TOP＞設計・移行・活用＞ OpenLDAPの設定

実践！ Samba移行術 第3回：NT4.0→Samba3.0への移行（2） 著者：オープンソース・ソリューション・テクノロジ  小田切 耕司 2005/1/31

1   2  3  4  次のページ

OpenLDAPの設定

OpenLDAPの設定は/etc/openldap/slapd.confに編集して行うが、ここで解説しない詳細な設定方法に関しては以下や一般書籍などを参照して欲しい。

「OpenLDAP管理者ガイド」 http://www5f.biglobe.ne.jp/~inachi/openldap/index.html Red Hat Linux 参照ガイド http://www.jp.redhat.com/manual/Doc9/rhl-rg-ja-9/ch-ldap.html Red Hat Enterprise Linux 3 リファレンスガイド http://www.jp.redhat.com/support/doc/ MIRACLE LINUX V3.0 サーバー構築・運用ガイド （製品に同梱）

ここでは、SambaでWindowsドメイン環境を構築するための設定だけを解説する。

includeパラメータ

Sambaのスキーマを利用するためslapd.conf ファイルの中に以下の行を追加する。

include/etc/openldap/schema/samba.schema

Sambaスキーマがない場合は別途コピーする必要がある。Red Hat系の場合は「/usr/share/doc/samba*/LDAP」ディレクトリからコピーし、それ以外の場合はSambaのソース（ftp://ftp.samba.org/pub/samba/samba-latest.tar.gz）を入手し、展開した中の「examples/LDAP」ディレクトリからコピーする。 2005/02/25追記

suffixパラメータ

ベース・サフィックスを指定する。これはユーザが自由に設定することができるが、通常ピリオド（．）で区切られたDNSドメイン名をdc=で区切って使用すると良い。

ベース・サフィックスの例） DNSドメイン名が、miraclelinux.comの場合

suffix "dc=miraclelinux,dc=com"

DNSドメイン名がなく、NetBIOSドメイン名がSALESの場合

suffix "dc=SALES,dc=LOCAL "

ここでdcはDomain Componentを意味している。dc以外にou:Organization Unixや c:country,o:organizationなどを使うことも可能だ。（ユニークになるならどれを使ってもユーザの自由である。また、英大文字、英子文字の区別はない。）

rootdnパラメータ

LDAPサーバの管理者のDN（Distinguished Name：識別名）を指定する。先ほど決めた管理者を含んだ以下のような文字列を指定する。

uid=管理者アカウント,ou=Users,ベースサフィックス

なお管理者DNを含むユーザDNには、英大文字、英子文字の区別はない。 管理者DNの例）

rootdn "uid=Administrator,ou=Users,dc=miraclelinux,dc=com"

rootpwパラメータ

LDAPサーバーの管理者パスワードを設定する。 設定例）

rootpw = miracle

最初の導入の時はそのままのパスワードを指定しても良いが、smbldap-toolsで初期データを投入後、以下のコマンドでAdministratorのパスワードを設定したらrootpwの行を削除する。 実行例）

# smbldap-passwd.pl Administrator

indexパラメータ

LDAPのアクセスを高速にするには索引を作成するのが良い。Sambaを利用するときは以下が良いだろう。

indexobjectClass,uidNumber,gidNumber,uid,sambaSID,cn,memberuid eq

accessパラメータ

一般ユーザでも他ユーザ一覧を取れるようにし、しかしパスワードは見られないようにするために以下のようなアクセス制御をかけると良い。

access to attribute=userPassword,sambaLMPassword,sambaNTPassword by anonymous auth by * none access to * by * read

slapd.conf の設定

include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/nis.schema include /etc/openldap/schema/samba.schema databasebdb directory /var/lib/ldap suffix "dc=miraclelinux,dc=com" rootdn = "uid=Administrator,ou=Users,dc=miraclelinux,dc=com" rootpw miracle indexobjectClass,uid,sambaSID,uidNumber,gidNumber,cn,memberuid eq access to * by * read access to attr=sambaLMPassword,sambaNTPassword,sambaPasswordHistory by * none access to attr=userPassword by anonymous auth by * none

/etc/openldap/slapd.conf の設定例

読者が変更すべきパラメータは、suffix、rootdn、rootpwの3つだけである。設定が終了したら、以下のようにOpenLDAPデーモンを起動させる。

# service ldap start

うまく起動したらシステム起動時に自動的に動くように以下を設定する。

# chkconfig ldap on

1   2  3  4  次のページ

著者プロフィール オープンソース・ソリューション・テクノロジ株式会社 小田切 耕司 早稲田大学理工学部電気工学科卒業三菱電機計算機製作所に入社し、汎用機、UNIX、Windowsの開発を経てミラクル・リナックス社へ2001年入社Sambaとは1996年からの付き合い。日本初のSamba解説本を執筆し、Samba日本語版を最初に開発した。日本Sambaユーザ会の設立にも寄与し、初代代表幹事を務める。日本Webminユーザーズグループの副代表幹事などもつとめ、最近はLinuxコンソーシアムのセキュリティ部会のリーダなどもつとめている。

INDEX 第3回：NT4.0→Samba3.0への移行（2） OpenLDAPの設定   NSSとPAMの設定   Sambaの設定   smbldap-toolsの設定

実践！ Samba移行術 第1回 Samba2.2→ Samba3.0への移行 第2回 NT4.0→Samba3.0への移行（1） 第3回 NT4.0→Samba3.0への移行（2） 第4回 Sambaのユーザ管理 第5回 Sambaドメインに参加

関連記事 ： 徹底比較!! Linux & Windows ファイルサーバ編 第1回 Sambaを導入する理由 第2回 Linux & Windows、機能詳細比較 特別編 WindowsからSambaへの移行FAQ