OpenLDAPをディレクトリサーバとして使用する

当たり前のことですが、認証用のディレクトリサーバとして導入する目的が初めにあると思います。MicrosoftのActiveDirectoryと同様な感じです。

OpenLDAPクラインをインストールします。
今回の構成はOpenLDAPサーバはRocky Linux8でOpenLDAPクライアントはRocky Linux9になっています。

yumx -y install openldap-clients sssd sssd-ldap oddjob-mkhomedir

LDAPクライアントの認証をsssdにします。
SSSD(System Security Services Daemon)は認証クライアントで、Linux上で外部のディレクトリサービスへのアクセスや認証機能の利用を可能にするもの。

authselect select sssd with-mkhomedir --force

LDAPクライアントの/etc/openldap/ldap.confに以下の2行のエントリを追加します。

URI ldap://「FQDN」/またはldap://「IPアドレス」/
BASE dc=#####,dc=#####
♯####は実環境に合わせて記載

SSSDの設定ファイルを作成します。

vi /etc/sssd/sssd.conf
以下の内容を環境に合わせてsssd.confに記載する。
[domain/default]
id_provider = ldap
autofs_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldap://「FQDN」または「IPアドレス」/
ldap_search_base = dc=#####,dc=#####
ldap_id_use_start_tls = True
ldap_tls_cacertdir = /etc/openldap/certs
cache_credentials = True
ldap_tls_reqcert = allow

[sssd]
services = nss, pam, autofs
domains = default

[nss]
homedir_substring = /home
sssh.confに指定のパーミッションを設定する。
chmod 600 /etc/sssd/sssd.conf
sssdサービスを再起動
systemctl restart sssd oddjobd
sssdサービスをOS起動時に自動起動
systemctl enable sssd oddjobd

これでOpenLDAPクライアントはOpenLDAPサーバに適切に作成されたエントリ(ID)でアクセス可能となります。

関連記事

TOP