CentOS 8 は既に通常の CentOS Linux としてはサポートが終了しています。このページは新規構築を推奨するものではなく、過去環境の保守、移行前調査、設定の読み解きに使うためのレガシー Linux 手順です。新規構築では、現在サポートされているディストリビューションを利用してください。
CentOS 8 で 389 Directory Server を導入し、初期インスタンスと TLS 証明書を設定する手順です。389 Directory Server は LDAP サーバーとして、ユーザー、グループ、アプリケーション連携の基盤になります。
この記事では、Directory Server そのものの導入、インスタンス作成、TLS 証明書登録、ldapsearch による確認までを扱います。既存環境の保守・移行前調査では、どの suffix を持ち、どの証明書で LDAPS を提供しているかを最初に確認します。
構成の前提
- CentOS 8 上に 389 Directory Server を導入する。
- suffix は
dc=example,dc=localのような内部ディレクトリを想定する。 - 管理者 DN と Directory Manager パスワードを明確にする。
- LDAPS を使う場合、サーバー証明書と CA の信頼関係を確認する。
パッケージをインストールする
dnf install 389-ds-base 389-ds-base-libs openldap-clientsインスタンス作成用ファイルを用意する
[general]
config_version = 2
[slapd]
instance_name = localhost
root_password = change_this_password
suffix = dc=example,dc=localインスタンスを作成する
dscreate from-file ds.infサービス状態を確認する
systemctl status dirsrv@localhost
dsctl localhost statusTLS 証明書を登録する
389 Directory Server では NSS DB に証明書を登録します。既存環境では、証明書ファイルだけでなく NSS DB、nickname、信頼属性を確認することが重要です。
dsctl localhost tls import-server-key-cert /path/to/server.crt /path/to/server.key
dsconf localhost security certificate listLDAPS を有効化する
dsconf localhost config replace nsslapd-security=on
dsctl localhost restartldapsearch で確認する
ldapsearch -x -H ldap://localhost -b dc=example,dc=local
ldapsearch -x -H ldaps://localhost -b dc=example,dc=local確認するポイント
- suffix が想定通りか。
- Directory Manager の DN とパスワード管理が明確か。
- LDAPS の証明書名と接続名が一致しているか。
- 389 DS の管理コマンドと LDAP クライアント確認を分けて見ているか。
まとめ
389 Directory Server の導入では、インスタンス作成と TLS 設定を分けて確認します。CentOS 8 の既存環境では、suffix、NSS DB、証明書 nickname、LDAPS の到達性を押さえることで、後続のユーザー登録やアプリケーション連携を読みやすくなります。
関連する記事
- CentOS 8 389 Directory Server 構築 #1 – 導入と TLS 証明書の登録
389 Directory Server の導入と TLS 証明書登録を扱います。 - CentOS 8 389 Directory Server 構築 #2 – 初期データ登録
base DN、OU、ユーザー、グループなどの初期データ登録を扱います。 - CentOS 8 389 Directory Server 構築 #3 – BIND ユーザーとアクセス制御
アプリケーション用 BIND ユーザーとアクセス制御を整理します。
参考書籍
書籍
LDAP / OpenLDAP の設定、管理、連携を確認したい場合の参考書籍です。古い書籍のため、価格や在庫はリンク先で確認してください。
Amazon で見るこのリンクは Amazon アソシエイトリンクです。
関連記事
CentOS 8 389 Directory Server IPv4 が Listen しないように見える場合
CentOS 8 389 Directory Server legacy setup-ds.pl – 旧導入方式の位置づけ
CentOS 8 389 Directory Server – 特定インスタンスを削除する
CentOS 8 389 Directory Server 構築 #2 – 初期データ登録
CentOS 8 389 Directory Server 構築 #3 – BIND ユーザーとアクセス制御
CentOS 8 389 Directory Server と Samba – LDAP スキーマ連携の基本
CentOS 8 389 Directory Server と Postfix – メールエイリアス LDAP 連携
CentOS 7 LDAP サーバー構築 – OpenLDAP の初期設定と TLS