Linux-admin-install-and-configure-open-ldap
Open LDAPのインストールと構成
LDAPをCentOSにDirectory Server Agent、Directory System Agent、またはDSA(これらの頭字語はすべて同一)として展開することは、NDSでディレクトリツリー構造を使用する古いNovell Netwareインストールに似ています。
LDAPの簡単な歴史
LDAPは基本的に、エンタープライズリソースを使用してX.500ディレクトリにアクセスする効率的な方法として作成されました。 X.500とLDAPは両方とも同じ特性を共有しているため、LDAPクライアントはいくつかのヘルパーでX.500ディレクトリにアクセスできます。 LDAPには、 slapd という独自のディレクトリサーバーもあります。 _LDAP_と_DAP_の主な違いは、軽量バージョンはTCP上で動作するように設計されていることです。
_DAP_は完全なOSIモデルを使用します。 今日のネットワークにおけるインターネット、TCP/IP、およびイーサネットの出現により、特定のレガシーコンピューティングモデル以外のDAPとネイティブX.500エンタープライズディレクトリの両方を使用したディレクトリサービスの移植に遭遇することはほとんどありません。
CentOS Linuxのopenldapで使用される主なコンポーネントは次のとおりです-
openldap | LDAP support libraries |
---|---|
openldap-server | LDAP server |
openldap-clients | LDAP client utlities |
openldap-devel | Development libraries for OpenLDAP |
compay-openldap | OpenLDAP shared libraries |
slapd | Directory server daemon of OpenLDAP |
slurpd | Used for LDAP replication across an enterprise domain |
注-エンタープライズに名前を付けるときは、 。local TLDを使用することをお勧めします。 .net_または.com_を使用すると、オンラインドメインインフラストラクチャと内部ドメインインフラストラクチャを分離するときに問題が発生する可能性があります。 外部操作と内部操作の両方に_acme.com_を使用している企業の追加作業を想像してください。 したがって、_acme.com_または_acme.net_と呼ばれるインターネットリソースを用意するのが賢明です。 次に、ローカルネットワーキングエンタープライズリソースは_acme.local_として示されます。 これにはDNSレコードの構成が必要になりますが、単純さ、雄弁さ、セキュリティが犠牲になります。
CentOSにOpen LDAPをインストールする
_YUM_からopenldap、openldap-servers、openldap-clients、migrationstoolsをインストールします。
さて、_slapd_サービスを開始して有効にしましょう-
この時点で、openldap_構造が/etc/openldap_にあることを確認しましょう。
次に、slapdサービスが実行されていることを確認します。
次に、_Open LDAP_インストールを設定しましょう。
システム_ldap_ユーザーが作成されていることを確認してください。
LDAP資格情報を生成します。
slappasswdからの出力を保存する必要があります
Open LDAPを構成する
- ステップ1 *-ドメインのLDAPを構成し、管理ユーザーを追加します。
最初に、openLDAP環境をセットアップします。 以下は、_ldapmodify_コマンドで使用するテンプレートです。
ldapmodifyコマンドを使用して、/etc/openldap/slapd.d/cn = config/olcDatabase = \ {1} monitor.ldifを変更します。
変更されたLDAP構成を確認しましょう。
ご覧のとおり、LDAPエンタープライズの変更は成功しました。
次に、OpenLDAPの自己署名SSL証明書を作成します。 これにより、エンタープライズサーバーとクライアント間の通信が保護されます。
- ステップ2 *-OpenLDAPの自己署名証明書を作成します。
_openssl_を使用して、自己署名SSL証明書を作成します。 OpenLDAPとの通信を保護する手順については、次の章「opensslでLDAP SSL証明書を作成する」に進んでください。 その後、SSL証明書が設定されると、OpenLDAPエンタープライズ設定が完了します。
- ステップ3 *-証明書で安全な通信を使用するようにOpenLDAPを設定します。
次の情報を使用して_vim_で_certs.ldif_ファイルを作成します-
次に、再度_ldapmodify_コマンドを使用して、変更をOpenLDAP構成にマージします。
最後に、OpenLADP構成をテストしましょう。
- ステップ4 *-slapdデータベースをセットアップします。
OpenLDAPスキーマを更新します。
cosineおよびnis LDAPスキーマを追加します。
最後に、エンタープライズスキーマを作成し、現在のOpenLDAP設定に追加します。
以下は、vmnet._local_と呼ばれるドメインと_ldapadm_と呼ばれるLDAP管理者に対するものです。
最後に、これを現在のOpenLDAPスキーマにインポートします。
- ステップ5 *-OpenLDAPエンタープライズユーザーを設定します。
_vim_またはお好みのテキストエディターを開き、次の形式をコピーします。 これは、「vmnet.local」LDAPドメインの「entacct」という名前のユーザーのセットアップです。
保存された上記のファイルをOpenLdapスキーマにインポートします。
ユーザーがLDAP Enterpriseにアクセスする前に、次のようにパスワードを割り当てる必要があります-
最後に、エンタープライズアカウントにログインする前に、_OpenLDAP_エントリを確認しましょう。
/etc/passwd_や/etc/groups_などをOpenLDAP認証に変換するには、移行ツールを使用する必要があります。 これらは_migrationtools_パッケージに含まれています。 次に、_/usr/share/migrationtools_にインストールします。
- ステップ6 *-最後に、リクエストを処理できるように、slapdサービスへのアクセスを許可する必要があります。
LDAPクライアントアクセスを構成する
LDAPクライアントアクセスを設定するには、クライアントにopenldap、open-ldapクライアント、およびnss_ldapのパッケージが必要です。
クライアントシステムのLDAP認証の構成は少し簡単です。
- ステップ1 *-依存パッケージのインストール-
- ステップ2 *-_authconfig_を使用してLDAP認証を設定します。
- ステップ3 *-nslcdサービスを再起動します。