chldap

chldap コマンドは、システム全体の Lightweight Directory Access Protocol (LDAP) 構成を変更するために使用します。 このコマンドを使用して、LDAP を使用したリモート認証を構成することができます。 これらの設定は、mkldapserver コマンドを使用して構成された LDAP サーバーに対する認証に適用されます。

構文

構文図を読む構文図をスキップする
>>- chldap-- --+----------------------+------------------------->
               +- -type --+---------+-+   
               |          +- ad ----+ |   
               |          +- itds --+ |   
               |          '- other -' |   
               '- -reset -------------'   

>--+-----------------------------------------------------------------+-->
   '- -username -- username ----+--------------------------------+---'   
                                +- -password --+------------+----+       
                                |              '- password -'    |       
                                '- -encpassword --+------------+-'       
                                                  '- password -'         

>--+-------------------------+---------------------------------->
   '- -security --+- tls --+-'   
                  '- none -'     

>--+------------------------------------+----------------------->
   '- -userattribute -- user_attribute -'   

>--+--------------------------------------+--------------------->
   '- -groupattribute -- group_attribute -'   

>--+-------------------------------------------+---------------->
   '- -auditlogattribute -- auditlogattribute -'   

>--+------------------------------------+----------------------><
   '- -nestedgroupsearch --+- client -+-'   
                           +- server -+     
                           '- off ----'     

パラメーター

-type ad | itds | other | -reset
(オプション) LDAP サーバー・タイプを指定するか、LDAP 構成を現行サーバー・タイプのデフォルトにリセットします。構成済みサーバー・タイプのデフォルトは以下のとおりです。
  • Active Directory (AD)
  • IBM Tivoli Directory Server (ITDS)
  • その他
-username username
(オプション) 管理バインディングのユーザー名を指定します。次のいずれかになります。
注:
  • 識別名 (DN)
  • Active Directory の場合はユーザー・プリンシパル名 (UPN) または NT ログイン名
-password password
(オプション) 管理バインディングのパスワードを指定します。 オプションとして、このパラメーターでパスワードを指定できます。 パスワードを指定しなかった場合、システムはコマンドを実行する前にプロンプトを出します。入力したパスワードは表示されません。
-encpassword password
(オプション) エンクロージャーのパスワードを指定します。 オプションとして、このパラメーターでパスワードを指定できます。 パスワードを指定しなかった場合、システムはコマンドを実行する前にプロンプトを出します。入力したパスワードは表示されません。
-security tls | none
(オプション) LDAP サーバーとの通信時に使用するセキュリティーのタイプを指定します。
-userattribute user_attribute
(オプション) リモート・ユーザーのユーザー名を判別するために使用される LDAP 属性を指定します。ユーザー属性は、LDAP スキーマに存在している必要があり、ユーザーごとに固有でなければなりません。
-groupattribute group_attribute
(オプション) リモート・ユーザーのグループ・メンバーシップを判別するために使用される LDAP 属性を指定します。この属性には、グループの DN またはグループ名のコロン区切りリストのいずれかが含まれている必要があります。
-auditlogattribute auditlogattribute
(オプション) リモート・ユーザーの ID を判別するために使用される LDAP 属性を指定します。ユーザーが監査対象のアクションを実行すると、この情報が監査で記録されます。
-authcacheminutes auth_cache_minutes
(オプション) 認証の詳細をキャッシュに入れる期間を指定します。
-nestedgroupsearch client | server | off
(オプション) ネストされたグループがクライアント (クラスター化システム) またはサーバー (認証サービス) で評価されるか、まったく評価されないかを指定します。

説明

少なくとも 1 つのパラメーターを指定する必要があります。

chldap コマンドは、LDAP 認証が有効になっているかどうかに関係なく実行できます。-reset または -type を指定すると、他に指定されていない限り、デフォルト値が設定されます。

-username が指定されている場合は、-password または -encpassword のみを指定することができます。

-type パラメーター値は、タイプが既存のタイプと異なる場合にのみ、指定されたタイプのデフォルトに設定されます。

type が itds である場合、-nestedgroupsearch を実行できません (ネストされたグループはデフォルトで評価されます)。type が ad である場合、サーバー・サポートがないため、-nestedgroupsearchclient または off にのみ設定できます。type が other である場合、-nestedgroupsearch パラメーターは完全に構成可能です。

識別名 (DN)、ユーザー・プリンシパル名 (UPN)、または NT ログイン名を指定するには、-username を使用します。識別名 (DN) は、コンマ (,)、セミコロン (;)、または正符号 (+) で区切られた attribute=value のペアのシーケンスでなければなりません。 特殊文字をエスケープするには、円記号 (¥) を使用する必要があります。また、円記号 (¥) を使用して、UTF-8 文字をそれぞれのバイト・エンコードを使用して指定することができます。 例えば、c 揚音は「¥C4¥87」として表すことができます。NT ログインは、Active Directory でのみ有効であり、DOMAIN¥user の形式でなければなりません。これらのログインの先頭または終わりにピリオド (.) を使用してはならず、DOMAIN と user にはいずれも文字 ¥/:?"<>| を使用してはなりません。UPN ログインは、Active Directory でのみ有効であり、user@suffix の形式でなければなりません。user と suffix にはいずれも、スペースおよび文字 ()<>,;:¥"[]@ を使用してはなりません。

ヒント:
  • -userattribute-groupattribute、および -auditlogattribute は以下の値を受け入れることを覚えておいてください。
    1. 文字で始まる
    2. ASCII 文字、数字、およびハイフンのみを使用する
    3. 大/小文字を区別しない
以下の LDAP (初回) 構成に関する推奨事項は、LDAP サーバーのセットアップに役立ちます。
重要:
  • ご使用の LDAP スキーマに従ってシステムが適切に構成されていることを確認してください。chldap -type を発行して、システムの LDAP 構成にサーバー・タイプのデフォルトを設定します。 chldap -reset を発行すれば、いつでもこれらのデフォルトに戻すことができます。
    • (上級) すべてのサーバー・タイプで、ユーザーは、LDAP 属性 user_attribute で構成されたユーザー名を使用して認証されます。 この属性は、LDAP スキーマに存在している必要があり、ユーザーごとに固有でなければなりません。この属性は、chldap -userattribute を発行して構成できます。 Active Directory ユーザーは、UPN または NT ログイン名を使用して認証することもできます。
    • (上級) 認証されたユーザーには、それぞれの LDAP グループ・メンバーシップに従って役割が割り当てられます。各ユーザーのグループ・メンバーシップは、LDAP 属性 group_attribute に保管される必要があります。これは、ユーザーの LDAP グループの DN を含む LDAP 属性、またはユーザー・グループ名のコロン区切りリストを含む LDAP 属性のいずれかにすることができます。この属性は、chldap -groupattribute を発行して構成できます。
    • (上級): LDAP 認証が行われたユーザーが監査済みのコマンドを実行すると、ユーザーのログイン名が監査ログに入れられます。この名前は、LDAP 属性 audit_log_attribute から抽出されます。この属性は、chldap -auditlogattribute を発行して構成できます。
  • システムが LDAP サーバー上のユーザーおよびグループのツリー内で検索できることを確認します。デフォルトで、システムは匿名で認証します。 したがって、LDAP ディレクトリーの匿名検索を許可するか、あるいは適切な許可を指定して LDAP ユーザーを作成し、chldap -username コマンドと chldap -password コマンドを発行して、システムに対してこのユーザーとして検索するよう命令する必要があります。
  • システムが適切なレベルのセキュリティーに接続できることを確認します。パスワードは平文として LDAP サーバーに送信されるため、トランスポート層セキュリティー (TLS) 暗号化が推奨されます。 セキュリティー・レベルを変更するには、chldap -security を発行します。
  • (上級): Active Directory およびその他の一部の LDAP サーバーで、システムは (デフォルトで) ユーザーが直接的に属するグループを識別します。 親グループに従ってユーザーに許可を割り当てるには、chldap -nestedgroupsearch を発行して、クライアントでネストされたグループの検索を使用可能にします。 この設定は、さらなるパフォーマンス・オーバーヘッドを引き起こし、最大 8 つのレベルのネスティングをサポートします。

呼び出し例

chldap -type
itds -username uid=joebloggs,cn=admins,dc=company,dc=com -password passw0rd
-auditlogattribute descriptiveName

結果出力

No feedback