Memo/Linux/OpenLDAP

'Memo/Linux/OpenLDAP/' には、下位層のページがありません。

OpenLDAP †

• wikipedia:LDAP(Lightweight Directory Access Protocol)

• 日本LDAPユーザ会
  • トラブルの早期発見のために出来ること(PDF)
  • 知っておきたい、 OpenLDAPサポートツール(PDF)バックアップ、リストア等

• 記事
  • CentOS 7 : OpenLDAP : LDAPサーバーの設定 : Server World
  • LDAP/ユーザ管理 - Ebisawa's Wiki
  • suz-lab - blog: ログインユーザー(認証)をOpenLDAPで管理(冗長化編)
  • そろそろLDAPにしてみないか？｜gihyo.jp … 技術評論社

• Google Apps連携
  • Google Apps Directory Sync - Google Apps ヘルプ
  • アクセス制御-SSO資料 - Cloud Integration (by GBS)
  • SIOS "OSSよろず" ブログ出張所: OpenAM を使ってシングルサインオンを構築する (Google Apps 連携編)

---

パスワード生成アルゴリズム †

• {SHA}

  # NG: 以下の値は異なる。sha1のdigestをbase64encodeする必要がある
  echo "test1234" | sha1sum | cut -d ' ' -f1 | base64
  Yjc1ZjY2NjhmNzQwYWU2YjRhNDA4YjZiMTA0NzBhMzBkYmI5ZDZiYgo=

• OpenLDAP Faq-O-Matic: What are {SHA} and {SSHA} passwords and how do I generate them?
  • perl, php, rubyでの実装

ruby:

• https://gist.github.com/yukithm/5a850e12fa0138fbf2cfdbbaaadbc7e4#file-ldap-password-rb-L35

---

glue entry: syncreplで複製されないエントリを補完 †

OpenLDAP ソフトウェア 2.3 管理者ガイド: LDAP Sync 複製

syncrepl の設定では一般的な検索フィルタを指定するので、コンテキスト中のいくつかのエントリは同期内容から失われる可能性があります。そこで syncrepl エンジンは、複製対象の一部に穴がある場合に、グルー(glue)エントリを生成して穴を埋めます。グルーエントリは ManageDsaIT 制御が与えられていない場合には検索の結果に返りません。

記事:

• P14 - glueエントリ(pdf)

例:

• 以下はApache Directory Studioでは表示されない。ldapsearchでは表示された。

  objectClass: top
  objectClass: glue
  structuralObjectClass: glue

  • 以下は正常にツリー表示される

    structuralObjectClass: locality
    objectClass: locality
    objectClass: top

修復:

• mycroes' blog: Recovering from glue objects in OpenLDAP

---

Monitoring: 監視 †

• [OpenLDAP Software 2.4 Administrator's Guide: Monitoring](https://www.openldap.org/doc/admin24/monitoringslapd.html)
  • 「database monitor」を有効化
  • 「dn: cn=Monitor」のように監視用ユーザを用意する事で、「ldapsearch」で監視用メトリクスが取得できる

記事:

• トラブルの早期発見のために出来ること(PDF)

---

バイナリ値: base64 †

属性に "::" がついているとバイナリ値。base64でエンコードされている。

• 例："\r\n"が入っている、画像等
• 日本語等は文字コード:UTF-8で、base64エンコードして入れる

例:

# 通常の場合
sshPublicKey: ssh-rsa ...

# 末尾に"\r\n"が入っている場合
sshPublicKey:: c3NoLXJ...

• 記事
  • 第2回　OpenLDAPの設定パラメータ：そろそろLDAPにしてみないか？｜gihyo.jp … 技術評論社

---

パスワード変更時に「Must supply old password to be changed as well as new one」 †

• 環境
  • CentOS release 6.8
  • openldap-servers-2.4.40-12.el6.x86_64

• 現象
  • ldapmodify時にldap serverの/var/log/openldap/slapd.logに「Must supply old password to be changed as well as new one」と表示され、client(php)側は「LDAP - Modify password error 50 (Insufficient access)」となる。
  • パスワードの変更時に古いパスワード入力が必須になっている

• 原因
  • 「pwdSafeModify:TRUE」が /etc/openldap/slapd.conf の「ppolicy_default」で指定されたcnレコードに追加されていると発生する

• 解決
  • 「pwdSafeModify:FALSE」に変更する。
  • LDAPのadminユーザで変更する
  • または、Re: [ldapext] ppolicy questions LDAP Server側ppolicyを変更しないで実施する場合、削除後に追加する

    dn: uid=jayson,ou=people,o=example,dc=com
    changetype: modify
    delete: userPassword
    userPassword: OldPassword
    add: userPassword
    userPassword: NewPassword

  • PHP: ldap_modify_batch - Manualの場合

            $modifications = array(
                array(
                    "attrib" => "userPassword",
                    "modtype" => LDAP_MODIFY_BATCH_REMOVE,
                    "values" => array($oldpassword),
                ),
                array(
                    "attrib" => "userPassword",
                    "modtype" => LDAP_MODIFY_BATCH_ADD,
                    "values" => array($password),
                ),
            );
            $bmod = ldap_modify_batch($ldap, $dn, $modifications);

---

index †

• 記事
  • OpenLDAPによるディレクトリサーバ運用（5）：ビシッと決めるチューニング：しっかり基本編 (3/3) - ＠IT
  • OpenLDAP - 「bdb_equality_candidates」エラーの対応方法 - Qiita

• config databaseを使っている場合、後からindexを追加し、slapd.d を消して、slapdを再起動すると、nslcdから名前解決できなくなる。ldapsearchは成功し、サーバのopenldapのログや、nslcdにはエラーは出ない。この場合、slapindex を実行すると解決した。

• indexを後から追加する

  sudo service slapd stop
  sudo vim /etc/openldap/slapd.conf
  ----
  index description                       eq
  ----
  sudo slapindex
  sudo service slapd start

---

loglevel †

• 記事
  • OpenLDAP Software 2.4 Administrator's Guide: The slapd Configuration File
  • 第9回　LDAPとログ：そろそろLDAPにしてみないか？｜gihyo.jp … 技術評論社

• デフォルトでは何もログが出ない
• syslog経由で出力する事が出来る。解説サイトでは数値だが、文字でも指定できる
  • /etc/openldap/slapd.conf

    loglevel stats sync

  • /etc/rsyslog.d/openldap.conf

    local4.* /var/log/openldap/slapd.log

  • /etc/logrotate.d/openldap

    /var/log/openldap/*.log {
            daily
            missingok
            compress
            notifempty
            copytruncate
    }

  • サービスの再起動

    sudo service rsyslog restart

---

標準入力を使う †

• ヒアドキュメントを使う場合

  ldapmodify -x -H 'ldap://localhost' -D 'cn=Manager,dc=my-domain,dc=com' -W <<EOS
  dn: uid=user01,ou=People,dc=my-domain,dc=com
  changetype: modify
  replace: sshPublicKey
  sshPublicKey: ssh-rsa replaced
  EOS

• echoを使う場合

  echo "dn: uid=user01,ou=People,dc=my-domain,dc=com
  changetype: modify
  replace: sshPublicKey
  sshPublicKey: ssh-rsa replaced
  " | ldapmodify -x -H 'ldap://localhost' -D 'cn=Manager,dc=my-domain,dc=com' -W

---

ACL(Access Control Lis) / アクセス制限 †

• 記事
  • OpenLDAPをマルチドメインでレプリケーション - Qiita
  • LDAPサーバのアクセス制御リスト（ACL）の書き方 - GeekFactory
  • openldapで configure --enable-unique による重複キー禁止 - end0tknrのkipple - web写経開発

---

ブラウザから一般ユーザのパスワード/公開鍵変更 †

LDAPの一般ユーザが以下の事をブラウザから簡単に行いたい。

• パスワード変更(userPassword属性)
• SSH公開鍵変更(sshPublicKey属性)

• Self Service Password [LDAP Tool Box (LTB)]
  • GitHub - ltb-project/self-service-password GitHubのドキュメントの方が何ができるか詳しく書いてある
  • docker image もある
  • php製。yumインストール可能
  • パスワード変更可能
  • SSH公開鍵変更可能(self-service-password-1.0-2.el7.noarchには入っていない。GitHubのソースには $change_sshkey の記述があり変更可能)
  • 設定：/usr/share/self-service-password/conf/config.inc.php
  • LDAP Serverのppolicyを「pwdSafeModify: FALSE」にする必要がある。2017-06-22現在、TRUEの場合は古いパスワードが常時必要になり動作しない。
  • sshPublicKeyに改行区切りで、複数の公開鍵を登録できるようだ

• Easy LDAP management | LDAP Account Manager
  • php製。php5.4以上。yumインストール可能
  • SSH public key extensionに編集があった
  • 有償Pro版あり
  • 見た目は綺麗な方
  • ツリービューの部分がphpLDAPadminとほぼ同じ
  • 右上のツリービュー、新規ユーザ作成を無効化したい
  • ユーザタブで、ログインユーザだけを表示したい。（@@LOGIN_DN@@でうまく絞れなかった）
  • 項目毎のreadonlyが出来ない。Pro版はできそう
  • 設定：/usr/share/ldap-account-manager/config/lam.conf

• Main Page - phpLDAPadmin
  • php製。yumインストール可能
  • アクセス方法：http://host/phpldapadmin/ または https://host/ldapadmin/
  • 設定：/etc/phpldapadmin/config.php
  • LDAP管理者には良いが、一般ユーザには色々見えすぎて困る。項目を隠す、readonlyにはできる。
  • エントリの追加用テンプレートの変更が出来る
  • Config.php - phpLDAPadmin
  • openLDAP 構築(36) - 管理ツール（phpLADPadmin） (3) | arinux
  • （FreeBSD）ユーザーが自分でLDAPのパスワードを変更できるようにしたい　〜　phpldapadminを試してみました - ttt
  • phpLDAPadminでパスワード変更用U/Iを用意する。 — ペンギンと愉快な機械の日々

• Usermin
  • perl製
  • アクセス方法：https://host:20000/
  • pam経由で変更になるため、SSH公開鍵は変更できなさそう
  • Linux管理者への道（2）：LDAPによるパスワードの一元管理 (3/3) - ＠IT

• GitHub - pwm-project/pwm: pwm
  • Java製。未検証
  • PWM - パスワード管理をLDAPで統合している場合にお勧めのセルフパスワード管理 MOONGIFT

---

トラブル †

---

local userでもLDAPに問い合わせてしまう †

• 構成：CentOS 6/7, nss-pam-ldapd, openldap, openssh-ldap, nscd

• 問題
  • local userで認証成功した場合は、LDAPに問い合わせないで欲しい。
  • CentOS 6.x/7.x で確認する限り、local user認証が成功してもLDAPに問い合わせてしまう
  • local userのログインでも遅くなるし、無駄な問い合わせでLDAPサーバの負荷が上がる
  • Man page of NSSWITCH.CONFの通りに指定しても目的の挙動にならない
    • 「files [NOTFOUND=return] ldap」local user=>成功、ldap user=>失敗(想定通り)
    • 「files [!NOTFOUND=return] ldap」local user=>LDAP接続、ldap user=>LDAP接続(想定外)
    • 「files [NOTFOUND=continue] ldap」local user=>LDAP接続、ldap user=>LDAP接続(想定外)
    • 「files [SUCCESS=return] ldap」local user=>LDAP接続、ldap user=>LDAP接続(想定外)

• 解決
  • nss-pam-ldapd: nslcd.conf(5) manual page

    sudo vim /etc/nslcd.conf
    ----
    nss_initgroups_ignoreusers ALLLOCAL
    ----
    sudo service nslcd restart

• 記事
  • LDAPのチューニング関係メモ | OpenGroove
  • ldap 利用時のnsswitch.conf - うまいぼうぶろぐ

• 確認

  cat /etc/nsswitch.conf
  passwd:     files ldap
  shadow:     files ldap
  group:      files ldap
  
  
  # キャッシュ等を停止
  sudo service nscd stop
  sudo service nslcd stop
  # debug modeで起動
  sudo nslcd -d
  
  # 別ターミナルでidコマンドを使って確認
  id local_user
  id ldap_user

---

Can't contact LDAP server †

• 「ldap_result() failed: Can't contact LDAP server」が/var/log/messagesによく出る
  • "ldap_result() failed: Can't contact LDAP server" yet more annoying messages
  • nscd がちょっと詰まる
  • 以下の設定を入れたが、まだ出る

    sudo vim /etc/nslcd.conf
    ----
    timelimit 60
    idle_timelimit 240
    ----
    sudo service nslcd restart

---

/etc/pam.d/以下がsymlinkの場合にauthconfigを使うと壊れる場合がある †

• ○：/etc/pam.d/*-authがsymlink、*-acが実体
• ×：/etc/pam.d/*-authが実体、*-ac がsymlink

• 記事
  • authconfig でのカスタム設定の保持 - 第4章 ツールとサービスを使用したシステム強化

• 環境
  • CentOS 6.x 64bit

• *-authが実体、*-ac がsymlinkの場合にauthconfigで更新するとpam.d以下が壊れて、sshでログインできなくなる。

  ls -l /etc/pam.d/*auth*
  -rw-r--r-- 1 root root 766 2016-09-01 09:00 /etc/pam.d/fingerprint-auth
  lrwxrwxrwx 1 root root  27 2016-09-01 09:00 /etc/pam.d/fingerprint-auth-ac -> /etc/pam.d/fingerprint-auth
  -rw-r--r-- 1 root root 869 2016-09-01 09:00 /etc/pam.d/password-auth
  lrwxrwxrwx 1 root root  24 2016-09-01 09:00 /etc/pam.d/password-auth-ac -> /etc/pam.d/password-auth
  -rw-r--r-- 1 root root 879 2016-09-01 09:00 /etc/pam.d/smartcard-auth
  lrwxrwxrwx 1 root root  25 2016-09-01 09:00 /etc/pam.d/smartcard-auth-ac -> /etc/pam.d/smartcard-auth
  -rw-r--r-- 1 root root 869 2016-09-01 09:00 /etc/pam.d/system-auth
  lrwxrwxrwx 1 root root  22 2016-09-01 09:00 /etc/pam.d/system-auth-ac -> /etc/pam.d/system-auth

• authconfigで更新。既存の設定ファイルが書き換わるので注意

  sudo yum install authconfig
  rpm -q authconfig
  authconfig-6.1.12-23.el6.x86_64
  sudo authconfig --update

• *-auth もsymlinkになり、実体が無いため全ての認証に失敗するようになる

  ls -l /etc/pam.d/*auth*
  lrwxrwxrwx 1 root root 19 2016-11-16 06:00 /etc/pam.d/fingerprint-auth -> fingerprint-auth-ac
  lrwxrwxrwx 1 root root 27 2016-09-01 09:00 /etc/pam.d/fingerprint-auth-ac -> /etc/pam.d/fingerprint-auth
  lrwxrwxrwx 1 root root 16 2016-11-16 06:00 /etc/pam.d/password-auth -> password-auth-ac
  lrwxrwxrwx 1 root root 24 2016-09-01 09:00 /etc/pam.d/password-auth-ac -> /etc/pam.d/password-auth
  lrwxrwxrwx 1 root root 17 2016-11-16 06:00 /etc/pam.d/smartcard-auth -> smartcard-auth-ac
  lrwxrwxrwx 1 root root 25 2016-09-01 09:00 /etc/pam.d/smartcard-auth-ac -> /etc/pam.d/smartcard-auth
  lrwxrwxrwx 1 root root 14 2016-11-16 06:00 /etc/pam.d/system-auth -> system-auth-ac
  lrwxrwxrwx 1 root root 22 2016-09-01 09:00 /etc/pam.d/system-auth-ac -> /etc/pam.d/system-auth

---

attribute 'c' not allowed †

• slapaddでエラーが出る。schemaファイル名は同じでもopenldap-serversのバージョンによって微妙に違いがあるようだ。古い schema を上書きしたら動作した
• /etc/openldap/schema/
  • OK: openldap-servers-2.4.23-34.25.amzn1.x86_64
  • NG: openldap-servers-2.4.40-12.el6.x86_64

diff -uwr schema/inetorgperson.schema schema.2.4.40-12/inetorgperson.schema
--- schema/inetorgperson.schema 2012-11-30 22:38:35.000000000 +0900
+++ schema.2.4.40-12/inetorgperson.schema       2016-05-11 08:32:09.000000000 +0900
@@ -151,5 +151,5 @@
                labeledURI $ mail $ manager $ mobile $ o $ pager $
                photo $ roomNumber $ secretary $ uid $ userCertificate $
                x500uniqueIdentifier $ preferredLanguage $
-               userSMIMECertificate $ userPKCS12 $ c )
+               userSMIMECertificate $ userPKCS12 )
        )

---

LDAPスキーマの追加 †

slapadd等でLDAPスキーマが不足している場合は、「str2ad(sudoUser): attribute type undefined」の様なエラーが出る。

• CentOS6.x: sudo.schema, openssh.schema, ldapns.schema を追加

  # sudo.schemaを追加
  find /usr/share/doc/ -name schema.OpenLDAP 
  /usr/share/doc/sudo-1.8.6p3/schema.OpenLDAP
  sudo cp /usr/share/doc/sudo-1.8.6p3/schema.OpenLDAP /etc/openldap/schema/sudo.schema
  
  # openssh.schema, ldapns.schemaを追加
  sudo yum install openssh-ldap pam_ldap -y
  find /usr/share/doc/ -name openssh-lpk-openldap.schema
  /usr/share/doc/openssh-ldap-5.3p1/openssh-lpk-openldap.schema
  sudo cp /usr/share/doc/openssh-ldap-5.3p1/openssh-lpk-openldap.schema  /etc/openldap/schema/openssh.schema
  
  find /usr/share/doc/ -name ldapns.schema
  /usr/share/doc/pam_ldap-185/ldapns.schema
  sudo cp /usr/share/doc/pam_ldap-185/ldapns.schema /etc/openldap/schema/
  
  sudo vim /etc/openldap/slapd.conf
  ----
  include         /etc/openldap/schema/sudo.schema
  include         /etc/openldap/schema/openssh.schema
  include         /etc/openldap/schema/ldapns.schema
  ----

---

デバッグ †

• nslcd:

  sudo service nslcd stop
  sudo nslcd -d
  # デバッグ終了時に CTRL+C

---

認証方式の変更 †

• CentOS7では /etc/nsswitch.conf 内がldapではなく、sssに変わるので注意
• コマンドライン

  LANG=C; authconfig-tui

---

LDAPでssh認証する場合に、sudoできない時 †

• 記事
  • さくらのクラウドで普通のLDAP認証ができるサーバーを量産する - mazgi.log

• sudo時にどの設定ファイルを見ているか確認

  sudo -V | grep 'ldap.conf path:'
  ldap.conf path: /etc/ldap.conf.sudo

• symlinkを貼る

  ln -s /etc/ldap.conf /etc/ldap.conf.sudo

---

LDAPでssh公開鍵認証を使う †

現状2つ方法があるようだ。

• nslcd + nscd を使う
• sssd を使う
  • sssd+SSH連携のLDAPクライアント構築手順 - Qiita
  • 認証システムSSSD+LDAP+SUDOの構築手順 | 外道父の匠
  • SSSD+LDAP+SSH連携の設定 | 外道父の匠
  • SSSDとnslcd+nscdの比較 | 外道父の匠

• 記事
  • SIOS "OSSよろず" ブログ出張所: RHEL6.1〜系の OpenLDAP (slapd.conf) で SSH 公開鍵配布
  • PAMとLDAP認証 2013年5月の適当なメモ - Qiita
  • LDAPでホストへのアクセスを制限する
  • CentOS 6.0をアップデートしたらLDAPで認証が通らなくなった – L2TP
  • OpenSSH 6.2を使って公開鍵認証もLDAPで行いたい。 - Qiita
  • SSHをLDAP公開鍵認証 + TOTP(Google Authenticator)の多要素認証にする - Qiita
  • CentOS 6.5 で OpenLDAP（5）SSHを鍵認証にする - Qiita
  • 第6回　OpenSSHの公開鍵をLDAPで管理：そろそろLDAPにしてみないか？｜gihyo.jp … 技術評論社

• sshPublicKeyに改行区切りで、複数の公開鍵を登録できるようだ

• sshのバージョンによって/etc/ssh/sshd_configの記述が違う。「sshd -t」で設定ファイルのテストできる
  • CentOS6: openssh-5.3p1-122.el6.x86_64

    AuthorizedKeysCommand /usr/libexec/openssh/ssh-ldap-wrapper
    AuthorizedKeysCommandRunAs root

  • CentOS7: openssh-6.6.1p1-35.el7_3.x86_64

    AuthorizedKeysCommand /usr/libexec/openssh/ssh-ldap-wrapper
    AuthorizedKeysCommandUser root

• /etc/sysconfig/authconfig は初回存在しない。(CentOS 6.5) 作成するには、

  sudo authconfig --update

• ssh認証にLDAPを使う場合、以下のコマンドを使う。

  # 設定変更
  LANG=C sudo authconfig-tui
  
  # 設定確認
  sudo authconfig --test
  
  # 変更されるファイル
  /etc/nscl.conf
  /etc/nsswitch.conf
  /etc/pam_ldap.conf
  /etc/openldap/ldap.conf
  /etc/sysconfig/authconfig
  /etc/pam.d/*

---

ldapdelete：エントリの削除 †

• 指定階層以下も削除したい場合は「-r」オプション

  ldapdelete -x -H ldap://localhost:389 \
    -D "cn=Manager,dc=my-domain,dc=com" \
    -W \
    'uid=user03,ou=People,dc=my-domain,dc=com'

---

バージョンアップ †

• 記事
  • OpenLDAP, 2.4.38 Release Changes
  • Bug 807363 openldap libraries leak memory when following referrals

• CentOS6.xの 2.4.23 にはmemory leakがあるので、IUS Community のリポジトリから 2.4.32-2 へアップデートする場合

  rpm -ivh http://dl.iuscommunity.org/pub/ius/stable/Redhat/6/x86_64/ius-release-1.0-11.ius.el6.noarch.rpm
  rpm -ivh http://dl.iuscommunity.org/pub/ius/stable/Redhat/6/x86_64/epel-release-6-5.noarch.rpm
  yum install yum-plugin-replace
  yum replace openldap-servers --replace-with openldap24-servers --enablerepo=ius-dev

---

password hash methodの変更 †

• userPassword のデフォルトのhash methodは{SSHA}だが変更できる
• Google Apps Directory Syncで同期する時には {SHA} が必要。で{SSHA}だとエラーになる
• Pythonで{SSHA} {SHA}形式のパスワード生成

sudo vim /etc/openldap/slapd.conf
----
# database config より上に記述
password-hash {SHA}
----
sudo service slapd stop
sudo rm -rf /etc/openldap/slapd.d/{cn=config,cn=config.ldif}
sudo -u ldap slaptest -f  /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
sudo service slapd restart

---

slappasswd : パスワード生成 †

ハッシュ化パスワードを生成する。

• Google Apps Directory Syncで同期する時には {SHA} が必要。で{SSHA}だとエラーになる
• CentOS6.x には openldap-servers パッケージに入っていた

# 入力待ち
slappasswd
New password: 
Re-enter new password: 
{SSHA}CfGz6P2+x1YoIAjBnIsezTJvROGXQFMw

# パスワード指定
slappasswd -s secret
{SSHA}H8R+xa45GRrDhntW8NzXO0pP5btUnAz3

# Hash methodの指定: {SHA}, {SSHA}, {MD5}, {SMD5}, {CRYPT}, {CLEARTEXT}
slappasswd -s secret -h {SHA}
{SHA}5en6G6MezRroT3XKqkdPOmY/BfQ=

---

ldappasswd : パスワード変更 †

• 一般ユーザが自分でパスワードで変更する場合。

  ldappasswd -x -H 'ldap://localhost' \
   -D 'uid=user01,l=apac,ou=users,dc=my-domain,dc=com' \
   -W -S -A 'uid=user01,l=apac,ou=users,dc=my-domain,dc=com'
  
  Old password: ***
  Re-enter old password: ***
  New password: ***
  Re-enter new password: ***
  Enter LDAP Password: ***

• 他ユーザを使ってパスワードの変更(-W, -A, -S でそれぞれ入力待ちになる)

  ldappasswd -x -H 'ldap://localhost' -D 'cn=Manager,dc=my-domain,dc=com' -w 'Manager password' -s 'new password' 'uid=user01,l=apac,ou=users,dc=my-domain,dc=com'

---

objectClass: value #0 invalid per syntax †

• 原因
  • objectClassの上から#0番目がエラー
  • 未定義のobjectClassを使用している

• エラー内容

  ldap_add: Invalid syntax (21)
          additional info: objectClass: value #0 invalid per syntax

• 解決
  • /etc/openldap/slapd.conf に該当schemaを読み込ませる

    sudo vim /etc/openldap/slapd.conf
    ----
    include         /etc/openldap/schema/inetorgperson.schema
    ----
    
    # slapd.conf 更新
    sudo service slapd stop
    sudo rm -rf /etc/openldap/slapd.d/{cn=config,cn=config.ldif}
    sudo -u ldap slaptest -f  /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
    sudo service slapd restart

---

LDIFファイル †

• http://en.wikipedia.org/wiki/LDAP_Data_Interchange_Format

• 1行1レコード
• 行頭が空白文字の場合、継続行
• コメント： 行頭 "#"
• 空行で区切り

# 1つめのエントリ
dn: uid=user01,ou=People,dc=my-domain,dc=com
uid: user01
cn: Test User 01
objectClass: account
objectClass: posixAccount
objectClass: top
loginShell: /bin/bash
uidNumber: 5001
gidNumber: 3001
homeDirectory: /home/user01

# 2つめのエントリ
dn: uid=user02,ou=People,dc=my-domain,dc=com
uid: user02
cn: Test User 02
objectClass: account
objectClass: posixAccount
objectClass: top
loginShell: /bin/bash
uidNumber: 5002
gidNumber: 3002
homeDirectory: /home/user02

---

uidNumberの最大値を検索 †

ldapsearch -x -H 'ldap://localhost' -b 'dc=my-domain,dc=com' -D 'cn=Manager,dc=my-domain,dc=com' -w 'YOUR PASSWORD' '(objectClass=posixAccount)' -LLL | \
    grep uidNumber: | \
    cut -f 2 -d ' ' | \
    sort -nr        | \
    head -n 1

---

ldapsearch : 登録済みエントリーの検索 †

• ldaps:// を使って uid=hoge を検索。("-W" の代わりに "-w password" でパスワードを直接指定)

  ldapsearch -x -b 'dc=my-domain,dc=com' '(uid=hoge)' \
    -H ldaps://localhost:636 \
    -D "cn=Manager,dc=my-domain,dc=com" \
    -W

• 7.4 LDAP検索フィルタ
  • デフォルトフィルタ: objectClass=*

• -b: 指定階層以下を検索したい場合、filterではなく、-b 'ou=users,dc=my-domain,dc=com' のように指定する

• -A: 属性名のみを表示。属性値は非表示
  • o ldif-wrap=no: 出力時に改行しない。OpenLDAP 2.4.24以降で指定可能。デフォルトでは78文字で改行される。

---

ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1) †

ldaps://での通信時に発生。SSL自己証明書等を利用していると出る。
openldap-clientsのみの場合でも有効。

• 認証されていないサーバ証明書をクライアントが受け入れる

  vim /etc/openldap/ldap.conf
  ----
  tls_reqcert never
  ----

---

sshログインにldapを使う †

• CentOS6.x

1. クライアント側

   # インストール
   yum install pam_ldap nscd nss-pam-ldapd
   
   # デフォルトでTLS認証が嫌な場合は以下をyesに変更
   vim /etc/sysconfig/authconfig
   ----
   FORCELEGACY=yes
   ----
   
   # 認証情報設定(/etc/nsswitch.conf, /etc/pam.d/system-auth-ac, /etc/openldap/ldap.conf が変更される)
   authconfig --enableldap --enableldapauth --ldapserver="ldap://[LDAP SERVER]/" --ldapbasedn="dc=my-domain,dc=com" --update
   authconfig --test | grep -i ldap
   chkconfig nslcd on
   
   # ホームディレクトリが無い場合は自動作成
   echo "session     optional      pam_mkhomedir.so skel=/etc/skel umask=022" >> /etc/pam.d/system-auth-ac

2. sshログインできるかテスト

• LDAP認証の無効化

  authconfig --disableldap --disableldapauth --update
  authconfig --test | grep -i ldap

---

設定(cn=config) 監視(cn=monitor) データベースを有効にする †

• 記事
  • Chau Chee Yang Technical Blog: LDAP: Introduction to OpenLDAP

デフォルトでは以下のディレクトリはadminユーザでも見えない。

• cn=config ディレクトリ
  • LDAPサーバ設定自体をデータベースに格納して管理

• cn=monitor ディレクトリ
  • 監視項目が増える

• CentOS6.x
• ユーザ:cn=Manager,dc=my-domain,dc=com でアクセス可能にする場合

  # "database        bdb" の前に追加
  sudo vim /etc/openldap/slapd.conf
  ----
  # enable on-the-fly configuration (cn=config)
  database config
  access to *
          by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage
          by dn.exact="cn=Manager,dc=my-domain,dc=com" manage
          by * none
  
  # enable server status monitoring (cn=monitor)
  database monitor
  access to *
          by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read
          by dn.exact="cn=Manager,dc=my-domain,dc=com" read
          by * none
  ----
  
  sudo service slapd stop
  sudo rm -rf /etc/openldap/slapd.d/{cn=config,cn=config.ldif}
  sudo -u ldap slaptest -f  /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
  sudo service slapd restart

• Apache Directory Studioからのアクセス
  • Network Parameterタブ
    • Hostname: 環境に合わせて
    • Port: 389(デフォルト)
  • Authenticationタブ
    • Authentication Method: Simple Authentication
    • Bind DN or user: cn=Manager,dc=my-domain,dc=com
    • Bind password: ****
  • Browser Options
    • Get base DNs from Root DSEのチェックを外して、見たいディレクトリ(cn=config , cn=monitor)を直接入力
    • Fetch Operational Attributes while browsing: チェック

• 例：OpenLDAPが起動している秒数(Uptime)取得。("-W" の代わりに "-w password" でパスワードを直接指定)

  ldapsearch -x \
   -b "cn=Uptime,cn=Time,cn=Monitor" \
   -D "cn=Manager,dc=my-domain,dc=com" \
   -W \
   monitoredInfo -LLL
  
  # 結果
  dn: cn=Uptime,cn=Time,cn=Monitor
  monitoredInfo: 111

• Apache Directory Studioで見る
  • cn=monitor > cn=Time > cn=Uptime までツリーをたどる
  • 表示されない場合は 右クリック > Fetch Operational Attributes

---

レプリケーション/冗長化 †

• 記事
  • OpenLDAPをマルチドメインでレプリケーション - Qiita
  • OpenLDAP Software 2.4 Administrator's Guide: Replication
  • 第21回（最終回）　OpenLDAPの冗長化対策【3】：そろそろLDAPにしてみないか？｜gihyo.jp … 技術評論社
  • OpenLDAPで始めるディレクトリサーバ構築（5）：レプリケーションで冗長構成 (1/3) - ＠IT
  • 389 Directory Server (Open Source LDAP)

---

readonly replica †

• slapd.conf: でミラーモードをoffにする

  mirrormode off

• 記事
  • ldapのマルチマスタ設定とELB越しにldaps通信設定 - Qiita

---

監視 †

• 監視。それぞれサーバでcontextCSNを取得して比較。同じならOK。contextCSNのソート順はバラバラなので自分でソートする必要がある

  ldapsearch -x -H ldap://localhost \
   -s base -b "dc=my-domain,dc=com" \
   -D "cn=Manager,dc=my-domain,dc=com" \
   -W contextCSN
  
  contextCSN: 20130906022414.910401Z#000000#001#000000
  contextCSN: 20130906013314.290742Z#000000#002#000000

  • スクリプトにした ldap-status.sh

    yum install openldap-clients
    chmod 755 ldap-status.sh
    
    ./ldap-status.sh --servers ldap://server01/,ldap://server02/ \
     --base-dn dc=my-domain,dc=com \
     --bind-dn cn=Manager,dc=my-domain,dc=com \
     --bind-password YOUR-PASSWORD \
     replication-status

---

監視 †

• 記事
  • OpenLDAPによるディレクトリサーバ運用（7）：モニタ機能でサーバの状態を把握：準備編 (1/3) - ＠IT
  • Chau Chee Yang Technical Blog: LDAP: Introduction to OpenLDAP

---

CN=Monitor - 管理ツール †

• http://cnmonitor.sourceforge.net/
  • オープンソースのWEB管理ツール
  • php, mysql or PostgreSQL
  • CN=Monitor Guide.pdf

---

Apache Directory Studio - 管理ツール †

• Apache Directory Studio
  • Eclipseベースのクライアント

• 記事
  • CoolなEclipseプラグイン（21）：Apache LDAP StudioでLDAPはもう怖くない (1/3) - ＠IT

• 詳細プロパティの表示: エントリ上で右クリック > Fetch Operational Attributes
• 詳細プロパティをデフォルトで表示させる: Connections:選択 > 右クリックしてproperties > Browser Optionsタブ > Fetch Operational Attributes while browsing: チェック

• 不具合？
  • objectClass: glueエントリ以下が表示されない。ldapsearchコマンドだと表示される。

---

phpLDAPadmin - 管理ツール †

• phpLDAPadmin
  • オープンソースのWEB管理ツール
  • php

---

バックアップ/リストア †

• 記事
  • OpenLDAP backup & restore — panic
  • How to backup and restore your LDAP database

• OpenLDAP バックアップスクリプト: ldap-backup.sh
  • s3へのコピーはs3cmdが必要。使用しないならば --s3cmd-config, --s3-bucket は不要

    yum install s3cmd --enablerepo=epel 
    s3cmd --configure
    chmod 755 ldap-backup.sh
    
    ./ldap-backup.sh \
      --base-dn "dc=yourDC,dc=local" \
      --backup-dir /path/to/backup \
      --log-dir /tmp \
      --s3cmd-config /path/to/.s3cfg \
      --s3-bucket s3://BUCKET/path/to

• リストア:

  sudo service slapd stop
  sudo find /var/lib/ldap/ -type f ! -name DB_CONFIG -delete
  sudo find /etc/openldap/slapd.d/ ! -name slapd.d -delete
  
  sudo -u ldap slapadd -l /tmp/ldap.backup.ldif
  sudo -u ldap slaptest -f  /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
  
  sudo service slapd start

  • 「dn:」 のエラーはldifからそのセクションを削除するとインポートできる
  • slapadd「The first database does not allow slapadd; using the first available one (2)」 は無視できる」
  • slapadd -s で スキーマチェックをしない。エラーが出て、インポートに失敗する場合に使えるが、エラーが直る訳では無いので推奨しない。

---

インストール †

---

CentOS 7/8 †

記事:

• OpenLDAPサーバ構築(Ver2.4・RHEL8) - pikesaku’s blog
• OSSTech OpenLDAP 2.4 インストールガイド
• CentOS7でOpenldap構築 - 1.Openldapの仕組み - Qiita

---

CentOS 6 †

• 記事
  • Apache Directory Studio で OpenLDAP 2.4 環境をゆるふわ構築 - Qiita [キータ]
  • CentOS 6にOpenLDAP環境を構築する

• CentOS 6.x
• インストール

  yum install openldap-servers openldap-clients
  
  # rootパスワードの設定。"{SSHA}〜"をメモ
  slappasswd -s secret
  
  # Berkeley DB設定
  cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
  vim /var/lib/ldap/DB_CONFIG
  ----
  # one 0.25 GB cache
  set_cachesize 0 268435456 1
  
  # Transaction Log settings
  set_lg_regionmax 262144
  set_lg_bsize 2097152
  
  # automatically delete transaction logs
  set_flags DB_LOG_AUTOREMOVE
  ----
  
  # slapd.conf 設定変更
  cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf
  vim /etc/openldap/slapd.conf
  ----
  # suffixの変更
  suffix "dc=my-domain,dc=com"
  
  # rootdnの変更
  rootdn "cn=Manager,dc=my-domain,dc=com"
  
  
  # rootpwの変更
  rootpw {SSHA}XACqUDuUFVNjgfn+JPFilYB1X852Xepi
  ----
  
  # slapd.conf テスト
  slaptest -u -f /etc/openldap/slapd.conf -v
  
  # slapd.conf 更新
  sudo service slapd stop
  sudo rm -rf /etc/openldap/slapd.d/{cn=config,cn=config.ldif}
  sudo -u ldap slaptest -f  /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
  sudo service slapd restart

• サンプルドメイン(dc=my-domain,dc=com)追加。ldif-example.zip
  • user passwor:secret

    ldapadd -x -D "cn=Manager,dc=my-domain,dc=com" -W -f ./base.ldif
    ldapadd -x -D "cn=Manager,dc=my-domain,dc=com" -W -f ./group.ldif
    ldapadd -x -D "cn=Manager,dc=my-domain,dc=com" -W -f ./user.ldif

• 確認

  # rootユーザで検索
  ldapsearch -x -b 'dc=my-domain,dc=com' '(objectClass=*)' \
    -H ldap://localhost \
    -D "cn=Manager,dc=my-domain,dc=com" \
    -W
  
  # 外部サービス接続用のユーザで検索
  ldapsearch -x -b 'dc=my-domain,dc=com' '(objectClass=*)' \
    -H ldap://localhost \
    -D "cn=connector,ou=People,dc=my-domain,dc=com" \
    -W

Software

• 自作ソフト
• wiki自作プラグイン
• 利用規定
• ランキング
• 雑誌等掲載履歴

Programming

Game

雑記

連絡先

---

• MenuBar
• RightBar
• :admin
  

人気の10件

最新の10件

---