検索

28.3. OpenLDAP デーモンとユーティリティー

download PDF
OpenLDAP ライブラリーおよびツールのスイートは、以下のパッケージに含まれています。
  • OpenLDAP: OpenLDAP サーバーおよびクライアントアプリケーションの実行に必要なライブラリーが含まれます。
  • openldap-clients: LDAP サーバーのディレクトリーを表示および変更するコマンドラインツールが含まれます。
  • openldap-servers: LDAP サーバーの設定および実行に必要なサーバーおよびその他のユーティリティーが含まれます。
openldap-servers パッケージには、Standalone LDAP Daemon (/usr/sbin/slapd)と Standalone LDAP Update Replication Daemon (/usr/sbin/slurpd)の 2 つのサーバーが含まれています。
slapd デーモンはスタンドアロンの LDAP サーバーであり、slurpd デーモンは、ある LDAP サーバーからネットワーク上の他の LDAP サーバーに変更を同期するために使用されます。slurpd デーモンは、複数の LDAP サーバーを処理する場合にのみ使用されます。
管理タスクを実行するには、openldap-servers パッケージにより、以下のユーティリティーが /usr/sbin/ ディレクトリーにインストールされます。
  • slapadd: LDIF ファイルから LDAP ディレクトリーにエントリーを追加します。たとえば、/usr/sbin/slapadd -l ldif-input コマンドは、新しいエントリーを含む LDIF ファイル ldif-input で読み取ります。
    重要な影響
    root ユーザーのみが /usr/sbin/slapadd を使用できます。ただし、ディレクトリーサーバーは ldap ユーザーとして実行されます。したがって、ディレクトリーサーバーは slapadd が作成したファイルを変更できません。この問題を修正するには、slapadd を使用してから、以下のコマンドを入力します。
    chown -R ldap /var/lib/ldap
  • slapcat - デフォルト形式の LDAP ディレクトリーからプルし、Sleepycat Software の Berkeley DB システムに保存し、LDIF ファイルに保存します。たとえば、コマンド /usr/sbin/slapcat -l ldif-output は、LDAP ディレクトリーからのエントリーを含む ldif-output という LDIF ファイルを出力します。
  • slapindex - 現在のコンテンツに基づいて slapd ディレクトリーを再インデックスします。このツールは、/etc/openldap/slapd.conf 内のインデックスオプションが変更されるたびに実行する必要があります。
  • slappasswd: slapd 設定ファイルの ldapmodify または rootpw 値で使用する暗号化されたユーザーパスワード値( /etc/openldap/slapd.conf )を生成します。/usr/sbin/slappasswd コマンドを実行してパスワードを作成します。
Warning
slapaddslapcat、または slapindex を使用する前に、/sbin/service ldap stop コマンドを実行して slapd を停止する必要があります。それ以外の場合は、LDAP ディレクトリーの整合性が危険にさらされます。
これらのユーティリティーの使用方法は、それぞれの man ページを参照してください。
openldap-clients パッケージは、LDAP ディレクトリーのエントリーの追加、変更、および削除に使用される /usr/bin/ にツールをインストールします。これらのツールには、以下が含まれます。
  • ldapadd: ファイルまたは標準入力で入力を受け入れることで LDAP ディレクトリーにエントリーを追加します。ldapadd は、ldapmodify -a へのハードリンクです。
  • ldapdelete: シェルプロンプトまたはファイルを介してユーザー入力を受け入れることで、LDAP ディレクトリーからエントリーを削除します。
  • ldapmodify: LDAP ディレクトリーのエントリーを変更し、ファイルまたは標準入力による入力を受け入れます。
  • ldappasswd: LDAP ユーザーのパスワードを設定します。
  • ldapsearch: シェルプロンプトを使用して LDAP ディレクトリー内のエントリーを検索します。
  • ldapcompare: LDAP サーバーへの接続を開き、指定のパラメーターを使用して比較を行い、実行します。
  • ldapwhoami: LDAP サーバーへの接続を開き、バインドし、whoami 操作を実行します。
  • ldapmodrdn: LDAP サーバーへの接続を開き、エントリーの RDN を変更し、変更します。
ldapsearch の例外により、各ユーティリティーは、LDAP ディレクトリー内で変更する各エントリーに対してコマンドを入力するのではなく、変更を含むファイルを参照することで簡単に使用できます。このようなファイルの形式は、各ユーティリティーの man ページで説明されています。

28.3.1. NSS、PAM、および LDAP

OpenLDAP パッケージに加えて、Red Hat Enterprise Linux には nss_ldap と呼ばれるパッケージが含まれており、このパッケージにより、LDAP の Linux 環境や他の UNIX 環境への統合が強化されます。
nss_ldap パッケージは、以下のモジュールを提供します。&lt ;version> は、使用中の libnss_ldap のバージョンを参照します。
  • /lib/libnss_ldap-<version>.so
  • /lib/security/pam_ldap.so
nss_ldap パッケージは、Itanium アーキテクチャーまたは AMD64 アーキテクチャーに以下のモジュールを提供します。
  • /lib64/libnss_ldap-<version>.so
  • /lib64/security/pam_ldap.so
libnss_ldap- <version > .so モジュールを使用すると、アプリケーションは glibcNameservice Switch (NSS)インターフェイスを介して LDAP ディレクトリーを使用してユーザー、グループ、ホスト、およびその他の情報を検索できます。NSS を使用すると、アプリケーションは NIS ネームサービスとフラット認証ファイルとともに LDAP を使用して認証できます。
pam_ldap モジュールにより、PAM 対応のアプリケーションは LDAP ディレクトリーに保存されている情報を使用してユーザーを認証できます。PAM 対応アプリケーションには、コンソールログイン、POP および IMAP メールサーバー、および Samba が含まれます。ネットワークに LDAP サーバーをデプロイすることで、これらのアプリケーションはすべて同じユーザー ID とパスワードの組み合わせを使用して認証できるため、管理を大幅に簡素化できます。
PAM の設定に関する詳細は、「PAM (プラグ可能な認証モジュール)」 および PAM の man ページを参照してください。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.