当たり前のことですが、認証用のディレクトリサーバとして導入する目的が初めにあると思います。MicrosoftのActiveDirectoryと同様な感じです。
OpenLDAPクラインをインストールします。
今回の構成はOpenLDAPサーバはRocky Linux8でOpenLDAPクライアントはRocky Linux9になっています。
yumx -y install openldap-clients sssd sssd-ldap oddjob-mkhomedir
LDAPクライアントの認証をsssdにします。
SSSD(System Security Services Daemon)は認証クライアントで、Linux上で外部のディレクトリサービスへのアクセスや認証機能の利用を可能にするもの。
authselect select sssd with-mkhomedir --force
LDAPクライアントの/etc/openldap/ldap.confに以下の2行のエントリを追加します。
URI ldap://「FQDN」/またはldap://「IPアドレス」/ BASE dc=#####,dc=##### ♯####は実環境に合わせて記載
SSSDの設定ファイルを作成します。
vi /etc/sssd/sssd.conf
以下の内容を環境に合わせてsssd.confに記載する。 [domain/default] id_provider = ldap autofs_provider = ldap auth_provider = ldap chpass_provider = ldap ldap_uri = ldap://「FQDN」または「IPアドレス」/ ldap_search_base = dc=#####,dc=##### ldap_id_use_start_tls = True ldap_tls_cacertdir = /etc/openldap/certs cache_credentials = True ldap_tls_reqcert = allow [sssd] services = nss, pam, autofs domains = default [nss] homedir_substring = /home
sssh.confに指定のパーミッションを設定する。 chmod 600 /etc/sssd/sssd.conf
sssdサービスを再起動 systemctl restart sssd oddjobd sssdサービスをOS起動時に自動起動 systemctl enable sssd oddjobd
これでOpenLDAPクライアントはOpenLDAPサーバに適切に作成されたエントリ(ID)でアクセス可能となります。