LDAP/qnap をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
NAS製品の一つに QNAP がある。このQNAPには LDAPサーバ が内...
ここではこのQNAP内LDAPサーバを使って、アカウント管理を行...
参考ページ[[https://forum.qnap.com/viewtopic.php?t=70028>...
***QNAPのLDAP設定 [#e930bcba]
管理者権限でログインして、web画面にある「コントロールパネ...
すると「コントロールパネル」画面が表示され、その上部には、
ここでの製品名 TS-569L とファームウエア情報が表示されてい...
&ref(2018y12m26d_050645015.png,nolink);
その画面下方の「アプリケーション」欄の「LDAPサーバー」を...
&ref(2018y12m26d_051619040.png,nolink);
LDAPサーバーの設定画面が表示されます。
ここで、まず「LDAPサーバーの有効化」チェックボックスを有...
フルドメイン名、パスワードを入力します。
フルドメイン名は、このqnapが所属してるネットワークをベー...
&size(10){ここではネットワークは「sybyl.local」なのですが...
パスワードは、LDAPサーバ機能の管理者パスワードを意味しま...
&ref(2018y12m26d_052102156.png,nolink);
入力後、画面下部の「適用」ボタンを押下する。
すると、メニュー部分に項目が追加され、「ユーザ」「グルー...
またルートDNらの情報も掲示されます。
&ref(2018y12m26d_052551375.png,nolink);
これでLDAPの管理者アカウント「cn=admin,dc=em,dc=local」と...
***接続テスト [#mda84171]
ここで「LDAP Admin」による接続テストを行ってみる。
「LDAP Admin」を起動させ、新しいコネクション「qnap」を下...
「Account」欄のUsernameには先ほどのLDAPサーバの管理者アカ...
パスワードは前段のパスワードを入力します。
&size(10){実際のホスト名とBaseDNの違いに注意};
&ref(2018y12m26d_053012663.png,nolink);
「LDAP Admin」で接続すると、左ペインは下記のようになって...
&ref(2018y12m26d_053550241.png,nolink);
&color(wite,blue){留意}; Anonymousによる接続は無理っぽい...
***ユーザ作成 [#h541df65]
QNAPに戻って、ユーザ作成を行います。その前にグループを登...
先ほどのメニュー部分から「グループ」を選択します。下記の...
&ref(2018y12m26d_053809607.png,nolink);
ここで、「ユーザグループの作成」ボタンを押下します。
ウイザードが画面に表示され、目的のグループ名を入力して「...
&ref(2018y12m26d_054239830.png,nolink);
「ユーザの割り当て」画面になりますが、現時点ではまだユー...
選んで「次へ」ボタンを押下します。
&ref(2018y12m26d_054545457.png,nolink);
これでグループが作成できます。
&color(white,blue){留意}; 勝手なグループIDは指定できない...
次に、ユーザを作成します。
同じくメニュー部分から今度は「ユーザ」を選択します。
&ref(2018y12m26d_054842859.png,nolink);
ここで「作成」プルダウンを押下すると、下記のような登録方...
ここでは1人のユーザを作るので「ユーザの作成」を選びます。
&ref(2018y12m26d_055016343.png,nolink);
するとまた、グループ作成と同じようなウイザードが画面に表...
「次へ」ボタンを押下してユーザを登録します。
&ref(2018y12m26d_055350355.png,nolink);
途中、「ユーザーアカウントオプション」にて、ログイン時に...
Linux接続で有効なのかは不明..
&ref(2018y12m26d_055637993.png,nolink);
その後に、作ったユーザの所属グループを指定して完了となり...
***ユーザ作成後のLDAP Admin画面 [#cd56d387]
「F5」キーでレフレッシュすると、左側は
&ref(2018y12m26d_060150007.png,nolink);
となって、新規ユーザ情報は下記のようになる。
&ref(2018y12m26d_060221862.png,nolink);
&color(white,blue){留意}; homeDirectoryはあるが、loginShe...
***ldapsearchで接続 [#ube8f8bb]
LinuxをLDAP参加に加入させる前にもうちょい調査
下記コマンドでLDAPデータベースの中身が見える。
#code(nonumber){{
[root@client ~]# ldapsearch -h q.sybyl.local -D "cn=admin...
}}
***sssdでQNAPのldapサーバーに繋ぐ [#ac65df82]
っで実際にLinuxマシンをQNAPのldapサーバの隷下に下るにはク...
#code(nonumber){{
[root@client ~]# yum install sssd sssd-ldap
}}
そして、「authconfig-tui」を実行して、「ユーザ情報」に「L...
「認証」には「LDAP認証を使用」を有効にします。
&ref(2018y12m26d_073453400.png,nolink);
「OK」リンクを押下後に「LDAP設定」画面にて下記のようにし...
サーバーは「ldap://192.168.0.9/」(ホスト名でも可)
ベースDNは「dc=em,dc=local」とします。
&ref(2018y12m26d_073654628.png,nolink);
これで「/etc/openldap/ldap.conf」が書き換われ、「/etc/sss...
#code(nonumber){{
[root@client ~]# grep -v -e '^\s*#' -e '^\s*$' /etc/ope...
TLS_CACERTDIR /etc/openldap/cacerts
SASL_NOCANON on
URI ldap://192.168.0.9/
BASE dc=em,dc=local
[root@client ~]#
}}
自動作成された「/etc/sssd/sssd.conf」ですが、これはこのま...
下記のように3行の追加が必要です。
&color(red){*};「ldap_default_authtok」は冒頭のLDAP管理者...
QNAP側がanonymousで接続を許可してくれればいいのですが、そ...
代理人(cn=admin,dc=em,dc=local)を立ててLDAPデータベースに...
#code(nonumber){{
[domain/default]
autofs_provider = ldap
cache_credentials = True
ldap_search_base = dc=em,dc=local
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldap://192.168.0.9/
ldap_id_use_start_tls = False
ldap_tls_cacertdir = /etc/openldap/cacerts
# qnapに接続するための追加項目
ldap_tls_reqcert = never
ldap_default_bind_dn = cn=admin,dc=em,dc=local
ldap_default_authtok = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx...
default_shell = /bin/bash
[sssd]
services = nss, pam, autofs
domains = default
[nss]
homedir_substring = /home
shell_fallback = /bin/sh
allowed_shells = /bin/bash /bin/zsh
[pam]
[sudo]
[autofs]
[ssh]
[pac]
[ifp]
[secrets]
[session_recording]
}}
この修正後に「sssd」を再起動させます
「systemctl restart sssd」
これで接続できます。
&color(white,blue){留意}; 正しく動かない場合は、 sssdを「...
「sssd -d 3 -i」とかのデバックモードで調べる。その際キャ...
事前に「rm -rf /var/lib/sss/db/*」としてキャッシュを削除...
TLS対応にするのが必要かと思うが、、、LDAPから証明書を取得...
***QNAPをLDAPサーバと見立てて使う際 [#i37b8f41]
LDAPにはposixとsmbの両方のパスワードが入ることになる。
QNAPなのでsmbと連携してそのままsmb共有は可能
だが、ここに別のサーバを用意してQNAPのLDAPを参照したsmbサ...
he primary group domain sid(S-1-5-21-321336567-4102528590...
「NT_STATUS_INVALID_SID」で怒られる。
LDAPに収められる「primary group domain sid」が一つだけの...
そこに新たなsmbサイトで認証を掛けるとLDAPに収められている...
&ref(2021y04m08d_041609104.png,nolink);
にあるように、QNAPのドメイン名が埋まって外せない。修正す...
再度samba Accountを追加してdomeinを目的のsmbサーバに合わ...
終了行:
NAS製品の一つに QNAP がある。このQNAPには LDAPサーバ が内...
ここではこのQNAP内LDAPサーバを使って、アカウント管理を行...
参考ページ[[https://forum.qnap.com/viewtopic.php?t=70028>...
***QNAPのLDAP設定 [#e930bcba]
管理者権限でログインして、web画面にある「コントロールパネ...
すると「コントロールパネル」画面が表示され、その上部には、
ここでの製品名 TS-569L とファームウエア情報が表示されてい...
&ref(2018y12m26d_050645015.png,nolink);
その画面下方の「アプリケーション」欄の「LDAPサーバー」を...
&ref(2018y12m26d_051619040.png,nolink);
LDAPサーバーの設定画面が表示されます。
ここで、まず「LDAPサーバーの有効化」チェックボックスを有...
フルドメイン名、パスワードを入力します。
フルドメイン名は、このqnapが所属してるネットワークをベー...
&size(10){ここではネットワークは「sybyl.local」なのですが...
パスワードは、LDAPサーバ機能の管理者パスワードを意味しま...
&ref(2018y12m26d_052102156.png,nolink);
入力後、画面下部の「適用」ボタンを押下する。
すると、メニュー部分に項目が追加され、「ユーザ」「グルー...
またルートDNらの情報も掲示されます。
&ref(2018y12m26d_052551375.png,nolink);
これでLDAPの管理者アカウント「cn=admin,dc=em,dc=local」と...
***接続テスト [#mda84171]
ここで「LDAP Admin」による接続テストを行ってみる。
「LDAP Admin」を起動させ、新しいコネクション「qnap」を下...
「Account」欄のUsernameには先ほどのLDAPサーバの管理者アカ...
パスワードは前段のパスワードを入力します。
&size(10){実際のホスト名とBaseDNの違いに注意};
&ref(2018y12m26d_053012663.png,nolink);
「LDAP Admin」で接続すると、左ペインは下記のようになって...
&ref(2018y12m26d_053550241.png,nolink);
&color(wite,blue){留意}; Anonymousによる接続は無理っぽい...
***ユーザ作成 [#h541df65]
QNAPに戻って、ユーザ作成を行います。その前にグループを登...
先ほどのメニュー部分から「グループ」を選択します。下記の...
&ref(2018y12m26d_053809607.png,nolink);
ここで、「ユーザグループの作成」ボタンを押下します。
ウイザードが画面に表示され、目的のグループ名を入力して「...
&ref(2018y12m26d_054239830.png,nolink);
「ユーザの割り当て」画面になりますが、現時点ではまだユー...
選んで「次へ」ボタンを押下します。
&ref(2018y12m26d_054545457.png,nolink);
これでグループが作成できます。
&color(white,blue){留意}; 勝手なグループIDは指定できない...
次に、ユーザを作成します。
同じくメニュー部分から今度は「ユーザ」を選択します。
&ref(2018y12m26d_054842859.png,nolink);
ここで「作成」プルダウンを押下すると、下記のような登録方...
ここでは1人のユーザを作るので「ユーザの作成」を選びます。
&ref(2018y12m26d_055016343.png,nolink);
するとまた、グループ作成と同じようなウイザードが画面に表...
「次へ」ボタンを押下してユーザを登録します。
&ref(2018y12m26d_055350355.png,nolink);
途中、「ユーザーアカウントオプション」にて、ログイン時に...
Linux接続で有効なのかは不明..
&ref(2018y12m26d_055637993.png,nolink);
その後に、作ったユーザの所属グループを指定して完了となり...
***ユーザ作成後のLDAP Admin画面 [#cd56d387]
「F5」キーでレフレッシュすると、左側は
&ref(2018y12m26d_060150007.png,nolink);
となって、新規ユーザ情報は下記のようになる。
&ref(2018y12m26d_060221862.png,nolink);
&color(white,blue){留意}; homeDirectoryはあるが、loginShe...
***ldapsearchで接続 [#ube8f8bb]
LinuxをLDAP参加に加入させる前にもうちょい調査
下記コマンドでLDAPデータベースの中身が見える。
#code(nonumber){{
[root@client ~]# ldapsearch -h q.sybyl.local -D "cn=admin...
}}
***sssdでQNAPのldapサーバーに繋ぐ [#ac65df82]
っで実際にLinuxマシンをQNAPのldapサーバの隷下に下るにはク...
#code(nonumber){{
[root@client ~]# yum install sssd sssd-ldap
}}
そして、「authconfig-tui」を実行して、「ユーザ情報」に「L...
「認証」には「LDAP認証を使用」を有効にします。
&ref(2018y12m26d_073453400.png,nolink);
「OK」リンクを押下後に「LDAP設定」画面にて下記のようにし...
サーバーは「ldap://192.168.0.9/」(ホスト名でも可)
ベースDNは「dc=em,dc=local」とします。
&ref(2018y12m26d_073654628.png,nolink);
これで「/etc/openldap/ldap.conf」が書き換われ、「/etc/sss...
#code(nonumber){{
[root@client ~]# grep -v -e '^\s*#' -e '^\s*$' /etc/ope...
TLS_CACERTDIR /etc/openldap/cacerts
SASL_NOCANON on
URI ldap://192.168.0.9/
BASE dc=em,dc=local
[root@client ~]#
}}
自動作成された「/etc/sssd/sssd.conf」ですが、これはこのま...
下記のように3行の追加が必要です。
&color(red){*};「ldap_default_authtok」は冒頭のLDAP管理者...
QNAP側がanonymousで接続を許可してくれればいいのですが、そ...
代理人(cn=admin,dc=em,dc=local)を立ててLDAPデータベースに...
#code(nonumber){{
[domain/default]
autofs_provider = ldap
cache_credentials = True
ldap_search_base = dc=em,dc=local
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldap://192.168.0.9/
ldap_id_use_start_tls = False
ldap_tls_cacertdir = /etc/openldap/cacerts
# qnapに接続するための追加項目
ldap_tls_reqcert = never
ldap_default_bind_dn = cn=admin,dc=em,dc=local
ldap_default_authtok = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx...
default_shell = /bin/bash
[sssd]
services = nss, pam, autofs
domains = default
[nss]
homedir_substring = /home
shell_fallback = /bin/sh
allowed_shells = /bin/bash /bin/zsh
[pam]
[sudo]
[autofs]
[ssh]
[pac]
[ifp]
[secrets]
[session_recording]
}}
この修正後に「sssd」を再起動させます
「systemctl restart sssd」
これで接続できます。
&color(white,blue){留意}; 正しく動かない場合は、 sssdを「...
「sssd -d 3 -i」とかのデバックモードで調べる。その際キャ...
事前に「rm -rf /var/lib/sss/db/*」としてキャッシュを削除...
TLS対応にするのが必要かと思うが、、、LDAPから証明書を取得...
***QNAPをLDAPサーバと見立てて使う際 [#i37b8f41]
LDAPにはposixとsmbの両方のパスワードが入ることになる。
QNAPなのでsmbと連携してそのままsmb共有は可能
だが、ここに別のサーバを用意してQNAPのLDAPを参照したsmbサ...
he primary group domain sid(S-1-5-21-321336567-4102528590...
「NT_STATUS_INVALID_SID」で怒られる。
LDAPに収められる「primary group domain sid」が一つだけの...
そこに新たなsmbサイトで認証を掛けるとLDAPに収められている...
&ref(2021y04m08d_041609104.png,nolink);
にあるように、QNAPのドメイン名が埋まって外せない。修正す...
再度samba Accountを追加してdomeinを目的のsmbサーバに合わ...
ページ名:
1
![[PukiWiki]](image/picc.png "[PukiWiki]")
