TOP設計・移行・活用> OpenLDAPの設定




Samba移行術
実践! Samba移行術

第3回:NT4.0→Samba3.0への移行(2)
著者:オープンソース・ソリューション・テクノロジ  小田切 耕司
2005/1/31
1   2  3  4  次のページ
OpenLDAPの設定

   OpenLDAPの設定は/etc/openldap/slapd.confに編集して行うが、ここで解説しない詳細な設定方法に関しては以下や一般書籍などを参照して欲しい。

   ここでは、SambaでWindowsドメイン環境を構築するための設定だけを解説する。


includeパラメータ

   Sambaのスキーマを利用するためslapd.conf ファイルの中に以下の行を追加する。

include/etc/openldap/schema/samba.schema
   Sambaスキーマがない場合は別途コピーする必要がある。Red Hat系の場合は「/usr/share/doc/samba*/LDAP」ディレクトリからコピーし、それ以外の場合はSambaのソース(ftp://ftp.samba.org/pub/samba/samba-latest.tar.gz)を入手し、展開した中の「examples/LDAP」ディレクトリからコピーする。
2005/02/25追記
suffixパラメータ

   ベース・サフィックスを指定する。これはユーザが自由に設定することができるが、通常ピリオド(.)で区切られたDNSドメイン名をdc=で区切って使用すると良い。

ベース・サフィックスの例)
  • DNSドメイン名が、miraclelinux.comの場合
suffix "dc=miraclelinux,dc=com"
  • DNSドメイン名がなく、NetBIOSドメイン名がSALESの場合
suffix "dc=SALES,dc=LOCAL "

   ここでdcはDomain Componentを意味している。dc以外にou:Organization Unixや c:country,o:organizationなどを使うことも可能だ。(ユニークになるならどれを使ってもユーザの自由である。また、英大文字、英子文字の区別はない。)


rootdnパラメータ

   LDAPサーバの管理者のDN(Distinguished Name:識別名)を指定する。先ほど決めた管理者を含んだ以下のような文字列を指定する。

uid=管理者アカウント,ou=Users,ベースサフィックス

なお管理者DNを含むユーザDNには、英大文字、英子文字の区別はない。

管理者DNの例)
rootdn "uid=Administrator,ou=Users,dc=miraclelinux,dc=com"
rootpwパラメータ

   LDAPサーバーの管理者パスワードを設定する。

設定例)
rootpw = miracle

   最初の導入の時はそのままのパスワードを指定しても良いが、smbldap-toolsで初期データを投入後、以下のコマンドでAdministratorのパスワードを設定したらrootpwの行を削除する。

実行例)
# smbldap-passwd.pl Administrator
indexパラメータ

   LDAPのアクセスを高速にするには索引を作成するのが良い。Sambaを利用するときは以下が良いだろう。

indexobjectClass,uidNumber,gidNumber,uid,sambaSID,cn,memberuid eq
accessパラメータ

   一般ユーザでも他ユーザ一覧を取れるようにし、しかしパスワードは見られないようにするために以下のようなアクセス制御をかけると良い。

access to attribute=userPassword,sambaLMPassword,sambaNTPassword
by anonymous auth
by * none

access to * by * read

slapd.conf の設定
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/samba.schema

databasebdb
directory /var/lib/ldap

suffix "dc=miraclelinux,dc=com"
rootdn = "uid=Administrator,ou=Users,dc=miraclelinux,dc=com"
rootpw miracle

indexobjectClass,uid,sambaSID,uidNumber,gidNumber,cn,memberuid eq

access to * by * read

access to attr=sambaLMPassword,sambaNTPassword,sambaPasswordHistory
by * none

access to attr=userPassword
by anonymous auth
by * none

/etc/openldap/slapd.conf の設定例


   読者が変更すべきパラメータは、suffix、rootdn、rootpwの3つだけである。設定が終了したら、以下のようにOpenLDAPデーモンを起動させる。

# service ldap start

   うまく起動したらシステム起動時に自動的に動くように以下を設定する。

# chkconfig ldap on
1   2  3  4  次のページ


オープンソース・ソリューション・テクノロジ株式会社 小田切 耕司
著者プロフィール
オープンソース・ソリューション・テクノロジ株式会社
小田切 耕司

早稲田大学理工学部電気工学科卒業三菱電機計算機製作所に入社し、汎用機、UNIX、Windowsの開発を経てミラクル・リナックス社へ2001年入社Sambaとは1996年からの付き合い。日本初のSamba解説本を執筆し、Samba日本語版を最初に開発した。日本Sambaユーザ会の設立にも寄与し、初代代表幹事を務める。日本Webminユーザーズグループの副代表幹事などもつとめ、最近はLinuxコンソーシアムのセキュリティ部会のリーダなどもつとめている。


この記事の評価をお聞かせください
ボタンをクリックしますとウインドウが開きます。

INDEX
第3回:NT4.0→Samba3.0への移行(2)
OpenLDAPの設定
  NSSとPAMの設定
  Sambaの設定
  smbldap-toolsの設定
実践! Samba移行術
第1回 Samba2.2→ Samba3.0への移行
第2回 NT4.0→Samba3.0への移行(1)
第3回 NT4.0→Samba3.0への移行(2)
第4回 Sambaのユーザ管理
第5回 Sambaドメインに参加
関連記事 : 徹底比較!! Linux & Windows ファイルサーバ編
第1回 Sambaを導入する理由
第2回 Linux & Windows、機能詳細比較
特別編 WindowsからSambaへの移行FAQ