username username -password password
- LDAP 認証を有効にするには、次のコマンドを発行します。
chauthservice -type ldap -enable yes
- セキュア・シェル (SSH) 鍵アクセスを必要としないユーザーを構成します。
リモート認証サービスを使用する必要があり、SSH 鍵アクセスを必要としないシステム・ユーザーを削除します。
要確認: スーパーユーザーは削除できず、また、リモート認証サービスを使用できません。
- SSH 鍵アクセスを必要とするユーザーを構成します。
リモート認証サービスを使用し、SSH 鍵アクセスを必要とするすべてのシステム・ユーザーは、リモート設定値を使用可能にし、有効な SSH 鍵をシステムで構成する必要があります。