LDAP ネットグループ用のクライアント使用可能性

NIS-LDAP の一部 (ネーム・レゾリューション方式) としてネットグループを使用することができます。

LDAP ネットグループ用にクライアントを使用可能にするには、以下のステップを実行します。
  1. LDAP ベースのユーザー・グループ管理をインストールしてセットアップします。これについては『LDAP クライアントのセットアップ』(ldap_client_setup.html) に詳しい説明があります。

    ネットグループ・セットアップが完了していない場合は、LDAP 定義済みユーザーはいずれもシステムによってリストされます。 例えば、nguser がネットグループ mygroup に属するユーザーであって、LDAP サーバーに既に定義されている場合、そのユーザーは lsuser -R LDAP nguser としてリストされます。

  2. ネットグループ機能を使用可能にするには、/usr/lib/security/methods.cfg ファイルにある LDAP 用モジュール定義に、ネットグループ値のあるオプション属性を組み込む必要があります。/usr/lib/security/methods.cfg ファイルを編集し、LDAP スタンザに行 options = netgroup を追加します。 これで、この LDAP ロード・モジュールにネットグループ対応のマークが付きます。 例えば、 
    LDAP:
      program = /usr/lib/security/LDAP
      program_64 =/usr/lib/security/LDAP64
      options = netgroup
    これで、lsuser -R LDAP nguserlsuser nguser、または lsuser -R LDAP -a ALL のいずれのコマンドも、ユーザーをリストしなくなります。 この時点で、LDAP はこのクライアントのネットグループ専用データベースと見なされ、このクライアントへのアクセスが使用可能になっているネットグループはまだないと見なされます。
  3. /etc/passwd ファイルを編集し、システムへのアクセスを必要とするネットグループの行を追加します。 例えば、mygroup が LDAP サーバー上のネットグループであって、必要なユーザーが含まれている場合、次の行を追加します。 
    +@mygroup
  4. /etc/group ファイルを編集し、+: 行を追加して、NIS によるグループのルックアップを使用可能にします。 
    +:
    ここで lsuser nguser を実行すると、そのユーザーが戻されます。これは nguser がネットグループ mygroup に入っているためです。

    lsuser -R LDAP nguser コマンドではこのユーザーが見つかりませんが、lsuser -R compat nguser を実行すると、このユーザーは compat ユーザーと見なされるために見つかるようになります。

  5. ネットグループ・ユーザーがシステムに対して認証されるためには、使用する方式が AIX® 認証メカニズムに知られている必要があります。 /etc/security/user ファイル内の default スタンザに SYSTEM = compat が含まれている場合、/etc/passwd ファイルに追加されたそのネットグループ内のすべてのネットグループ・ユーザーの認証が可能になります。また、もう 1 つのオプションとして、必要なユーザーの /etc/security/user ファイルに手動でスタンザを追加して、ユーザーを個別に構成する方法もあります。nguser の場合のスタンザの例は次のようになります。 
    nguser: 
        SYSTEM = compat
        registry = compat
    これで、許可されたネットグループ内のネットグループ・ユーザーが、システムに対して認証されます。

    ネットグループ・フィーチャーを使用可能にすると、次のような条件もアクティブになります。

    • LDAP レジストリーのメンバーとして /etc/security/user ファイルに定義されているユーザー (registry=LDAP および SYSTEM="LDAP" が定義されている) は、LDAP ユーザーとして認証されません。現在、これらのユーザーは nis_ldap ユーザーになっているため、ネイティブ NIS ネットグループのメンバーシップを必要とします。
    • レジストリー compat の意味は、ネットグループを使用するモジュールを組み込むように拡張されます。 例えば、LDAP モジュールがネットグループ使用可能になっている場合、compat には、ファイル、NIS、および LDAP レジストリーが含まれます。 これらのモジュールから検索されたユーザーは、compat というレジストリー値を持ちます。
関連情報