Scientific Linux 6
Sponsored Link

LDAPサーバー構築2011/03/19

 
各サーバー間でユーザーのアカウント情報を共有できるようにLDAPサーバーを構築します。
[1] OpenLDAPインストール
[root@master ~]#
yum -y install openldap-servers openldap-clients
[root@master ~]#
vi /etc/sysconfig/ldap
# 16行目:コメント解除し変更

SLAPD_LDAPI=
yes
[root@master ~]#
vi /etc/openldap/slapd.conf
# 新規作成

pidfile     /var/run/openldap/slapd.pid
argsfile    /var/run/openldap/slapd.args

[root@master ~]#
rm -rf /etc/openldap/slapd.d/*

[root@master ~]#
slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d

config file testing succeeded
[root@master ~]#
vi /etc/openldap/slapd.d/cn=config/olcDatabase\={0}config.ldif
# 4行目:変更

olcAccess:
{0}to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth manage by * break
[root@master ~]#
vi /etc/openldap/slapd.d/cn=config/olcDatabase\={2}monitor.ldif
# 新規作成

dn: olcDatabase={2}monitor
objectClass: olcDatabaseConfig
olcDatabase: {2}monitor
olcAccess: {0}to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth manage by * break
olcAddContentAcl: FALSE
olcLastMod: TRUE
olcMaxDerefDepth: 15
olcReadOnly: FALSE
olcMonitoring: FALSE
structuralObjectClass: olcDatabaseConfig
creatorsName: cn=config
modifiersName: cn=config
[root@master ~]#
chown -R ldap. /etc/openldap/slapd.d

[root@master ~]#
chmod -R 700 /etc/openldap/slapd.d

[root@master ~]#
/etc/rc.d/init.d/slapd start

Starting slapd: [ OK ]
[root@master ~]#
chkconfig slapd on

[2] 初期設定
[root@master ~]#
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/core.ldif

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=core,cn=schema,cn=config"
[root@master ~]#
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=cosine,cn=schema,cn=config"
[root@master ~]#
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=nis,cn=schema,cn=config"
[root@master ~]#
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=inetorgperson,cn=schema,cn=config"
[root@master ~]#
slappasswd
# パスワード生成

New password:
# 生成するパスワードを入力

Re-enter new password:
{SSHA}xxxxxxxxxxxxxxxxxxxxxxxx
[root@master ~]#
vi backend.ldif
# 新規作成

# 「dc=***,dc=***」には自身の suffix に置き換えてください

# 「olcRootPW: ***」には slappasswd で生成したパスワードに置き換えてください

dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulepath: /usr/lib64/openldap
olcModuleload: back_hdb

dn: olcDatabase=hdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcHdbConfig
olcDatabase: {1}hdb
olcSuffix: dc=srv,dc=world
olcDbDirectory: /var/lib/ldap
olcRootDN: cn=admin,dc=srv,dc=world
olcRootPW: {SSHA}xxxxxxxxxxxxxxxxxxxxxxxx
olcDbConfig: set_cachesize 0 2097152 0
olcDbConfig: set_lk_max_objects 1500
olcDbConfig: set_lk_max_locks 1500
olcDbConfig: set_lk_max_lockers 1500
olcDbIndex: objectClass eq
olcLastMod: TRUE
olcMonitoring: TRUE
olcDbCheckpoint: 512 30
olcAccess: to attrs=userPassword by dn="cn=admin,dc=srv,dc=world" write by anonymous auth by self write by * none
olcAccess: to attrs=shadowLastChange by self write by * read
olcAccess: to dn.base="" by * read
olcAccess: to * by dn="cn=admin,dc=srv,dc=world" write by * read

[root@master ~]#
ldapadd -Y EXTERNAL -H ldapi:/// -f backend.ldif

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=module,cn=config"
adding new entry "olcDatabase=hdb,cn=config"
[root@master ~]#
vi frontend.ldif
# 新規作成

# 「dc=***,dc=***」には自身の suffix に置き換えてください

# 「userPassword: ***」には slappasswd で生成したパスワードに置き換えてください

dn: dc=srv,dc=world
objectClass: top
objectClass: dcObject
objectclass: organization
o: Server World
dc: Server

dn: cn=admin,dc=srv,dc=world
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
userPassword: {SSHA}xxxxxxxxxxxxxxxxxxxxxxxx

dn: ou=people,dc=srv,dc=world
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=srv,dc=world
objectClass: organizationalUnit
ou: groups

[root@master ~]#
ldapadd -x -D cn=admin,dc=srv,dc=world -W -f frontend.ldif

Enter LDAP Password:
# 設定した管理者パスワード

adding new entry "dc=srv,dc=world"

adding new entry "cn=admin,dc=srv,dc=world"

adding new entry "ou=people,dc=srv,dc=world"

adding new entry "ou=groups,dc=srv,dc=world"
[3] ローカルユーザーをLDAPに登録
[root@master ~]#
vi ldapuser.sh
# ローカルのUIDが500-999番のユーザーを抽出する
# 「SUFFIX=***」には自身の suffix に置き換えてください
# 一例ですのでご自由に改変してください

#!/bin/bash

SUFFIX='dc=srv,dc=world'
LDIF='ldapuser.ldif'

echo -n > $LDIF
for line in `grep "x:[5-9][0-9][0-9]:" /etc/passwd | sed -e "s/ /%/g"`
do
   UID1=`echo $line | cut -d: -f1`
   NAME=`echo $line | cut -d: -f5 | cut -d, -f1`
   if [ ! "$NAME" ]
   then
      NAME=$UID1
   else
      NAME=`echo $NAME | sed -e "s/%/ /g"`
   fi
   SN=`echo $NAME | awk '{print $2}'`
   if [ ! "$SN" ]
   then
      SN=$NAME
   fi
   GIVEN=`echo $NAME | awk '{print $1}'`
   UID2=`echo $line | cut -d: -f3`
   GID=`echo $line | cut -d: -f4`
   PASS=`grep $UID1: /etc/shadow | cut -d: -f2`
   SHELL=`echo $line | cut -d: -f7`
   HOME=`echo $line | cut -d: -f6`
   EXPIRE=`passwd -S $UID1 | awk '{print $7}'`
   FLAG=`grep $UID1: /etc/shadow | cut -d: -f9`
   if [ ! "$FLAG" ]
   then
      FLAG="0"
   fi
   WARN=`passwd -S $UID1 | awk '{print $6}'`
   MIN=`passwd -S $UID1 | awk '{print $4}'`
   MAX=`passwd -S $UID1 | awk '{print $5}'`
   LAST=`grep $UID1: /etc/shadow | cut -d: -f3`

   echo "dn: uid=$UID1,ou=people,$SUFFIX" >> $LDIF
   echo "objectClass: inetOrgPerson" >> $LDIF
   echo "objectClass: posixAccount" >> $LDIF
   echo "objectClass: shadowAccount" >> $LDIF
   echo "uid: $UID1" >> $LDIF
   echo "sn: $SN" >> $LDIF
   echo "givenName: $GIVEN" >> $LDIF
   echo "cn: $NAME" >> $LDIF
   echo "displayName: $NAME" >> $LDIF
   echo "uidNumber: $UID2" >> $LDIF
   echo "gidNumber: $GID" >> $LDIF
   echo "userPassword: {crypt}$PASS" >> $LDIF
   echo "gecos: $NAME" >> $LDIF
   echo "loginShell: $SHELL" >> $LDIF
   echo "homeDirectory: $HOME" >> $LDIF
   echo "shadowExpire: $EXPIRE" >> $LDIF
   echo "shadowFlag: $FLAG" >> $LDIF
   echo "shadowWarning: $WARN" >> $LDIF
   echo "shadowMin: $MIN" >> $LDIF
   echo "shadowMax: $MAX" >> $LDIF
   echo "shadowLastChange: $LAST" >> $LDIF
   echo >> $LDIF
done
[root@master ~]#
sh ldapuser.sh

[root@master ~]#
ldapadd -x -D cn=admin,dc=srv,dc=world -W -f ldapuser.ldif

Enter LDAP Password:
# 管理者パスワード

adding new entry "uid=fermi,ou=people,dc=srv,dc=world"

adding new entry "uid=cent,ou=people,dc=srv,dc=world"

adding new entry "uid=ubuntu,ou=people,dc=srv,dc=world"

adding new entry "uid=debian,ou=people,dc=srv,dc=world"

adding new entry "uid=fedora,ou=people,dc=srv,dc=world"
[4] ローカルグループをLDAPに登録
[root@master ~]#
vi ldapgroup.sh
# ローカルのGIDが500-999番のグループを抽出する
# 一例ですのでご自由に改変してください

#!/bin/bash

SUFFIX='dc=srv,dc=world'
LDIF='ldapgroup.ldif'

echo -n > $LDIF
for line in `grep "x:[5-9][0-9][0-9]:" /etc/group`
do
   CN=`echo $line | cut -d: -f1`
   GID=`echo $line | cut -d: -f3`
   echo "dn: cn=$CN,ou=groups,$SUFFIX" >> $LDIF
   echo "objectClass: posixGroup" >> $LDIF
   echo "cn: $CN" >> $LDIF
   echo "gidNumber: $GID" >> $LDIF
   users=`echo $line | cut -d: -f4 | sed "s/,/ /g"`
   for user in ${users} ; do
      echo "memberUid: ${user}" >> $LDIF
   done
   echo >> $LDIF
done
[root@master ~]#
sh ldapgroup.sh

[root@master ~]#
ldapadd -x -D cn=admin,dc=srv,dc=world -W -f ldapgroup.ldif

Enter LDAP Password:
# 管理者パスワード

adding new entry "cn=fermi,ou=groups,dc=srv,dc=world"

adding new entry "cn=cent,ou=groups,dc=srv,dc=world"

adding new entry "cn=ubuntu,ou=groups,dc=srv,dc=world"

adding new entry "cn=debian,ou=groups,dc=srv,dc=world"

adding new entry "cn=fedora,ou=groups,dc=srv,dc=world"
[5] 登録したユーザーとグループを削除する場合は以下のようにします。
[root@master ~]#
ldapdelete -x -W -D 'cn=admin,dc=srv,dc=world' "uid=cent,ou=people,dc=srv,dc=world"

Enter LDAP Password:
[root@master ~]#
ldapdelete -x -W -D 'cn=admin,dc=srv,dc=world' "cn=cent,ou=groups,dc=srv,dc=world"

Enter LDAP Password:
関連コンテンツ