TOP＞設計・移行・活用＞ OpenLDAPの設定 実践！ Samba移行術 第3回：NT4.0→Samba3.0への移行（2） 著者：オープンソース・ソリューション・テクノロジ  小田切 耕司 2005/1/31 1   2  3  4  次のページ OpenLDAPの設定    OpenLDAPの設定は/etc/openldap/slapd.confに編集して行うが、ここで解説しない詳細な設定方法に関しては以下や一般書籍などを参照して欲しい。 「OpenLDAP管理者ガイド」 http://www5f.biglobe.ne.jp/~inachi/openldap/index.html Red Hat Linux 参照ガイド http://www.jp.redhat.com/manual/Doc9/rhl-rg-ja-9/ch-ldap.html Red Hat Enterprise Linux 3 リファレンスガイド http://www.jp.redhat.com/support/doc/ MIRACLE LINUX V3.0 サーバー構築・運用ガイド （製品に同梱）    ここでは、SambaでWindowsドメイン環境を構築するための設定だけを解説する。 includeパラメータ    Sambaのスキーマを利用するためslapd.conf ファイルの中に以下の行を追加する。 include/etc/openldap/schema/samba.schema    Sambaスキーマがない場合は別途コピーする必要がある。Red Hat系の場合は「/usr/share/doc/samba*/LDAP」ディレクトリからコピーし、それ以外の場合はSambaのソース（ftp://ftp.samba.org/pub/samba/samba-latest.tar.gz）を入手し、展開した中の「examples/LDAP」ディレクトリからコピーする。 2005/02/25追記 suffixパラメータ    ベース・サフィックスを指定する。これはユーザが自由に設定することができるが、通常ピリオド（．）で区切られたDNSドメイン名をdc=で区切って使用すると良い。 ベース・サフィックスの例） DNSドメイン名が、miraclelinux.comの場合 suffix "dc=miraclelinux,dc=com" DNSドメイン名がなく、NetBIOSドメイン名がSALESの場合 suffix "dc=SALES,dc=LOCAL "    ここでdcはDomain Componentを意味している。dc以外にou:Organization Unixや c:country,o:organizationなどを使うことも可能だ。（ユニークになるならどれを使ってもユーザの自由である。また、英大文字、英子文字の区別はない。） rootdnパラメータ    LDAPサーバの管理者のDN（Distinguished Name：識別名）を指定する。先ほど決めた管理者を含んだ以下のような文字列を指定する。 uid=管理者アカウント,ou=Users,ベースサフィックス なお管理者DNを含むユーザDNには、英大文字、英子文字の区別はない。 管理者DNの例） rootdn "uid=Administrator,ou=Users,dc=miraclelinux,dc=com" rootpwパラメータ    LDAPサーバーの管理者パスワードを設定する。 設定例） rootpw = miracle    最初の導入の時はそのままのパスワードを指定しても良いが、smbldap-toolsで初期データを投入後、以下のコマンドでAdministratorのパスワードを設定したらrootpwの行を削除する。 実行例） # smbldap-passwd.pl Administrator indexパラメータ    LDAPのアクセスを高速にするには索引を作成するのが良い。Sambaを利用するときは以下が良いだろう。 indexobjectClass,uidNumber,gidNumber,uid,sambaSID,cn,memberuid eq accessパラメータ    一般ユーザでも他ユーザ一覧を取れるようにし、しかしパスワードは見られないようにするために以下のようなアクセス制御をかけると良い。 access to attribute=userPassword,sambaLMPassword,sambaNTPassword by anonymous auth by * none access to * by * read slapd.conf の設定 include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/nis.schema include /etc/openldap/schema/samba.schema databasebdb directory /var/lib/ldap suffix "dc=miraclelinux,dc=com" rootdn = "uid=Administrator,ou=Users,dc=miraclelinux,dc=com" rootpw miracle indexobjectClass,uid,sambaSID,uidNumber,gidNumber,cn,memberuid eq access to * by * read access to attr=sambaLMPassword,sambaNTPassword,sambaPasswordHistory by * none access to attr=userPassword by anonymous auth by * none /etc/openldap/slapd.conf の設定例    読者が変更すべきパラメータは、suffix、rootdn、rootpwの3つだけである。設定が終了したら、以下のようにOpenLDAPデーモンを起動させる。 # service ldap start    うまく起動したらシステム起動時に自動的に動くように以下を設定する。 # chkconfig ldap on 1   2  3  4  次のページ 著者プロフィール オープンソース・ソリューション・テクノロジ株式会社 小田切 耕司 早稲田大学理工学部電気工学科卒業三菱電機計算機製作所に入社し、汎用機、UNIX、Windowsの開発を経てミラクル・リナックス社へ2001年入社Sambaとは1996年からの付き合い。日本初のSamba解説本を執筆し、Samba日本語版を最初に開発した。日本Sambaユーザ会の設立にも寄与し、初代代表幹事を務める。日本Webminユーザーズグループの副代表幹事などもつとめ、最近はLinuxコンソーシアムのセキュリティ部会のリーダなどもつとめている。 INDEX 第3回：NT4.0→Samba3.0への移行（2） OpenLDAPの設定   NSSとPAMの設定   Sambaの設定   smbldap-toolsの設定