このセクションは、OpenLDAPディレクトリのインストールと設定についての 簡潔な概要を提供します。 詳細については以下のURLを参照して下さい:
http://www.openldap.org/doc/admin/quickstart.html — OpenLDAPについてのwebサイト。Quick-Start Guide
http://www.redhat.com/mirrors/LDP/HOWTO/LDAP-HOWTO.html — Linuxドキュメントプロジェクトの LDAP Linux HOWTO、Red Hatのwebサイトにミラーバージョンがあります。
LDAPサーバー構築の基本的なステップは次の通りです:
openldap, openldap-servers,及び openldap-clients RPMを インストールします。
/etc/openldap/slapd.confファイルを編集して、LDAPドメインとサーバーを指定します。詳細については 項13.6.1を参照してください。
以下のコマンドを使用して slapdをスタートします:
/sbin/service ldap start |
LDAPを設定したら、chkconfig、ntsysv 又はサービス設定ツールを使用して LDAPがブート時に開始するように設定します。サービスの設定については、Red Hat Enterprise Linux システム管理ガイドにある サービスに対するアクセスの制御の章を参照してください。
ldapaddで、LDAPディレクトリにエントリを追加します。
ldapsearchを使用して slapdが情報に正しくアクセスしているか確認します。
この時点で、LDAPディレクトリは正常に機能しているはずで、 LDAPが有効になったアプリケーションで設定することができます。
slapd LDAP サーバーを使用するには、 その設定ファイル、 /etc/openldap/slapd.confを変更して、 正しいドメインとサーバーを指定します。
suffixの行は、 LDAPサーバーが情報を提供するためのドメインに名前を付けるため、 以下の行を変更します。
suffix "dc=your-domain,dc=com" |
それを完全修飾のドメイン名が表示されるようにします。例えば、
suffix "dc=example,dc=com" |
rootdnエントリは、 LDAPディレクトリ上の操作用に設定されたアクセス制御又は 管理制限パラメータで 制限されていないユーザー用の Distinguished Name(区別名) (DN)です。 rootdnの ユーザーは、LDAPディレクトリのrootユーザーとも考えられます。設定ファイルの中で、 rootdnの行をデフォルトの値から、次の例の様に変更します。
rootdn "cn=root,dc=example,dc=com" |
ネットワーク上で LDAPディレクトリを配置するとき、 rootpwの行を変更します。— デフォルトの値を暗号化したパスワード文字列に入れ換えます。 暗号化したパスワード文字列を生成するには、次のコマンドを入力します。
slappasswd |
入力が求められたら、パスワードを入力、確認のため再度入力します。 プログラムが生成された暗号化パスワードの結果をシェルプロンプトに出力します。
次に、新規に作成された暗号化パスワードを rootpw行の1つにある /etc/openldap/slapd.conf にコピーし、#マークを削除します。
終了すると、その行は次と同様な形になります:
rootpw {SSHA}vv2y+i6V6esazrIv70xSSnNAJE18bb2u |
![]() | 警告 |
---|---|
/etc/openldap/slapd.confに指定してある rootpwディレクティブを含む LDAP パスワードは、 TLS暗号化を有効にしない限り、 ネットワーク 上に暗号化なしで送信されます。 TLS 暗号化を有効にするには、/etc/openldap/slapd.conf内の コメントを再確認して、slapd.conf用の man ページを参照 してください。 |
セキュリティ強化の為には、 LDAPディレクトリを充填した後に 先頭に#マークを付け、rootpwディレクティブを コメントアウト (無効化)します。
ローカルで/usr/sbin/slapadd コマンドラインツールを使用している時は、 LDAPディレクトリを充填するのに、 rootpw ディレクティブを使う必要はありません。
![]() | 重要 | |
---|---|---|
root ユーザーのみが/usr/sbin/slapaddを使用できます。 しかし、ディレクトリサーバーはldapユーザーとして動作 します。そのため、ディレクトリサーバーはslapaddで作成 されたファイルはどれも変更できません。この問題を修正するには、 slapaddを使用した後、次のコマンドを入力します:
|