unix/Step by step/LDAPサーバの構築(基本)

2018-04-16 (月) 15:53:00 (1287d)

up


LDAPサーバ設定

準備

インストール

基本設定

  • /usr/local/etc/openldap/slapd.confの設定
    • suffixの設定
      • 事前に計画したsuffixの設定
    • rootdnの設定
      • 事前に計画したLDAPディレクトリ管理者のDNを設定
    • rootpwの設定
      • LDAPディレクトリ管理者のパスワードを設定
      • "secret"の部分を消して作成したパスワードにする.
  • データベース設定ファイルの準備
    • cd /usr/local/var/openldap-data/
    • cp DB_CONFIG.example DB_CONFIG
      • DB_CONFIG.exampleは/usr/local/etc/openldapにもある.
  • syslogの設定
    • /etc/rc.d/syslogd stop
    • echo "local4.* /var/log/slapd" >> /etc/syslog.conf
      • slapdのログが/var/log/slapdに保管
    • echo "" > /var/log/slapd
    • /etc/rc.d/syslogd start

起動・終了設定

  • /etc/rc.d/slapd(スクリプト)を作成
  • chmod +x /etc/rc.d/slapd
  • /etc/rc.d/slapd [option]で制御確認
    • [option]
      • start
      • stop
      • restart
      • status
  • ブート時の起動
    • /etc/rc.confに以下を記述
      • slapd=YES

基本データの登録

  • LDAPを使用するために必要な基本データを登録
    • 事前必須データ
      • DIT トップカテゴリ
      • LDAP管理者データ
    • ldapadd -D "cn=Manager,dc=my-domain,dc=jp" -W -f init.ldif
  • -D "管理者dn":管理者dnで登録作業遂行

    -W: 対話的パスワード入力

    -f 登録データを記述しているldifファイル

セキュリティ設定

実行ユーザの変更

  • LDAP停止
    • /etc/rc.d/slapd stop
  • LDAP実行ユーザ作成
    • groupadd -g 300 ldap
    • useradd -u 300 -g ldap -d /dev/null -s /sbin/nologin ldap
    • chown ldap:ldap /usr/local/etc/openldap/slapd.conf
    • chown -R ldap:ldap /usr/local/var/openldap-data
    • mkdir /usr/local/var/run/slapd
    • chown ldap:ldap /usr/local/var/run/slapd
  • 各種所有権の変更
    • /usr/local/etc/openldap/slapd.confを変更(確認)
      • pidfile /usr/local/var/run/slapd/slapd.pid
      • argsfile /usr/local/var/run/slapd/slapd.args
    • /etc/rc.d/slapdpidfileを/usr/local/var/run/slapd/slapd.pidに変更
  • LDAP実行ユーザ・グループを指定
    • /etc/rc.d/slapdを変更
      • sldap_args="-u ldap -g ldap"
  • LDAP起動
    • /etc/rc.d/slapd start
  • LDAP終了
    • /etc/rc.d/slapd stop
  • 起動・終了確認
    • less /var/log/slapd
  • 注意
    • unixのユーザ管理で使用する場合,"-u ldap -g ldap"でldapユーザを探してnss⇔openldapをループしてるみたいで起動しない.