LDAPサーバー構築2011/03/19 |
各サーバー間でユーザーのアカウント情報を共有できるようにLDAPサーバーを構築します。
|
|
[1] | OpenLDAPインストール |
[root@master ~]#
yum -y install openldap-servers openldap-clients
[root@master ~]#
vi /etc/sysconfig/ldap # 16行目:コメント解除し変更 SLAPD_LDAPI= yes
[root@master ~]#
vi /etc/openldap/slapd.conf # 新規作成 pidfile /var/run/openldap/slapd.pid argsfile /var/run/openldap/slapd.args rm -rf /etc/openldap/slapd.d/* [root@master ~]# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d config file testing succeeded
[root@master ~]#
vi /etc/openldap/slapd.d/cn=config/olcDatabase\={0}config.ldif # 4行目:変更 olcAccess: {0}to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth manage by * break
[root@master ~]#
vi /etc/openldap/slapd.d/cn=config/olcDatabase\={2}monitor.ldif # 新規作成
dn: olcDatabase={2}monitor
objectClass: olcDatabaseConfig olcDatabase: {2}monitor olcAccess: {0}to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth manage by * break olcAddContentAcl: FALSE olcLastMod: TRUE olcMaxDerefDepth: 15 olcReadOnly: FALSE olcMonitoring: FALSE structuralObjectClass: olcDatabaseConfig creatorsName: cn=config modifiersName: cn=config chown -R ldap. /etc/openldap/slapd.d [root@master ~]# chmod -R 700 /etc/openldap/slapd.d [root@master ~]# /etc/rc.d/init.d/slapd start Starting slapd: [ OK ] [root@master ~]# chkconfig slapd on |
[2] | 初期設定 |
[root@master ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/core.ldif SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 adding new entry "cn=core,cn=schema,cn=config"
[root@master ~]#
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 adding new entry "cn=cosine,cn=schema,cn=config"
[root@master ~]#
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 adding new entry "cn=nis,cn=schema,cn=config"
[root@master ~]#
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 adding new entry "cn=inetorgperson,cn=schema,cn=config"
[root@master ~]#
slappasswd # パスワード生成 New password: # 生成するパスワードを入力 Re-enter new password: {SSHA}xxxxxxxxxxxxxxxxxxxxxxxx
[root@master ~]#
vi backend.ldif # 新規作成 # 「dc=***,dc=***」には自身の suffix に置き換えてください # 「olcRootPW: ***」には slappasswd で生成したパスワードに置き換えてください dn: cn=module,cn=config objectClass: olcModuleList cn: module olcModulepath: /usr/lib64/openldap olcModuleload: back_hdb dn: olcDatabase=hdb,cn=config objectClass: olcDatabaseConfig objectClass: olcHdbConfig olcDatabase: {1}hdb olcSuffix: dc=srv,dc=world olcDbDirectory: /var/lib/ldap olcRootDN: cn=admin,dc=srv,dc=world olcRootPW: {SSHA}xxxxxxxxxxxxxxxxxxxxxxxx olcDbConfig: set_cachesize 0 2097152 0 olcDbConfig: set_lk_max_objects 1500 olcDbConfig: set_lk_max_locks 1500 olcDbConfig: set_lk_max_lockers 1500 olcDbIndex: objectClass eq olcLastMod: TRUE olcMonitoring: TRUE olcDbCheckpoint: 512 30 olcAccess: to attrs=userPassword by dn="cn=admin,dc=srv,dc=world" write by anonymous auth by self write by * none olcAccess: to attrs=shadowLastChange by self write by * read olcAccess: to dn.base="" by * read olcAccess: to * by dn="cn=admin,dc=srv,dc=world" write by * read
[root@master ~]#
ldapadd -Y EXTERNAL -H ldapi:/// -f backend.ldif SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 adding new entry "cn=module,cn=config"
adding new entry "olcDatabase=hdb,cn=config"
[root@master ~]#
vi frontend.ldif # 新規作成 # 「dc=***,dc=***」には自身の suffix に置き換えてください # 「userPassword: ***」には slappasswd で生成したパスワードに置き換えてください dn: dc=srv,dc=world objectClass: top objectClass: dcObject objectclass: organization o: Server World dc: Server dn: cn=admin,dc=srv,dc=world objectClass: simpleSecurityObject objectClass: organizationalRole cn: admin userPassword: {SSHA}xxxxxxxxxxxxxxxxxxxxxxxx dn: ou=people,dc=srv,dc=world objectClass: organizationalUnit ou: people dn: ou=groups,dc=srv,dc=world objectClass: organizationalUnit ou: groups ldapadd -x -D cn=admin,dc=srv,dc=world -W -f frontend.ldif Enter LDAP Password: # 設定した管理者パスワード adding new entry "dc=srv,dc=world" adding new entry "cn=admin,dc=srv,dc=world" adding new entry "ou=people,dc=srv,dc=world" adding new entry "ou=groups,dc=srv,dc=world" |
[3] | ローカルユーザーをLDAPに登録 |
[root@master ~]#
vi ldapuser.sh
# ローカルのUIDが500-999番のユーザーを抽出する # 「SUFFIX=***」には自身の suffix に置き換えてください # 一例ですのでご自由に改変してください #!/bin/bash SUFFIX='dc=srv,dc=world' LDIF='ldapuser.ldif' echo -n > $LDIF for line in `grep "x:[5-9][0-9][0-9]:" /etc/passwd | sed -e "s/ /%/g"` do UID1=`echo $line | cut -d: -f1` NAME=`echo $line | cut -d: -f5 | cut -d, -f1` if [ ! "$NAME" ] then NAME=$UID1 else NAME=`echo $NAME | sed -e "s/%/ /g"` fi SN=`echo $NAME | awk '{print $2}'` if [ ! "$SN" ] then SN=$NAME fi GIVEN=`echo $NAME | awk '{print $1}'` UID2=`echo $line | cut -d: -f3` GID=`echo $line | cut -d: -f4` PASS=`grep $UID1: /etc/shadow | cut -d: -f2` SHELL=`echo $line | cut -d: -f7` HOME=`echo $line | cut -d: -f6` EXPIRE=`passwd -S $UID1 | awk '{print $7}'` FLAG=`grep $UID1: /etc/shadow | cut -d: -f9` if [ ! "$FLAG" ] then FLAG="0" fi WARN=`passwd -S $UID1 | awk '{print $6}'` MIN=`passwd -S $UID1 | awk '{print $4}'` MAX=`passwd -S $UID1 | awk '{print $5}'` LAST=`grep $UID1: /etc/shadow | cut -d: -f3` echo "dn: uid=$UID1,ou=people,$SUFFIX" >> $LDIF echo "objectClass: inetOrgPerson" >> $LDIF echo "objectClass: posixAccount" >> $LDIF echo "objectClass: shadowAccount" >> $LDIF echo "uid: $UID1" >> $LDIF echo "sn: $SN" >> $LDIF echo "givenName: $GIVEN" >> $LDIF echo "cn: $NAME" >> $LDIF echo "displayName: $NAME" >> $LDIF echo "uidNumber: $UID2" >> $LDIF echo "gidNumber: $GID" >> $LDIF echo "userPassword: {crypt}$PASS" >> $LDIF echo "gecos: $NAME" >> $LDIF echo "loginShell: $SHELL" >> $LDIF echo "homeDirectory: $HOME" >> $LDIF echo "shadowExpire: $EXPIRE" >> $LDIF echo "shadowFlag: $FLAG" >> $LDIF echo "shadowWarning: $WARN" >> $LDIF echo "shadowMin: $MIN" >> $LDIF echo "shadowMax: $MAX" >> $LDIF echo "shadowLastChange: $LAST" >> $LDIF echo >> $LDIF done sh ldapuser.sh [root@master ~]# ldapadd -x -D cn=admin,dc=srv,dc=world -W -f ldapuser.ldif Enter LDAP Password: # 管理者パスワード adding new entry "uid=fermi,ou=people,dc=srv,dc=world" adding new entry "uid=cent,ou=people,dc=srv,dc=world" adding new entry "uid=ubuntu,ou=people,dc=srv,dc=world" adding new entry "uid=debian,ou=people,dc=srv,dc=world" adding new entry "uid=fedora,ou=people,dc=srv,dc=world" |
[4] | ローカルグループをLDAPに登録 |
[root@master ~]#
vi ldapgroup.sh
# ローカルのGIDが500-999番のグループを抽出する # 一例ですのでご自由に改変してください #!/bin/bash SUFFIX='dc=srv,dc=world' LDIF='ldapgroup.ldif' echo -n > $LDIF for line in `grep "x:[5-9][0-9][0-9]:" /etc/group` do CN=`echo $line | cut -d: -f1` GID=`echo $line | cut -d: -f3` echo "dn: cn=$CN,ou=groups,$SUFFIX" >> $LDIF echo "objectClass: posixGroup" >> $LDIF echo "cn: $CN" >> $LDIF echo "gidNumber: $GID" >> $LDIF users=`echo $line | cut -d: -f4 | sed "s/,/ /g"` for user in ${users} ; do echo "memberUid: ${user}" >> $LDIF done echo >> $LDIF done sh ldapgroup.sh [root@master ~]# ldapadd -x -D cn=admin,dc=srv,dc=world -W -f ldapgroup.ldif Enter LDAP Password: # 管理者パスワード adding new entry "cn=fermi,ou=groups,dc=srv,dc=world" adding new entry "cn=cent,ou=groups,dc=srv,dc=world" adding new entry "cn=ubuntu,ou=groups,dc=srv,dc=world" adding new entry "cn=debian,ou=groups,dc=srv,dc=world" adding new entry "cn=fedora,ou=groups,dc=srv,dc=world" |
[5] | 登録したユーザーとグループを削除する場合は以下のようにします。 |
[root@master ~]# ldapdelete -x -W -D 'cn=admin,dc=srv,dc=world' "uid=cent,ou=people,dc=srv,dc=world" Enter LDAP Password: [root@master ~]# ldapdelete -x -W -D 'cn=admin,dc=srv,dc=world' "cn=cent,ou=groups,dc=srv,dc=world" Enter LDAP Password: |
Sponsored Link |
|