Overview
LDAP サーバーにグループとユーザーを登録します。
前提条件
- こちらを参考に 389 Directory Server のアクセス制御設定が完了していること。
グループとユーザーの登録
グループとユーザーを登録します。gidNumber と uidNumber はローカルの gid, uid で使用される番号と重複しない設計が必要です。Ubuntu は一般ユーザーを 1000 から使用する為、少なくとも 1000 番台は避ける設計とします。
mailAlternateAddress は Posftix との連携用設定です。この例では、myadmin ユーザー宛のメールを u3000@si1230.com に転送します。
myadmin@ubuntu:~$ cat <<"EOF" | ldapadd -H ldaps://ldap.si1230.com -D "cn=Directory Manager" -w password
dn: cn=g3000,ou=groups,dc=si1230,dc=com
objectClass: posixGroup
gidNumber: 3000
cn: g3000
dn: uid=u3000,ou=users,dc=si1230,dc=com
objectClass: posixAccount
cn: u1000
gidNumber: 3000
homeDirectory: /home/u3000
uid: u3000
uidNumber: 3000
loginShell: /bin/bash
userPassword: password
dn: mailAlternateAddress=myadmin,ou=mailalias,dc=si1230,dc=com
objectClass: mailGroup
mailAlternateAddress: myadmin
mailRoutingAddress: u3000@si1230.com
EOF
myadmin@ubuntu:~$ ldapsearch -H ldaps://ldap.si1230.com -D "cn=Directory Manager" -w password -b dc=si1230,dc=com
当該ユーザーが Linux にログインして何らかの操作を必要としない場合、/usr/sbin/nologin(通知あり)か /bin/false(通知なし)を指定するのが良いと思います。例えば Samba を使用するユーザーに /bin/bash は不要です。
Ubuntu 22.04 389 Directory Server LDAP サーバー構築 #5 グループとユーザーの登録