【設定要件】

  • OpenLDAPを利用して他のサービスとのパスワード一元管理を目指す。
  • Sambaは個別のユーザ管理機構を持つが、”ldap passwd sync = Yes”を設定し、Samba経由でパスワード変更を行うことで、パスワード管理を一元化できる。
  • SWATを一般ユーザに公開することで、一般ユーザでもパスワード変更が可能となる。

【設定手順】

1. インストール

[root@centos ~]# yum -y install openldap-servers openldap-clients samba samba-swat samba-client

■OpenLDAP

1. 設定

[root@centos ~]# cp -a /usr/share/doc/samba-*/LDAP/samba.schema /etc/openldap/schema/
[root@centos ~]# slappasswd
[root@centos ~]# cp -a /etc/openldap/slapd.conf /etc/openldap/slapd.conf.org
[root@centos ~]# vim /etc/openldap/slapd.conf
access to *
	by self write
	by dn="cn=admin,dc=si1230,dc=com" write
	by * read

access to attrs=userPassword
	by self write
	by dn="cn=admin,dc=si1230,dc=com" write
	by anonymous auth
	by * none

include		/etc/openldap/schema/samba.schema
suffix		"dc=si1230,dc=com"
rootdn		"cn=admin,dc=si1230,dc=com"
rootpw		{SSHA}xxxxxxxx

2. サービスを有効にする

[root@centos ~]# service ldap start
[root@centos ~]# chkconfig ldap on && chkconfig ldap --list

3. 初期データ登録

[root@centos ~]# vim /root/init.ldif
dn: dc=si1230,dc=com
objectClass: dcObject
objectclass: organization
o: si1230
dc: si1230

dn: cn=admin,dc=si1230,dc=com
objectclass: organizationalRole
cn: admin

dn: ou=users,dc=si1230,dc=com
objectClass: organizationalUnit
ou: users

dn: ou=groups,dc=si1230,dc=com
objectClass: organizationalUnit
ou: groups
[root@centos ~]# ldapadd -x -D "cn=admin,dc=si1230,dc=com" -W -f /root/init.ldif

4. ユーザ登録

Apache Directory Studioで登録する。

5. LinuxからLDAP参照

setupコマンドで設定する。

■Samba

1. 設定

[root@centos ~]# mv /etc/samba/smb.conf /etc/samba/smb.conf.org
[root@centos ~]# vim /etc/samba/smb.conf
[global]
dos charset = CP932
display charset = UTF-8
passdb backend = ldapsam
preferred master = Yes
domain master = Yes
wins support = Yes
ldap admin dn = cn=admin,dc=si1230,dc=com
ldap passwd sync = Yes
ldap suffix = dc=si1230,dc=com

[homes]
read only = No
browseable = No
[root@centos ~]# smbpasswd -w xxxxxxxx

2. サービスを有効化

[root@centos ~]# service smb start
[root@centos ~]# chkconfig smb on && chkconfig smb --list

3. ユーザ登録

[root@centos ~]# pdbedit -a testuser

■SWAT

1. 設定

[root@centos ~]# vim /etc/xinetd.d/swat
only_from = 127.0.0.1 192.168.10.0/24
disable = no

2. サービスを有効にする

[root@centos ~]# service xinetd start
[root@centos ~]# chkconfig xinetd on && chkconfig xinetd --list

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)