Jump to content 日本-日本語
≫ お問い合わせ

HP OpenVMS ACME LDAP : インストレーションおよび構成ガイド

第2章 ACME LDAP エージェントのインストールと構成

≫ 

OpenVMS ドキュメント ライブラリ

タイトルページ/目次
まえがき
第1章:概要
第2章:ACME LDAPエージェントのインストールと構成
第3章:グローバルマッピングとローカルマッピング
第4章:Active ServerとACMS LDAPエージェントの構成例
第5章:問題発生時の対応
第6章:制限事項
第7章:参考資料
索引
PDF
OpenVMS ホーム
ここから本文が始まります

2.1 前提条件

  • ご使用のシステムで OpenVMS Alpha V8.3 以上あるいは OpenVMS Integrity V8.3 以上を実行していることが必要です。

  • SYS$ACM (ACMELOGIN) 対応の LOGINOUT.EXE および SETP0.EXE イメージをインストールしておく必要があります。

    詳細は SYS$HELP:ACME_DEV_README.TXT ファイルを参照してください。

2.2 セットアップの概要

最初に、LDAP ディレクトリサーバーを構成し、ユーザーエントリーを追加しておく必要があります。

ACME LDAP エージェントは、以下の手順で構成できます。

2.3 SYS$ACM (ACMELOGIN) 対応の LOGIN PCSI キットおよび ACME LDAP PCSI キットのインストール

以下の手順で、SYS$ACM 対応の LOGIN キット (以前の ACMELOGIN) および ACMELDAP キットをダウンロードし、OpenVMS システムにインストールします。

  1. HP のパッチ Web サイト (HP サポートセンター) から、 以下のような名前の適切な LOGINPLUS キットをダウンロードします。

    OpenVMS Integrity の場合:

    HP-I64VMS-<os_version>_LOGINPLUS-Vxxxx--4.PCSI

    あるいは

    OpenVMS Alpha の場合:

    DEC-AXPVMS-<os_version>_LOGINPLUS-Vxxxx--4.PCSI

    上記のキット名の <os_version> の部分は OpenVMS オペレーティングシステムのバージョンに、また、-Vxxxx- の部分は LOGINPLUS キットのバージョンに置き換えてください。 キット名は、たとえば VMS84I_LOGINPLUS_V0100 のように表記されています。

    LOGINPLUS キットには、SYS$ACM 対応 (ACMELOGIN) のログイン・イメージ、および SYS$ACM 非対応 (LOGIN) のログイン・イメージが含まれています。

    以前は、SYS$ACM 対応 (ACMELOGIN) および SYS$ACM 非対応 (LOGIN) のログインイメージは、別々のキットで提供されていました。 現在はこれらのイメージは LOGINPLUS キットに統合されており、さらにイメージのタイプを検知するための機能が追加されています。

    なお、一般に LOGINPLUS キットは、当該キットのリリース後に提供される OpenVMS のアップデートキットに統合されるため、LOGINPLUS キットの代わりにそれらのアップデートキットをインストールしてもかまいません。

  2. ご利用中の OS バージョンに応じて、 HP のパッチ web サイトから適切な ACMELDAP キットをダウンロードします。

    ご使用のバージョンダウンロードするパッチキット
    OpenVMS Alpha V8.3VMS83A_ACMELDAP-V0500 以上
    OpenVMS Integrity V8.3VMS83I_ACMELDAP-V0500 以上
    OpenVMS Integrity V8.3-1H1VMS831H1I_ACMELDAP-V0300 以上
    OpenVMS V8.4 以降オペレーティングシステムの一部として提供されます。 ただし、さらなる問題の修正および機能拡張が ACMELDAP パッチキットとして提供される場合もあります。

    上記の ACMELDAP キットは、当該キットのリリース後に提供される OpenVMS のアップデートキットにも含まれます。

    インストレーション方法の変更について:

    OpenVMS Alpha V8.3、OpenVMS Integrity V8.3、あるいは OpenVMS Integrity V8.3-1H1 に対して上記のバージョンの ACMELDAP パッチキットをインストールすると、 以前の ACMELDAP、ACMELDAP_STD (OpenVMS V8.3)、および ACMELDAP_ST (OpenVMS V8.3-1H1) の各パッチキットがインストールされている場合は、それらが置き換えられます。

    ACMELDAP_STD および ACMELDAP_ST パッチキットは、 以前のバージョンの ACMELDAP パッチキットのインストール後にインストールする [SYSUPD]ACME_DEV_KITS.BCK の一部として提供されていましたが、 今後は SYS$UPDATE:ACME_DEV_KITS.BCK は提供されません。

    このため、新しい ACMELDAP キットをインストールした後に、 [SYSUPD]ACME_DEV_KITS.BCK を展開して ACMELDAP_STD あるいは ACMELDAP_ST パッチキットをインストールするという追加作業は必要なくなります。

  3. 下記のコマンドを実行し、手順 1 でダウンロードした LOGINPLUS キットから SYS$ACM (ACMELOGIN) 対応の LOGINOUT.EXE および SETP0.EXE をインストールします。

    PRODUCT INSTALL/SAVE <os_version>LOGINPLUS

    インストレーション・プロシージャは、SYS$ACM 対応あるいは SYS$ACM 非対応のどちらのログイン・イメージがシステムにインストールされているかを検出します。

    システムに SYS$ACM 非対応のログイン・イメージがインストールされている場合、次の質問に対して "NO" と入力してください。

    *****************************************************
    
     Currently LOGIN KIT installed on your system
     Answer YES to install LOGIN
     Answer NO to install ACMELOGIN
    
    *****************************************************
    Do you wish to install updated LOGIN  [YES] ?: NO
    
    Do you wish to install updated ACMELOGIN  [YES] ?: YES
    

    システムに SYS$ACM 対応のログインがインストールされている場合、次の質問に対して "YES" と入力してください。

    *****************************************************
    
     Currently ACMELOGIN KIT installed on your system
     Answer YES to install ACMELOGIN
     Answer NO to install LOGIN
    
    *****************************************************
    Do you wish to install updated ACMELOGIN  [YES] ?: YES
    

  4. 次のコマンドでイメージ ID を確認します。

    ANALYZE/IMAGE/INTER SYS$COMMON:[SYSEXE]LOGINOUT.EXE

    ANALYZE/IMAGE/INTER SYS$COMMON:[SYSEXE]SETP0.EXE

    SYS$ACM 対応のイメージの場合 Image file identification: フィールドに LOGIN98 の文字が含まれます。

    インストレーションが完了したら任意のユーザーアカウントでシステムにログインし、LOGINPLUS キットをテストすることをお勧めします。

  5. OpenVMS V8.3 あるいは V8.3-1H1 システムをご使用の場合、 LDAP ディレクトリサーバーの検索によりユーザー認証を行うためには、 手順2でダウンロードした ACMELDAP キットをインストールする必要があります。 この場合、次のコマンドを使用します。

    PRODUCT INSTALL/SAVE <os_version>ACMELDAP

    インストレーション後に行う LDAP ペルソナ拡張の設定および LDAP ACME エージェントの構成方法については、 以下のいずれかの場所にある LDAP ACME エージェントのドキュメントを参照してください。

    • SYS$HELP:ACMELDAP_STD_CONFIG_INSTALL.PDF
    • SYS$HELP:ACMELDAP_STD_CONFIG_INSTALL.TXT

ACME LDAP エージェントをインストールしたら、2.4 項 「LDAP ペルソナ拡張の設定」へ進んでください。

インストレーションのより詳細な手順は、SYS$HELP:ACME_DEV_README.TXTを参照してください。

2.4 LDAP ペルソナ拡張の設定

ペルソナ拡張の設定は以下の手順で行います。

  1. 次のコマンドでペルソナ拡張イメージをインストールします。

    $ MCR SYSMAN
    SYSMAN> SYS_LOADABLE ADD LDAPACME LDAPACME$EXT
    SYSMAN> exit
    $ @SYS$UPDATE:VMS$SYSTEM_IMAGES.COM
    

  2. システムをリブートします。

    $ @SYS$SYSTEM:SHUTDOWN
    

ペルソナ拡張イメージがロードされていない場合は、リブート時にエラーメッセージが表示されます。エラーメッセージが表示されなければ、必要なイメージがロードされていることを示しています。

LDAP ペルソナ拡張を設定した後、2.5 項 「ACME LDAP エージェントの構成」 に進みます。

2.5 ACME LDAP エージェントの構成

ACME LDAP エージェントの構成では次の作業を行います。

ユーザー名に対する属性は、ACME LDAP INI 構成ファイルの login_attribute ディレクティブで指定されます。login_attribute についての詳細は、表 2-1 「LDAP 構成属性」を参照してください。

ACME LDAP エージェントは、ユーザー名 (ログイン時に "Username" プロンプトで入力した名前) のマッチングのためにディレクトリサーバーでこの属性を探します。 この検索は、base_dn ディレクティブで指定されたディレクトリ・ツリーの下の一連の LDAP エントリーで行われます。

ユーザー名 (ログイン時に "Username" プロンプトで入力した名前) は、SYSUAF.DAT ファイルのユーザー名にマッピングされます。 このマッピングは、OpenVMS V8.3 および V8.3-1H1 では 1 対 1 です。1 対 1 のマッピングでは、入力したユーザー名は SYSUAF.DAT のユーザー名と同じでなくてはなりません。 OpenVMS V8.4 以降は、グローバルマッピングおよびローカルマッピングもサポートされます。 グローバルマッピングおよびローカルマッピングについての詳細は、第3章 「グローバルマッピングとローカルマッピング」を参照してください。

特権や識別子などの OpenVMS 固有の情報は SYSUAF.DAT ファイルから取得されます。

ACME LDAP の構成例とログイン例については、第4章 「スタンドアロン Active Directory サーバーと OpenVMS ACME LDAP エージェントの構成例」を参照してください。

2.5.1 LDAP 構成ファイルの編集

ACME LDAP の INI ファイルの編集手順は以下のとおりです。

  1. SYS$STARTUP:LDAPACME$CONFIG-STD.INI_TEMPLATE をコピーして、任意のファイル名に変更します。 たとえば、SYS$STARTUP:LDAPACME$CONFIG-STD.INI というファイル名にする場合は、以下のようなコマンドを実行します。

    $ COPY SYS$STARTUP:LDAPACME$CONFIG-STD.INI_TEMPLATE -
    _$ SYS$STARTUP:LDAPACME$CONFIG-STD.INI
    

  2. SYS$STARTUP:LDAPACME$CONFIG-STD.INI を編集して、ご利用の環境の要件に合うようにディレクティブを指定します。

    LDAPACME$CONFIG-STD.INI に含まれるディレクティブについての説明は表 2-1 「LDAP 構成属性」を参照してください。

    表 2-1 LDAP 構成属性

    ディレクティブ 説明

    server

    必須ディレクティブです。

    server ディレクティブを使用して、ディレクトリサーバーの IP アドレス (あるいは DNS ホスト名) を指定します。

    OpenVMS V8.4 以降では、サーバー名あるいは IP アドレスをスペースで区切って、複数の冗長サーバーを指定することができます。以下に例を示します。

    server = test1.tdomain.com test2.tdomain.com
    server = test1.tdomain.com test2.tdomain.com test3.tdomain.com
    

    ACME LDAP エージェントは、リストされている最初のサーバーから接続しようとします。 最初のサーバーへの接続が失敗すると、2 番目のサーバーへの接続を試みます。 2 番目のサーバーへの接続が失敗すると、次にリストされているサーバーへの接続を試み、リストの最後までこれを繰り返します。

    冗長サーバーを使用する場合は、以下の点に注意してください。

    • すべての冗長サーバーで base_dn、bind_dn、および bind_password ディレクティブの値が同じであることが必要です。 また、ACME LDAP で認証されるユーザーレコードは、すべてのディレクトリサーバーに存在しなければなりません。

    • 複数の冗長サーバを使用する場合は bind_timeout ディレクティブを設定してください。これにより、ユーザーセッションがタイムアウトになる前に、ACME LDAP はすべての冗長サーバーに接続を試みます。

    • CA (Certificate Authority) の公開キー (ca_file ディレクティブ) の提供を受けており、 それらの公開キーが異なる場合、すべての公開キーを同じ ca_file で提供してください。詳細については ca_file ディレクティブの説明を参照してください。

    port

    必須ディレクティブです。

    ディレクトリサーバーが接続するポートです。デフォルトは標準ポート 389 です (SSL/TLS の場合は 636)。

    login_attribute

    必須ディレクティブです。

    ログインのためのユーザー名を含む LDAP スキーマ属性です。 しばしば 'uid' として指定されますが、これはご使用の構成によって異なります。 Active Directory の場合、このディレクティブの値は通常 samaccountname です。

    password_type

    下記のいずれかを選択します。

    • standard (デフォルト)

    • active-directory

    このディレクティブが指定されていない場合、 SET PASSWORD コマンドの実行が失敗します。

    Active Directory サーバーを使用している場合は、password_type ディレクティブが active-directory に設定されていないと、SET PASSWORD コマンドが失敗します。

    password_update

    password_type = standard が設定されている場合のみ適用されます。ディレクトリサーバーによっては、userPassword 属性を変更する際に古いパスワードの指定が必要となる場合があります。 その他の場合は必要ありません。

    下記のいずれかを選択します。

    • replace (デフォルト)

    • remove-and-add

    base_dn

    LDAP ユーザーは、ディレクトリサーバーのツリー構造に保管されます。

    base_dn ディレクティブは、ディレクトリサーバーのツリー要素の識別名です。すべてのユーザーエントリーが、このツリー要素の下にサブツリー要素として存在しなければなりません。 ACME LDAP は、login_attribute で指定された属性をもとに、このサブツリー内で一致するエントリーを探します。(scope ディレクティブを参照)

    scope

    base_dn で指定されたツリー構造下の検索の深さを制御します。 以下のキーワードが使用できます。

    sub

    ベースエントリーとその下のすべてのレベルのすべてのエントリーを検索します。

    one

    ベースエントリーよりも 1 レベル下のすべてのエントリーを検索します。

    base

    ベースエントリーのみを検索します。

    使用すべきキーワードが不明な場合は sub を使用します。

    filter

    このディレクティブはオプションです。

    LDAP ツリーでユーザーを検索するオブジェクトを制限するための検索フィルター。デフォルトは objectclass=* です。

    bind_dn

    base_dn で指定されたデイレクトリ・サブツリーの検索特権が付与されているユーザーアカウント (ディレクトリエントリー) の識別名 (DN)

    ディレクトリサーバーでユーザーを検索する前に、 bind_dn と共に bind_password を使用して、ディレクトリサーバーへのバインドが行われます。

    いくつかのディレクトリサーバー(Active Directory など)では、 bind_dn および bind_password の指定がなければ、 ACME LDAP エージェントのバインドはデフォルトでは認めていません。このような場合は bind_dn および bind_password の指定が必要になります。

    ディレクトリサーバーによっては匿名バインドをサポートするものもあります。 この場合、デイレクトリ・サーバーの使用にあたり bind_dn および bind_password ディレクティブの提供は必要ありません。

    bind_password

    bind_dn で指定されたディレクトリ DN のパスワード。

    bind_timeout (OpenVMS V8.4 以降でサポート)

    server ディレクティブで複数の冗長サーバーを指定している場合、 bind_timeout ディレクティブを使用します。

    ディレクトリサーバーへのバインド要求は、そのディレクトリサーバーに到達できない場合、 タイムアウトまでにデフォルトでは約 75 秒かかります (TCP/IP のデフォルトの接続確立タイムアウト)。

    複数の冗長サーバーが存在する場合、ユーザーログインセッション (たとえば TELNET セッション) は、 ACME LDAP エージェントが server ディレクティブで指定されているすべてのサーバーのリストをチェックする前に、期限切れになります(約 30 秒以内)。

    bind_timeout ディレクティブは、 server ディレクティブで指定されているサーバーリストの中の 1 台のサーバーに対する接続タイムアウト値を秒数で指定します。たとえば、server ディレクティブで 2 つのサーバーを指定している場合、 bind_timeout ディレクティブの設定値が 3 秒だと、全体のタイムアウト時間は約 6 秒になります。

    port_security

    必須ディレクティブです。

    LDAP ポート経由の暗号化通信で使用される手法を指定します。 使用できる値は、starttls (デフォルト)、ssl (専用 SSL ポート) あるいは none です(none の指定はお勧めしません)。

    ca_file

    このディレクティブはオプションです。

    ディレクトリサーバーの公開キーを署名した認証局の公開キーを含む PEM 形式のファイルのファイルパスを指定します。

    port_security が ssl あるいは starttls に設定されている場合、 ACME LDAP エージェントはこの認証ファイルをチェックして、正しいディレクトリサーバーに接続しているかどうかを確認します。

    この属性が使用されていない場合、LDAP サーバーの認証は確認されません。

    異なる公開キーの認証を待つ冗長なサーバーが存在する場合、 すべてのサーバーの認証情報を同じファイルに追加します。

    以下に例を示します。

    $ TYPE CACERT.PEM
    -----BEGIN CERTIFICATE-----
    .......
    サーバー 1 の base64 暗号化形式の公開キー証明書
    .......
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    .......
    サーバー 2 の base64 暗号化形式の公開キー証明書
    .......
    -----END CERTIFICATE-----
    $
    

    mapping (OpenVMS V8.4 以降でサポート)

    マッピングがグローバルであるかローカルであるかを指定します。このディレクティブの値は下記のいずれかです。

    • server

    • local

    たとえば mapping=server は、このユーザーに対してはグローバルマッピングが有効であることを示しています。mapping=local は、このユーザーに対してはローカルマッピングが有効であることを示しています。 mapping ディレクティブが使用されていない場合、マッピングは 1 対 1 です。

    mapping_attribute (OpenVMS V8.4 以降でサポート)

    このディレクティブはグローバルマッピングに対してのみ適用されます。ユーザーマッピングに使用するディレクトリサーバー上の属性に設定してください。

    以下に例を示します。

    mapping_attribute を次のように使用して、ディレクトリサーバー上のユーザーに対し、description 属性を参照させることができます。

    mapping_attribute=description

    そのディレクトリサーバーで新たに作成された属性もマッピングに使用できます。 この場合、属性は IA5 (International Aphabet number 5) の複数の文字列値でなければなりません。

    mapping_target (OpenVMS V8.4 以降でサポート)

    このディレクティブはグローバルマッピングに対してのみ適用されます。 mapping_target は、ディレクトリサーバーの mapping_attribute フィールドの値で検索されます。以下に例を示します。

    LDAP INI ファイルで以下のように記述されていると仮定します。

    mapping_attribute=description
    mapping_target=VMSUsers.hp.com
    

    Directory Server の description フィールドが次のように記述されているとします。

    VMSUsers.hp.com/jdoe

    ACME LDAP エージェントは VMSUsers.hp.com/jdoe で検索を行い、VMSUsers.hp.com/ の部分を探します(mapping_target の値とユーザー名の前のスラッシュ(/))。 値の残りの部分、すなわち "jdoe" は、SYSUAF.DAT ファイルに存在するユーザー名と認識されます。 複数の属性文字列が使用される場合、属性文字列の配列要素の 1 つが "VMSUsers.hp.com/jdoe" でなくてはなりません。

    mapping_file (OpenVMS V8.4 以降でサポート)

    このディレクティブはローカルマッピングに対してのみ適用されます。

    マッピングユーザーを検索するテキスト・データベースファイルの完全パスを設定します。

    SYS$STARTUP:LDAP_LOCALUSER_DATABASE.TXT_TEMPLATE にテンプレートファイルがあります。

    このファイルには、LDAP ユーザー名と VMS ユーザー名がコンマで区切られて記述されます。 LDAP ユーザー名はそのドメインにおけるユーザーの名前 (ログイン時に username プロンプトに対して入力する名前) です。

    データベースファイルに内容を追加し、ロードする方法については、 SYS$STARTUP:LDAP_LOCALUSER_DATABASE.TXT_TEMPLATE を参照してください。

     

  3. SYS$MANAGER:ACME$START.COM を編集して、下記の論理名を定義します。

    論理名 LDAPACME$INIT に対し、ACME LDAP Agent サーバーの初期化のためのパス名を定義します。

    $ DEFINE/SYSTEM/EXECUTIVE LDAPACME$INIT SYS$STARTUP:LDAPACME$CONFIG-STD.INI
    

  4. SYS$MANAGER:ACME$START.COM から、下記のコメント行を外します。

    $! @SYS$STARTUP:LDAPACME$STARTUP-STD                ! LDAP

    重要: ACME LDAP エージェントを起動する前に、LDAPACME$INIT 論理名を定義しておく必要があります。 この論理名定義は、 SYS$MANAGER:ACME$START.COMSYS$STARTUP:LDAPACME$STARTUP-STD プロシージャが実行される行よりも前に記述することをお勧めします。
  5. LDAP 構成ファイルと LDAP ローカルデータベースファイルは、特権のあるユーザーのみがアクセス可能です。これらのファイルのセキュリティは、ご利用の環境のセキュリティ要件に基づいて適切に設定できます。たとえば、以下のコマンドでは、system ユーザーのみが LDAPACME$CONFIG-STD.INI および LDAP_LOCALUSER_DATABASE.TXT ファイルにアクセスできるように設定しています。

    $ SET SECURITY /PROTECTION=(system:"RWED",OWNER:"",GROUP:"",WORLD:"") -
    _$ SYS$COMMON:[SYS$STARTUP]LDAPACME$CONFIG-STD.INI
    
    $ SET SECURITY /PROTECTION=(system:"RWED",OWNER:"",GROUP:"",WORLD:"") -
    _$ SYS$COMMON:[SYS$STARTUP]LDAP_LOCALUSER_DATABASE.TXT
    

2.5.2 ACME LDAP エージェントの起動

次のコマンドで ACME_SERVER プロセスを再起動してください。

$ SET SERVER ACME/EXIT/WAIT
$ SET SERVER ACME/START=AUTO

注記: SYS$MANAGER:SYSTARTUP_VMS.COM プロシージャにこのコマンドを記述しておくと、 システムブート時に ACME LDAP エージェントを自動起動させることができます。

2.6 OpenVMS での ExtAuth および VMSAuth フラグの指定

LDAP によって外部認証されるユーザーに対しては、 SYSUAF.DAT でそのユーザーアカウントに ExtAuth フラグが設定されている必要があります。 ユーザーアカウントに ExtAuth フラグが指定されている場合、そのユーザーは外部認証 (LDAP) のみ有効です。 このユーザーに対して SYSUAF.DAT ファイルによるローカル認証も可能にしたい場合は、 SYSUAF.DAT ファイルのユーザーアカウントに VMSAuth フラグを設定し、 次の項で説明するように、ログイン時に /local 修飾子を使用してください。

ユーザーに ExtAuth フラグを設定するには次のコマンドを入力します。

$ SET DEFAULT SYS$SYSTEM
$ MCR AUTHORIZE MODIFY <username> /FLAGS=(EXTAUTH,VMSAUTH)

以下にユーザープロファイルの例を示します。

$ SET DEF SYS$SYSTEM
$ MC AUTHORIZE
UAF> modify jdoe/flags=(EXTAUTH,VMSAUTH)
%UAF-I-MDFYMSG, user record(s) updated
UAF> sh jdoe

Username: JDOE                             Owner:
Account:  TEST                             UIC:    [201,2011] ([JDOE])
CLI:      DCL                              Tables: DCLTABLES
Default:  SYS$SYSDEVICE:[JDOE]
LGICMD:
Flags:  ExtAuth VMSAuth
Primary days:   Mon Tue Wed Thu Fri
Secondary days:                     Sat Sun
No access restrictions
Expiration:            (none)    Pwdminimum:  6   Login Fails:     1
Pwdlifetime:         90 00:00    Pwdchange:      (pre-expired)
Last Login:            (none) (interactive),            (none) (non-interactive)
Maxjobs:         0  Fillm:       128  Bytlm:       128000
Maxacctjobs:     0  Shrfillm:      0  Pbytlm:           0
Maxdetach:       0  BIOlm:       150  JTquota:       4096
Prclm:           8  DIOlm:       150  WSdef:         4096
Prio:            4  ASTlm:       300  WSquo:         8192
Queprio:         4  TQElm:       100  WSextent:     16384
CPU:        (none)  Enqlm:      4000  Pgflquo:     256000
Authorized Privileges:
  NETMBX       TMPMBX
Default Privileges:
  NETMBX       TMPMBX
UAF>

ディレクトリサーバーが構成されており、 SYSUAF のアカウントがそのディレクトサーバー上のユーザー名にマッピングされている場合、 次の例のように、ACME LDAP を認証エージェントとして使用してシステムにログインすることができます。

ユーザー jdoe のパスワードはディレクトリサーバーに登録されている情報で検証されます。 ディレクトリサーバーのパスワードが SYSUAF.DAT ファイルのパスワードとは異なる場合、 SYSUAF.DAT ファイル上のパスワードがディレクトリサーバのパスワードと同期化されます。 特定のユーザーのパスワードの同期化、あるいはそのシステムのすべてのユーザーに対するパスワードの同期化を無効にすることもできます。パスワードの同期化を無効にする手順については、『HP OpenVMS システム・セキュリティ・ガイド』 の「外部認証を有効にするための手順」あるいは「ACME サブシステム」の項を参照してください。

$ telnet 127.0.0.1
%TELNET-I-TRYING, Trying ... 127.0.0.1
%TELNET-I-SESSION, Session 01, host 127.0.0.1, port 23
-TELNET-I-ESCAPE, Escape character is ^]

 Welcome to HP OpenVMS Industry Standard 64 Operating System, Version V8.3-1H1

Username: jdoe
Password:
   HP OpenVMS Industry Standard 64 Operating System, Version V8.3-1H1
        **** Logon authenticated by LDAP ****
    OpenVMS password has been synchronized with external password

次の例では、SYSUAF.DAT ファイルに対してユーザー jdoe の認証が行われています。 ログイン時に /local 修飾子が指定された場合、そのユーザーのマッピングは行われていないことに注意してください。 この場合、SYSUAF.DAT ファイルにユーザー名 jdoe が存在しなければなりません。

$ telnet 127.0.0.1
%TELNET-I-TRYING, Trying ... 127.0.0.1
%TELNET-I-SESSION, Session 01, host 127.0.0.1, port 23
-TELNET-I-ESCAPE, Escape character is ^]

 Welcome to HP OpenVMS Industry Standard 64 Operating System, Version V8.3-1H1

Username: jdoe/local
Password:
   HP OpenVMS Industry Standard 64 Operating System, Version V8.3-1H1
    Last interactive login on Tuesday,  1-DEC-2009 01:34:50.26
**** Logon authenticated by LDAP ****

スタンドアロンの Active Directory サーバーの構成例については 第4章 「スタンドアロン Active Directory サーバーと OpenVMS ACME LDAP エージェントの構成例」 を参照してください。

2.7 構成ファイルの例

例 2-1 Red Hat あるいは Fedora Directory Server の構成ファイルの例

server = roux.zko.hp.com
port = 636
port_security = ssl
bind_dn = uid=acme-admin,ou=people,dc=acme,dc=mycompany,dc=com
bind_password = swordfish
base_dn = ou=people,dc=acme,dc=mycompany,dc=com
login_attribute = uid
scope = sub
ca_file = sys$manager:acme_ca.crt

例 2-2 Active Directory の構成ファイルの例

server = acme.mycompany.com
port = 636
port_security = ssl
password_type = active-directory
bind_dn = cn=acme-admin,cn=users,dc=acme,dc=mycompany,dc=com
bind_password = swordfish
base_dn = cn=users,dc=acme,dc=mycompany,dc=com
login_attribute = samaccountname
scope = sub
ca_file = sys$manager:acme_ca.crt

server = cssn-ddrs.testdomain.hp.com
port = 389
bind_dn = CN=query_account,CN=Users,DC=testdomain,DC=hp,DC=com
bind_password = welcome@123
base_dn = DC=testdomain,DC=hp,DC=com
scope = sub
port_security = none
password_type = active-directory

server = cssn-ddrs.testdomain.hp.com
port = 389
bind_dn = CN=query_account,CN=Users,DC=testdomain,DC=hp,DC=com
bind_password = welcome@123
base_dn = DC=testdomain,DC=hp,DC=com
scope = sub
port_security = starttls
password_type = active-directory
ca_file = sys$manager:cssn-ddrs.cer

2.8 LDAP 冗長ディレクトリサーバーのサポート

OpenVMS V8.4 以降では、 ユーザー認証のために複数の冗長ディレクトリサーバーを探すように ACME LDAP エージェントを構成することができます。 このように構成しておくと、最初のディレクトリサーバーに到達できない場合やアクセスしようとするサーバーがアクティブでない場合に対処できます。 アクセスしようとするサーバーに問題がある場合、ACME LDAP エージェントはその他の一連のディレクトリサーバーに接続してユーザーの認証を試みます。

この機能は、OpenVMS V8.4 のパッチキットで提供されています。

複数の冗長サーバーを提供するには、server や bind_timeout などの必須ディレクティブとオプションディレクティブ ca_file を変更しておく必要があります。 これらのディレクティブについての詳細は 2.5.1 項 「LDAP 構成ファイルの編集」 を参照してください。

印刷用画面へ
プライバシー 本サイト利用時の合意事項
© 2013 Hewlett-Packard Development Company, L.P.