Project

General

Profile

OpenLDAPのインストール

  • OpenLDAPのインストールとユーザアカウントの認識までを行う

インストール

  • 下記のコマンドで必要なパッケージをインストールする
    # yum install openldap-clients openldap-servers
    
  • ConfigurationBackendではなくslapd.confを使って起動するように設定
    「slapd.conf.obsolete」がない場合、CentOS6用のrpmなどから取得する
    # cp -p /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf
    # vi /etc/init.d/slapd
    (/etc/sysconfig/slapd があれば、そちらに記載する)
    
    # OPTIONS, SLAPD_OPTIONS and KTB5_KTNAME are not defined
    SLAPD_OPTIONS="-f /etc/openldap/slapd.conf" 
    
  • 管理者用パスワードを設定する。コマンドを実行すると入力を促される。
    実行後に表示される{SSHA}の行をコピーしておく
    # slappasswd
    New password:
    Re-enter new password:
    {SSHA}***********************
    
  • 設定ファイルを編集する
    # vi /etc/openldap/slapd.conf
    
    suffix          "dc=example,dc=local" 
    rootdn          "cn=Manager,dc=example,dc=local" 
    rootpw  {SSHA}***********************
    
  • 初回起動
    # systemctl restart slapd
    
  • 問題がなければ起動設定を行う
    # systemctl enable slapd
    

設定

  • 下記の設定を行う
    # vi /etc/openldap/slapd.conf
    
    #database config
    #access to *
    #       by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" ma
    nage
    #       by * none
    
    database monitor
    access to *
            by dn.exact="cn=Manager,dc=example,dc=local" read
            by * none
    #        by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read
    #        by dn.exact="cn=Manager,dc=my-domain,dc=com" read
    
  • コンフィグのテストを行う
    # slaptest -u -f /etc/openldap/slapd.conf -v
    config file testing succeeded
    
  • サービスのリロードをこなう
    # systemctl restart slapd
    

データ投入

  • 下記のファイルを作成する
    # vi /etc/openldap/init.ldif
    
    dn: dc=example,dc=local
    objectclass: dcObject
    objectclass: organization
    o: TEST ORG
    dc: example
    
    dn: cn=Manager,dc=example,dc=local
    objectclass: organizationalRole
    cn: Manager
    
  • 次のコマンドでデータを投入する
    # ldapadd -x -W -D "cn=Manager,dc=example,dc=local" -f /etc/openldap/init.ldif
    Enter LDAP Password:
    adding new entry "dc=example,dc=local" 
    
    adding new entry "cn=Manager,dc=example,dc=local" 
    
  • 以下のコマンドでデータを検索できるか確認する
    # ldapsearch -x -W -D "cn=Manager,dc=example,dc=local" -b "cn=Manager,dc=example,dc=local" -s sub
    Enter LDAP Password:
    
    # extended LDIF
    #
    # LDAPv3
    # base <cn=Manager,dc=example,dc=local> with scope subtree
    # filter: (objectclass=*)
    # requesting: ALL
    #
    …
    ……
    
  • 検索できることを確認したら、同じように認証用のテンプレートを作成する
    userPasswordは新たにslappasswdコマンドで作成しておくこと
    # vi /etc/openldap/user.ldif
    
    dn: ou=Groups,dc=example,dc=local
    objectClass: organizationalUnit
    ou: Groups
    
    dn: cn=Users,ou=Groups,dc=example,dc=local
    objectClass: posixGroup
    objectClass: top
    cn: Users
    gidNumber: 2000
    memberUid: user001
    
    dn: ou=Members,dc=example,dc=local
    objectClass: organizationalUnit
    ou: Members
    
    dn: uid=user001,ou=Members,dc=example,dc=local
    objectClass: top
    objectClass: person
    objectClass: organizationalPerson
    objectClass: inetOrgPerson
    objectClass: posixAccount
    objectClass: shadowAccount
    uid: user001
    cn: user001 lastname
    sn: user001
    givenName: lastname
    mail: user001@example.local
    shadowLastChange: 11414
    shadowMax: 99999
    shadowWarning: 7
    loginShell: /bin/bash
    uidNumber: 2000
    gidNumber: 2000
    homeDirectory: /home/user001
    userPassword: {SSHA}**********************
    
  • 次のコマンドでデータを投入する
    # ldapadd -x -W -D "cn=Manager,dc=example,dc=local" -f /etc/openldap/user.ldif
    Enter LDAP Password:
    adding new entry "ou=Users,dc=example,dc=local" 
    
    adding new entry "uid=user001,ou=Users,dc=example,dc=local" 
    
  • 以下のコマンドでデータを検索できるか確認する
    # ldapsearch -x -W -D "cn=Manager,dc=example,dc=local" -b "ou=Users,dc=example,dc=local" -s sub
    Enter LDAP Password:
    
    Enter LDAP Password:
    # extended LDIF
    #
    # LDAPv3
    # base <ou=Users,dc=example,dc=local> with scope subtree
    # filter: (objectclass=*)
    # requesting: ALL
    #
    
    # Users, example.local
    …
    ……
    

サーバ側の認証クライアントの設定

  • 以下のコマンドを実行し、設定画面を表示する
    # authconfig-tui
    
  • 次の内容を設定する
    ユーザ情報
    [*] LDAP を使用
    
    認証
    [*] MD5 パスワードを使用
    [*] シャドウパスワードを使用
    [*] LDAP 認証を使用
    
    サーバー  ldap://127.0.0.1/
    ベース DN dc=example,dc=local
    
  • 次のコマンドでユーザ情報を取得できるかを確認する
    # id user001
    uid=2000(user001) gid=2000 所属グループ=2000
    
  • ホームディレクトリを作成するようにpamに設定を追加する
    # vi /etc/pam.d/system-auth
    
    ~末尾
    session     optional      pam_mkhomedir.so skel=/etc/skel umask=022
    
  • ユーザを切り替えてみる
    # su - user001
    ディレクトリ '/home/user001' を作成中
    
    $ exit
    

起動順の修正

そのままではLDAPサーバが起動する前にpam-ldapのクライアントが起動してしまい、
OS起動時にサーバ接続不可のメッセージが大量に記録されてしまうため、起動順
の再設定を行う。

  • 次の2つのファイルの「chkconfig~」行を調べる。
    # vi /etc/init.d/slapd
    -----------------------------
    # chkconfig: - 27 73
    

    # vi /etc/init.d/nslcd
    -----------------------------
    # chkconfig: - 12 88
    
  • 「nslcd」の「-」の次の数字を「slapd」の「-」の次の数字をインクリメントした値に変更する
    # vi /etc/init.d/nslcd
    -----------------------------
    # chkconfig: - 28 88
    
  • サービスの再登録を行う
    # chkconfig --del nslcd
    # chkconfig --add nslcd
    # chkconfig on nslcd
    
  • 再起動して「var/log/messages」にエラーが表示されないことを確認する

以上でuser001はunixユーザとして認証に利用できる