 |
≫ |
|
|
 |
-
ご使用のシステムで OpenVMS Alpha V8.3 以上あるいは OpenVMS Integrity V8.3 以上を実行していることが必要です。 -
SYS$ACM (ACMELOGIN) 対応の LOGINOUT.EXE および SETP0.EXE イメージをインストールしておく必要があります。 詳細は SYS$HELP:ACME_DEV_README.TXT ファイルを参照してください。
最初に、LDAP ディレクトリサーバーを構成し、ユーザーエントリーを追加しておく必要があります。
ACME LDAP エージェントは、以下の手順で構成できます。
以下の手順で、SYS$ACM 対応の LOGIN キット (以前の ACMELOGIN) および ACMELDAP キットをダウンロードし、OpenVMS システムにインストールします。
-
HP のパッチ Web サイト (HP サポートセンター) から、
以下のような名前の適切な LOGINPLUS キットをダウンロードします。
OpenVMS Integrity の場合:
HP-I64VMS-<os_version>_LOGINPLUS-Vxxxx--4.PCSI
あるいは
OpenVMS Alpha の場合:
DEC-AXPVMS-<os_version>_LOGINPLUS-Vxxxx--4.PCSI
上記のキット名の
<os_version> の部分は OpenVMS オペレーティングシステムのバージョンに、また、-Vxxxx- の部分は LOGINPLUS キットのバージョンに置き換えてください。
キット名は、たとえば VMS84I_LOGINPLUS_V0100 のように表記されています。
LOGINPLUS キットには、SYS$ACM 対応 (ACMELOGIN) のログイン・イメージ、および SYS$ACM 非対応 (LOGIN) のログイン・イメージが含まれています。 以前は、SYS$ACM 対応 (ACMELOGIN) および SYS$ACM 非対応 (LOGIN) のログインイメージは、別々のキットで提供されていました。
現在はこれらのイメージは LOGINPLUS キットに統合されており、さらにイメージのタイプを検知するための機能が追加されています。
なお、一般に LOGINPLUS キットは、当該キットのリリース後に提供される OpenVMS のアップデートキットに統合されるため、LOGINPLUS キットの代わりにそれらのアップデートキットをインストールしてもかまいません。
-
ご利用中の OS バージョンに応じて、
HP のパッチ web サイトから適切な ACMELDAP キットをダウンロードします。 ご使用のバージョン | ダウンロードするパッチキット |
---|
OpenVMS Alpha V8.3 | VMS83A_ACMELDAP-V0500 以上 | OpenVMS Integrity V8.3 | VMS83I_ACMELDAP-V0500 以上 | OpenVMS Integrity V8.3-1H1 | VMS831H1I_ACMELDAP-V0300 以上 | OpenVMS V8.4 以降 | オペレーティングシステムの一部として提供されます。
ただし、さらなる問題の修正および機能拡張が ACMELDAP パッチキットとして提供される場合もあります。 |
上記の ACMELDAP キットは、当該キットのリリース後に提供される OpenVMS のアップデートキットにも含まれます。
-
下記のコマンドを実行し、手順 1 でダウンロードした LOGINPLUS キットから
SYS$ACM (ACMELOGIN) 対応の LOGINOUT.EXE および SETP0.EXE をインストールします。
PRODUCT INSTALL/SAVE <os_version>LOGINPLUS
インストレーション・プロシージャは、SYS$ACM 対応あるいは SYS$ACM 非対応のどちらのログイン・イメージがシステムにインストールされているかを検出します。
システムに SYS$ACM 非対応のログイン・イメージがインストールされている場合、次の質問に対して "NO" と入力してください。
*****************************************************
Currently LOGIN KIT installed on your system
Answer YES to install LOGIN
Answer NO to install ACMELOGIN
*****************************************************
Do you wish to install updated LOGIN [YES] ?: NO
Do you wish to install updated ACMELOGIN [YES] ?: YES
|
システムに SYS$ACM 対応のログインがインストールされている場合、次の質問に対して "YES" と入力してください。
*****************************************************
Currently ACMELOGIN KIT installed on your system
Answer YES to install ACMELOGIN
Answer NO to install LOGIN
*****************************************************
Do you wish to install updated ACMELOGIN [YES] ?: YES
|
-
次のコマンドでイメージ ID を確認します。
ANALYZE/IMAGE/INTER SYS$COMMON:[SYSEXE]LOGINOUT.EXE
ANALYZE/IMAGE/INTER SYS$COMMON:[SYSEXE]SETP0.EXE
SYS$ACM 対応のイメージの場合 Image file identification: フィールドに LOGIN98 の文字が含まれます。
インストレーションが完了したら任意のユーザーアカウントでシステムにログインし、LOGINPLUS キットをテストすることをお勧めします。 -
OpenVMS V8.3 あるいは V8.3-1H1 システムをご使用の場合、
LDAP ディレクトリサーバーの検索によりユーザー認証を行うためには、
手順2でダウンロードした ACMELDAP キットをインストールする必要があります。
この場合、次のコマンドを使用します。
PRODUCT INSTALL/SAVE <os_version>ACMELDAP
インストレーション後に行う LDAP ペルソナ拡張の設定および LDAP ACME エージェントの構成方法については、
以下のいずれかの場所にある LDAP ACME エージェントのドキュメントを参照してください。
ACME LDAP エージェントをインストールしたら、2.4 項 「LDAP ペルソナ拡張の設定」へ進んでください。
インストレーションのより詳細な手順は、SYS$HELP:ACME_DEV_README.TXTを参照してください。 ペルソナ拡張の設定は以下の手順で行います。 -
次のコマンドでペルソナ拡張イメージをインストールします。
$ MCR SYSMAN
SYSMAN> SYS_LOADABLE ADD LDAPACME LDAPACME$EXT
SYSMAN> exit
$ @SYS$UPDATE:VMS$SYSTEM_IMAGES.COM
|
-
システムをリブートします。
ペルソナ拡張イメージがロードされていない場合は、リブート時にエラーメッセージが表示されます。エラーメッセージが表示されなければ、必要なイメージがロードされていることを示しています。
LDAP ペルソナ拡張を設定した後、2.5 項 「ACME LDAP エージェントの構成」 に進みます。
ACME LDAP エージェントの構成では次の作業を行います。
ユーザー名に対する属性は、ACME LDAP INI 構成ファイルの login_attribute ディレクティブで指定されます。login_attribute についての詳細は、表 2-1 「LDAP 構成属性」を参照してください。 ACME LDAP エージェントは、ユーザー名 (ログイン時に "Username" プロンプトで入力した名前) のマッチングのためにディレクトリサーバーでこの属性を探します。
この検索は、base_dn ディレクティブで指定されたディレクトリ・ツリーの下の一連の LDAP エントリーで行われます。
ユーザー名 (ログイン時に "Username" プロンプトで入力した名前) は、SYSUAF.DAT ファイルのユーザー名にマッピングされます。
このマッピングは、OpenVMS V8.3 および V8.3-1H1 では 1 対 1 です。1 対 1 のマッピングでは、入力したユーザー名は SYSUAF.DAT のユーザー名と同じでなくてはなりません。
OpenVMS V8.4 以降は、グローバルマッピングおよびローカルマッピングもサポートされます。
グローバルマッピングおよびローカルマッピングについての詳細は、第3章 「グローバルマッピングとローカルマッピング」を参照してください。 特権や識別子などの OpenVMS 固有の情報は SYSUAF.DAT ファイルから取得されます。
ACME LDAP の構成例とログイン例については、第4章 「スタンドアロン Active Directory サーバーと OpenVMS ACME LDAP エージェントの構成例」を参照してください。
2.5.1 LDAP 構成ファイルの編集 |  |
ACME LDAP の INI ファイルの編集手順は以下のとおりです。 -
SYS$STARTUP:LDAPACME$CONFIG-STD.INI_TEMPLATE をコピーして、任意のファイル名に変更します。
たとえば、SYS$STARTUP:LDAPACME$CONFIG-STD.INI というファイル名にする場合は、以下のようなコマンドを実行します。
$ COPY SYS$STARTUP:LDAPACME$CONFIG-STD.INI_TEMPLATE -
_$ SYS$STARTUP:LDAPACME$CONFIG-STD.INI
|
-
SYS$STARTUP:LDAPACME$CONFIG-STD.INI を編集して、ご利用の環境の要件に合うようにディレクティブを指定します。
LDAPACME$CONFIG-STD.INI に含まれるディレクティブについての説明は表 2-1 「LDAP 構成属性」を参照してください。 表 2-1 LDAP 構成属性
ディレクティブ
| 説明 |
---|
server
| 必須ディレクティブです。
server ディレクティブを使用して、ディレクトリサーバーの IP アドレス (あるいは DNS ホスト名) を指定します。
OpenVMS V8.4 以降では、サーバー名あるいは IP アドレスをスペースで区切って、複数の冗長サーバーを指定することができます。以下に例を示します。
server = test1.tdomain.com test2.tdomain.com
|
server = test1.tdomain.com test2.tdomain.com test3.tdomain.com
|
ACME LDAP エージェントは、リストされている最初のサーバーから接続しようとします。
最初のサーバーへの接続が失敗すると、2 番目のサーバーへの接続を試みます。
2 番目のサーバーへの接続が失敗すると、次にリストされているサーバーへの接続を試み、リストの最後までこれを繰り返します。
冗長サーバーを使用する場合は、以下の点に注意してください。
-
すべての冗長サーバーで base_dn、bind_dn、および bind_password ディレクティブの値が同じであることが必要です。
また、ACME LDAP で認証されるユーザーレコードは、すべてのディレクトリサーバーに存在しなければなりません。 -
複数の冗長サーバを使用する場合は bind_timeout ディレクティブを設定してください。これにより、ユーザーセッションがタイムアウトになる前に、ACME LDAP はすべての冗長サーバーに接続を試みます。 -
CA (Certificate Authority) の公開キー (ca_file ディレクティブ) の提供を受けており、
それらの公開キーが異なる場合、すべての公開キーを同じ ca_file で提供してください。詳細については ca_file ディレクティブの説明を参照してください。
| port
| 必須ディレクティブです。 ディレクトリサーバーが接続するポートです。デフォルトは標準ポート 389 です (SSL/TLS の場合は 636)。 | login_attribute
| 必須ディレクティブです。 ログインのためのユーザー名を含む LDAP スキーマ属性です。
しばしば 'uid' として指定されますが、これはご使用の構成によって異なります。
Active Directory の場合、このディレクティブの値は通常 samaccountname です。 | password_type
| 下記のいずれかを選択します。 このディレクティブが指定されていない場合、
SET PASSWORD コマンドの実行が失敗します。
Active Directory サーバーを使用している場合は、password_type ディレクティブが active-directory に設定されていないと、SET PASSWORD コマンドが失敗します。
| password_update
| password_type = standard が設定されている場合のみ適用されます。ディレクトリサーバーによっては、userPassword 属性を変更する際に古いパスワードの指定が必要となる場合があります。
その他の場合は必要ありません。 下記のいずれかを選択します。 | base_dn
|
LDAP ユーザーは、ディレクトリサーバーのツリー構造に保管されます。
base_dn ディレクティブは、ディレクトリサーバーのツリー要素の識別名です。すべてのユーザーエントリーが、このツリー要素の下にサブツリー要素として存在しなければなりません。
ACME LDAP は、login_attribute で指定された属性をもとに、このサブツリー内で一致するエントリーを探します。(scope ディレクティブを参照) | scope
| base_dn で指定されたツリー構造下の検索の深さを制御します。
以下のキーワードが使用できます。
sub |
ベースエントリーとその下のすべてのレベルのすべてのエントリーを検索します。 |
one | ベースエントリーよりも 1 レベル下のすべてのエントリーを検索します。 |
base | ベースエントリーのみを検索します。 |
使用すべきキーワードが不明な場合は sub を使用します。 | filter
| このディレクティブはオプションです。 LDAP ツリーでユーザーを検索するオブジェクトを制限するための検索フィルター。デフォルトは objectclass=* です。 | bind_dn
| base_dn で指定されたデイレクトリ・サブツリーの検索特権が付与されているユーザーアカウント (ディレクトリエントリー) の識別名 (DN) ディレクトリサーバーでユーザーを検索する前に、
bind_dn と共に bind_password を使用して、ディレクトリサーバーへのバインドが行われます。 いくつかのディレクトリサーバー(Active Directory など)では、
bind_dn および bind_password の指定がなければ、
ACME LDAP エージェントのバインドはデフォルトでは認めていません。このような場合は bind_dn および bind_password の指定が必要になります。
ディレクトリサーバーによっては匿名バインドをサポートするものもあります。
この場合、デイレクトリ・サーバーの使用にあたり bind_dn および bind_password ディレクティブの提供は必要ありません。 | bind_password
| bind_dn で指定されたディレクトリ DN のパスワード。 | bind_timeout (OpenVMS V8.4 以降でサポート)
| server ディレクティブで複数の冗長サーバーを指定している場合、
bind_timeout ディレクティブを使用します。 ディレクトリサーバーへのバインド要求は、そのディレクトリサーバーに到達できない場合、
タイムアウトまでにデフォルトでは約 75 秒かかります (TCP/IP のデフォルトの接続確立タイムアウト)。 複数の冗長サーバーが存在する場合、ユーザーログインセッション (たとえば TELNET セッション) は、
ACME LDAP エージェントが server ディレクティブで指定されているすべてのサーバーのリストをチェックする前に、期限切れになります(約 30 秒以内)。 bind_timeout ディレクティブは、
server ディレクティブで指定されているサーバーリストの中の 1 台のサーバーに対する接続タイムアウト値を秒数で指定します。たとえば、server ディレクティブで 2 つのサーバーを指定している場合、
bind_timeout ディレクティブの設定値が 3 秒だと、全体のタイムアウト時間は約 6 秒になります。 | port_security
|
必須ディレクティブです。 LDAP ポート経由の暗号化通信で使用される手法を指定します。
使用できる値は、starttls (デフォルト)、ssl (専用 SSL ポート) あるいは none です(none の指定はお勧めしません)。 | ca_file
| このディレクティブはオプションです。 ディレクトリサーバーの公開キーを署名した認証局の公開キーを含む PEM 形式のファイルのファイルパスを指定します。
port_security が ssl あるいは starttls に設定されている場合、
ACME LDAP エージェントはこの認証ファイルをチェックして、正しいディレクトリサーバーに接続しているかどうかを確認します。 この属性が使用されていない場合、LDAP サーバーの認証は確認されません。 異なる公開キーの認証を待つ冗長なサーバーが存在する場合、
すべてのサーバーの認証情報を同じファイルに追加します。 以下に例を示します。
$ TYPE CACERT.PEM
-----BEGIN CERTIFICATE-----
.......
サーバー 1 の base64 暗号化形式の公開キー証明書
.......
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
.......
サーバー 2 の base64 暗号化形式の公開キー証明書
.......
-----END CERTIFICATE-----
$
|
| mapping (OpenVMS V8.4 以降でサポート)
| マッピングがグローバルであるかローカルであるかを指定します。このディレクティブの値は下記のいずれかです。 たとえば mapping=server は、このユーザーに対してはグローバルマッピングが有効であることを示しています。mapping=local は、このユーザーに対してはローカルマッピングが有効であることを示しています。
mapping ディレクティブが使用されていない場合、マッピングは 1 対 1 です。 | mapping_attribute (OpenVMS V8.4 以降でサポート)
| このディレクティブはグローバルマッピングに対してのみ適用されます。ユーザーマッピングに使用するディレクトリサーバー上の属性に設定してください。 以下に例を示します。
mapping_attribute を次のように使用して、ディレクトリサーバー上のユーザーに対し、description 属性を参照させることができます。
mapping_attribute=description |
そのディレクトリサーバーで新たに作成された属性もマッピングに使用できます。
この場合、属性は IA5 (International Aphabet number 5) の複数の文字列値でなければなりません。
| mapping_target (OpenVMS V8.4 以降でサポート)
| このディレクティブはグローバルマッピングに対してのみ適用されます。
mapping_target は、ディレクトリサーバーの mapping_attribute フィールドの値で検索されます。以下に例を示します。
LDAP INI ファイルで以下のように記述されていると仮定します。
mapping_attribute=description
mapping_target=VMSUsers.hp.com
|
Directory Server の description フィールドが次のように記述されているとします。
ACME LDAP エージェントは VMSUsers.hp.com/jdoe で検索を行い、VMSUsers.hp.com/ の部分を探します(mapping_target の値とユーザー名の前のスラッシュ(/))。
値の残りの部分、すなわち "jdoe" は、SYSUAF.DAT ファイルに存在するユーザー名と認識されます。
複数の属性文字列が使用される場合、属性文字列の配列要素の 1 つが
"VMSUsers.hp.com/jdoe" でなくてはなりません。
| mapping_file (OpenVMS V8.4 以降でサポート)
|
このディレクティブはローカルマッピングに対してのみ適用されます。
マッピングユーザーを検索するテキスト・データベースファイルの完全パスを設定します。
SYS$STARTUP:LDAP_LOCALUSER_DATABASE.TXT_TEMPLATE にテンプレートファイルがあります。
このファイルには、LDAP ユーザー名と VMS ユーザー名がコンマで区切られて記述されます。
LDAP ユーザー名はそのドメインにおけるユーザーの名前 (ログイン時に username プロンプトに対して入力する名前) です。
データベースファイルに内容を追加し、ロードする方法については、
SYS$STARTUP:LDAP_LOCALUSER_DATABASE.TXT_TEMPLATE を参照してください。 |
-
SYS$MANAGER:ACME$START.COM を編集して、下記の論理名を定義します。
論理名 LDAPACME$INIT に対し、ACME LDAP Agent サーバーの初期化のためのパス名を定義します。
$ DEFINE/SYSTEM/EXECUTIVE LDAPACME$INIT SYS$STARTUP:LDAPACME$CONFIG-STD.INI
|
-
SYS$MANAGER:ACME$START.COM から、下記のコメント行を外します。
$! @SYS$STARTUP:LDAPACME$STARTUP-STD ! LDAP
|
 |  |  |
 |
 | 重要: ACME LDAP エージェントを起動する前に、LDAPACME$INIT 論理名を定義しておく必要があります。
この論理名定義は、
SYS$MANAGER:ACME$START.COM の SYS$STARTUP:LDAPACME$STARTUP-STD プロシージャが実行される行よりも前に記述することをお勧めします。 |
 |  |  |
 |
-
LDAP 構成ファイルと LDAP ローカルデータベースファイルは、特権のあるユーザーのみがアクセス可能です。これらのファイルのセキュリティは、ご利用の環境のセキュリティ要件に基づいて適切に設定できます。たとえば、以下のコマンドでは、system ユーザーのみが LDAPACME$CONFIG-STD.INI および LDAP_LOCALUSER_DATABASE.TXT ファイルにアクセスできるように設定しています。
$ SET SECURITY /PROTECTION=(system:"RWED",OWNER:"",GROUP:"",WORLD:"") -
_$ SYS$COMMON:[SYS$STARTUP]LDAPACME$CONFIG-STD.INI
$ SET SECURITY /PROTECTION=(system:"RWED",OWNER:"",GROUP:"",WORLD:"") -
_$ SYS$COMMON:[SYS$STARTUP]LDAP_LOCALUSER_DATABASE.TXT
|
LDAP によって外部認証されるユーザーに対しては、
SYSUAF.DAT でそのユーザーアカウントに ExtAuth フラグが設定されている必要があります。
ユーザーアカウントに ExtAuth フラグが指定されている場合、そのユーザーは外部認証 (LDAP) のみ有効です。
このユーザーに対して SYSUAF.DAT ファイルによるローカル認証も可能にしたい場合は、
SYSUAF.DAT ファイルのユーザーアカウントに VMSAuth フラグを設定し、
次の項で説明するように、ログイン時に /local 修飾子を使用してください。 ユーザーに ExtAuth フラグを設定するには次のコマンドを入力します。
$ SET DEFAULT SYS$SYSTEM
$ MCR AUTHORIZE MODIFY <username> /FLAGS=(EXTAUTH,VMSAUTH)
|
以下にユーザープロファイルの例を示します。
$ SET DEF SYS$SYSTEM
$ MC AUTHORIZE
UAF> modify jdoe/flags=(EXTAUTH,VMSAUTH)
%UAF-I-MDFYMSG, user record(s) updated
UAF> sh jdoe
Username: JDOE Owner:
Account: TEST UIC: [201,2011] ([JDOE])
CLI: DCL Tables: DCLTABLES
Default: SYS$SYSDEVICE:[JDOE]
LGICMD:
Flags: ExtAuth VMSAuth
Primary days: Mon Tue Wed Thu Fri
Secondary days: Sat Sun
No access restrictions
Expiration: (none) Pwdminimum: 6 Login Fails: 1
Pwdlifetime: 90 00:00 Pwdchange: (pre-expired)
Last Login: (none) (interactive), (none) (non-interactive)
Maxjobs: 0 Fillm: 128 Bytlm: 128000
Maxacctjobs: 0 Shrfillm: 0 Pbytlm: 0
Maxdetach: 0 BIOlm: 150 JTquota: 4096
Prclm: 8 DIOlm: 150 WSdef: 4096
Prio: 4 ASTlm: 300 WSquo: 8192
Queprio: 4 TQElm: 100 WSextent: 16384
CPU: (none) Enqlm: 4000 Pgflquo: 256000
Authorized Privileges:
NETMBX TMPMBX
Default Privileges:
NETMBX TMPMBX
UAF>
|
ディレクトリサーバーが構成されており、
SYSUAF のアカウントがそのディレクトサーバー上のユーザー名にマッピングされている場合、
次の例のように、ACME LDAP を認証エージェントとして使用してシステムにログインすることができます。
ユーザー jdoe のパスワードはディレクトリサーバーに登録されている情報で検証されます。
ディレクトリサーバーのパスワードが SYSUAF.DAT ファイルのパスワードとは異なる場合、
SYSUAF.DAT ファイル上のパスワードがディレクトリサーバのパスワードと同期化されます。
特定のユーザーのパスワードの同期化、あるいはそのシステムのすべてのユーザーに対するパスワードの同期化を無効にすることもできます。パスワードの同期化を無効にする手順については、『HP OpenVMS システム・セキュリティ・ガイド』 の「外部認証を有効にするための手順」あるいは「ACME サブシステム」の項を参照してください。
$ telnet 127.0.0.1
%TELNET-I-TRYING, Trying ... 127.0.0.1
%TELNET-I-SESSION, Session 01, host 127.0.0.1, port 23
-TELNET-I-ESCAPE, Escape character is ^]
Welcome to HP OpenVMS Industry Standard 64 Operating System, Version V8.3-1H1
Username: jdoe
Password:
HP OpenVMS Industry Standard 64 Operating System, Version V8.3-1H1
**** Logon authenticated by LDAP ****
OpenVMS password has been synchronized with external password
|
次の例では、SYSUAF.DAT ファイルに対してユーザー jdoe の認証が行われています。
ログイン時に /local 修飾子が指定された場合、そのユーザーのマッピングは行われていないことに注意してください。
この場合、SYSUAF.DAT ファイルにユーザー名 jdoe が存在しなければなりません。
$ telnet 127.0.0.1
%TELNET-I-TRYING, Trying ... 127.0.0.1
%TELNET-I-SESSION, Session 01, host 127.0.0.1, port 23
-TELNET-I-ESCAPE, Escape character is ^]
Welcome to HP OpenVMS Industry Standard 64 Operating System, Version V8.3-1H1
Username: jdoe/local
Password:
HP OpenVMS Industry Standard 64 Operating System, Version V8.3-1H1
Last interactive login on Tuesday, 1-DEC-2009 01:34:50.26
**** Logon authenticated by LDAP ****
|
スタンドアロンの Active Directory サーバーの構成例については 第4章 「スタンドアロン Active Directory サーバーと OpenVMS ACME LDAP エージェントの構成例」 を参照してください。 例 2-1 Red Hat あるいは Fedora Directory Server の構成ファイルの例
server = roux.zko.hp.com
port = 636
port_security = ssl
bind_dn = uid=acme-admin,ou=people,dc=acme,dc=mycompany,dc=com
bind_password = swordfish
base_dn = ou=people,dc=acme,dc=mycompany,dc=com
login_attribute = uid
scope = sub
ca_file = sys$manager:acme_ca.crt
|
例 2-2 Active Directory の構成ファイルの例
server = acme.mycompany.com
port = 636
port_security = ssl
password_type = active-directory
bind_dn = cn=acme-admin,cn=users,dc=acme,dc=mycompany,dc=com
bind_password = swordfish
base_dn = cn=users,dc=acme,dc=mycompany,dc=com
login_attribute = samaccountname
scope = sub
ca_file = sys$manager:acme_ca.crt
|
server = cssn-ddrs.testdomain.hp.com
port = 389
bind_dn = CN=query_account,CN=Users,DC=testdomain,DC=hp,DC=com
bind_password = welcome@123
base_dn = DC=testdomain,DC=hp,DC=com
scope = sub
port_security = none
password_type = active-directory
|
server = cssn-ddrs.testdomain.hp.com
port = 389
bind_dn = CN=query_account,CN=Users,DC=testdomain,DC=hp,DC=com
bind_password = welcome@123
base_dn = DC=testdomain,DC=hp,DC=com
scope = sub
port_security = starttls
password_type = active-directory
ca_file = sys$manager:cssn-ddrs.cer
|
OpenVMS V8.4 以降では、
ユーザー認証のために複数の冗長ディレクトリサーバーを探すように ACME LDAP エージェントを構成することができます。
このように構成しておくと、最初のディレクトリサーバーに到達できない場合やアクセスしようとするサーバーがアクティブでない場合に対処できます。
アクセスしようとするサーバーに問題がある場合、ACME LDAP エージェントはその他の一連のディレクトリサーバーに接続してユーザーの認証を試みます。
この機能は、OpenVMS V8.4 のパッチキットで提供されています。
複数の冗長サーバーを提供するには、server や bind_timeout などの必須ディレクティブとオプションディレクティブ ca_file を変更しておく必要があります。
これらのディレクティブについての詳細は 2.5.1 項 「LDAP 構成ファイルの編集」 を参照してください。
|