CentOS 6
Sponsored Link

LDAPサーバーの設定
2015/04/15
 
各サーバー間でユーザーのアカウント情報を共有できるように LDAP サーバーを構築します。
[1] OpenLDAP をインストールします。
[root@dlp ~]#
yum -y install openldap-servers openldap-clients
[root@dlp ~]#
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

[root@dlp ~]#
chown ldap. /var/lib/ldap/DB_CONFIG

[root@dlp ~]#
/etc/rc.d/init.d/slapd start

Starting slapd: [ OK ]
[root@dlp ~]#
chkconfig slapd on

[2] OpenLDAP の管理者パスワードを設定します。
# 管理者パスワード生成

[root@dlp ~]#
slappasswd

New password:
Re-enter new password:
{SSHA}xxxxxxxxxxxxxxxxxxxxxxxx
[root@dlp ~]#
vi chrootpw.ldif
# olcRootPW に生成した管理者パスワードを指定する

dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}xxxxxxxxxxxxxxxxxxxxxxxx

[root@dlp ~]#
ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={0}config,cn=config"
[3] 自身のドメイン名を設定します。
# ディレクトリマネージャーのパスワード生成

[root@dlp ~]#
slappasswd

New password:
Re-enter new password:
{SSHA}xxxxxxxxxxxxxxxxxxxxxxxx
[root@dlp ~]#
vi chdomain.ldif
# dc=***,dc=*** は自身のドメイン名に置き換え

# (以下はドメイン名「srv.world」の場合の例)

# olcRootPW に生成したディレクトリマネージャーのパスワードを指定する

dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
  read by dn.base="cn=Manager,dc=srv,dc=world" read by * none

dn: olcDatabase={2}bdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=srv,dc=world

dn: olcDatabase={2}bdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=Manager,dc=srv,dc=world

dn: olcDatabase={2}bdb,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}xxxxxxxxxxxxxxxxxxxxxxxx

dn: olcDatabase={2}bdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by
  dn="cn=Manager,dc=srv,dc=world" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=Manager,dc=srv,dc=world" write by * read

[root@dlp ~]#
ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={1}monitor,cn=config"

modifying entry "olcDatabase={2}bdb,cn=config"

modifying entry "olcDatabase={2}bdb,cn=config"

modifying entry "olcDatabase={2}bdb,cn=config"

[root@dlp ~]#
vi basedomain.ldif
# dc=***,dc=*** は自身のドメイン名に置き換え

# (以下はドメイン名「srv.world」の場合の例)

# 「dc: Srv」の箇所は自身のドメイン名の先頭部分に置き換え

dn: dc=srv,dc=world
objectClass: top
objectClass: dcObject
objectclass: organization
o: Server World
dc: Srv

dn: cn=Manager,dc=srv,dc=world
objectClass: organizationalRole
cn: Manager
description: Directory Manager

dn: ou=People,dc=srv,dc=world
objectClass: organizationalUnit
ou: People

dn: ou=Group,dc=srv,dc=world
objectClass: organizationalUnit
ou: Group

[root@dlp ~]#
ldapadd -x -D cn=Manager,dc=srv,dc=world -W -f basedomain.ldif

Enter LDAP Password:    
# ディレクトリマネージャーのパスワード

adding new entry "dc=srv,dc=world"

adding new entry "cn=Manager,dc=srv,dc=world"

adding new entry "ou=People,dc=srv,dc=world"

adding new entry "ou=Group,dc=srv,dc=world"
[4] IPTables を有効にしている場合は、LDAP ポートの許可が必要です。
「-I INPUT 5」の箇所は自身の環境を確認して、適切な値に置き換えてください。
[root@dlp ~]#
iptables -I INPUT 5 -p tcp -m state --state NEW -m tcp --dport 389 -j ACCEPT

 
Tweet