Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第21章 NIS ドメインおよびネットグループとの統合

21.1. NIS および Identity Management の概要

UNIX 環境では、ネットワーク情報サービス(NIS)は ID と認証を一元管理する一般的な方法です。NIS。元々 Yellow Pages(YP )という名前で、認証とアイデンティティー情報を一元管理します。以下に例を示します。
  • ユーザーおよびパスワード
  • ホスト名および IP アドレス
  • POSIX グループ。
最新のネットワークインフラストラクチャーの場合、NIS はホスト認証を提供しておらず、ネットワーク上で暗号化されたデータであるため、NIS も安全ではありません。この問題を回避するために、NIS はセキュリティーを強化するために他のプロトコルと統合されることが多くあります。
Identity Management(IdM)を使用する場合は、NIS サーバープラグインを使用して、IdM に完全移行できないクライアントを接続できます。IdM は、netgroup およびその他の NIS データを IdM ドメインに統合します。さらに、ユーザーとホストの ID を NIS ドメインから IdM に簡単に移行することもできます。

Identity Management の NIS

NIS オブジェクトは、RFC 2307 に準拠して Directory Server バックエンドに統合され、保存されます。IdM は LDAP ディレクトリーに NIS オブジェクトを作成し、クライアントが、暗号化された LDAP 接続を使用して System Security Services Daemon(SSSD)または nss_ldap などを介して取得します。
IdM は、netgroup、アカウント、グループ、ホスト、その他のデータを管理します。IdM は NIS リスナーを使用してパスワード、グループ、および netgroups を IdM エントリーにマッピングします。

Identity Management の NIS プラグイン

NIS サポートでは、IdM は slapi-nis パッケージで提供される以下のプラグインを使用します。
NIS サーバープラグイン
NIS サーバープラグインを使用すると、IdM 統合 LDAP サーバーがクライアントの NIS サーバーとして機能します。このロールでは、Directory Server は設定に応じて NIS マップを動的に生成および更新します。このプラグインを使用すると、IdM は NIS プロトコルを NIS サーバーとして使用してクライアントを提供します。
スキーマ互換性プラグイン
Schema Compatibility プラグインを使用すると、Directory Server バックエンドが、ディレクトリー情報ツリー(DIT)の一部に保存されているエントリーの別のビューを提供できます。これには、属性値の追加、破棄、名前変更、およびツリー内の複数エントリーから属性の値を取得するなどが挙げられます。
詳細は、/usr/share/doc/slapi-nis-version/sch-getting-started.txt ファイルを参照してください。

21.1.1. Identity Management の NIS Netgroups

NIS エンティティーは netgroups に保存できます。UNIX グループと比較すると、netgroup は以下に対応します。
  • ネスト化されたグループ(他のグループのメンバーとしてグループ)。
  • ホストのグループ化
netgroup は、ホスト、ユーザー、ドメインなどの情報のセットを定義します。このセットはトリプル と呼ばれます。この 3 つのフィールドには、以下が含まれます。
  • 値。
  • ダッシュ(-)で「有効な値なし」を指定します。
  • 値がありません。空のフィールドはワイルドカードを指定します。
(host.example.com,,nisdomain.example.com)
(-,user,nisdomain.example.com)
クライアントが NIS netgroup を要求すると、IdM は LDAP エントリーを変換します。
  • 従来の NIS マップに、NIS プラグインを使用して NIS プロトコルを介してクライアントに送信します。
  • RFC 2307 または RFC 2307bis に準拠する LDAP 形式。

21.1.1.1. NIS Netgroup エントリーの表示

IdM は、memberUser 属性、および memberHost のホストとホストグループにユーザーおよびグループを保存します。以下の例は、IdM の Directory Server コンポーネントの netgroup エントリーを示しています。

例21.1 Directory Server の NIS エントリー

dn: ipaUniqueID=d4453480-cc53-11dd-ad8b-0800200c9a66,cn=ng,cn=alt,...
...
cn: netgroup1
memberHost: fqdn=host1.example.com,cn=computers,cn=accounts,...
memberHost: cn=VirtGuests,cn=hostgroups,cn=accounts,...
memberUser: cn=demo,cn=users,cn=accounts,...
memberUser: cn=Engineering,cn=groups,cn=accounts,...
nisDomainName: nisdomain.example.com
IdM では、ipa netgroup-* コマンドを使用して netgroup エントリーを管理できます。たとえば、netgroup エントリーを表示するには、次のコマンドを実行します。

例21.2 Netgroup エントリーの表示

[root@server ~]# ipa netgroup-show netgroup1
Netgroup name: netgroup1
Description: my netgroup
NIS domain name: nisdomain.example.com
Member Host: VirtGuests
Member Host: host1.example.com
Member User: demo
Member User: Engineering

このページには機械翻訳が使用されている場合があります (詳細はこちら)。