CentOS 7 LDAP クライアント設定 – authconfig と nslcd の LDAPS 接続

CentOS 7 は既にサポートが終了しています。このページは新規構築を推奨するものではなく、過去環境の保守、移行前調査、設定の読み解きに使うためのレガシー Linux 手順です。新規構築では、現在サポートされている Linux ディストリビューションを利用してください。

CentOS 7 サーバー管理ガイドへ戻る

CentOS 7 を LDAP クライアントとして構成し、authconfig と nslcd を使って LDAPS 接続する手順です。古い CentOS 7 環境では、SSSD ではなく nslcd ベースの LDAP 認証が残っていることがあります。

LDAP クライアント設定では、認証できるかだけでなく、名前解決、証明書検証、UID/GID の扱い、sudo や SSH との関係を分けて確認します。特に LDAPS では、サーバー証明書を信頼できる状態にすることが前提です。

必要パッケージをインストールする

yum install nss-pam-ldapd openldap-clients authconfig

LDAP サーバーの証明書を信頼させる

LDAPS を使う場合、クライアントが LDAP サーバー証明書を検証できる必要があります。内部 CA を使っている場合は CA 証明書を配置します。

cp ca.crt /etc/openldap/cacerts/ca.crt
chmod 644 /etc/openldap/cacerts/ca.crt

authconfig で LDAP 認証を有効化する

authconfig --enableldap --enableldapauth --ldapserver=ldaps://ldap01.mydomain.com --ldapbasedn="dc=mydomain,dc=com" --enablemkhomedir --update

nslcd の設定を確認する

cp -a /etc/nslcd.conf /etc/nslcd.conf.bak

uri ldaps://ldap01.mydomain.com/
base dc=mydomain,dc=com
ssl on
tls_cacertfile /etc/openldap/cacerts/ca.crt

nslcd を起動する

systemctl enable nslcd
systemctl restart nslcd
systemctl status nslcd

LDAP ユーザーを確認する

getent passwd ldapuser
id ldapuser
ldapsearch -H ldaps://ldap01.mydomain.com -b dc=mydomain,dc=com uid=ldapuser

ログイン確認の観点

• LDAP ユーザーが NSS で引けるか。
• 認証失敗時に証明書検証エラーになっていないか。
• UID/GID がローカルユーザーと衝突していないか。
• ホームディレクトリの自動作成が必要か。
• SSH ログインや sudo 権限を別途どう扱うか。

まとめ

CentOS 7 の LDAP クライアント設定は、authconfig で有効化するだけでは全体像が見えません。nslcd、NSS、PAM、LDAPS 証明書、UID/GID、SSH の関係を分けて確認すると、古い認証基盤の問題点を追いやすくなります。

関連する記事

参考書籍

関連記事

CentOS 7 LDAP サーバー構築 – OpenLDAP の初期設定と TLS CentOS 7 LDAP データ登録 – base / group / user の LDIF 例 CentOS 7 Samba ファイルサーバー構築 – LDAP passdb と共有設定 CentOS 6 OpenVPN クライアント設定 – 証明書配置と接続設定 CentOS 5 LDAP 参照設定 – setup コマンドで LDAP クライアントを構成する CentOS 5 LDAP 統合認証 – ユーザー情報を一元管理する考え方 CentOS 6 Linux 認証に LDAP を使う – NSS / PAM 連携の基本 CentOS 6 OpenLDAP サーバー構築 – slapd と LDAP ディレクトリの基本