認証およびグループ検索のための透過的 LDAP の構成 (Linux)
Db2® V9.7 フィックスパック 1 以降、 Db2 データベース・サーバーが Linux® オペレーティング・システムで LDAP ベースの認証を透過的に使用するようにするには、Pluggable Authentication Modules (PAM) を使用します。 ユーザーおよびグループの情報を格納するように、 事前に LDAP サーバーを構成しておく必要があります。
始める前に
システム上で透過的 LDAP を構成する前に、以下の条件が存在することを確認してください。
- RFC 2307 準拠の LDAP サーバーがシステムにセットアップされます。
- 必要なクライアント・ソフトウェア・パッケージおよび依存関係がシステムにインストールされます。
- RHEL 6 および 7 システムの場合は、以下のコマンドを実行します。
yum install openldap openldap-clients sssd sssd-client authconfig - RHEL 8 システムの場合は、以下のコマンドを実行します。
yum install openldap openldap-clients sssd sssd-client authselect - SUSE Linux Enterprise Server (SLES) 12 または 15 システムの場合は、以下のコマンドを実行します。
zypper install sssd-ldap sssd - Ubuntu システムの場合は、以下のコマンドを実行します。
apt install sssd-ldap ldap-utils
- RHEL 6 および 7 システムの場合は、以下のコマンドを実行します。
このタスクについて
この手順では、オペレーティング・システムおよび Db2に認証サービスを提供するように、システム・セキュリティー・サービス・デーモン (SSSD) とそれに関連する PAM モジュール (pam_sss) を構成します。 SSSD を使用する構成は、推奨の構成です。
注: SSSD では、LDAP サーバーで TLS サポートが有効になっている必要があります。
認証に pam_ldap、 pam_unix、 pam_unix2、および pam_krb5 を使用する構成も、 Db2によってサポートされます。 他の PAM モジュールを使用した構成は機能する可能性がありますが、サポートされていません。 必要な認証方式が既にシステム上に構成されている場合は、 Db2 認証構成」に移動します。
透過的 LDAP を正しく構成するために、以下の詳細情報が必要になります。
- LDAP サーバーのホスト名
- LDAP サーバーのポート (フルタイム TLS のデフォルトは 636、StartTLS がサポートされている場合のデフォルトは 389)
- LDAP 検索ベース DN
- LDAP サーバー用のルート証明書、またはルート証明書への URL。
- 認証が必要である場合、バインド DN とパスワード
この手順のために、LDAP 構成には以下の詳細が使用されます。
| アイテム | 値 |
|---|---|
| Hostname | ldap.example.com |
| ポート | 636 (LDAP over TLS でのデフォルト) |
| TLS が有効か | はい |
| TLS 証明書の URL | http://example.com/cacombined.pem |
| LDAP 検索ベース DN | ou=Anytown, o=example.com |
| 認証 | 必要なし |
プロシージャー
- SSSD によるシステム LDAP 認証を有効にします。 必要な認証方式が既にシステム上で構成されている場合は、 ステップ 2に進みます。
- Db2 を、Pluggable Authentication Modules (PAM)(透過的 LDAP とも呼ばれる) を使用してオペレーティング・システムで認証するように構成します。
- オプション: 追加認証オプションを構成します。