2009年11月29日

CentOS5.3でOpenLDAP構築

CentOS5.3でOpenLDAPの構築手順。位置情報

【OpenLDAPサーバの設定】
IP addres=192.168.1.1/24
hostname=LdapServer
domain=testdomain.com
※OSのインストールは済んでいるものとします。
※SELinux,FireWallは無効であるものとします。
※Openldap-servers,clinetsはインストールされているものとします。

@LDAPパスワードのハッシュ値取得
# slappasswd -s ******(rootpassword)
{SSHA}HWqeNmSZCEdF/vlkDE2rZI8JiC65sV3G ←後で使用する

A「slapd.conf」の編集
# vi /etc/openldap/slapd.conf
-------------------以下エディタ----------------------------
※「i」で編集モードへ
access to attrs=userPassword
by self write
by dn="cn=Manager,dc=testdomain,dc=com" write
by anonymous auth
by * none
access to *
by self write
by dn="cn=Manager,dc=testdomain,dc=com" write
by * read

suffix "dc=testdomain,dc=com"
rootdn "cn=Manager,dc=testdomain,dc=com"

rootpw {SSHA}HWqeNmSZCEdF/vlkDE2rZI8JiC65sV3G
※@で取得したハッシュ値。

:wq!
※上書き保存。
-------------------以下終了------------------------------

BDBファイルをコピー
#cp /etc/openldap/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

Cldapクライアントの設定
#authconfig-tui
※画面が起動されるので、以下を有効にする。

◆認証の設定画面
ユーザ情報・・[*]LDAPを使用
認証・・ [*]LDAP認証を使用
「次」をクリック。

◆LDAP設定画面
サーバー・・ldap://127.0.0.1
ベースDN・・dc=testdomain,dc=com

DLDAPサービス起動
#service ldap start

Eサービスの自動起動設定
#chkconfig ldap on

Fドメイン設定用のldifファイル作成

----------------------------------------
dn: dc=testdomain,dc=com
objectClass: dcObject
objectClass: organization
dc: crown
o: crown

dn: cn=Manager,dc=testdomain,dc=com
objectclass: organizationalRole
cn: Manager

dn: ou=People,dc=ctestdomain,dc=com
objectClass: organizationalUnit
ou: People

dn: ou=Group,dc=testdomain,dc=com
objectClass: organizationalUnit
ou: Group
------------------------------------------
 
※上記内容を拡張子を「ldif」にして、ルートに保存。
domain.ldif

GLDAP認証用のグループ、ユーザーのldifファイル作成

◆グループ用
--------------------------------------------------
dn: cn=system,dc=testdomain,dc=com
objectClass: posixGroup
objectClass: top
cn: system
userPassword: {crypt}x
gidNumber: 1010
--------------------------------------------------

◆ユーザー用
--------------------------------------------------

dn: uid=ldapuser,ou=People,dc=testdomain,dc=com
uid: testuser
cn: testuser
objectClass: account
objectClass: posixAccount
objectClass: top
userPassword: testuser
loginShell: /bin/bash
uidNumber: 1010
gidNumber: 1010
homeDirectory: /home/testuser
gecos: testuser
--------------------------------------------------
※グループ、ユーザーのldifファイルをGと同様に作成。
user.ldif,group.ldif

Hldifファイルの登録

# ldapadd -x -D cn=Manager,dc=testdomain,dc=com -W -f
domain.ldif

Enter LDAP Password:
adding new entry "dc=testdomain,dc=com"

adding new entry "cn=Manager,dc=testdomain,dc=com"

adding new entry "ou=People,dc=testdomain,dc=com"

adding new entry "ou=Group,dc=testdomain,dc=com"

# ldapadd -x -D cn=Manager,dc=testdomain,dc=com -W -f
user.ldif

Enter LDAP Password:
adding new entry "uid=ldapuser,ou=People,dc=testdomain,dc=com"

# ldapadd -x -D cn=Manager,dc=crown,dc=com -W -f
group.ldif

Enter LDAP Password:
adding new entry "cn=system,dc=testdomain,dc=com"

以上で、LDAPサーバー側の設定は完了です。

【クライアントの設定】
@メニューから「システム」→「管理」→「認証」の順にクリックします。

A「認証の設定」画面が表示されますので、「LDAPサポートを有効にする」にチェックを入れ、「LDAPの設定」をクリック。

B以下の設定を実施
・LDAP検索 ベースDN:dc=testdomain,dc=com
・LDAPサーバー :ldap://192.168.1.1/

C「認証の設定」画面で「認証タブ」をクリックします。
「LDAPサポートを有効にする(L)」にチェックを入れます。「OK」をクリックします。

D「オプション」タブをクリックし、以下にチェックを入れます。
・ネットワークサービスによる認証システムアカウント
・利用者の最初のログイン時にホームディレクトリーを作成する
「OK」をクリックします。

EOSを再起動します。

F起動後、testuserでログオンできることを確認します。

ここまでですと、認証がクリアテキストで行われています。認証時のパケットをwiresharkなどでキャプチャするとクリアテキストで認証が行われていることがわかります。

認証の設定はまた別で行います。グッド(上向き矢印)








posted by ゴールデンアロー at 23:56| 東京 ☁| Comment(0) | OpenLDAP | このブログの読者になる | 更新情報をチェックする
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。