mksecldap コマンド

目的

セキュリティー認証およびデータ管理のために LDAP クライアントをセットアップします。

構文

mksecldap -c -h serverlist -a adminDN -p adminpasswd [ -d baseDN ] [ -n serverport ] [ -k SSLkeypath ] [ -w SSLkeypasswd ] [ -t cachetimeout ] [ -C cachesize ] [ -P NumberofThreads ] [ -TheartBeatInt ] [ -u userlist ] [ -U ]

説明

mksecldap コマンドを使用して、セキュリティー認証およびデータ管理のためにLDAP クライアントをセットアップできます。このコマンドはすべてのクライアントで実行しなければなりません。

クライアントのセットアップでは、LDAP サーバーがセットアップ済みで実行中であることを確認してください。 mksecldap コマンドは、クライアントのセットアップで次のことを行います。

  1. 1 つ以上の LDAP サーバーのホスト名を保管する。
  2. サーバーのユーザー基本 DN およびグループ基本 DN を保存する。 -d オプションを指定しなかった場合は、mksecldap コマンドは LDAP サーバーから情報を検索し、その結果に従って基本 DN をセットアップします。サーバーに複数のユーザーまたはグループのベースがある場合、相対識別名 (RDN) を使用して -d オプションを指定し、mksecldap コマンドが基本 DN を RDN 内の基本 DN にセットアップできるようにします。
  3. LDAP サーバーが使用するスキーマ・タイプを決定する。AIX 固有のスキーマ、RFC 2307 スキーマ、または RFC 2307 スキーマ (AIX 完全サポートのあるもの) のいずれかです。他のスキーマは mksecldap コマンドが認識しないため、クライアントを手動でセットアップしなければなりません。
  4. このホストと LDAP サーバーとの間の安全なデータ転送のために SSL を設定する。このステップは、クライアントの SSL 鍵および鍵のパスワードが事前に作成されていることが必要で、クライアント SSL が機能するためには、SSL を使用するようにサーバーをセットアップする必要があります。
  5. LDAP サーバーの管理者 DN およびパスワードを保存する。組になった DN/パスワードは、サーバーのセットアップ中に指定したものと同じでなければなりません。
  6. クライアント側デーモンで使用されるエントリー数に関するキャッシュ・サイズを設定する。有効な値は、ユーザーについては 100 〜 10 000、グループについては 10 〜 1 000 です。デフォルト値は、ユーザーについては 1 000、グループについては 100 です。
  7. クライアント側デーモンのキャッシュ・タイムアウトを設定する。有効な値は 60 〜 3600 秒です。デフォルト値は 300 秒です。キャッシングを使用不可にする場合は、この値を 0 に設定します。
  8. クライアント側デーモンで使用されるスレッド数を設定する。有効な値は 1 〜 1 000 です。デフォルトは 10 です。
  9. クライアント・デーモンが LDAP サーバーの状態を検査する時間間隔を秒単位で指定する。有効な値は 60 〜 3 600 秒です。デフォルト値は 300 です。
  10. クライアント・デーモン のプロセス (secldapclntd) を始動する。
  11. クライアント側デーモンが リブート後に開始するようにする。
  12. -U オプションを使用して、前のセットアップを元に戻す。

フラグ

クライアントのセットアップの場合

-a adminDN LDAP サーバー管理者 DN を指定します。 サーバー・セットアップで使用されたものと一致している必要があります。
-c コマンドがクライアントをセットアップするために実行中であることを示します。
-C cachesize クライアント側デーモンのキャッシュで使用されるユーザー・エントリーの最大数を指定します。有効な値は、ユーザー・キャッシュについては 100 〜 10 000 です。デフォルト値は 1 000 です。グループ・キャッシュでは、ユーザー・キャッシュの値の 10% になります。
-d baseDN 基本 DN を指定して、 mksecldap コマンドがユーザー基本 DN またはグループ基本 DN を検索するようにします。コマンド行から指定しないと、データベース全体が検索されます。
-h serverlist コンマで区切られたホスト名 (サーバーおよびバックアップ・サーバー) のリストを指定します。
-k SSLkeypath クライアント SSL 鍵への絶対パスを指定します。
-m マスター・サーバーが使用可能なときは、クライアント・デーモンが常にマスター・サーバーと対話するように設定します。
-n LDAP サーバーが listen するポート番号を指定します。デフォルトは、SSL でない場合は 389、SSL の場合は 636 です。
-p adminpasswd LDAP サーバーの管理者 DN のクリア・テキスト・パスワードを指定します。サーバー・セットアップで使用されたものと一致している必要があります。
-P NumberofTreads クライアント側デーモンが使用するスレッド数を指定します。有効な値は 1 〜 1 000 です。デフォルトは 10 です。
-t Cachetimeout キャッシュ。エントリーの期限の最大値を指定します。有効な値は 60 〜 3 600 秒です。デフォルト値は 300 秒です。キャッシングを使用不可にする場合は、この値を 0 に設定します。
-T heartBeatInt このクライアントと LDAP サーバー間のハートビートの時間間隔を指定します。有効な値は 60 〜 3 600 秒です。デフォルトは 300 です。
-u userlist コンマで区切られたユーザー名のリストを指定します。クライアント上のすべてのユーザーを使用可能にするには ALL と指定します。
-U 直前のクライアント・セットアップを元の LDAP クライアント構成ファイルに戻すように指定します。
-w SSLkeyfilepath クライアント SSL 鍵のパスワードを指定します。

  1. server1.ibm.com LDAP サーバーおよび server2.ibm.com LDAP サーバーを使用するようにクライアントをセットアップするには、次のように入力します。
    mksecldap -c -a cn=admin -p adminpwd -h server1.ibm.com,server2.ibm.com
    サーバーに対して認証するために、LDAP サーバーの管理者 DN およびパスワードをこのクライアントに提供する必要があります。 mksecldap コマンドは使用するスキーマ・タイプのために LDAP サーバーに連絡し、それに従ってクライアントをセットアップします。コマンド行から -d オプションを指定しないと、サーバー DIT 全体でユーザー基本 DN とグループ基本 DN が検索されます。
  2. クライアントが SSL を使用して server3.ibm.com LDAP サーバーと対話するようにセットアップするには、次のように入力します。
    mksecldap -c -a cn=admin -p adminpwd -h server3.ibm.com -d o=mycompany,c=us -k /usr/ldap/clientkey.kdb -w keypwd -u user1,user2 
    このコマンドでセットアップする LDAP クライアントは、3 のケースに似ていますが、SSL 通信を使用します。 mksecldap コマンドは、 o=mycompany,c=us RDN でユーザー基本 DN とグループ基本 DN を検索します。アカウント user1 および user2 は LDAP を介して認証するように構成されます。
    注:
    -u ALL オプションを指定すると、すべての LDAP ユーザーがこのクライアントにログインできるようになります。

関連情報