13.6. OpenLDAP 設定の概要

13.6.1. /etc/openldap/slapd.confの編集

slapd LDAP サーバーを使用するには、 その設定ファイル、 /etc/openldap/slapd.confを変更して、 正しいドメインとサーバーを指定します。

suffixの行は、 LDAPサーバーが情報を提供するためのドメインに名前を付けるため、 以下の行を変更します。

suffix          "dc=your-domain,dc=com"

それを完全修飾のドメイン名が表示されるようにします。例えば、

suffix          "dc=example,dc=com"

rootdnエントリは、 LDAPディレクトリ上の操作用に設定されたアクセス制御又は 管理制限パラメータで 制限されていないユーザー用の Distinguished Name(区別名) (DN)です。 rootdnの ユーザーは、LDAPディレクトリのrootユーザーとも考えられます。設定ファイルの中で、 rootdnの行をデフォルトの値から、次の例の様に変更します。

rootdn          "cn=root,dc=example,dc=com"

ネットワーク上で LDAPディレクトリを配置するとき、 rootpwの行を変更します。— デフォルトの値を暗号化したパスワード文字列に入れ換えます。 暗号化したパスワード文字列を生成するには、次のコマンドを入力します。

slappasswd

入力が求められたら、パスワードを入力、確認のため再度入力します。 プログラムが生成された暗号化パスワードの結果をシェルプロンプトに出力します。

次に、新規に作成された暗号化パスワードを rootpw行の1つにある /etc/openldap/slapd.conf にコピーし、#マークを削除します。

終了すると、その行は次と同様な形になります：

rootpw {SSHA}vv2y+i6V6esazrIv70xSSnNAJE18bb2u

	警告
	/etc/openldap/slapd.confに指定してある rootpwディレクティブを含む LDAP パスワードは、 TLS暗号化を有効にしない限り、 ネットワーク 上に暗号化なしで送信されます。 TLS 暗号化を有効にするには、/etc/openldap/slapd.conf内の コメントを再確認して、slapd.conf用の man ページを参照 してください。

セキュリティ強化の為には、 LDAPディレクトリを充填した後に 先頭に#マークを付け、rootpwディレクティブを コメントアウト (無効化)します。

ローカルで/usr/sbin/slapadd コマンドラインツールを使用している時は、 LDAPディレクトリを充填するのに、 rootpw ディレクティブを使う必要はありません。

	重要
	root ユーザーのみが/usr/sbin/slapaddを使用できます。 しかし、ディレクトリサーバーはldapユーザーとして動作 します。そのため、ディレクトリサーバーはslapaddで作成 されたファイルはどれも変更できません。この問題を修正するには、 slapaddを使用した後、次のコマンドを入力します: chown -R ldap /var/lib/ldap