CentOS 8 OpenLDAP LDAP クライアント – ldapsearch と証明書信頼設定

CentOS 8 サーバー管理ガイドへ戻る

CentOS 8 は既に通常の CentOS Linux としてはサポートが終了しています。このページは新規構築を推奨するものではなく、過去環境の保守、移行前調査、設定の読み解きに使うためのレガシー Linux 手順です。新規構築では、現在サポートされているディストリビューションを利用してください。

この記事では、CentOS 8 を LDAP クライアントとして使い、ldapsearch で LDAP / LDAPS の疎通を確認するための基本を整理します。サーバーを構築する話ではなく、クライアント側で証明書を信頼し、検索できる状態を確認する記事です。

LDAP クライアントで確認すること

LDAP 連携で問題になるのは、認証情報だけではありません。名前解決、ポート疎通、TLS 証明書、base DN、bind DN がそろって初めて検索できます。

パッケージと証明書の配置

LDAP クライアントでは openldap-clients を入れ、内部 CA を使っている場合は CA 証明書を信頼ストアへ追加します。

dnf install -y openldap-clients ca-certificates
cp internal-ca.crt /etc/pki/ca-trust/source/anchors/internal-ca.crt
update-ca-trust extract

ldapsearch の確認例

まずは匿名検索ではなく、明示的に bind DN を指定して確認します。パスワードをコマンドラインに直接残したくない場合は、対話入力かファイル管理の方法を検討します。

ldapsearch -x   -H ldaps://ldap.example.com   -D "uid=readonly,ou=system,dc=example,dc=com"   -W   -b "dc=example,dc=com"   "(objectClass=*)" dn

よくある切り分け

• 証明書エラーの場合は、LDAP の bind より前に TLS 検証で止まっています。
• base DN が違う場合は、接続できても検索結果が空になります。
• 名前解決と証明書の CN / SAN がずれていると、LDAPS で失敗しやすくなります。

まとめ

LDAP クライアントの確認では、ldapsearch の成功だけを見るのではなく、TLS、base DN、bind DN を分けて確認することが重要です。特に内部 CA を使う環境では、証明書信頼の設定を先に固めておくと、認証設定の切り分けがしやすくなります。

関連する記事

参考書籍

関連記事

CentOS 8 SSSD Linux クライアント – LDAP 認証の基本設定 CentOS 6 OpenLDAP サーバー構築 – slapd と LDAP ディレクトリの基本 CentOS 7 LDAP サーバー構築 – OpenLDAP の初期設定と TLS CentOS 5 OpenLDAP サーバー構築 – slapd.conf と初期データ登録 CentOS 5 LDAP 参照設定 – setup コマンドで LDAP クライアントを構成する CentOS 5 Samba ファイルサーバー構築 – OpenLDAP 連携と共有設定 CentOS 8 389 Directory Server と Samba – LDAP スキーマ連携の基本 CentOS 8 389 Directory Server と Postfix – メールエイリアス LDAP 連携