このドキュメントで説明するソフトウェアは、Extended SupportまたはSustaining Supportのいずれかにあります。 詳細は、https://www.oracle.com/us/support/library/enterprise-linux-support-policies-069172.pdfを参照してください。
Oracleでは、このドキュメントに記載されているソフトウェアをできるだけ早くアップグレードすることをお薦めします。
OpenLDAPはLDAPのオープン・ソースの実装であり、これを使用してLDAPディレクトリ・サーバーを構成できます。
システムをLDAPサーバーとして構成するには:
OpenLDAPパッケージをインストールします。
#
yum install openldap openldap-servers openldap-clients nss-pam-ldapdOpenLDAP構成は、
/etc/openldapの下の次のファイルに格納されます。-
ldap.conf クライアント・アプリケーションの構成ファイル。
-
slapd.d/cn=config.ldif OpenLDAPのデフォルトのグローバル構成LDIFファイル。
-
slapd.d/cn=config/*.ldif データベースおよびスキーマの構成LDIFファイル。
-
slapd.d/cn=config/cn=schema/*.ldif スキーマ構成LDIFファイル。 OpenLDAPスキーマの詳細は、http://www.openldap.org/doc/admin/schema.htmlで入手できます。
ノート/etc/openldap/slapd.dの下にあるファイルは、slapdサービスの実行時にOpenLDAPを再構成できるため編集する必要はありません。-
SSLトンネル(
ldaps://)経由の接続をポート636でリスニングするようにslapdを構成する場合は、/etc/sysconfig/ldapを編集し、SLAPD_LDAPSの値をyesに変更します。SLAPD_LDAPS=yes
必要に応じて、
slapdがldap://接続をポート389でリスニングしないようにするには、SLAPD_LDAPの値をnoに変更します。SLAPD_LDAP=no
ローカル・ネットワークからのポート389への着信TCP接続を許可します。
#
iptables -I INPUT -s\subnet_addr/prefix_length-p tcp-m state --state NEW -m tcp -dport 389 -j ACCEPT#service iptables saveこの例では、
subnet_addr/prefix_lengthによって、192.168.2.0/24などのネットワーク・アドレスが指定されます。LDAPのプライマリTCPポートは389です。 SSLトンネル(
ldaps)を使用するようにLDAPを構成する場合は、次のようにトンネルで使用するポート番号(通常、636)に置換します。#
iptables -I INPUT -s\subnet_addr/prefix_length-p tcp-m state --state NEW -m tcp --dport 636 -j ACCEPT#service iptables saveLDAPクライアントが接続可能な他のネットワークに対して同様のルールを追加します。
/var/lib/ldapとそれに含まれるすべてのファイルのユーザー所有権およびグループ所有権をldapに変更します。#
cd /var/lib/ldap#chown ldap:ldap ./*slapdサービスを開始し、システムの再起動後に開始するように構成します。#
service slapd start#chkconfig slapd onドメイン・データベースの構成ファイルにある
olcRootPWエントリで使用するLDAPパスワードのハッシュを次の例のように生成します。#
slappasswd -h {SSHA}New password:passwordpasswordドメイン・データベースの構成エントリを含む
config-mydom-com.ldifなどの名前のLDIFファイルを、次の例に基づいて作成します。# Load the schema files required for accounts include file:///etc/ldap/schema/cosine.ldif include file:///etc/ldap/schema/nis.ldif include file:///etc/ldap/schema/inetorgperson.ldif # Load the HDB (hierarchical database) backend modules dn: cn=module,cn=config objectClass: olcModuleList cn: module olcModulepath: /usr/lib/ldap olcModuleload: back_hdb # Configure the database settings dn: olcDatabase=hdb,cn=config objectClass: olcDatabaseConfig objectClass: olcHdbConfig olcDatabase: {1}hdb olcSuffix:dc=mydom,dc=com# The database directory must already exist # and it should only be owned by ldap:ldap. # Setting its mode to 0700 is recommended olcDbDirectory: /var/lib/ldap olcRootDN:cn=admin,dc=mydom,dc=comolcRootPW:{SSHA}lkMShz73MZBic19Q4pfOaXNxpLN3wLRyolcDbConfig: set_cachesize 0 10485760 0 olcDbConfig: set_lk_max_objects 2000 olcDbConfig: set_lk_max_locks 2000 olcDbConfig: set_lk_max_lockers 2000 olcDbIndex: objectClass eq olcLastMod: TRUE olcDbCheckpoint: 1024 10 # Set up access control olcAccess: to attrs=userPassword by dn="cn=admin,dc=mydom,dc=com" write by anonymous auth by self write by * none olcAccess: to attrs=shadowLastChange by self write by * read olcAccess: to dn.base="" by * read olcAccess: to * by dn="cn=admin,dc=mydom,dc=com" write by * readノートこの構成ファイルを使用すると、実行時に
slapdを再構成できます。slapd.conf構成ファイルを使用する場合は、slapdを動的に更新することもできますが、サーバーを再起動した場合は、それらの変更が維持されません。詳細は、
slapd-config(5)マニュアル・ページを参照してください。ldapaddコマンドを使用して、LDIFファイルを追加します。
#
ldapadd -Y EXTERNAL -H ldapi:/// -f config-mydom-com.ldifSASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 adding new entry "cn=module,cn=config" adding new entry "olcDatabase=hdb,cn=config"
OpenLDAPの構成の詳細は、slapadd(8C)、slapd(8C)、slapd-config(5)およびslappasswd(8C)の各マニュアル・ページ、OpenLDAP管理者ガイド(/usr/share/doc/openldap-servers-)、およびhttp://www.openldap.org/doc/にある最新のOpenLDAPドキュメントを参照してください。
version/guide.html