13.6. OpenLDAP 設定の概要

このセクションは、OpenLDAPディレクトリのインストールと設定についての 簡潔な概要を提供します。 詳細については以下のURLを参照して下さい:

LDAPサーバー構築の基本的なステップは次の通りです:

  1. openldap, openldap-servers,及び openldap-clients RPMを インストールします。

  2. /etc/openldap/slapd.confファイルを編集して、LDAPドメインとサーバーを指定します。詳細については 項13.6.1を参照してください。

  3. 以下のコマンドを使用して slapdをスタートします:

    /sbin/service ldap start

    LDAPを設定したら、chkconfigntsysv 又はサービス設定ツールを使用して LDAPがブート時に開始するように設定します。サービスの設定については、Red Hat Enterprise Linux システム管理ガイドにある サービスに対するアクセスの制御の章を参照してください。

  4. ldapaddで、LDAPディレクトリにエントリを追加します。

  5. ldapsearchを使用して slapdが情報に正しくアクセスしているか確認します。

  6. この時点で、LDAPディレクトリは正常に機能しているはずで、 LDAPが有効になったアプリケーションで設定することができます。

13.6.1. /etc/openldap/slapd.confの編集

slapd LDAP サーバーを使用するには、 その設定ファイル、 /etc/openldap/slapd.confを変更して、 正しいドメインとサーバーを指定します。

suffixの行は、 LDAPサーバーが情報を提供するためのドメインに名前を付けるため、 以下の行を変更します。

suffix          "dc=your-domain,dc=com"

それを完全修飾のドメイン名が表示されるようにします。例えば、

suffix          "dc=example,dc=com"

rootdnエントリは、 LDAPディレクトリ上の操作用に設定されたアクセス制御又は 管理制限パラメータで 制限されていないユーザー用の Distinguished Name(区別名) (DN)です。 rootdnの ユーザーは、LDAPディレクトリのrootユーザーとも考えられます。設定ファイルの中で、 rootdnの行をデフォルトの値から、次の例の様に変更します。

rootdn          "cn=root,dc=example,dc=com"

ネットワーク上で LDAPディレクトリを配置するとき、 rootpwの行を変更します。— デフォルトの値を暗号化したパスワード文字列に入れ換えます。 暗号化したパスワード文字列を生成するには、次のコマンドを入力します。

slappasswd

入力が求められたら、パスワードを入力、確認のため再度入力します。 プログラムが生成された暗号化パスワードの結果をシェルプロンプトに出力します。

次に、新規に作成された暗号化パスワードを rootpw行の1つにある /etc/openldap/slapd.conf にコピーし、#マークを削除します。

終了すると、その行は次と同様な形になります:

rootpw {SSHA}vv2y+i6V6esazrIv70xSSnNAJE18bb2u

警告警告
 

/etc/openldap/slapd.confに指定してある rootpwディレクティブを含む LDAP パスワードは、 TLS暗号化を有効にしない限り、 ネットワーク 上に暗号化なしで送信されます。

TLS 暗号化を有効にするには、/etc/openldap/slapd.conf内の コメントを再確認して、slapd.conf用の man ページを参照 してください。

セキュリティ強化の為には、 LDAPディレクトリを充填した後に 先頭に#マークを付け、rootpwディレクティブを コメントアウト (無効化)します。

ローカルで/usr/sbin/slapadd コマンドラインツールを使用している時は、 LDAPディレクトリを充填するのに、 rootpw ディレクティブを使う必要はありません。

重要重要
 

root ユーザーのみが/usr/sbin/slapaddを使用できます。 しかし、ディレクトリサーバーはldapユーザーとして動作 します。そのため、ディレクトリサーバーはslapaddで作成 されたファイルはどれも変更できません。この問題を修正するには、 slapaddを使用した後、次のコマンドを入力します:

chown -R ldap /var/lib/ldap