OpenLDAP で LDAP サーバを構築する

OpenLDAP を使って LDAP サーバを構築する機会があったのでメモを残しておこうかと。


【前提】
OS: Scientific Linux 6.3

  1. パッケージの導入

    2. openldap 構築に必要なパッケージををインストールします。 
    # yum install openldap-servers openldap-clients

    インストールすると /etc に openldap の設定ファイルが入ったディレクトリが作成されます。 中身はこうなっています。 
    # cd /etc/openldap
# ls -l
total 16
drwxr-xr-x. 2 root root 4096 Aug 27 13:15 certs
-rw-r--r--. 1 root root  280 Aug  9 04:57 ldap.conf
drwxr-xr-x. 2 root root 4096 Aug 27 14:28 schema
drwx------. 3 ldap ldap 4096 Aug 27 14:28 slapd.d

    以下、簡単に説明。
    • certs/
    • ldap.conf
      • このマシン自身が ldap クライアントとして動作するときの設定ファイル (ldap.conf) と証明書置き場 (certs)
    • schema
      • openldap にデフォルトで入っているスキーマファイル
    • slapd.d
      • openldap の設定データベース

    openldap は 2.3 からは slapd.d という設定データベースが使えるようになり、設定も slapd.conf ではなく slapd.d を使うよう推奨されているんですが、 slapd.d は操作が面倒くさいので今回は slapd.conf を使って構築します。


  2. LDAP サーバの初期設定

    3. slapd.d ディレクトリが存在すると、そちらが優先的に読み込まれてしまうので退避します。 
    # cd /etc/openldap
# mv slapd.d slapd.d.org

    設定ファイル (slapd.conf) のひな形を持ってきましょう。 
    # cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf

    とりあえず動かすために必要な設定は以下の2つ。

    • ベースDNの設定
      • ベースDN (Distinguished Name) を定義します。 
      suffix          "dc=my-domain,dc=com"

      suffix          "dc=example,dc=com"

    • 管理者アカウントの設定
      • 管理者アカウントの情報を編集します。 
      rootdn          "cn=Manager,dc=my-domain,dc=com"

      rootdn          "cn=manager,dc=example,dc=com"
rootpw          {SSHA}yECcjnq00LwSgtk5L4WSw3aQWEGNMwxP

      rootpw に設定する文字列は管理者アカウント (rootdn) のパスワードを入れます。 平文でも結構ですが、ここでは slappasswd コマンドで生成されたパスワードを入れています。 
      # slappasswd
New password: (パスワードを入力)
Re-enter new password: (もう一回入力)
{SSHA}yECcjnq00LwSgtk5L4WSw3aQWEGNMwxP

    設定が完了したらデーモンを立ち上げます。 
    # service slapd start
Starting slapd:                                            [  OK  ]

    起動していれれば ldapsearch コマンドで検索ができるようになっています。 
    # ldapsearch -x -b dc=example,dc=com -D cn=manager,dc=example,dc=com -W
Enter LDAP Password: (パスワードを入力)
# extended LDIF
#
# LDAPv3
# base <dc=example,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# search result
search: 2
result: 32 No such object

# numResponses: 1

    OS 起動時に slapd が立ち上がるようにして完了です。 
    # chkconfig slapd on
# chkconfig --list slapd
slapd           0:off   1:off   2:on    3:on    4:on    5:on    6:off



【関連】

このブログの人気の投稿

zsh 設定 - プロンプト -

プロンプトの見た目をカスタマイズします。人によって個性が出るところですね。 プロンプト PROMPT='[%n@%m]# ' RPROMPT='[%d]' おそらくシェルをカスタマイズしはじめたときに真っ先に設定いじるところじゃないですかね。私も昔は凝ったものに設定してましたが結局上のようなシンプルなものに落ち着きました。 上の例では PROMPT でホスト名とユーザ名、 RPROMPT でカレントディレクトリを出力していて、こんな感じになります。 [root@localhost]# [/root] PROMPT は画面左端、 RPROMPT は画面右端に出力されます 。 プロンプトは他にも種類がありますが、普段あまり目にすることはないので特に設定は不要です。以下簡単に説明します。  PROMPT2, RPROMPT2 コマンドが複数行になった時に表示されるプロンプトです。 PROMPT3 selece 文を使った時に表示されるプロンプトです。 PROMPT4 よくわかりません。見たことがありません。 SPROMPT correct で訂正の候補を出すときに表示されるプロンプトです。 プロンプトに色付けたりもできます。以下のような設定に変えることで・・・  PROMPT= '[%F{magenta}%B%n%b%f@%F{blue}%U%m%u%f]# ' RPROMPT= '[%F{green}%d%f]' こんな感じの表示になります。 [ root @ localhost ]#  [ /root ] ただし、色々デコろうとすると PROMPT の設定自体が一見して理解し難くなり次に設定を変えようとするときに結構大変ですので、シンプルなものをおすすめします。 #autoload -U colors #colors 設定の中のこの2行は色設定に凝っていた時の名残です(笑) プロンプトで利用できるエスケープ文字 カスタマイズするときに使いそうなものをリストアップしてます。  パラメータ 出力内容 例 %M ホスト名 localhost.localdomain %m ホスト名 localhost %n ユーザ名 r
続きを読む

テンションを上げたいときにおすすめの曲(StarrySky YEAH! Remix)

youtubeを徘徊していたら懐かしい曲に出会ったので記念にメモ。最初に投稿されたのはたぶんニコニコ動画かな。youtubeのほうは他人の転載っぽかったので、オリジナルのニコ動のほうを載せておきます。かなり中毒性あり。 StarrySky YEAH! Remix これのなにがすごいかって、まったく別々の3つの曲を組み合わせて作っているということ。マッシュアップと言うらしい。あまりの完成度の高さに驚愕した。 @Novoiski さんという方のmixだそうです。元となった曲とアーティストはこちら。 Starry Sky: capsule Technologic: Daft Punk Ch-Check It Out: Beastie Boys これにさらに IKZO (吉幾三)を掛け合わせたもののほうが有名かも。そっちもオススメ。
続きを読む

OpenLDAP のログ周りの設定をする

OpenLDAP のログをファイルに出力するようにします。ついでにログのローテートも設定します。 【前提】 OS: Scientific Linux 6 ログ出力 rsyslog じゃなくて syslog だった頃は /etc/syslog.conf に直接設定を追記していたんですが、 rsyslog だと IncludeConfig というものがデフォルトで設定されてるんですね、知らなかった。 # Include all config files in /etc/rsyslog.d/ $IncludeConfig /etc/rsyslog.d/*.conf というわけで、 /etc/rsyslog.d/ に設定ファイルを作ります。 # vi /etc/rsyslog.d/ldap.conf ファイルの中身はこのようにします。 # LDAP logs local4.* -/var/log/ldap 利用頻度の高い LDAP サーバだと、ログの出力がボトルネックになる可能性があるので、ログファイル名の指定の前に - (ハイフン)をつけて非同期書き込みにするのを忘れずに。 設定が完了したら rsyslog を再起動します。 # service rsyslog restart 再起動後 /var/log/ldap というファイルができているはずです。 ログローテート logrotate の設定を変更します。 rsyslog 経由で出力しているログファイル達のローテート設定 (/etc/logrotate.d/syslog) に ldap のログも追記するだけです。 # vi /etc/logrotate.d/syslog 赤字の部分を追記します。 /var/log/cron /var/log/maillog /var/log/messages /var/log/secure /var/log/spooler /var/log/ldap { sharedscripts postrotate /bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true endscri
続きを読む