openldapの設定
/etc/openldap/slapd.conf
ほぼデフォルトですがrootdn,suffixを変更
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/misc.schema
allow bind_v2
pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args
database bdb
suffix "dc=send,dc=test"
rootdn "cn=Manager,dc=send,dc=test"
rootpw secret
directory /var/lib/ldap
index objectClass eq,pres
index ou,cn,mail,surname,givenname eq,pres,sub
index uidNumber,gidNumber,loginShell eq,pres
index uid,memberUid eq,pres,sub
index nisMapName,nisMapEntry eq,pres,sub
ldapサービスの起動
#service ldap start
「DB_CONFIGが無い」というような警告がでる
# cp /etc/openldap/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
# chmod 660 /var/lib/ldap/DB_CONFIG
# chown root:ldap /var/lib/ldap/DB_CONFIG
# service ldap restart
ldapエントリの追加
ldifファイルの作成
※passwordは-hオプションをつけて{crypt}のパターンにする。
(でないと以下の方法ではログインできない)
ハッシュ化されたパスワードをコピーし、ldifファイル内に貼り付ける。
# slappasswd -h {crypt}
New password:
Re-enter new password:
{crypt}**********
aaa.ldif
dn: dc=send,dc=test
dc: send
objectClass: dcObject
objectClass: organization
o: sendorg
dn: cn=Manager, dc=send,dc=test
objectClass: organizationalRole
cn: Manager
dn: ou=Family, dc=send,dc=test
ou: Family
objectClass: organizationalUnit
dn: ou=Sales, dc=send,dc=test
ou: Sales
objectClass: organizationalUnit
dn: cn=system01,ou=Sales, dc=send,dc=test
gidNumber: 10001
objectClass: posixGroup
objectClass: top
cn: system01
dn: uid=user01,ou=Sales, dc=send,dc=test
loginShell: /bin/bash
gidNumber: 10001
userPassword: {crypt}********
uidNumber: 10001
uid: user01
objectClass: account
objectClass: posixAccount
objectClass: top
homeDirectory: /home/user01
cn: test user 01
エントリを追加
#ldapadd -x -D "cn=Manager,dc=send,dc=test" -W -f aaa.ldif
ldapメンテナンスツール(LDAP Browser/Editor)
javaベースのGUI上でエントリ情報のメンテナンスが可能
以下のURLからダウンロードし展開する。直下に.jarファイルがあるため起動する。
http://www-unix.mcs.anl.gov/~gawor/ldap/
ldapクライアント(ログイン時の認証)の設定
/etc/ldap.conf
自身のサーバの認証のためhostはローカル
baseは自分のドメインにあわせて変更
bind_policyはsoftに変更(hardだとログイン失敗時に何度も試行するため)
host 127.0.0.1
base dc=send,dc=test
timelimit 120
bind_timelimit 120
bind_policy soft
idle_timelimit 3600
nss_initgroups_ignoreusers root,ldap,named,avahi,haldaemon,dbus,radvd,tomcat,radiusd,news,mailman,nscd
/etc/nsswich.conf
ldapを追加
passwd: files ldap
group: files ldap
設定の確認
# finger user01
Login: user01 Name: test user 01
Directory: /home/user01 Shell: /bin/bash
Never logged in.
No mail.
No Plan.
ホームディレクトリの作成
#mkdir /home/user01
#chown user01:system01 /home/user01
ログイン確認
#ssh user01@localhost
user02@localhost's password:******
Last login: Sun Dec ・・・・・・・・・・・・・
bash-3.2$
最終更新:2007年12月23日 04:03
