CentOS 7 は既にサポートが終了しています。このページは新規構築を推奨するものではなく、過去環境の保守、移行前調査、設定の読み解きに使うためのレガシー Linux 手順です。新規構築では現行の Linux ディストリビューションを利用してください。
参考書籍
LDAP – 設定・管理・プログラミング
LDAP / OpenLDAP の設定、管理、連携を確認したい場合の参考書籍です。古い書籍のため、価格や在庫はリンク先で確認してください。
Amazon で見るこのリンクは Amazon アソシエイトリンクです。
認証基盤としての位置づけ
この記事は、LDAP サーバーを立てた後に base、group、user などの初期データを登録する部分です。LDAP はサーバーを起動しただけでは認証基盤にならず、ディレクトリ構造とアカウントデータをどう設計するかが重要になります。
base LDIF
mkdir -p /root/ldif
cat <<'EOF' > /root/ldif/base.ldif
dn: dc=mydomain,dc=com
objectClass: dcObject
objectClass: top
objectClass: organization
dc: mydomain
o: mydomain.com
dn: cn=Manager,dc=mydomain,dc=com
objectClass: organizationalRole
objectClass: top
cn: Manager
dn: ou=group,dc=mydomain,dc=com
objectClass: top
objectClass: organizationalUnit
ou: group
dn: ou=user,dc=mydomain,dc=com
objectClass: top
objectClass: organizationalUnit
ou: user
dn: ou=mailgroup,dc=mydomain,dc=com
objectClass: top
objectClass: organizationalUnit
ou: mailgroup
dn: ou=mailuser,dc=mydomain,dc=com
objectClass: top
objectClass: organizationalUnit
ou: mailuser
EOF
ldapadd -x -D cn=Manager,dc=mydomain,dc=com -W -f /root/ldif/base.ldif読み取り専用ユーザー
cat <<'EOF' > /root/ldif/reader.ldif
dn: cn=Reader,dc=mydomain,dc=com
objectClass: top
objectClass: person
cn: Reader
sn: Reader
EOF
ldapadd -x -D cn=Manager,dc=mydomain,dc=com -W -f /root/ldif/reader.ldifグループ登録
cat <<'EOF' > /root/ldif/group.ldif
dn: cn=g3000,ou=group,dc=mydomain,dc=com
objectClass: top
objectClass: posixGroup
cn: grp01
gidNumber: 3000
dn: cn=g4000,ou=mailgroup,dc=mydomain,dc=com
objectClass: top
objectClass: posixGroup
cn: grp02
gidNumber: 4000
EOF
ldapadd -x -D cn=Manager,dc=mydomain,dc=com -W -f /root/ldif/group.ldifユーザー登録
cat <<'EOF' > /root/ldif/user.ldif
dn: uid=u3000,ou=user,dc=mydomain,dc=com
objectClass: account
objectClass: top
objectClass: posixAccount
cn: u3000
gidNumber: 3000
homeDirectory: /home/u3000
uid: u3000
uidNumber: 3000
loginShell: /bin/false
dn: uid=u4000,ou=mailuser,dc=mydomain,dc=com
objectClass: inetLocalMailRecipient
objectClass: posixAccount
objectClass: top
objectClass: account
cn: u4000
gidNumber: 4000
homeDirectory: /home/u4000
uid: u4000
uidNumber: 4000
loginShell: /bin/false
mailRoutingAddress: u4000@mydomain.com
EOF
ldapadd -x -D cn=Manager,dc=mydomain,dc=com -W -f /root/ldif/user.ldif確認
ldapsearch -x -D cn=Manager,dc=mydomain,dc=com -W -b dc=mydomain,dc=com
ldapsearch -x -b ou=user,dc=mydomain,dc=com uid=u3000LDAP / Samba 関連記事
CentOS 5
- CentOS 5 OpenLDAP サーバー構築 – slapd.conf と初期データ登録
- CentOS 5 LDAP 参照設定 – setup コマンドで LDAP クライアントを構成する
- CentOS 5 LDAP 統合認証 – ユーザー情報を一元管理する考え方
- CentOS 5 Samba ファイルサーバー構築 – OpenLDAP 連携と共有設定
CentOS 6
- CentOS 6 OpenLDAP サーバー構築 – slapd と LDAP ディレクトリの基本
- CentOS 6 Linux 認証に LDAP を使う – NSS / PAM 連携の基本
- CentOS 6 Samba ファイルサーバー構築 – Windows 共有と認証設定
CentOS 7
- CentOS 7 LDAP サーバー構築 – OpenLDAP の初期設定と TLS
- CentOS 7 LDAP データ登録 – base / group / user の LDIF 例(この記事)
- CentOS 7 LDAP クライアント設定 – authconfig と nslcd の LDAPS 接続
- CentOS 7 Samba ファイルサーバー構築 – LDAP passdb と共有設定
LDIF 登録として確認するポイント
LDAP の base / group / user 登録は、後続の認証、Samba、メール連携の土台になります。DN、objectClass、UID/GID、グループ所属を一貫させることが重要です。
- base DN と検索ベース。
- uidNumber / gidNumber。
- グループ所属。
- 登録後の
ldapsearch確認。
CentOS 7 LDAP データ登録 – base / group / user の LDIF 例
関連記事
CentOS 5 LDAP 参照設定 – setup コマンドで LDAP クライアントを構成する
CentOS 7 LDAP サーバー構築 – OpenLDAP の初期設定と TLS
CentOS 6 OpenLDAP サーバー構築 – slapd と LDAP ディレクトリの基本
CentOS 7 LDAP クライアント設定 – authconfig と nslcd の LDAPS 接続
CentOS 7 Samba ファイルサーバー構築 – LDAP passdb と共有設定
CentOS 5 LDAP 統合認証 – ユーザー情報を一元管理する考え方
CentOS 6 Linux 認証に LDAP を使う – NSS / PAM 連携の基本
CentOS 5 Dovecot メール受信サーバー構築 – LDAP 連携と IMAP/POP3
この投稿は古い情報です。最新はこちらを参照して下さい。
https://www.si1230.com/?p=40633