CentOS 7 LDAP データ登録 – base / group / user の LDIF 例

CentOS 7 は既にサポートが終了しています。このページは新規構築を推奨するものではなく、過去環境の保守、移行前調査、設定の読み解きに使うためのレガシー Linux 手順です。新規構築では、現在サポートされている Linux ディストリビューションを利用してください。

CentOS 7 サーバー管理ガイドへ戻る

CentOS 7 の OpenLDAP に、base、group、user などの基本データを LDIF で登録する手順です。LDAP は設定だけでは意味がなく、ディレクトリツリーにどの単位でユーザーやグループを置くかを決める必要があります。

この記事では、既存の LDAP 環境を読むときに最低限追うべき DN、OU、group、user の関係を整理します。

base DN を登録する

dn: dc=mydomain,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
o: mydomain
dc: mydomain

ldapadd -x -D cn=Manager,dc=mydomain,dc=com -W -f base.ldif

OU を登録する

dn: ou=People,dc=mydomain,dc=com
objectClass: organizationalUnit
ou: People

dn: ou=Group,dc=mydomain,dc=com
objectClass: organizationalUnit
ou: Group

ldapadd -x -D cn=Manager,dc=mydomain,dc=com -W -f ou.ldif

グループを登録する

dn: cn=developers,ou=Group,dc=mydomain,dc=com
objectClass: posixGroup
cn: developers
gidNumber: 10000

ldapadd -x -D cn=Manager,dc=mydomain,dc=com -W -f group.ldif

ユーザーを登録する

dn: uid=user01,ou=People,dc=mydomain,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
cn: User One
sn: One
uid: user01
uidNumber: 10000
gidNumber: 10000
homeDirectory: /home/user01
loginShell: /bin/bash

ldapadd -x -D cn=Manager,dc=mydomain,dc=com -W -f user01.ldif

登録結果を確認する

ldapsearch -x -b dc=mydomain,dc=com uid=user01
ldapsearch -x -b dc=mydomain,dc=com cn=developers

クライアント側で確認する

getent passwd user01
id user01

設計上の注意点

uidNumber と gidNumber の採番ルールを決める。
ローカルユーザーと UID/GID が衝突しないようにする。
OU を細かく分けすぎない。
LDAP に認証情報を集める場合、TLS とアクセス制御を前提にする。

まとめ

LDAP のデータ登録は、LDIF を流し込むだけに見えますが、実際には DN 設計と UID/GID 設計が重要です。CentOS 7 の既存環境を読む場合は、base、OU、group、user の階層と、クライアント側でどう解決されるかを合わせて確認します。

参考書籍

参考
書籍

参考書籍

LDAP – 設定・管理・プログラミング

LDAP / OpenLDAP の設定、管理、連携を確認したい場合の参考書籍です。古い書籍のため、価格や在庫はリンク先で確認してください。

Amazon で見る

このリンクは Amazon アソシエイトリンクです。

CentOS 7 LDAP データ登録 – base / group / user の LDIF 例

base DN を登録する

OU を登録する

グループを登録する

ユーザーを登録する

登録結果を確認する

クライアント側で確認する

設計上の注意点

まとめ

関連する記事

参考書籍