|
|
|
UNIX で該当
sebuildla ユーティリティは、CA Access Control の seosd デーモンで使用される lookaside データベースを作成します。 seosd デーモンは、lookaside データベースを使用して、UNIX UID をユーザ名に、GID をグループ名に、ホストの IP アドレスをホスト名に、およびサービス ポートをポート名にそれぞれ変換します。 このデータベースには、名前を変換するための数値のみが含まれています。 sebuildla を使用すると、LDAP ディレクトリ情報ツリー(DIT)からユーザ lookaside データベースに情報を追加することもできます。
重要: sebuildla および必要な LDAP 設定をセットアップするには、LDAP をよく理解していること、および ldapsearch コマンドを実行できることが必要です。 ldap(1)、ldapsearch(1)についての man ページ、および LDAP クライアント用のマニュアルでセットアップの説明を参照することをお勧めします。 また、sebuildla を使用して lookaside データベースを作成する前に、その lookaside データベースの完全パスを lookaside_path 構成設定に指定できます。
初めて lookaside データベースを作成する場合は、以下のコマンドを実行します。
sebuildla ‑a
このコマンドによって、データベースのすべてのコンポーネントが作成されます。 このデータベースの各ファイルは、適切なスイッチを使用して後で更新できます。
CA Access Control を NIS サーバ、NIS+ サーバ、または DNS サーバにインストールした場合は、sebuildla ユーティリティの呼び出しを、関連する makefile に挿入する必要があります。
注: デフォルトでは、lookaside データベース ファイル(groupdb.la、hostdb.la、servdb.la、および userdb.la)は、sebuildla プログラムによるアクセスを除くすべてのユーザ アクセスから保護されています。
sebuildla ユーティリティは、/etc ファイルや NIS などのシステムの解決メカニズムをスキャンして、lookaside データベースを作成します。
注: CA Access Control ホスト名を完全修飾名に解決するには、resolv.conf ファイルに定義済みのドメイン設定オプションまたは検索設定オプションが含まれている必要があります。 resolv.conf ファイルの詳細については、このファイルの man ページを参照してください。
たとえば、/etc/nsswitch.conf ファイルにホストに関する以下の行が含まれている場合、情報はまずローカル コンピュータのファイル(/etc/hosts)から取得されます。その後、DNS、NIS から順に情報が取得されます。
hosts: files dns nis
ファイルに以下の行が含まれている場合、情報はローカル コンピュータのファイルからのみ取得されます。 lookaside データベースには、/etc/hosts 内のホストのみが含まれます。
hosts: files
注: ホストに完全修飾名がある場合、sebuildla はその完全修飾名を使用します。
コンピュータの環境設定の違いが原因で、sebuildla でローカル環境名が一部表示されない場合があります。 その場合は、sebuildla を使用して、必要なすべてのエントリをリスト ファイルからロードすることができます。 これを行うには、各オブジェクト名が別々の行に指定されたリスト ファイルを作成します。 sebuildla はこのリスト ファイルを読み取り、必要に応じて、そのリストファイル内のすべてのオブジェクトが、関連する lookaside データベースに追加されたことを確認します。 sebuildla では、重複したオブジェクトは無視されます。
以下の表に、sebuildla が各 lookaside データベースの作成に使用するファイルを示します。
|
リスト ファイル内のオブジェクト |
追加先データベース |
|---|---|
|
ACInstallDir/ladb/userlist |
ユーザの lookaside データベース |
|
ACInstallDir/ladb/grouplist |
グループの lookaside データベース |
|
ACInstallDir/ladb/hostlist |
ホストの lookaside データベース |
|
ACInstallDir/ladb/servlist |
サービスの lookaside データベース |
ACInstallDir/ladb ディレクトリにあるファイルの形式は、以下のとおりです。
リスト ファイルの作成には dbmgr -dump -r を使用できます。 たとえば、ローカル データベースの HOST クラスに定義されているホストのリストを作成するには、以下のように入力します。
dbmgr -dump ‑r l HOST > /opt/CA/AccessControl /ladb/hostlist
‑l スイッチを指定すると、各ホスト エントリを取得するたびにその FQDN を DNS サーバに問い合わせる代わりに、デフォルト ドメイン内の全ホストのリストに対する要求が DNS から一括して行われます。 高速ロード オプションは、DNS がインストールされている場合にのみ有効です。 完全修飾されるのは、デフォルト ドメイン内のホスト名のみです。 完全修飾名は、そのままの状態です。 システム メカニズムでスキャンされた完全修飾されていないホスト名およびデフォルト ドメインにないホスト名は、未修飾のままです。 hostlist ファイルからロードされた完全修飾されていないホスト名は除外されます。
このコマンドの形式は以下のようになります。
sebuildla switch [options]
sebuildla ユーティリティの操作モードを指定します。 以下のいずれかを指定できます。
すべての lookaside データベース ファイルを作成します。
DNS を除く、ホストの lookaside データベース ファイルを作成します。
グループの lookaside データベース ファイルを作成します。
DNS でホストの lookaside データベース ファイルを作成します。
このユーティリティのヘルプ画面を表示します。
LDAP ディレクトリ情報ツリー(DIT)から情報を収集し、プライマリ ユーザ データ ソース(-u スイッチ)から作成したユーザの lookaside データベースにその情報を追加します。 このスイッチは、-u スイッチまたは -a スイッチと同時に使用できます。このため、LDAP DIT が、追加のユーザ データを提供し、システムのネーミング サービスとして使用されない場合は、最も便利なスイッチとなります。
このスイッチを使用する前に、以下の手順に従います。
LDAP サービスから情報を取得する際にかかる時間は、LDAP サービスの実行速度、および DIT に格納されているユーザ データ量によって異なります。 これらのことを考慮した上で、seos.ini ファイルの [seos] セクション内の ldap_timeout トークンを調整します。
サービスの lookaside データベース ファイルを作成します。
ユーザの lookaside データベース ファイルを作成します。
注: -n スイッチを -u スイッチと同時に指定して、LDAP サービスから収集したユーザ データを追加することができます。
グループの lookaside データベース ファイルの内容を一覧表示します。
ホストの lookaside データベース ファイルの内容を一覧表示します。
サービスの lookaside データベース ファイルの内容を一覧表示します。
ユーザの lookaside データベース ファイルの内容を一覧表示します。
ユーティリティが情報を表示する方法を変更する、オプションの修飾子を定義します。 以下の 1 つまたは複数の修飾子を指定できます。
リスト ファイルのみを使用して lookaside データベースをロードします。 この場合、システムの解決メカニズムは除外されます。
‑h スイッチを使用して、lookaside データベース(ホストのみ)を高速でロードします。
| Copyright © 2011 CA. All rights reserved. | このトピックについて CA Technologies に電子メールを送信する |