openldap インストール

2017-01-04

概要

LDAP導入の目的は、サーバが追加時にユーザー設定とかhostsファイルの編集が面倒になってきたので、ユーザー認証と hostsファイルをLDAP認証に移行する

OPEN LDAP インストール (サーバ側に設定)

(1)openldap 関連のパッケージをインストール

# yum -y install openldap openldap-servers openldap-clients openldap-devel

(2)ディレクトリマネージャのパスワードを生成する

# slappasswd -h {MD5} -s ldap1234
New password:
Re-enter new password:

{MD5}qjYRCALao3lp+bMyUtVjaQ==

(3)slapd.confの設定

slapd.conf 設定ファイルをバックアップ

# cp -p /etc/openldap/slapd.conf /etc/openldap/slapd.conf.org

slapd.conf 設定ファイルを編集

# vi /etc/openldap/slapd.conf
access to attrs=userPassword
        by self write
        by dn="cn=Manager,dc=example,dc=jp" write
        by anonymous auth
        by * none

access to *
        by self write
        by dn="cn=Manager,dc=example,dc=jp" write
        by * read

suffix		"dc=example,dc=jp"
rootdn		"cn=Manager,dc=example,dc=jp"
rootpw		{MD5}qjYRCALao3lp+bMyUtVjaQ==

変更内容を確認

# diff /etc/openldap/slapd.conf /etc/openldap/slapd.conf.org 
81,91d80
< access to attrs=userPassword
<         by self write
<         by dn="cn=Manager,dc=example,dc=jp" write
<         by anonymous auth
<         by * none
< 
< access to *
<         by self write
<         by dn="cn=Manager,dc=example,dc=jp" write
<         by * read
< 
97,98c86,87
< suffix		"dc=example,dc=jp"
< rootdn		"cn=Manager,dc=example,dc=jp"
---
> suffix		"dc=my-domain,dc=com"
> rootdn		"cn=Manager,dc=my-domain,dc=com"
104d92
< rootpw		        {MD5}qjYRCALao3lp+bMyUtVjaQ==

(4)DB_CONFIGの設定

DB_CONFIG.example を /var/lib/ldap/DB_CONFIG にコピーする

# cp -p /etc/openldap/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

所有者権限を変更

# chown ldap:ldap /var/lib/ldap/*

(5)openldap 自動起動設定・起動

ldap を自動起動に設定

# chkconfig ldap on

自動起動が有効になっているか確認

# chkconfig ldap --list
ldap            0:off   1:off   2:on    3:on    4:on    5:on    6:off

ldap サービスを起動

# /etc/init.d/ldap start

MigrationTools を利用し、LDIFファイル作成 (サーバ側に設定)

(1)MigrationTools の導入

作業用ディレクトリを作成

# mkdir /var/tmp/ldap
# cd /var/tmp/ldap

MigrationTools.tgz をダウンロード

# wget http://www.padl.com/download/MigrationTools.tgz

ダウンロードしたファイルを解凍する

# tar xzvf MigrationTools.tgz

(2)MigrationTools の導入

スクリプトがあるディレクトリに移動する

# cd MigrationTools-47/

LDAP_BASEDN="dc=example,dc=jp" を環境変数に組み込む

# export LDAP_BASEDN="dc=example,dc=jp"
ユーザー情報のLDIF を作成
# ./migrate_passwd.pl /etc/passwd passwd.ldif
グループ情報のLDIF を作成
# ./migrate_group.pl /etc/group group.ldif
hosts情報のLDIF を作成
# ./migrate_hosts.pl /etc/hosts hosts.ldif

(3)LDIFファイルを作業ディレクトリに移動する

# ls -l |grep .ldif
# mv *.ldif /var/tmp/ldap
# ls -l /var/tmp/ldap
合計 52
drwxr-xr-x 3 1002 1000  4096 11月 14 17:35 MigrationTools-47
-rw-r--r-- 1 root root 21284  1月 25  2006 MigrationTools.tgz
-rw-r--r-- 1 root root  6346 11月 14 17:30 group.ldif
-rw-r--r-- 1 root root   862 11月 14 17:29 hosts.ldif
-rw-r--r-- 1 root root 11381 11月 14 17:29 passwd.ldif

(4)base.ldif 作成

# vi /var/tmp/ldap/base.ldif
dn: dc=example,dc=jp
objectClass: dcObject
objectClass: organization
dc: example
o: example

dn: ou=People,dc=example,dc=jp
objectClass: organizationalUnit
ou: People

dn: ou=Group,dc=example,dc=jp
objectClass: organizationalUnit
ou: Group

dn: ou=Hosts,dc=example,dc=jp
objectClass: organizationalUnit
ou: Hosts

# ls -l /var/tmp/ldap
合計 56
drwxr-xr-x 3 1002 1000  4096 11月 14 17:35 MigrationTools-47
-rw-r--r-- 1 root root 21284  1月 25  2006 MigrationTools.tgz
-rw-r--r-- 1 root root   313 11月 14 17:35 base.ldif
-rw-r--r-- 1 root root  6346 11月 14 17:30 group.ldif
-rw-r--r-- 1 root root   862 11月 14 17:29 hosts.ldif
-rw-r--r-- 1 root root 11381 11月 14 17:29 passwd.ldif

(5)作成した LDIFファイルをインポート

# cd /var/tmp/mkdir
# ldapadd -x -c -D "cn=manager,dc=example,dc=jp" -w ldap1234 -f base.ldif
# ldapadd -x -c -D "cn=manager,dc=example,dc=jp" -w ldap1234 -f passwd.ldif
# ldapadd -x -c -D "cn=manager,dc=example,dc=jp" -w ldap1234 -f group.ldif
# ldapadd -x -c -D "cn=manager,dc=example,dc=jp" -w ldap1234 -f hosts.ldif

ログの設定

初期設定では、LDAPのログが出力されないので、出力されるようにする
openLDAPサーバのログは、syslogのLOCAL4ファシリティにログを送付している。
そのため、syslog.confファイルの設定を変更する

(1)syslog.conf の編集

syslogの設定ファイルをバックアップ

# cp -p /etc/syslog.conf /etc/syslog.conf.org

syslogの設定ファイルを編集

# vi /etc/syslog.conf
local4.*   /var/log/slapd.log

変更内容を確認

# diff /etc/syslog.conf /etc/syslog.conf.org
27,29d26
<
< # LDAP LOG
< local4.*   /var/log/slapd.log

(2)logrote に slapd.log も追加する

logrotate の設定ファイルをバックアップ

# cp -p /etc/logrotate.d/syslog /etc/logrotate.d/syslog.yyyymmdd

logrotate の設定ファイルを編集

# vi /etc/logrotate.d/syslog

変更内容を確認

# diff /etc/logrotate.d/syslog /etc/logrotate.d/syslog.yyyymmdd
1c1
< /var/log/messages /var/log/secure /var/log/maillog /var/log/spooler /var/log/boot.log /var/log/cron /var/log/slapd.log {
---
> /var/log/messages /var/log/secure /var/log/maillog /var/log/spooler /var/log/boot.log /var/log/cron {

(3)slapd.log を作成

slapd.log を作成し、ファイルの所有権など設定する

# touch /var/log/slapd.log
# chown ldap:ldap /var/log/slapd.log
# chmod 600 /var/log/slapd.log

(4)syslogの再起動

# /etc/init.d/syslog restart
カーネルロガーを停止中: [ OK ]
システムロガーを停止中: [ OK ]
システムロガーを起動中: [ OK ]
カーネルロガーを起動中: [ OK ]

クライアントにLDAP認証を導入する

ユーザー認証・hosts の参照先をLDAPに向けます。サーバもクライアントとなるので設定は必要

(1)関連パッケージのインストール

$ yum -y install nss_ldap nscd

(2)nscd(ネームサービス)の起動と自動起動の設定

# /etc/init.d/nscd start
# chkconfig nscd on

(3)認証をLDAPに向ける

以下の項目をチェックをつける

# authconfig-tui

│  ユーザー情報         認証                         │
│  [*] キャッシュ情報  [*] MD5 パスワードを使用      │
│  [ ] Hesiod を使用   [*] シャドウパスワードを使用  │
│  [*] キャッシュ情報  [*] LDAP 認証を使用           │
│  [ ] NIS を使用      [ ] Kerberos 5 を使用         │
│  [ ] Winbind を使用  [ ] SMB 認証を使用            │
│                      [ ] Winbind 認証を使用        │
│                      [ ] ローカル認証は十分です    │

...次へ...

│           [ ] TLS を使用                           │
│サーバー : ldap://192.168.24.110___________________ │
│ベース DN: dc=example1,dc=jp_______________________ │

...OK...

(5)初回ログインで自動的にホームディレクトリをスケルトンから作るようにする

# vi /etc/pam.d/system-auth-ac
以下を最終行に追加
session     required      pam_mkhomedir.so skel=/etc/skel umask=0022

# hosts もLDAPを検索するように変更する
# vi /etc/nsswitch.conf
hosts:          files dns ldap

(6)nscd のキャッシュをクリアーするため nscd を再起動

# /etc/init.d/nscd restart

スポンサーリンク