OpenLDAP を使おう (4)

そういえば長らく書こうと思って書けていなかった OpenLDAP のアカウント登録を簡単にまとめておきます。

(1) rootdn および rootpw の編集

まず、ディレクトリに管理者ユーザーを登録しましょう。そこで管理者ユーザーを登録するための仮の管理者ユーザーを設定してディレクトリに接続できるようにします。 /etc/ldap/slapd.conf に以下の行を追加してください。

    rootdn "管理者のDN"
    rootpw 管理者のパスワード

仮のものなのでパスワードの部分には平文のパスワードをそのまま書いてもいいですが、本来は slappasswd コマンドを使って作成した文字列を指定すべきでしょう。

    slappasswd
    New password: ← パスワードを入力
    Re-enter new password: ← 確認のためもう一度入力

設定できたら、openldap を再起動しておきましょう。

    /etc/init.d/slapd restart

(2) 管理者エントリーの作成

まず、登録するエントリーの情報を以下のように LDIF 形式のテキストファイルで作成します。

    dn: 作成する管理者のDN
    cn: 作成する管理者のDNのCNの部分
    description: コメント
    objectClass: organizationalRole
    objectClass: simpleSecurityObject
    userPassword: パスワード

パスハードに指定する文字列については先ほどのように slappasswd を用いて作成してください。ひととおり編集が終わったら、このファイルを ldapadd コマンドを用いてディレクトリに登録します。

    ldapadd -x -h localhost -D '仮の管理者のDN' -W < 作成したファイルのパス
    Enter LDAP Password: ← 仮の管理者のパスワードを入力
    adding new entry "登録されたDN"

管理者の作成が完了したら、/etc/ldap/slapd.conf から rootdn および rootpw の行をコメントアウトして、新たに設定した管理者で接続できるかどうか確認しておきましょう。

(3) POSIX アカウントの登録例

それではログインユーザーとして用いることのできる POSIX アカウントを登録してみましょう。登録情報を LDIF 形式のテキストファイルで作成して登録する手順は先ほどと同じです。

    uid: ユーザーID
    cn: ユーザー名
    uidNumber: ユーザーID番号
    gidNumber: グループID番号
    objectClass: shadowAccount 
    objectClass: posixAccount
    shadowMin: パスワードが変更可能になるまでの日数
    shadowMax: パスワードの変更を要求するまでの日数
    shadowWarning: パスワードを無効にするまでの警告日数
    shadowLastChange: パスワードの変更日付（1970/1/1よりの日数）
    loginShell: ログインシェル
    homeDirectory: ホームディレクトリ
    gecos: GECOSフィールド
    userPassword: ユーザーパスワード

ユーザーパスワードは先ほどと同じように slappasswd で作成してください。その他のフィールドの詳細は /etc/shadow や /etc/passwd に対応しています。作成した LDIF のファイルを ldapadd で登録するとこも先ほどと同じですが、接続に使う管理者の DN およびパスワードは先ほど作成した管理者のものを用いる必要があるので注意してください。

(4) POSIX グループの登録

グループも同様に登録できます。

    dn: グループのDN
    cn: グループ名
    userPassword: グループパスワード
    gidNumber: グループID番号
    memberUid: グループメンバーのユーザー名
    objectClass: posixGroup