CentOS 8 を SSSD Linux クライアントとして設定し、LDAP 認証を利用する手順です。389 Directory Server に登録したユーザーを Linux の NSS / PAM で参照できるようにします。
SSSD は LDAP サーバーへ直接問い合わせるだけでなく、キャッシュ、NSS、PAM、TLS、bind DN をまとめて扱います。LDAP クライアント設定では、SSSD を中心に考える方が整理しやすくなります。
コマンドはコピペしやすい形を優先しています。既存設定を変更する場合は、バックアップを取ってから適用します。
この手順は CentOS 8 設定マニュアル の一部として整理しています。
参考書籍
参考書籍
LDAP – 設定・管理・プログラミング
LDAP / OpenLDAP の設定、管理、連携を確認したい場合の参考書籍です。古い書籍のため、価格や在庫はリンク先で確認してください。
Amazon で見るこのリンクは Amazon アソシエイトリンクです。
インストール
dnf install sssd sssd-tools sssd-ldap authselectルート証明書の配置
mkdir -p /etc/openldap/cacert
cp ca.crt /etc/openldap/cacert/ca.crtsssd.conf
cat <<'EOF' > /etc/sssd/sssd.conf
[sssd]
services = nss, pam
domains = si1230.com
[nss]
filter_groups = root
filter_users = root
[domain/si1230.com]
id_provider = ldap
auth_provider = ldap
ldap_uri = ldaps://ldap.si1230.com
ldap_search_base = dc=si1230,dc=com
ldap_tls_cacert = /etc/openldap/cacert/ca.crt
ldap_default_bind_dn = cn=readonly,dc=si1230,dc=com
ldap_default_authtok = [password]
cache_credentials = true
EOF
chmod 600 /etc/sssd/sssd.confauthselect
authselect select sssd --forceサービス起動
systemctl enable --now sssd.service
systemctl status sssd.service正常性確認
id user1
getent passwd user1
sssctl domain-status si1230.com
sssctl user-checks user1確認するポイント
ldap_search_baseが 389 Directory Server の suffix と一致しているか。- bind DN が読み取り権限を持っているか。
- CA 証明書で LDAPS の検証ができるか。
/etc/sssd/sssd.confが 600 になっているか。
この手順は CentOS 8 設定マニュアル の一部として整理しています。
CentOS 8 SSSD Linux クライアント – LDAP 認証の基本設定
Related posts:
CentOS 8 OpenLDAP LDAP クライアント – ldapsearch と証明書信頼設定
Ubuntu 22.04 SSSD – LDAP ユーザーで Linux 認証する
LDAP クライアント Apache Directory Studio は開発終了なのか
CentOS 6 Linux 認証のバックエンドに LDAP を使用
CentOS 7 LDAP クライアント設定 – authconfig と nslcd の LDAPS 接続
CentOS 8 389 Directory Server と Samba – LDAP スキーマ連携の基本
CentOS 8 から CentOS 8 へ公開鍵認証で SSH 接続する
Ubuntu 26.04 SSSD による LDAP 連携
CentOS 8 Windows から公開鍵認証で SSH 接続する
CentOS 7 LDAP サーバー構築 – OpenLDAP の初期設定と TLS
CentOS 7 Samba ファイルサーバー構築 – LDAP passdb と共有設定
CentOS 5 OpenLDAP LDAP サーバー構築