13.7. システムが OpenLDAPを使用して認証を実行するように設定する
このセクションでは、OpenLDAPのユーザー認証を設定する方法について 簡単に概要を説明します。OpenLDAPに関して熟達していない限り、本書の説明以外にも詳しいドキュメントが必要となります。 詳細については項13.9に 記載している参考文献を参照してください。
- 必要なLDAPパッケージのインストール
最初に、LDAPサーバーとLDAPクライアントの両方のマシンに該当するパッケージが インストールされていることを確認します。LDAPサーバーには openldap-serversパッケージが必要です。
LDAPクライアントマシンでは、openldap、openldap-clients、 nss_ldapのパッケージをインストールする必要があります。
- 設定ファイルの編集
サーバー上で、LDAPサーバーにある/etc/openldap/slapd.confファイルを編集して、必ず組織の特性に一致するようにします。slapd.confの 編集については項13.6.1 の説明を参照してください。
クライアントマシン上では、/etc/ldap.confと /etc/openldap/ldap.confの両方が組織の適切なサーバーと検索ベースの 情報を含んでいる必要があります。
これを行なうには、グラフィカルな認証 設定ツール (system-config-authentication)を実行して、ユーザー情報 タブで LDAPサポートを有効にするを選択します。
また、これらのファイルは手動でも編集することができます。
LDAPを使用する為には、クライアントのマシンで、 /etc/nsswitch.confを編集する 必要があります。
これを行なうには、認証 設定ツール (system-config-authentication)を実行して、ユーザー情報 タブで LDAPサポートを有効にするを選択します。
手動で/etc/nsswitch.confを編集する場合、 適当な行にldapを追加します。
例えば次のようにします:
passwd: files ldap shadow: files ldap group: files ldap
13.7.1. PAMとLDAP
標準のPAMを有効にしたアプリケーションが認証にLDAPを使用するようにするには、 認証 設定ツール(system-config-authentication)を実行して、認証タブでLDAPサポートを有効にするを選択します。PAM の設定に関する詳細は、章16章及びPAMのmanページを参照してください。
13.7.2. 古い認証情報をLDAPフォーマットへ移行
/usr/share/openldap/migrationディレクトリには、認証 情報を LDAP フォーマットに移行するための一連のシェルと Perl スクリプトが 含まれています
 | 注記 |
|---|---|
これらのスクリプトを使用するには、 システムに Perlをインストールしている必要があります。 |
最初に、migrate_common.phファイルを修正し、 正しいドメインを反映するようにします。デフォルトのDNSドメインは、 そのデフォルトの値から次のように変更してください。
$DEFAULT_MAIL_DOMAIN = "example"; |
デフォルトのベースも次のように変更する必要があります:
$DEFAULT_BASE = "dc=example,dc=com"; |
ユーザーデータベースをLDAP読み込み可能なフォーマットに移行する作業は、 同じディレクトリにインストールしてある一連の移行スクリプトに任されます。 表13-1を使用して、 ユーザーデータベースを移行する為に実行するスクリプトを決定してください。
既存のネームサービスに基づいて適切なスクリプトを実行します。
/usr/share/openldap/migration/ディレクトリ内の README及び migration-tools.txtファイルは 移行の方法に関する詳細情報を提供します。