検索

第5章 LDAP を使用し、TLS 認証を必要とする SSSD の設定

download PDF

以下の手順に従って、Red Hat Enterprise Linux (RHEL) システムを OpenLDAP クライアントとして設定します。

以下のクライアント設定を使用します。

  • RHEL システムが OpenLDAP ユーザーアカウントデータベースに保存されているユーザーを認証する。
  • RHEL システムが SSSD (System Security Services Daemon) サービスを使用してユーザーデータを取得する。
  • RHEL システムが TLS で暗号化された接続で OpenLDAP サーバーと通信する。
注記

または、この手順に従って、RHEL システムを Red Hat Directory Server のクライアントとして設定することもできます。

前提条件

  • OpenLDAP サーバーがインストールされ、ユーザー情報を含めて設定されている。
  • LDAP クライアントとして設定するホストの root 権限がある。
  • LDAP クライアントとして設定するホストで、/etc/sssd/sssd.conf ファイルが作成され、ldapautofs_provider および id_provider として指定するように設定されている。
  • OpenLDAP サーバー証明書を発行した認証局からの PEM 形式の証明書チェーンがあり、core-dirsrv.ca.pem という名前のローカルファイルに保存されている。

手順

  1. 必要なパッケージをインストールします。

    # dnf -y install openldap-clients sssd sssd-ldap oddjob-mkhomedir
  2. 認証プロバイダーを sssd に切り替えます。

    # authselect select sssd with-mkhomedir
  3. OpenLDAP サーバーの SSL/TLS 証明書を発行した認証局からのルート CA 署名証明書チェーンを含む core-dirsrv.ca.pem ファイルを /etc/openldap/certs フォルダーにコピーします。

    # cp core-dirsrv.ca.pem /etc/openldap/certs
  4. LDAP サーバーの URL と接尾辞を /etc/openldap/ldap.conf ファイルに追加します。

    URI ldap://ldap-server.example.com/
    BASE dc=example,dc=com
  5. /etc/openldap/ldap.conf ファイルで、/etc/openldap/certs/core-dirsrv.ca.pem を参照する TLS_CACERT パラメーターの行を追加します。

    # When no CA certificates are specified the Shared System Certificates
    # are in use. In order to have these available along with the ones specified
    # by TLS_CACERTDIR one has to include them explicitly:
    TLS_CACERT /etc/openldap/certs/core-dirsrv.ca.pem
  6. /etc/sssd/sssd.conf ファイルで、環境の値を ldap_uri パラメーターおよび ldap_search_base パラメーターに追加し、ldap_id_use_start_tlsTrue に設定します。

    [domain/default]
    id_provider = ldap
    autofs_provider = ldap
    auth_provider = ldap
    chpass_provider = ldap
    ldap_uri = ldap://ldap-server.example.com/
    ldap_search_base = dc=example,dc=com
    ldap_id_use_start_tls = True
    cache_credentials = True
    ldap_tls_cacertdir = /etc/openldap/certs
    ldap_tls_reqcert = allow
    
    [sssd]
    services = nss, pam, autofs
    domains = default
    
    [nss]
    homedir_substring = /home
    …
  7. /etc/sssd/sssd.conf で、[domain] セクションの ldap_tls_cacert および ldap_tls_reqcert の値を変更して TLS 認証要件を指定します。

    …
    cache_credentials = True
    ldap_tls_cacert = /etc/openldap/certs/core-dirsrv.ca.pem
    ldap_tls_reqcert = hard
  8. /etc/sssd/sssd.conf ファイルの権限を変更します。

    # chmod 600 /etc/sssd/sssd.conf
  9. SSSD サービスおよび oddjobd デーモンを再起動して有効にします。

    # systemctl restart sssd oddjobd
    # systemctl enable sssd oddjobd
  10. (必要に応じて) LDAP サーバーが非推奨の TLS 1.0 プロトコルまたは TLS 1.1 プロトコルを使用している場合は、クライアントシステムでシステム全体の暗号化ポリシーを LEGACY レベルに切り替えて、RHEL がこのプロトコルを使用して通信できるようにします。

    # update-crypto-policies --set LEGACY

    詳細は、Red Hat カスタマーポータルのナレッジベースStrong crypto defaults in RHEL 8 and deprecation of weak crypto algorithmsおよび man ページの update-crypto-policies(8) を参照してください。

検証手順

  • id コマンドを使用し、LDAP ユーザーを指定して、LDAP サーバーからユーザーデータを取得できることを確認します。

    # id ldap_user
    uid=17388(ldap_user) gid=45367(sysadmins) groups=45367(sysadmins),25395(engineers),10(wheel),1202200000(admins)

システム管理者は、id コマンドを使用して LDAP からユーザーをクエリーできるようになりました。このコマンドは、正しいユーザー ID とグループメンバーシップを返します。

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.