SSSDを利用したLDAPの設定方法
このドキュメント (00100028) の最後に記載の 免責条項 に基づき提供されています。
環境
SUSE Linux Enterprise 12
概要
SSSD(System Security Services Daemon)を利用したLDAPの設定方法について知りたい。
設定方法
前提:
下記設定例では、以下のことを前提としています。
- LDAPサーバでは、認証サーバのパッケージがインストール済み(デフォルト設定)
※ドメインは"dc=site"
- LDAPクライアントでは、nss_ldap、pam_ldap、sssd-ldapのパッケージがインストール済み
- 認証サーバ(LDAPサーバ)
設定例)
1) 証明書を作成
# mkdir myCA
# cd myCA
# /usr/share/ssl/misc/CA.pl -newca
※パスフレーズ、組織情報を入力
# openssl req -new -nodes -keyout newreq.pem -out newreq.pem
※パスフレーズ、組織情報を入力
#/usr/share/ssl/misc/CA.pl -sign
※自己署名
# cp demoCA/cacert.pem /etc/openldap/
# cp newcert.pem /etc/openldap/servercrt.pem
# cp newreq.pem /etc/openldap/serverkey.pem
# chown ldap.ldap /etc/openldap/*.pem
# chmod 640 /etc/openldap/cacert.pem
# chmod 600 /etc/openldap/serverkey.pem
2) Yast2>Network Services>認証サーバ
3) 起動時の設定
- LDAPサーバの起動で「はい」にチェックを入れる
4) グローバル設定
ログレベル設定
- 「接続、操作、結果のログ」にチェックを入れる
TLS設定
-「TLSを有効にする」チェック
-「LDAP over SSL (ldaps)」にチェック
- ステップ1)で作成した証明書をインポート
CA証明書 /etc/openldap/cacert.pem
証明書ファイル /etc/openldap/servercrt.pem
証明書鍵ファイル /etc/openldap/serverkey.pem
5) データベースを選択し、dc=siteの管理者DNが「cn=Administrator」に設定されていることを確認
6) OKをクリック
- 認証クライアント(LDAPクライアント)
設定例)
1) 認証サーバ上で作成した証明書ファイルと証明書鍵ファイルをコピー
証明書ファイル /etc/openldap/servercrt.pem
証明書鍵ファイル /etc/openldap/serverkey.pem
2) /etc/nsswitch.confファイルを以下のように編集
# vi /etc/nsswitch.conf
:
passwd: compat sss
group: compat sss
3) /etc/sssd/sssd.confファイルを以下のように編集
# cp /etc/sssd/sssd.conf /etc/sssd/sssd.conf.org
# vi /etc/sssd/sssd.conf
[sssd]
config_file_version = 2
services = nss, pam
domains = site
[domain/site]
id_provider = ldap
auth_provider = ldap
ldap_schema = rfc2307bis
enumerate = false
cache_credentials = false
ldap_uri = ldap://<ldap server host name>.site
ldap_tls_reqcert = never
[nss]
filter_users = root
filter_groups = root
[pam]
注記:
上記設定例では、テスト目的でldap_tls_reqcert = never (証明書の要求を無効)に設定しています。
この設定は、セキュリティリスクがありますので、本番環境では、設定しないようにしてください。
4) pam-configツールを使って、PAM設定を変更
# pam-config --add --mkhomedir
# pam-config --add --sss
# service nscd stop
# chkconfig nscd off
# systemctl restart sssd
# systemctl enable sssd
5) テスト用にユーザ登録
# cat test1.ldif
dn: cn=test1,dc=site
objectClass: posixAccount
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: top
cn: test1
uid: test1
sn: test1
uidNumber: 5001
gidNumber: 5001
homeDirectory: /home/test1
loginShell: /bin/bash
userPassword: password
# ldapadd -x -h <LDAPサーバのIPアドレス> -D cn=Administrator,dc=site -w <パスワード> -f test1.ldif
6) 登録したユーザが検索できることを確認
# ldapsearch -x -h <LDAPサーバのIPアドレス> -D cn=Administrator,dc=site -s sub cn=test1 -b dc=site -w <パスワード>
- ログイン確認
1) コンソール(GNOME)からtest1ユーザでログイン
2) LDAPクライアント上でsuコマンドを実行
# su - test1
3) teratermからログイン
ユーザ名 test1
「チャレンジレスポンス認証を使う」にチェックを入れる
パスワード test1.ldifで設定したパスワードを入力
免責条項
このサポート ナレッジベースは、NetIQ/Novell/SUSE顧客、および弊社製品およびそのソリューションに関心のあるパーティへ、情報やアイデアの取得およびそれらの知識を得る為の有効なツールを提供します。 本文書の商品性、および特定目的への適合性について、いかなる黙示の保証も否認し、排除します。
- ドキュメント ID:00100028
- 作成年月日:11-FEB-16
- 修正年月日:11-FEB-16
-
- SUSESUSE Linux Enterprise 12
このドキュメントはあなたの問題を解決しましたか? フィードバックを送る