このドキュメントで説明するソフトウェアは、Extended SupportまたはSustaining Supportのいずれかにあります。 詳細は、https://www.oracle.com/us/support/library/enterprise-linux-support-policies-069172.pdfを参照してください。
Oracleでは、このドキュメントに記載されているソフトウェアをできるだけ早くアップグレードすることをお薦めします。
OpenLDAPはLDAPのオープン・ソースの実装であり、これを使用してLDAPディレクトリ・サーバーを構成できます。
システムをLDAPサーバーとして構成するには:
OpenLDAPパッケージをインストールします。
#
yum install openldap openldap-servers openldap-clients nss-pam-ldapd
OpenLDAP構成は、
/etc/openldap
の下の次のファイルに格納されます。-
ldap.conf
クライアント・アプリケーションの構成ファイル。
-
slapd.d/cn=config.ldif
OpenLDAPのデフォルトのグローバル構成LDIFファイル。
-
slapd.d/cn=config/*.ldif
データベースおよびスキーマの構成LDIFファイル。
-
slapd.d/cn=config/cn=schema/*.ldif
スキーマ構成LDIFファイル。 OpenLDAPスキーマの詳細は、http://www.openldap.org/doc/admin/schema.htmlで入手できます。
ノート/etc/openldap/slapd.d
の下にあるファイルは、slapd
サービスの実行時にOpenLDAPを再構成できるため編集する必要はありません。-
SSLトンネル(
ldaps://
)経由の接続をポート636でリスニングするようにslapd
を構成する場合は、/etc/sysconfig/ldap
を編集し、SLAPD_LDAPS
の値をyes
に変更します。SLAPD_LDAPS=yes
必要に応じて、
slapd
がldap://
接続をポート389でリスニングしないようにするには、SLAPD_LDAP
の値をno
に変更します。SLAPD_LDAP=no
ローカル・ネットワークからのポート389への着信TCP接続を許可します。
#
iptables -I INPUT -s
\subnet_addr
/prefix_length
-p tcp-m state --state NEW -m tcp -dport 389 -j ACCEPT
#service iptables save
この例では、
subnet_addr
/
prefix_length
によって、192.168.2.0/24
などのネットワーク・アドレスが指定されます。LDAPのプライマリTCPポートは389です。 SSLトンネル(
ldaps
)を使用するようにLDAPを構成する場合は、次のようにトンネルで使用するポート番号(通常、636)に置換します。#
iptables -I INPUT -s
\subnet_addr
/prefix_length
-p tcp-m state --state NEW -m tcp --dport 636 -j ACCEPT
#service iptables save
LDAPクライアントが接続可能な他のネットワークに対して同様のルールを追加します。
/var/lib/ldap
とそれに含まれるすべてのファイルのユーザー所有権およびグループ所有権をldap
に変更します。#
cd /var/lib/ldap
#chown ldap:ldap ./*
slapd
サービスを開始し、システムの再起動後に開始するように構成します。#
service slapd start
#chkconfig slapd on
ドメイン・データベースの構成ファイルにある
olcRootPW
エントリで使用するLDAPパスワードのハッシュを次の例のように生成します。#
slappasswd -h {SSHA}
New password:
Re-enter new password:password
{SSHA}lkMShz73MZBic19Q4pfOaXNxpLN3wLRypassword
ドメイン・データベースの構成エントリを含む
config-mydom-com.ldif
などの名前のLDIFファイルを、次の例に基づいて作成します。# Load the schema files required for accounts include file:///etc/ldap/schema/cosine.ldif include file:///etc/ldap/schema/nis.ldif include file:///etc/ldap/schema/inetorgperson.ldif # Load the HDB (hierarchical database) backend modules dn: cn=module,cn=config objectClass: olcModuleList cn: module olcModulepath: /usr/lib/ldap olcModuleload: back_hdb # Configure the database settings dn: olcDatabase=hdb,cn=config objectClass: olcDatabaseConfig objectClass: olcHdbConfig olcDatabase: {1}hdb olcSuffix:
dc=mydom,dc=com
# The database directory must already exist # and it should only be owned by ldap:ldap. # Setting its mode to 0700 is recommended olcDbDirectory: /var/lib/ldap olcRootDN:cn=admin,dc=mydom,dc=com
olcRootPW:{SSHA}lkMShz73MZBic19Q4pfOaXNxpLN3wLRy
olcDbConfig: set_cachesize 0 10485760 0 olcDbConfig: set_lk_max_objects 2000 olcDbConfig: set_lk_max_locks 2000 olcDbConfig: set_lk_max_lockers 2000 olcDbIndex: objectClass eq olcLastMod: TRUE olcDbCheckpoint: 1024 10 # Set up access control olcAccess: to attrs=userPassword by dn="cn=admin,dc=mydom,dc=com
" write by anonymous auth by self write by * none olcAccess: to attrs=shadowLastChange by self write by * read olcAccess: to dn.base="" by * read olcAccess: to * by dn="cn=admin,dc=mydom,dc=com
" write by * readノートこの構成ファイルを使用すると、実行時に
slapd
を再構成できます。slapd.conf
構成ファイルを使用する場合は、slapd
を動的に更新することもできますが、サーバーを再起動した場合は、それらの変更が維持されません。詳細は、
slapd-config(5)
マニュアル・ページを参照してください。ldapaddコマンドを使用して、LDIFファイルを追加します。
#
ldapadd -Y EXTERNAL -H ldapi:/// -f config-mydom-com.ldif
SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 adding new entry "cn=module,cn=config" adding new entry "olcDatabase=hdb,cn=config"
OpenLDAPの構成の詳細は、slapadd(8C)
、slapd(8C)
、slapd-config(5)
およびslappasswd(8C)
の各マニュアル・ページ、OpenLDAP管理者ガイド(/usr/share/doc/openldap-servers-
)、およびhttp://www.openldap.org/doc/にある最新のOpenLDAPドキュメントを参照してください。
version
/guide.html