LDAPにより、システムは一元的に格納されている情報にネットワーク上でアクセスできます。 LDAPサーバーは、検索用に最適化されたディレクトリベースのデータベースに情報を格納します。 ディレクトリ・エントリは、名前、アドレス、電話番号、認証データ、ネットワーク・サービス、プリンタ、その他のタイプのデータなど多様な情報を格納できる階層ツリー構造に配置されています。 LDAPを使用して、ユーザーを認証し、LDAPネットワーク上の任意のマシンからのユーザー・アカウントへのアクセスを許可することもできます。

エントリは、LDAPディレクトリ内の情報の基本単位です。 各エントリには、1つ以上の属性があります。 各属性には、名前、タイプまたは説明、および1つ以上の値があります。 タイプの例として、共通名の場合はcnで、電子メールアドレスの場合はmailです。 また、objectClass属性によって、どの属性が必須でどの属性がオプションかを制御できます。 objectClassの値は、エントリが順守すべきスキーマ・ルールを決定します。

LDAPディレクトリの各エントリは一意に識別され、識別名(DN)によって参照されます。 DNは、エントリ自体(相対識別名またはRDNとも呼ばれます)の名前をその祖先エントリ(LDAP検索ベースDNと呼ばれます)の名前と連結して構築されます。 たとえば、RDNがuid=gab451のユーザーのDNはuid=gab451,ou=People,dc=mydomain,dc=comのようになります。ここで、ou=People,dc=mydomain,dc=comはLDAP検索ベースDN、ouは組織単位、dcはドメイン・コンポーネントを表します。

LDAP認証を構成するには、yumを使用してopenldap-clientsパッケージをインストールします。

認証構成GUIを使用してLDAPをユーザー・アカウント・データベースとして選択する場合、LDAP検索ベースDNおよびポート番号を含むLDAPサーバーのURLを入力するよう求められます(例: ldap://ldap-svr.mydomain.com:389)。

LDAPは、LDAP認証またはKerberos認証のいずれかを使用するように構成できます。 LDAP認証では、LDAP over SSL (ldaps)またはTransport Layer Security (TLS)を使用してLDAPサーバーへの接続を保護する必要があります。 TLSを使用する場合は、ドメイン内の認証基準を提供するCA証明書のダウンロード元URLを入力する必要があります。

authconfigコマンドを使用してLDAPを有効化し、構成することもできます。

LDAPを認証ソースとして使用するには、LDAPサーバーの完全なURL(ポート番号を含む)およびLDAP検索ベースDNとともに--enableldapauthオプションを指定する必要があります。次に例を示します。

# authconfig --enableldap --enableldapauth \
  --ldapserver=ldap://ldap-svr.mydomain.com:389 \
  --ldapbasedn="ou=people,dc=mydomain,dc=com" \
  --update

TLSを使用する場合は、--enableldaptlsオプションおよびCA証明書のダウンロードURLも指定します。

# authconfig --enableldap --enableldapauth \
  --ldapserver=ldap://ldap-svr.mydomain.com:389 \
  --ldapbasedn="ou=people,dc=mydomain,dc=com" \
  --enableldaptls \
  --ldaploadcacert=https://ca-server.mydomain.com/caCert.crt \
  --update 

LDAPでのKerberos認証の使用については、3.4.6項「Kerberos認証について」を参照してください。

詳細は、authconfig(8)マニュアル・ページを参照してください。

LDAPの詳細は、ldap(3)マニュアル・ページを参照してください。