15.2 LUM (Linux User Management): eDirectoryユーザのためのLinuxへのアクセス

NetWare®サーバのユーザとグループはeDirectoryで管理されますが、LinuxサーバのユーザとグループはPOSIX* (Portable Operating System Interface)標準に従って管理されます。

OES (Open Enterprise Server)は、LinuxとNetWareの両方で実行されるサービスを提供するので、Novell®はeDirectoryユーザにもLinuxサーバの「ローカル」POSIXユーザとして機能させる技術を開発しました。この技術は、LUM (Linux User Management)と呼ばれます。

次のセクションでは、Novell LUMに関する基本方針の概要と以下のトピックについて説明します。

15.2.1 概要

この節のトピックは、どのようなときにLUM対応アクセスが必要かを理解するのに役立つよう設計されているため、ネットワークサービスへのアクセスが可能になり、指定したとおりに機能させることができます。Linux User Managementの詳細については、『OES 2: Novell Linux User Management Technology Guide』のOverviewを参照してください。

この概要では、次の項目について説明します。

LUM (LUM User Management)のグラフィカルプレビュー

図 15-1では、LUM (Linux User Management)が、OES 2サーバへのアクセスを制御する方法について示ます。

図 15-1 LUMがeDirectoryユーザに提供するPOSIXアクセス

次の表で、図 15-1に示されている情報について説明します。

有効なPOSIXユーザ

Authentication

eDirectory認証サービス

OES 2 Linuxサーバの一部のサービスは、POSIXユーザでアクセスする必要があります。

eDirectoryユーザは、Linuxアクセスに対応してる場合は、POSIXユーザとして機能します。

システムがアクション要求を受信すると、ローカルPOSIXユーザと、Linuxアクセス対応のユーザの両方として認証します。

ユーザは、潜在的にPAM対応サービス、Samba共有、およびNovell Remote Managerに、ローカルまたはeDirectoryユーザのいずれかとしてアクセスできます

eDirectoryのパスワードはローカルサーバではなくeDirectoryで保持されるので、passwdコマンドはeDirectoryアクセスには有効でないことに注意してください。

LinuxではPOSIXユーザが前提

Linuxでは、すべてのユーザを、ユーザ名、ユーザID (UID)、プライマリグループID (GID)、パスワードのような標準的なPOSIX属性、および同等の属性を使用して定義する必要があります。

Linuxユーザはローカルまたはリモートが可能

Linuxサーバにアクセスするユーザは、次の2つの方法で作成できます。

  • ローカル(サーバ上) ローカルユーザは、コマンドプロンプト(useraddのようなコマンドを使用する)またはYaSTで管理されます。(詳細については、useradd(8)のマニュアルページとYaSTのオンラインヘルプを参照してください。)これらのローカルユーザは、/etc/passwd ファイルに格納されます。(詳細については、passwd(5)のマニュアルページを参照してください。)

    重要:一般原則として、OES 2 Linuxサーバ上では、存在すべき唯一のローカルユーザアカウントは、rootです。その他のユーザアカウントはeDirectoryに作成し、その後、Linuxアクセス(LUM)を有効にする必要があります。ローカルおよびeDirectoryユーザアカウントは、重複して作成しないよう注意してください。

    詳細については、セクション 6.2, POSIXおよびeDirectory重複の回避を参照してください。

  • リモート(サーバ外) リモートユーザは、LDAP準拠のディレクトリサービスなど、他のシステムで管理することができます。リモートユーザアクセスは、LinuxのPAM (Pluggable Authentication Module)アーキテクチャを介して使用できます。

Linux POSIX準拠のインタフェースは、保存されている場所および管理方法に関係なく、両方の種類のユーザを認証できます。

rootユーザをLUM対応にしないこと

OES 2 ユーザ管理ツールでは、rootという名前のeDirectoryユーザを作成し、OES 2 Linuxサーバ上のrootユーザを置き換えられないようになっています。万一、rootがLUMユーザで、eDirectoryがなんらかの理由で使用できなくなった場合、システムにrootとしてアクセスできなくなります。

eDirectoryが使用できなくなったとしても、NRMを使用してサーバにログインし、rootユーザとして他のシステム管理タスクを実行できます。

OES 2 Linux上のサービスアクセスについて

Novell LUM (Linux User Management)では、eDirectoryを使用して、1つまたは複数のOES 2 Linuxサーバにアクセスするリモートユーザを集中管理できます。

つまり、LUMではeDirectoryユーザがOES 2 Linuxサーバ上のローカル(POSIX)ユーザとして機能します。アクセスにはLinux PAM (Pluggable Authentication Module)アーキテクチャが利用されています。PAMは、eDirectoryユーザがLDAP経由のOES 2 Linuxサーバで認証できるようにします。

OESでは、「LUM対応」および「Linux対応」は、両方とも標準的なLinux (POSIX)属性と値をeDirectoryのユーザとグループに追加し、これらをサーバ上でPOSIXのユーザおよびグループとして機能させる処理を示すために使用されます。

iManagerを使用して、Linuxに対してeDirectoryユーザを有効にできます。方法については、eDirectoryユーザをLinuxアクセスに対して有効にする方法についてを参照してください。

LUM対応アクセスに必要なOES 2 Linuxのサービス

OES 2 Linuxサーバの一部のサービスでは、eDirectoryユーザがLUM対応である必要があります。

  • LUM対応のコアLinuxユーティリティ これらは、eDirectory LDAP経由の認証を有効にするためにOESインストール中に指定したコアユーティリティとその他のシェルコマンドです。Linuxでは、これらはPAM対応ユーティリティとされます。

    重要:デフォルトのPAM対応サービス設定を受け付ける前に、セクション 21.2.2, ユーザ制限—OES 2 Linuxのいくつかの制限で説明されるセキュリティの影響を理解する必要があります。

    LUM対応で使用できるコアユーティリティは、表 15-1に要約されています。

    表 15-1 LUMで制御されるPAM対応サービス

    コマンド

    実行される場所

    タスク

    ftp

    別のホスト

    OES 2サーバとの間でファイルを転送します。ここではリモートホストになります。

    login

    • OES 2サーバ

    • OES 2サーバとのSSHセッション

    OES 2サーバに直接、またはSSHセッションを使用してサーバにログインします。

    openwbem

    ローカルホスト

    iPrint、NSS、SMS、Novellリモートマネージャ、およびiManagerに必要です。

    gdm

    • ローカルホスト

    • リモートホスト

    XDMCPを使ってXサーバを実行および管理する。

    gnomesu-pam

     

     

    sshd

    別のホスト

    OES 2サーバとの間に暗号化されたセキュア接続を確立します。この場合、リモートホストになります。

    su

    • OES 2サーバ

    • OES 2サーバとのSSHセッション

    一時的に別のユーザになります。

    一時的にrootユーザになる場合に使用するのが一般的です。ルートユーザはLUMユーザでないため、LUMの影響を受けません。

    メモ:PAM対応サービスを経由してOES 2 Linuxサーバに初めてログインすると、ホームディレクトリが作成されます。

  • サーバ上のNovell Samba (CIFS)共有。 サーバで定義されたSamba共有にアクセスする必要のあるWindowsワークグループユーザは、同時にサーバにアクセスするように設定されたLUM対応eDirectoryユーザである必要があります。これは、SambaがアクセスにPOSIX識別を必要とするためです。

    さらに、サーバを指定するCIFSのストレージロケーションオブジェクトにアクセスする必要のあるNetStorageユーザは、そのサーバへのアクセス権限を持つLUM対応eDirectoryユーザである必要があります。

    メモ:SambaユーザはLinux対応である必要がありますが、SambaはPAM対応サービスではありません。Sambaを経由してOES 2 Linuxサーバにログインしても、ホームディレクトリは作成されません。

  • LinuxのNovell Remote Manager (NRM) 次の手順で、NRMにアクセスできます。

    • Linuxサーバ上のすべてを参照する権限を持つrootユーザ。

    • POSIXアクセス権限で管理されるアクセスを持つローカルLinuxユーザ。(OES 2サーバでroot以外のローカルユーザを持つことは推奨していません。)

    • インストール中に作成されたAdminユーザなど、LUM対応のeDirectoryユーザ。

  • Linux上のSMS (Storage Management Services)。 次の手順で、SMSユーティリティにアクセスできます。

    • Linuxサーバ上のすべてを参照する権限を持つrootユーザ。

    • POSIXアクセス権限で管理されるアクセスを持つローカルLinuxユーザ。(OES 2サーバでroot以外のローカルユーザを持つことは推奨していません。)

    • インストール中に作成されたAdminユーザなど、LUM対応のeDirectoryユーザ。

LUM対応アクセスは不要でもLUMの一部の機能を要件とするサービス

eDirectoryユーザがサービスのアクセスにLinux対応であることを要件としない一部のサービスを次に示します。

  • NCP Server: Linuxに移植されたNCP™サーバはeDirectoryと強固に統合されているため、eDirectoryユーザをLinux対応にする必要はありません。

    ただし、サーバ上のNSS以外のパーティションを示すNCPボリュームが作成されるとき、eDirectoryユーザがLinux対応でない場合は一部の機能を使用できません。たとえば、ユーザがLinux対応でない場合、プロトコルをまたいだアクセスは不可能です。

  • NetStorage: 一般的に、NetStorageユーザはLinux対応である必要はありません。しかし、NSSボリューム上のNetStorage経由のサルベージおよびパージ処理は、Linux対応のユーザに限られます。

    メモ:NetStorageではLUM対応アクセスは不要ですが、サーバ自体は、サービスにアクセスするエンドユーザの代わりとして機能する、POSIX準拠システムユーザとして実行します。

    NetStorageがNSSボリュームにアクセスする必要がある場合は、eDirectoryユーザのみがNSSボリュームにアクセス可能なため、システムユーザもLinux対応でなければなりません。

    詳細については、セクション H.0, OES 2システムユーザおよびグループを参照してください。

  • NSS: NCP (Novell Client™)を使用して直接NSSボリュームにアクセスするeDirectoryユーザは、Linux対応である必要はありません。

    例外は、サルベージ機能が使用された場合、ファイルを削除したユーザの情報は、ユーザがLinux対応でない限り追跡できません。非対応ユーザがファイルを削除した場合、サルベージの報告ではサーバがファイルを削除したことになります。

    ただし、NSSがPOSIX準拠のファイルシステムに見えるよう仮想ファイルシステム層経由でNSSにアクセスするためにその他のファイルアクセスプロトコルが使用される場合、ユーザはLinux対応である必要があります。

LUM対応アクセスを必要としないサービス

次のエンドユーザサービスは、LUM対応アクセスを必要としません。

LinuxアクセスはOES 2 Linuxサーバに対するグローバルアクセスではない

Linux対応ユーザがこれらのサービスにアクセスできるようにする場合、LUM対応ユーザがアクセスする必要のある各OES 2 Linuxサーバは、ユーザが属すLUM対応グループに関連付けられている必要があることに留意してください。

つまり、Linux対応ユーザが複数のサーバにアクセスする必要がある場合、単一のOES 2 Linuxサーバにアクセスするだけでは不十分であるということです。ユーザが属すLUM対応グループとサーバに関連付けられたeDirectory UNIXワークステーションオブジェクトとの関連付けは、ユーザがアクセスする必要のある各サーバにiManagerを使用して作成する必要があります。これは、ユーザの複数OES 2 Linuxサーバへのアクセスを可能にするで説明される方法を使用し、複数のサーバで実行することができます。

LUMの詳細については、『OES 2: Novell Linux User Management Technology Guide』を参照してください。

15.2.2 計画

次の節では、LUMの計画に関する考慮事項を要約します。

eDirectoryのAdminユーザは自動的にLinuxアクセス対応になる

OES 2 LinuxサーバにLUM (Linux User Management)をインストールする場合、LUMをインストールするAdminユーザオブジェクトでは、サーバへのeDirectory LDAP認証が、自動的に有効にされます。

アクセスできるユーザの計画

OES 2 Linuxサーバに対してeDirectory LDAPアクセスが必要なユーザ(およびグループ)を識別する必要があります。

これは次の方法で容易に判別できます。

  1. の情報を確認します。LUM対応アクセスに必要なOES 2 Linuxのサービス

  2. サービスを実行するサーバを識別します。

  3. 計画シートに、有効にする必要があるユーザおよびグループと、アクセスを有効にする必要があるサーバを記入します。

システム生成ユーザおよびグループに注意

OES 2 Linuxサーバに対してeDirectory LDAPアクセスが必要なユーザ(およびグループ)を識別する必要があります。

これは次の方法で容易に判別できます。

  1. の情報を確認します。LUM対応アクセスに必要なOES 2 Linuxのサービス

  2. サービスを実行するサーバを識別します。

  3. 計画シートに、有効にする必要があるユーザおよびグループと、アクセスを有効にする必要があるサーバを記入します。

15.2.3 共存とマイグレーション

共存とマイグレーションの情報については、『Novell Server Consolidation and Migration Toolkit Administration Guide』のUnderstanding the Need for Linux Enabling Usersを参照してください。

15.2.4 LUM実装のヒント

次の節では、LUMの実装に関する考慮事項を要約します。

eDirectoryユーザをLinuxアクセスに対して有効にする方法について

iManager 2.7以降またはnambulkaddコマンドを使用して、eDirectoryユーザをLinux User Managementに対して有効にできます。

  • iManager: iManagerでLinux User Managementタスクを使用し、既存のeDirectoryユーザをLinuxアクセスに対して有効にできます。

    同じプライマリLUM対応グループに割り当てられるのであれば、複数のユーザを1度の操作で有効にすることができます。有効化の処理により、グループが1つまたは複数のOES 2 LinuxサーバまたはLinuxワークステーションに関連付けることができます。詳細については、ユーザの複数OES 2 Linuxサーバへのアクセスを可能にするを参照してください。

    Sambaユーザも、Sambaへの対応化処理の一部で、Linuxアクセスに対しても有効になります。

  • nambulkadd: eDirectoryのユーザおよびグループがある場合Linuxアクセスに対応させる必要のある、nambulkaddコマンドを使用して複数のオブジェクトを同時に変更できます。詳細については、『OES 2: Novell Linux User Management Technology Guide』を参照してください。

UNIXワークステーションLinuxワークステーションは同じことです。

OES 2 Linuxアクセスを管理するためにiManagerを使用する場合は、ネーミングに関して矛盾があることに注意してください。

OES 2 Linuxサーバが作成されると、UNIXワークステーション - server_name オブジェクトがeDirectoryに作成されます。ここで、server_nameはOES 2 LinuxサーバのDNS名です。場所によっては、iManagerはこれらのサーバオブジェクトをLinuxワークステーションオブジェクトとして参照しています。

UNIX ワークステーションLinuxワークステーションのいずれも同じeDirectoryオブジェクトを参照します。

ユーザの複数OES 2 Linuxサーバへのアクセスを可能にする

重要:ユーザは、UNIXワークステーションオブジェクトそのものへの直接割り当てを経由するよりも、LUM対応グループ割り当てを経由して、サーバへのアクセスを取得します。

ユーザがアクセスするUNIXワークステーションオブジェクトに属すLUM対応グループに関連付けることで、ユーザは複数のOES 2 Linuxサーバーにアクセスできるようになります。

eDirectoryグループをLinuxアクセスに対して有効にする

eDirectoryグループをLinuxアクセスに対して有効にする2つの方法があります。

iManagerの使用

次のステップでは、eDirectoryグループオブジェクトがすでに存在し、Linuxに対して有効にするすべてのユーザオブジェクトも存在していて、そのユーザがグループに割り当て済みであることを前提にしています。

  1. eDirectoryの管理ユーザまたはそれに等しいユーザでiManagerにログインしてください。

  2. Linux User Management]をクリックし、[Linuxのグループを有効にする]を選択します。

  3. 参照して1つまたは複数のグループオブジェクトを選択し、[OK]をクリックします。

  4. すべてのユーザをグループに割り当ててLinux対応にしたい場合は、[これらのグループ内のすべてのLinux対応ユーザ]オプションを選択します。

  5. [Next (次へ)]を2回クリックします。

  6. 参照して1つまたは複数のUNIXワークステーション(OES 2 Linuxサーバ)オブジェクトを選択して[OK]をクリックします。

  7. 次へ]、[完了]、[OK]の順にクリックします。

複数グループを有効にするまたは作成するために、コマンドプロンプトからLUMユーティリティを使用

Novell Linux User Managementには、新しいLUM対応グループを作成するユーティリティ、およびLinuxアクセスに対して既存eDirectoryグループを有効にするユーティリティが含まれています。

nambulkaddユーティリティでは、テキストエディタを使用して、Linuxアクセスに対応するグループのリストを作成できます。詳細については、『OES 2: Novell Linux User Management Technology Guide』のnambulkaddを参照してください。

重要:各テキストファイルの最後に空白行を含める必要があります。空白行を含めないと、ファイルの最後の行の処理が正しく行われない場合があります。

namgroupaddユーティリティは、新しいLUM対応グループを作成するか、または既存のeDirectoryグループをLinuxアクセス対応にします。詳細については、『OES 2: Novell Linux User Management Technology Guide』のnamgroupaddを参照してください。

eDirectoryユーザをLinuxアクセスに対して有効にする

eDirectoryユーザをlINUXアクセスに対して有効にするには次の2つの方法があります。

iManagerの使用

次のステップでは、eDirectoryユーザオブジェクトがすでに存在していることを前提としています。

  1. eDirectoryの管理ユーザまたはそれに等しいユーザでiManagerにログインしてください。

  2. Linux User Management]をクリックして、[Linuxのユーザを有効にする]を選択します。

  3. 参照して1つまたは複数のユーザオブジェクトを選択し、[OK]をクリックします。

  4. 次へ]をクリックします。

  5. 説明のとおり、次のことが可能です。

    • 既存のeDirectoryグループを選択して、Linux対応にする。

    • すでにLinuxに対して有効なeDirectoryグループを選択する。

    • 新しく作成して、Linux対応にするeDirectoryグループの名前を指定します。

    要件に最も適したオプションを選択します。

  6. 次へ]をクリックします。

  7. 参照して1つまたは複数のUNIXワークステーション(OES 2 Linuxサーバ)オブジェクトを選択し、[OK]をクリックします。

  8. 次へ]、[完了]、[OK]の順にクリックします。

複数のユーザを有効、または作成するための、コマンドプロンプトでのLUMユーティリティの使用

Novell Linux User Managementには、新しいLUM対応ユーザを作成するユーティリティ、およびLinuxアクセスに対して既存のeDirectoryユーザを有効にするユーティリティが含まれています。

nambulkaddユーティリティでは、テキストエディタを使用し、Linuxアクセスに対応させるユーザのリストを作成できます。詳細については、『OES 2: Novell Linux User Management Technology Guide』のnambulkadd../../../oes2/acc_linux_svcs_lx/data/bookinfo.html#bookinfoを参照してください。

重要:各テキストファイルの最後に空白行を含める必要があります。空白行を含めないと、ファイルの最後の行の処理が正しく行われない場合があります。

namuseradd ユーティリティは、新しいLUM対応ユーザを作成するか、または既存のeDirectoryユーザをLinuxアクセス対応にします。詳細については、『OES 2: Novell Linux User Management Technology Guide』のnamuseraddを参照してください。