認証およびグループ検索のための透過的 LDAP の構成 (AIX)

Db2® V9.7以降、 AIX® オペレーティング・システムで透過的な LDAP ベースの認証とグループ検索がサポートされるようになりました。 このサポートを有効にするには、いくつかの構成手順を実行する必要があります。

始める前に

以下の手順では、LDAP サーバーが RFC 2307 に準拠すること、およびユーザーとグループの情報を保管するように構成されていることを想定します。

プロシージャー

  1. AIX クライアント・システムを LDAP 用に構成するには、以下の手順を実行します。
    1. root 権限を持つユーザーとしてログインします。
    2. LDAP クライアント・ファイル・セットが AIX システムにインストールされていることを確認します。
      AIX は、すべてのバージョンの LDAP クライアントで機能します。ITDS V6.1 は AIX V6.1に付属しており、ITDS V6.2 は AIX 拡張パックに付属しています。 以下は、 AIX システムにインストールされた ITDS V5.2 ファイル・セットを示しています。
      $ lslpp -l "ldap*"
  Fileset                      Level  State      Description         
  ----------------------------------------------------------------------------
Path: /usr/lib/objrepos
  ldap.client.adt            5.2.0.0  COMMITTED  Directory Client SDK
  ldap.client.rte            5.2.0.0  COMMITTED  Directory Client Runtime (No
                                                 SSL)
  ldap.html.en_US.config     5.2.0.0  COMMITTED  Directory Install/Config
                                                 Gd-U.S. English
  ldap.html.en_US.man        5.2.0.0  COMMITTED  Directory Man Pages - U.S.
                                                 English
  ldap.msg.en_US             5.2.0.0  COMMITTED  Directory Messages - U.S.
                                                 English

Path: /etc/objrepos
  ldap.client.rte            5.2.0.0  COMMITTED  Directory Client Runtime (No
                                                 SSL)
    3. -c オプションを指定した mksecldap コマンドを使用して、クライアントを構成します。
      mksecldap コマンドについて、およびこのコマンドを使用してクライアントを構成する方法について詳しくは、「 http://www.ibm.com/support/knowledgecenter/ssw_aix_72/com.ibm.aix.security/setup_ldap_sec_info_server.htm 」を参照してください。
    4. /etc/security/user ファイル内のデフォルト・スタンザを更新します。
      /etc/security/user ファイル内の SYSTEM 属性は、ユーザー管理に使用される認証方式を指定するために使用されます。 LDAP 認証を有効にするには、ローカル・ユーザー認証に加えて LDAP を組み込むように、デフォルト・スタンザの SYSTEM 属性を設定します。 ローカルに定義されていないユーザーが LDAP で検索されるように、デフォルト・スタンザを変更する必要があります。 以下に例を示します。
      chsec -f /etc/security/user -s default -a "SYSTEM=files or LDAP"
      Db2 は、以下の SYSTEM 属性値をサポートします。
      • LDAP
      • KRB5LDAP
      • KRB5ALDAP
      • ファイル
      • KRB5files
      • KRB5Afiles

      他の SYSTEM 属性値を使用する構成は機能する可能性がありますが、サポートされていません。

      スタンザの SYSTEM 属性について詳しくは、 ユーザー認証を参照してください。

    詳しくは、「Integrating AIX into Heterogeneous LDAP Environments」というタイトルの Redbook ( http://www.redbooks.ibm.com/abstracts/sg247165.html ) を参照してください。
  2. Db2 インスタンスで透過的 LDAP 認証を構成するには、以下のようにします。
    1. DB2AUTH 各種レジストリー変数を OSAUTHDBに設定します。 SYSADM 権限を持つユーザーとして、 db2set DB2AUTH=OSAUTHDBを実行します。
    2. UPDATE DBM CFG コマンドを使用して、データベース・サーバー・インスタンスの認証を以下のいずれかに設定します。
      • SERVER
      • SERVER_ENCRYPT
      • DATA_ENCRYPT
    3. デフォルトの Client Userid-Password Plugin (clnt_pw_plugin)Server Userid-Password Plugin (srvcon_pw_plugin) 、および Group Plugin (group_plugin)を使用していることを確認します。
    4. Db2 インスタンスを再始動します。