LDAPサーバを作る
利用サイトもあるので一応押さえておく所の一つかな
過去記事 LDAP/サーバ構築
このサイトでは認証として ActiveDrectoryを模した samba、伝統的なNISを取り上げてる.
ここでは LDAP を扱う
以前CentOS8での構築を書きましたが、あの状況なので再度CentOS7で再編集です
インストール †
[root@ldap-server ~]# yum install openldap-servers openldap-clients
[root@ldap-server ~]# yum info openldap-servers
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
* base: mirrors.cat.net
* extras: mirrors.cat.net
* updates: mirrors.cat.net
Installed Packages
Name : openldap-servers
Arch : x86_64
Version : 2.4.44
Release : 22.el7
Size : 5.1 M
Repo : installed
From repo : base
Summary : LDAP server
URL : http://www.openldap.org/
License : OpenLDAP
Description : OpenLDAP is an open-source suite of LDAP (Lightweight Directory Access
: Protocol) applications and development tools. LDAP is a set of
: protocols for accessing directory services (usually phone book style
: information, but other information is possible) over the Internet,
: similar to the way DNS (Domain Name System) information is propagated
: over the Internet. This package contains the slapd server and related files.
[root@ldap-server ~]#
CentOS7でインストールされるのは「OpenLDAP-2.4.44」であった.
加えてユーザ[ldap]が追加されるみたい
[root@ldap-server ~]# id ldap
uid=55(ldap) gid=55(ldap) groups=55(ldap)
[root@ldap-server ~]#
パッケージのインストールはここまで。
次にldapが使用するデータベースBackendsを選ぶ. 大抵はBerkeley DB Backendsなんだろうけど、PostgreSQLらをBackendsにすることも可能みたい.
ここでは普通にBerkeley DB Backendsを使います. そのBerkeley DB Backendsの仕様書をコピーします
[root@ldap-server ~]# cp -a /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
(中身)
[root@ldap-server ~]# grep -v -e '^\s*#' -e '^\s*$' /var/lib/ldap/DB_CONFIG
set_cachesize 0 268435456 1
set_lg_regionmax 262144
set_lg_bsize 2097152
[root@ldap-server ~]#
稼働ユーザが ldap なのでファイルの所有権を変更します
[root@ldap-server ~]# chown ldap:ldap /var/lib/ldap/DB_CONFIG
[root@ldap-server ~]# ls -l /var/lib/ldap/DB_CONFIG
-rw-r--r--. 1 ldap ldap 845 Oct 1 2020 /var/lib/ldap/DB_CONFIG
[root@ldap-server ~]#
起動 †
っで起動します。他に事前の準備は?とCentOS6時代ならそう思うのだが、どうやらldapを動かしたまま
初期設定を調整するみたい. 事前に/etc/openldap/slapd.d/配下を弄るのもあるのだろうけど、結構複雑.
[root@ldap-server ~]# systemctl enable slapd.service
[root@ldap-server ~]# systemctl start slapd.service
*「too many open files」とかログにでるなら、slapd.serviceに「LimitNOFILE=4096」と追記する
そしてサービスとして提供しているのでfirewallに穴を空ける.
[root@ldap-server ~]# firewall-cmd --add-service=ldap --zone=public --permanent
[root@ldap-server ~]# firewall-cmd --add-service=ldaps --zone=public --permanent
[root@ldap-server ~]# firewall-cmd --reload
[root@ldap-server ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens192
sources:
services: dhcpv6-client ldap ldaps ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
[root@ldap-server ~]#
ldap.xmlは tcp/389、ldaps.xmlは tcp/636 をそれぞれ空ける
ldapサーバ管理者のパスワードを定義 †
「サーバ管理者」と「ディレクトリ管理者」の2つ出てきます
「サーバ管理者」ldapにスキーマの追加をするときとかに使う
「ディレクトリ管理者」ldap内に展開したスキーマ上でエントリー(データ)の登録・更新・削除に使用する
っでまずは「サーバ管理者」のパスワードを定義します
[root@ldap-server ~]# slappasswd
New password: <-- パスワードを入力
Re-enter new password: <-- 再入力
{SSHA}abecefghijklmnopqrstu123123123123123 <--- 暗号化されたパスワード
[root@ldap-server ~]#
「暗号化されたパスワード」文字列をコピーして、管理者のパスワードを定義するファイル「rootpw.ldif」を用意します
[root@ldap-server ~]# mkdir ldap <-- ldap作業用フォルダを設けた
[root@ldap-server ~]# cd ldap/
[root@ldap-server ldap]# vi rootpw.ldif
dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}abecefghijklmnopqrstu123123123123123
[root@ldap-server ldap]#
この定義ファイル「rootpw.ldif」をldapに反映させる
[root@ldap-server ldap]# ldapadd -Y EXTERNAL -H ldapi:// -f rootpw.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={0}config,cn=config"
[root@ldap-server ldap]#
一応ここで確認
[root@ldap-server ldap]# ldapsearch -x -LLL -W -D cn=config -b cn=config dn
Enter LDAP Password: <-- 「サーバ管理者」のパスワードを入力
dn: cn=config
dn: cn=schema,cn=config
dn: cn={0}core,cn=schema,cn=config
dn: olcDatabase={-1}frontend,cn=config
dn: olcDatabase={0}config,cn=config
dn: olcDatabase={1}monitor,cn=config
dn: olcDatabase={2}hdb,cn=config
[root@ldap-server ldap]#
スキーマ登録 †
既定で利用可能なスキーマは下記の通り
[root@ldap-server ~]# ls /etc/openldap/schema/
collective.ldif core.schema dyngroup.ldif java.schema openldap.ldif ppolicy.schema
collective.schema cosine.ldif dyngroup.schema misc.ldif openldap.schema
corba.ldif cosine.schema inetorgperson.ldif misc.schema pmi.ldif
corba.schema duaconf.ldif inetorgperson.schema nis.ldif pmi.schema
core.ldif duaconf.schema java.ldif nis.schema ppolicy.ldif
[root@ldap-server ~]#
何を入れればいいのか不明なのだが、基本なのが「cosine.ldif」「nis.ldif」「inetorgperson.ldif」らしい
内容的には下記のご様子.
- cosine.ldif
attributetype: personalTitle, mobileTelephoneNumber, buildingName,,
objectclass: newPilotPerson,,.
- nis.ldif
attributetype: gecos, homeDirectory, loginShell,,
objectclass: posixAccount, posixGroup,,.
- inetorgperson.ldif
attributetype: departmentNumber, employeeNumber, employeeType,,
objectclass: inetOrgPerson
[root@ldap-server ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
[root@ldap-server ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
[root@ldap-server ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
自分のドメインの設計(その1) †
ここではドメインは
dc=sybyl,dc=local
ディレクトリ管理者は
cn=Manager,dc=sybyl,dc=local
とします。
そのためのドメイン設定ファイル(ldapdomain.ldif)を用意します
その前に「サーバ管理者」の暗号化パスワード文字列を算出したように再度slappasswdを使って今度は「ディレクトリ管理者」の暗号化パスワードを求めます
[root@ldap-server ~]# slappasswd
New password: <-- 「ディレクトリ管理者」向けのパスワードを入力
Re-enter new password:
{SSHA}jyugemujyugemu111111111111111111111111 <--- 暗号化されたパスワード
[root@ldap-server ~]#
この「暗号化されたパスワード」をコピーしてドメイン設定ファイルを作成します
[root@ldap-server ~]# vi ldap/ldapdomain.ldif
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
read by dn.base="cn=Manager,dc=sybyl,dc=local" read by * none
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=sybyl,dc=local
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=Manager,dc=sybyl,dc=local
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}jyugemujyugemu111111111111111111111111
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by
dn="cn=Manager,dc=sybyl,dc=local" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=Manager,dc=sybyl,dc=local" write by * read
#備考
#olcAccess: {0}to attrs=userPassword,shadowLastChange by self write by dn="cn=Manager,dc=sybyl,dc=local" write by anonymous auth by * none
#olcAccess: {1}to * by self read by dn="cn=Manager,dc=sybyl,dc=local" write by * none
[root@ldap-server ~]#
これをLDAPに反映させます
[root@ldap-server ~]# ldapmodify -H ldapi:/// -f ldap/ldapdomain.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={1}monitor,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
[root@ldap-server ~]#
で完了。
自分のドメインの設計(その2) †
トップドメインを用意します。
下記ファイル(domain.ldif)には、
- トップドメインの定義(dn: dc=sybyl,dc=local)
- 管理者の定義(dn: cn=Manager,dc=sybyl,dc=local)
- ユーザの定義枠(dn: ou=People,dc=sybyl,dc=local)
- グループの定義枠(dn: ou=Group,dc=sybyl,dc=local)
が含まれてます。
[root@ldap-server ~]# vi ldap/domain.ldif
#TOPドメインの定義
dn: dc=sybyl,dc=local
objectClass: top
objectClass: dcObject
objectclass: organization
dc: sybyl
o: sybyl local
description: sybyl Ldap
#管理者の定義
dn: cn=Manager,dc=sybyl,dc=local
objectClass: organizationalRole
cn: Manager
description: Directory Manager
#people(/etc/passwdなもの)の定義
dn: ou=People,dc=sybyl,dc=local
objectClass: organizationalUnit
ou: People
#group(/etc/groupなもの)の定義
dn: ou=Group,dc=sybyl,dc=local
objectClass: organizationalUnit
ou: Group
[root@ldap-server ~]#
これは新規追加となるので「ldapadd」を使います。
「Enter LDAP Password:」とパスワードを問われるが、これはディレクトリ管理者のパスワード.
[root@ldap-server ~]# ldapadd -x -D cn=Manager,dc=sybyl,dc=local -W -f ldap/domain.ldif
Enter LDAP Password:
adding new entry "dc=sybyl,dc=local"
adding new entry "cn=Manager,dc=sybyl,dc=local"
adding new entry "ou=People,dc=sybyl,dc=local"
adding new entry "ou=Group,dc=sybyl,dc=local"
[root@ldap-server ~]#
これで枠が完成した。
メモ †
「ldap anonymous bind」 CentOS7のOpenLDAPは「ldap anonymous bind」が既定で有効みたい
qnapとかは既定で無効化されている. この有効/無効は単に olcAccess で定義されている模様.
現状は
[root@ldap-server ~]# ldapsearch -Y EXTERNAL -H ldapi:/// -b olcDatabase={2}hdb,cn=config -o ldif-wrap=no | grep olcAccess
:
olcAccess: {0}to attrs=userPassword,shadowLastChange by dn="cn=Manager,dc=sybyl,dc=local" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=Manager,dc=sybyl,dc=local" write by * read
[root@ldap-server ~]#
と「olcAccess: {2}」にて全てを「read」となっている
参照先 https://kazuhira-r.hatenablog.com/entry/2018/12/07/000729
|
![[PukiWiki]](image/picc.png "[PukiWiki]")
