openldapの設定
OpenLDAPは、バージョンによって設定の方法が変わっています。バージョン2.2まではslapd.confに設定内容を定義していましたが、バージョン2.3以降で非推奨となりディレクトリサービス上に設定を格納するようになりました。
下記は、slapd.confで設定する方法(2.2まで)と、ディレクトリサービス上に設定する方法(2.3以降)を記載しています。
※CentOS5標準のOpenLDAPは2.2までとなっています。
※CentOS6標準のOpenLDAPは2.3以降となり、ディレクトリサービス上で設定が行えるようになっています。
...
0. OpenLDAPパッケージの確認
/etc/openldap/schemaディレクトリが存在しない場合は、以下のようにしてOpenLDAPパッケージをインストールしてください。
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
|
# yum install openldap-clients openldap-servers |
インストール後、自動起動の設定を行います。
展開 |
---|
|
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
| # chkconfig --level 345 slapd on |
|
展開 |
---|
|
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
| # chkconfig --level 345 ldap on |
|
...
1. 追加のスキーマファイル
以下のURLには、edupersonスキーマの内容が記載されています。
/etc/openldap/schema 配下に「eduperson.schema」を作成し、スキーマの内容をコピーしてください。
※edupersonスキーマの追加は必須ではありません。
(既に統合認証基盤が構築されており、必要な属性値が存在する場合など)
https://spaces.internet2.edu/display/macedir/OpenLDAP+eduPerson
...
2. ldapのデフォルト設定
展開 |
---|
|
ディレクトリサービス上に設定する方法は、slapd.confから変換する方法もありますが、ここではディレクトリ サービスのインタフェースを介した手順を説明します。 ・ldapの起動 事前に起動させておく必要があります。 パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
| # service slapd start |
・データベースの設定 初期登録されている既存のドメイン情報を変更して、使用します。 以下のような内容で、ドメイン情報変更用のldifファイルを作成します。 パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
| dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=olmgr,o= test_o,dc=ac,c=JP" read by * none
dn: olcDatabase={2}bdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: o=test_o,dc=ac,c=JP ←suffix
-
replace: olcRootDN
olcRootDN: cn=olmgr,o=test_o,dc=ac,c=JP ←rootdn
-
add: olcRootPW
olcRootPW: {CRYPT}olagW85bjtaKc ←rootパスワード(暗号化したもの)
|
ここで設定したolcRootPWは、LDAPのデータベースに対する管理者パスワードです。 また、このパスワードは IdPの設定ファイルにも記述します。(後述) ※暗号化の例: パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
| 「csildap」というパスワードを暗号化
# slappasswd -h {crypt} -s csildap
{CRYPT}olagW85bjtaKc ←これをドメイン情報変更用ldifのolcRootPWに記載 |
以下のコマンドを実行して、ドメイン情報を変更します。 パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
| # ldapmodify -Y EXTERNAL -H ldapi:// -f ドメイン情報変更用のldifファイルパス |
・eduPersonスキーマの登録 スキーマの登録においてもディレクトリサービスのインタフェースを介した手順となります。 ldifファイルより行うため、eduPersonスキーマを使ってldifファイルを作成します。 以下のような内容で、ldifファイル作成に必要な設定ファイルを作成します。 パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
| include /etc/openldap/schema/eduperson.schema |
以下のコマンドを実行して、eduPersonスキーマのldifファイルを作成します。 パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
| # slapcat -f 作成した設定ファイルのパス -F /tmp -n0 -s "cn={0}eduperson,cn=schema,cn=config" > /etc/openldap/schema/eduperson.ldif |
作成したldifファイルから余分な情報を削除します。 以下の手順に従って、/etc/openldap/schema/eduperson.ldifを編集してください。 パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
| ・ファイル先頭にある {0}eduperson を eduperson に修正
以下は、修正後の内容です。
dn: cn=eduperson,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: eduperson
・ファイルの後方にある「structuralObjectClass: olcSchemaConfig」以降を全て削除
以下は、削除対象の項目です。
structuralObjectClass: olcSchemaConfig
entryUUID: ・・・ (省略)
creatorsName: ・・・ (省略)
createTimestamp: ・・・ (省略)
entryCSN: ・・・ (省略)
modifiersName: ・・・ (省略)
modifyTimestamp: ・・・ (省略)
|
以下のコマンドを実行して、edupersonスキーマを登録します。 パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
| # ldapadd -Y EXTERNAL -H ldapi:// -f /etc/openldap/schema/eduperson.ldif |
|
展開 |
---|
|
/etc/openldap/slapd.conf を変更します。 パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
| (省略)
include /etc/openldap/schema/eduperson.schema ←入手したスキーマファイルを追加
suffix " o= test_o, dc=ac, c=JP " ←suffix
rootdn " cn= olmgr, o= test_o, dc=ac, c=JP " ←rootdn
rootpw {CRYPT}olagW85bjtaKc ←rootパスワード(暗号化したもの) |
ここで設定したパスワードは IdPの設定ファイルにも記述します。(後述) ※暗号化の例: パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
| 「csildap」というパスワードを暗号化
# slappasswd -h {crypt} -s csildap
{CRYPT}olagW85bjtaKc ←これをslapd.confのrootpwに記載 |
設定後、ldapを起動します。 パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
| # service ldap start |
|
...
3. ldapのテストデータ作成
以下のサンプルを基に、テスト用データを作成し、ldapへ登録します。
Shibboleth を利用したID/パスワードでの認証に使用されるIDはuid 、パスワードは userPassword になります。
※IDに使用する属性については、login.configの設定で他の属性に変更できます。
また、同様に送信属性値取得の設定がattribute-resolver.xmlで行われています。
こちらのLDAP検索キーも同様に変更しなければ不整合が起きるので、注意してください。
...