SSSDを利用したLDAPの設定方法

SUSE Linux Enterprise 12

SSSD（System Security Services Daemon）を利用したLDAPの設定方法について知りたい。

前提：
下記設定例では、以下のことを前提としています。
- LDAPサーバでは、認証サーバのパッケージがインストール済み（デフォルト設定）
　※ドメインは"dc=site"
- LDAPクライアントでは、nss_ldap、pam_ldap、sssd-ldapのパッケージがインストール済み

1. 認証サーバ（LDAPサーバ）
   設定例）
   
   1) 証明書を作成
   
   　# mkdir myCA
   　# cd myCA
   　# /usr/share/ssl/misc/CA.pl -newca
   　　※パスフレーズ、組織情報を入力
   　# openssl req -new -nodes -keyout newreq.pem -out newreq.pem
   　　※パスフレーズ、組織情報を入力
   　#/usr/share/ssl/misc/CA.pl -sign
   　　※自己署名
   　# cp demoCA/cacert.pem /etc/openldap/
   　# cp newcert.pem /etc/openldap/servercrt.pem
   　# cp newreq.pem /etc/openldap/serverkey.pem
   　# chown ldap.ldap /etc/openldap/*.pem
   　# chmod 640 /etc/openldap/cacert.pem
   　# chmod 600 /etc/openldap/serverkey.pem
   
   2) Yast2＞Network Services＞認証サーバ
   
   3) 起動時の設定
   
   　- LDAPサーバの起動で「はい」にチェックを入れる
   
   4) グローバル設定
   
   　ログレベル設定
   　- 「接続、操作、結果のログ」にチェックを入れる
   　TLS設定
   　-「TLSを有効にする」チェック
   　-「LDAP over SSL (ldaps)」にチェック
   　- ステップ1)で作成した証明書をインポート
   　　CA証明書 /etc/openldap/cacert.pem
   　　証明書ファイル /etc/openldap/servercrt.pem
   　　証明書鍵ファイル /etc/openldap/serverkey.pem
   
   5) データベースを選択し、dc=siteの管理者DNが「cn=Administrator」に設定されていることを確認
   
   6) OKをクリック
   
   
   
2. 認証クライアント（LDAPクライアント）
   設定例）
   
   1) 認証サーバ上で作成した証明書ファイルと証明書鍵ファイルをコピー
   
   　証明書ファイル /etc/openldap/servercrt.pem
   　証明書鍵ファイル /etc/openldap/serverkey.pem
   
   2) /etc/nsswitch.confファイルを以下のように編集
   
   　# vi /etc/nsswitch.conf
   　:
   　passwd: compat sss
   　group: compat sss
   
   3) /etc/sssd/sssd.confファイルを以下のように編集
   
   　# cp /etc/sssd/sssd.conf /etc/sssd/sssd.conf.org
   　# vi /etc/sssd/sssd.conf
   　[sssd]
   　config_file_version = 2
   　services = nss, pam
   　domains = site
   　[domain/site]
   　id_provider = ldap
   　auth_provider = ldap
   　ldap_schema = rfc2307bis
   　enumerate = false
   　cache_credentials = false
   　ldap_uri = ldap://<ldap server host name>.site
   　ldap_tls_reqcert = never
   　[nss]
   　filter_users = root
   　filter_groups = root
   　[pam]
   
   　注記：
   　上記設定例では、テスト目的でldap_tls_reqcert = never （証明書の要求を無効）に設定しています。
   　この設定は、セキュリティリスクがありますので、本番環境では、設定しないようにしてください。
   
   4) pam-configツールを使って、PAM設定を変更
   
   　# pam-config --add --mkhomedir
   　# pam-config --add --sss
   　# service nscd stop
   　# chkconfig nscd off
   　# systemctl restart sssd
   　# systemctl enable sssd
   
   5) テスト用にユーザ登録
   
   　# cat test1.ldif
   　dn: cn=test1,dc=site
   　objectClass: posixAccount
   　objectClass: inetOrgPerson
   　objectClass: organizationalPerson
   　objectClass: person
   　objectClass: top
   　cn: test1
   　uid: test1
   　sn: test1
   　uidNumber: 5001
   　gidNumber: 5001
   　homeDirectory: /home/test1
   　loginShell: /bin/bash
   　userPassword: password
   
   　# ldapadd -x -h <LDAPサーバのIPアドレス> -D cn=Administrator,dc=site -w <パスワード> -f test1.ldif
   
   6) 登録したユーザが検索できることを確認
   
   　# ldapsearch -x -h <LDAPサーバのIPアドレス> -D cn=Administrator,dc=site -s sub cn=test1 -b dc=site -w <パスワード>
   
   
   
3. ログイン確認
   
   1) コンソール（GNOME）からtest1ユーザでログイン
   
   2) LDAPクライアント上でsuコマンドを実行
   
   　# su - test1
   
   3) teratermからログイン
   
   　ユーザ名　test1
   　「チャレンジレスポンス認証を使う」にチェックを入れる
   　パスワード　test1.ldifで設定したパスワードを入力