Red Hat Summit28.6. OpenLDAP 設定の概要
本セクションでは、OpenLDAP ディレクトリーをインストールおよび設定するための簡単な概要を説明します。詳細は、以下の URL を参照してください。
- http://www.openldap.org/doc/admin/quickstart.html: OpenLDAP Web サイトの 『Quick-Start Guide』
- http://www.tldp.org/HOWTO/LDAP-HOWTO/index.html : Linux ドキュメントプロジェクトの 『LDAP Linux HOWTO』 です。
LDAP サーバーを作成する基本的な手順は以下のとおりです。
openldap、openldap-servers、およびopenldap-clientsRPM をインストールします。/etc/openldap/slapd.confファイルを編集し、LDAP ドメインおよびサーバーを指定します。詳細は、「Editing/etc/openldap/slapd.conf」 を参照してください。- コマンドで slapd を起動します。
service ldap start
service ldap startCopy to Clipboard Copied! Toggle word wrap Toggle overflow LDAP の設定後に、chkconfig、/usr/sbin/ntsysv、または Services Configuration Tool を使用して、システムの起動時に LDAP が起動するように設定します。サービスの設定に関する詳細は、18章 を参照してください。 - ldapadd を使用して LDAP ディレクトリーにエントリーを追加します。
- ldapsearch を使用して、slapd が情報に正しくアクセスしているかどうかを判断します。
- この時点で、LDAP ディレクトリーが適切に機能し、LDAP 対応のアプリケーションで設定できます。
28.6.1. Editing /etc/openldap/slapd.conf
リンクのコピーリンクがクリップボードにコピーされました!
slapd LDAP サーバーを使用するには、設定ファイル
/etc/openldap/slapd.conf を変更して、正しいドメインおよびサーバーを指定します。
接尾辞 の行は、LDAP サーバーが情報を提供するドメインに名前を付け、以下から変更する必要があります。
suffix "dc=your-domain,dc=com"
suffix "dc=your-domain,dc=com"
完全修飾ドメイン名を反映するように編集します。以下に例を示します。
suffix "dc=example,dc=com"
suffix "dc=example,dc=com"
rootdn エントリーは、LDAP ディレクトリーの操作に設定されたアクセス制御または管理制限パラメーターで無制限のユーザーの識別名(DN)です。rootdn ユーザーは、LDAP ディレクトリーの root ユーザーとして考えることができます。設定ファイルで、以下の例のように、rootdn 行をデフォルト値から変更します。
rootdn "cn=root,dc=example,dc=com"
rootdn "cn=root,dc=example,dc=com"
ネットワーク経由で LDAP ディレクトリーを入力する場合は、rootpw 行を変更します。デフォルト値を暗号化されたパスワード文字列に置き換えます。暗号化されたパスワード文字列を作成するには、以下のコマンドを入力します。
slappasswd
slappasswd
プロンプトが表示されたら、を入力してパスワードを再入力します。プログラムは、生成される暗号化されたパスワードをシェルプロンプトに出力します。
次に、rootpw 行のいずれかで、新しく作成された暗号化されたパスワードを
/etc/openldap/slapd.conf にコピーし、ハッシュマーク(#)を削除します。
完了すると、この行は以下の例のようになります。
rootpw {SSHA}vv2y+i6V6esazrIv70xSSnNAJE18bb2u
rootpw {SSHA}vv2y+i6V6esazrIv70xSSnNAJE18bb2uWarning
TLS 暗号化が有効でない限り、
/etc/openldap/slapd.conf に指定された rootpw ディレクティブを含む LDAP パスワードは、暗号化されて い ないネットワークを介して送信されます。
TLS 暗号化を有効にするには、
/etc/openldap/slapd.conf のコメントを確認し、slapd.conf の man ページを参照してください。
セキュリティーを強化するために、rootpw ディレクティブは、LDAP ディレクトリーの前にハッシュマーク(#)を追加してコメントアウトする必要があります。
/usr/sbin/slapadd コマンドラインツールをローカルで使用して LDAP ディレクトリーを入力する場合は、rootpw ディレクティブを使用する必要はありません。
重要な影響
/usr/sbin/slapadd を使用できるのは、root ユーザーのみです。ただし、ディレクトリーサーバーは
ldap ユーザーとして実行されます。したがって、ディレクトリーサーバーは、slapadd が作成したファイルを変更できません。この問題を修正するには、slapadd を使用してから、以下のコマンドを入力します。
chown -R ldap /var/lib/ldap
chown -R ldap /var/lib/ldap
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}