読者です 読者をやめる 読者になる 読者になる

はちゅにっき

こっちのブログはまったり更新

LDAPの設定(クライアント)

LDAPの設定(クライアント)をよく忘れるのでメモ。
家のサーバも samba を導入する予定なので、ユーザ情報を統一できるよう
そのうち LDAP サーバをインストールしよー。

環境は相変わらず Debian/lenny

インストール

定番

# aptitude install ldap-utils libpam-ldap libnss-ldap nscd


dpkg で↓のように次々と質問されるので適切に入力する

libnss-ldap の設定
  1. LDAP サーバの URI
  2. 検索ベースの識別名
    • dc=mydomain,dc=jp
  3. 利用するバージョン
    • 3 (古いのを使う理由もなさそうだし)
  4. root の LDAP アカウント
    • デフォルトでOK (root のアカウントが分かる場合は入力してもいいよね)
  5. パスワード
    • 分かる場合は入力

以上のように答えれば、/etc/libnss-ldap.conf が自動で↓のように生成されるはず

base dc=mydomain,dc=jp
uri ldap:///<ldap server の IP>
ldap_version 3
rootbinddn <LDAP の root>

また /etc/libnss-ldap.secret にパスワードが平文の状態で保存される。

libpam-ldap の設定
  1. ローカルの root データベース管理者を作成する。
    • いいえ
  2. LDAP データベースはログインを必要とするか
    • いいえ
  3. root の LDAP アカウント
    • デフォルトでOK (root のアカウントが分かる場合は入力してもいいよね)
  4. LDAP root アカウントのパスワード
    • 分かる場合は入力

これも同様に /etc/pam_ldap.conf が自動で生成される。

base dc=mydomain,dc=jp
uri ldap:///<ldap server の IP>
ldap_version 3
rootbinddn <LDAP の root>
pam_password crypt


これら質問が聞かれない場合は

dpkg-reconfigure libnss-ldap libpam-ldap

で設定してもへーきなハズ

LDAP の設定

/etc/ldap/ldap.conf が自動で生成されなかったので↓の内容で作る

BASE dc=mydomain,dc=jp
URI ldap://

認証に LDAP を用いるように /etc/nsswitch.conf を書き換える

# passwd:         compat
# group:          compat
# shadow:         compat
#  ↓以下のように編集
passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap

PAM の設定

/etc/pam.d/common-auth
# auth    required    pam_unix.so nullok_secure
#  ↓以下のように編集
auth [success=1 default=ignore] pam_unix.so
auth required pam_ldap.so use_first_pass
auth required pam_permit.so

/etc/pam.d/common-account

account [success=1 default=ignore] pam_unix.so
account required pam_ldap.so
account required pam_permit.so

この辺については

/usr/share/doc/libpam-ldap/README.Debian

kazu memo@GD(2005-08-11)
http://blog.good-day.net/~nisiyama/diary/?date=20050811

に詳しく載ってました。
多謝。

設定の確認

# ldapsearch -x

で、LDAPに登録されている情報が表示できればきっとおっけー。
これで LDAP で認証されるようになりました。