CentOS 7 LDAP クライアント設定 – authconfig と nslcd の LDAPS 接続

CentOS 7 を LDAP クライアントとして設定する手順です。authconfig で LDAP 認証を有効化し、nslcd と OpenLDAP クライアント設定を LDAPS 向けに整理します。

LDAP クライアント設定では、接続先 URI、base DN、CA 証明書、bind DN、bind パスワードの扱いが重要です。特に bind パスワードを含むファイルは権限を必ず絞ります。

コマンドはコピペしやすい形を優先しています。ただし、BIND、OpenLDAP、Samba は既存値との重複や環境差が出やすいため、長大な設定ファイルはバックアップを取り、設定断片として確認して反映します。

この手順は CentOS 7 設定マニュアルの一部として整理しています。

参考書籍

LDAP – 設定・管理・プログラミング

LDAP / OpenLDAP の設定、管理、連携を確認したい場合の参考書籍です。古い書籍のため、価格や在庫はリンク先で確認してください。

Amazon で見る

このリンクは Amazon アソシエイトリンクです。

現在値の確認

authconfig --test

authconfig の設定

authconfig --enableldap --enableldapauth --ldapserver=ldaps://localhost/ --ldapbasedn=dc=mydomain,dc=com --update
authconfig --test

nslcd.conf の設定

nslcd.conf は既存値が多いため、該当項目を確認して反映します。bind パスワードを含むため 600 を維持します。

cp -a /etc/nslcd.conf /etc/nslcd.conf.bak

cat <<'EOF'
# /etc/nslcd.conf の該当項目を以下のように整理する
uri ldaps://localhost/
base dc=mydomain,dc=com
ssl no
tls_cacertdir /etc/openldap/cacerts
tls_reqcert allow
binddn cn=Reader,dc=mydomain,dc=com
bindpw [password]
EOF

chmod 600 /etc/nslcd.conf

ldap.conf の設定

cp -a /etc/openldap/ldap.conf /etc/openldap/ldap.conf.bak

cat <<'EOF' >> /etc/openldap/ldap.conf
URI ldaps://localhost/
BASE dc=mydomain,dc=com
TLS_CACERTDIR /etc/openldap/cacerts
TLS_REQCERT allow
EOF

ルート証明書配置

cp /etc/easy-rsa/pki/ca.crt /etc/openldap/cacerts/

nslcd の再起動

systemctl restart nslcd
systemctl status nslcd

確認

getent passwd u3000
getent group g3000
ldapsearch -x -H ldaps://localhost/ -b dc=mydomain,dc=com

CentOS 7 の LDAP クライアントは authconfig と手動設定が混ざりやすいです。最終的には /etc/nslcd.conf、/etc/openldap/ldap.conf、CA 証明書、nslcd のログを合わせて確認します。