28.3. OpenLDAP デーモンとユーティリティー
OpenLDAP ライブラリーおよびツールのスイートは、以下のパッケージに含まれています。
OpenLDAP: OpenLDAP サーバーおよびクライアントアプリケーションの実行に必要なライブラリーが含まれます。openldap-clients: LDAP サーバーのディレクトリーを表示および変更するコマンドラインツールが含まれます。openldap-servers: LDAP サーバーの設定および実行に必要なサーバーおよびその他のユーティリティーが含まれます。
openldap-servers パッケージには、Standalone LDAP Daemon (/usr/sbin/slapd)と Standalone LDAP Update Replication Daemon (/usr/sbin/slurpd)の 2 つのサーバーが含まれています。
slapd デーモンはスタンドアロンの LDAP サーバーであり、slurpd デーモンは、ある LDAP サーバーからネットワーク上の他の LDAP サーバーに変更を同期するために使用されます。slurpd デーモンは、複数の LDAP サーバーを処理する場合にのみ使用されます。
管理タスクを実行するには、
openldap-servers パッケージにより、以下のユーティリティーが /usr/sbin/ ディレクトリーにインストールされます。
- slapadd: LDIF ファイルから LDAP ディレクトリーにエントリーを追加します。たとえば、/usr/sbin/slapadd -l ldif-input コマンドは、新しいエントリーを含む LDIF ファイル
ldif-inputで読み取ります。重要な影響root ユーザーのみが /usr/sbin/slapadd を使用できます。ただし、ディレクトリーサーバーはldapユーザーとして実行されます。したがって、ディレクトリーサーバーは slapadd が作成したファイルを変更できません。この問題を修正するには、slapadd を使用してから、以下のコマンドを入力します。chown -R ldap /var/lib/ldap - slapcat - デフォルト形式の LDAP ディレクトリーからプルし、Sleepycat Software の Berkeley DB システムに保存し、LDIF ファイルに保存します。たとえば、コマンド /usr/sbin/slapcat -l ldif-output は、LDAP ディレクトリーからのエントリーを含む
ldif-outputという LDIF ファイルを出力します。 - slapindex - 現在のコンテンツに基づいて slapd ディレクトリーを再インデックスします。このツールは、
/etc/openldap/slapd.conf内のインデックスオプションが変更されるたびに実行する必要があります。 - slappasswd: slapd 設定ファイルの ldapmodify または rootpw 値で使用する暗号化されたユーザーパスワード値(
/etc/openldap/slapd.conf)を生成します。/usr/sbin/slappasswd コマンドを実行してパスワードを作成します。
Warning
slapadd、slapcat、または slapindex を使用する前に、/sbin/service ldap stop コマンドを実行して slapd を停止する必要があります。それ以外の場合は、LDAP ディレクトリーの整合性が危険にさらされます。
これらのユーティリティーの使用方法は、それぞれの man ページを参照してください。
openldap-clients パッケージは、LDAP ディレクトリーのエントリーの追加、変更、および削除に使用される /usr/bin/ にツールをインストールします。これらのツールには、以下が含まれます。
- ldapadd: ファイルまたは標準入力で入力を受け入れることで LDAP ディレクトリーにエントリーを追加します。ldapadd は、ldapmodify -a へのハードリンクです。
- ldapdelete: シェルプロンプトまたはファイルを介してユーザー入力を受け入れることで、LDAP ディレクトリーからエントリーを削除します。
- ldapmodify: LDAP ディレクトリーのエントリーを変更し、ファイルまたは標準入力による入力を受け入れます。
- ldappasswd: LDAP ユーザーのパスワードを設定します。
- ldapsearch: シェルプロンプトを使用して LDAP ディレクトリー内のエントリーを検索します。
- ldapcompare: LDAP サーバーへの接続を開き、指定のパラメーターを使用して比較を行い、実行します。
- ldapwhoami: LDAP サーバーへの接続を開き、バインドし、whoami 操作を実行します。
- ldapmodrdn: LDAP サーバーへの接続を開き、エントリーの RDN を変更し、変更します。
ldapsearch の例外により、各ユーティリティーは、LDAP ディレクトリー内で変更する各エントリーに対してコマンドを入力するのではなく、変更を含むファイルを参照することで簡単に使用できます。このようなファイルの形式は、各ユーティリティーの man ページで説明されています。
28.3.1. NSS、PAM、および LDAP
OpenLDAP パッケージに加えて、Red Hat Enterprise Linux には
nss_ldap と呼ばれるパッケージが含まれており、このパッケージにより、LDAP の Linux 環境や他の UNIX 環境への統合が強化されます。
nss_ldap パッケージは、以下のモジュールを提供します。< ;version> は、使用中の libnss_ldap のバージョンを参照します。
/lib/libnss_ldap-<version>.so/lib/security/pam_ldap.so
nss_ldap パッケージは、Itanium アーキテクチャーまたは AMD64 アーキテクチャーに以下のモジュールを提供します。
/lib64/libnss_ldap-<version>.so/lib64/security/pam_ldap.so
libnss_ldap- <version > .so モジュールを使用すると、アプリケーションは glibc の Nameservice Switch (NSS)インターフェイスを介して LDAP ディレクトリーを使用してユーザー、グループ、ホスト、およびその他の情報を検索できます。NSS を使用すると、アプリケーションは NIS ネームサービスとフラット認証ファイルとともに LDAP を使用して認証できます。
pam_ldap モジュールにより、PAM 対応のアプリケーションは LDAP ディレクトリーに保存されている情報を使用してユーザーを認証できます。PAM 対応アプリケーションには、コンソールログイン、POP および IMAP メールサーバー、および Samba が含まれます。ネットワークに LDAP サーバーをデプロイすることで、これらのアプリケーションはすべて同じユーザー ID とパスワードの組み合わせを使用して認証できるため、管理を大幅に簡素化できます。
PAM の設定に関する詳細は、「PAM (プラグ可能な認証モジュール)」 および PAM の man ページを参照してください。
