Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第21章 NIS ドメインおよびネットグループとの統合

21.1. NIS および Identity Management の概要

UNIX 環境では、ネットワーク情報サービス (NIS) は ID と認証を一元管理する一般的な方法です。元々 Yellow Pages (YP) という名前で呼ばれていた NIS は、以下のような認証や ID 情報を一元管理します。
  • ユーザーおよびパスワード
  • ホスト名および IP アドレス
  • POSIX グループ
今日のネットワークインフラストラクチャーでは、NIS は、ホスト認証を提供しておらず、データが暗号化せずにネットワークに送信されるため、セキュリティーが非常に低いと見なされます。この問題を回避するため、NIS はセキュリティーを強化するために他のプロトコルと統合されることが多くあります。
Identity Management(IdM) を使用する場合は、NIS サーバープラグインを使用して、IdM に完全に移行することができないクライアントに接続できます。IdM は、ネットグループおよびその他の NIS データを IdM ドメインに統合します。また、NIS ドメインから IdM にユーザーおよびホストの ID を簡単に移行することもできます。

Identity Management での NIS

NIS オブジェクトは、RFC 2307 に準拠し、Directory Server バックエンドに統合され、保存されます。IdM は、LDAP ディレクトリーに NIS オブジェクトを作成し、クライアントは例えば System Security Services Daemon (SSSD) または暗号化された LDAP 接続を使用するnss_ldapを通じてそのオブジェクトを取得します。
IdM は、ネットグループ、アカウント、グループ、ホスト、およびその他のデータを管理します。IdM は NIS リスナーを使用してパスワード、グループ、およびネットグループを IdM エントリーにマッピングします。

Identity Management での NIS プラグイン

NIS サポートのために、IdM は slapi-nis パッケージで提供される以下のプラグインを使用します。
NIS サーバープラグイン
NIS サーバープラグインにより、IdM 統合 LDAP サーバーがクライアントの NIS サーバーとして機能できるようになります。このロールでは、Directory Server は設定に応じて NIS マップを動的に生成し、更新します。プラグインを使用すると、IdM は NIS プロトコルを使用するクライアントに対して NIS サーバーとして機能します。
詳細は、「Identity Management での NIS の有効化」を参照してください。
スキーマ互換性プラグイン
スキーマ互換性プラグインを使用すると、Directory Server バックエンドは、ディレクトリー情報ツリー (DIT) の一部に保存されたエントリーの代替ビューを提供できるようになります。これには、属性値の追加、ドロップ、名前変更、およびオプションでツリー内の複数のエントリーからの属性値の取得が含まれます。
詳細は、/usr/share/doc/slapi-nis-version/sch-getting-started.txt ファイルを参照してください。

21.1.1. Identity Management での NIS ネットグループ

NIS エンティティーはネットグループに保存できます。UNIX グループと比較すると、ネットグループは以下のサポートを提供します。
  • ネスト化されたグループ (他のグループのメンバーとしてのグループ)。
  • ホストのグループ化
ネットグループは、ホスト、ユーザー、およびドメインなどの一連の情報を定義します。このセットは トリプル と呼ばれています。以下の 3 つのフィールドを含めることができます。
  • 値。
  • 有効な値なしを指定するダッシュ (-)
  • 値なし。空のフィールドはワイルドカードを指定します。
(host.example.com,,nisdomain.example.com)
(-,user,nisdomain.example.com)
クライアントが NIS ネットグループを要求すると、IdM は以下の項目に LDAP エントリーを変換します。
  • 従来の NIS マップへと変換し、これを NIS プラグインを使用して NIS プロトコル経由でクライアントに送信します。
  • RFC 2307 または RFC 2307bis に準拠する LDAP 形式。

21.1.1.1. NIS ネットグループエントリーの表示

IdM は、ユーザーおよびグループを memberUser 属性に保存します。また、memberHost にホストおよびホストグループを保存します。以下の例は、IdM の Directory Server コンポーネントのネットグループエントリーを示しています。

例21.1 Directory Server の NIS エントリー

dn: ipaUniqueID=d4453480-cc53-11dd-ad8b-0800200c9a66,cn=ng,cn=alt,...
...
cn: netgroup1
memberHost: fqdn=host1.example.com,cn=computers,cn=accounts,...
memberHost: cn=VirtGuests,cn=hostgroups,cn=accounts,...
memberUser: cn=demo,cn=users,cn=accounts,...
memberUser: cn=Engineering,cn=groups,cn=accounts,...
nisDomainName: nisdomain.example.com
IdM では、ipa netgroup-* コマンドを使用してネットグループエントリーを管理できます。たとえば、ネットグループエントリーを表示するには、次のコマンドを実行します。

例21.2 ネットグループエントリーの表示

[root@server ~]# ipa netgroup-show netgroup1
Netgroup name: netgroup1
Description: my netgroup
NIS domain name: nisdomain.example.com
Member Host: VirtGuests
Member Host: host1.example.com
Member User: demo
Member User: Engineering