SSSDを利用したLDAPの設定方法

このドキュメント (00100028) の最後に記載の 免責条項 に基づき提供されています。

環境

SUSE Linux Enterprise 12

概要

SSSD(System Security Services Daemon)を利用したLDAPの設定方法について知りたい。

設定方法

前提:
下記設定例では、以下のことを前提としています。
- LDAPサーバでは、認証サーバのパッケージがインストール済み(デフォルト設定)
 ※ドメインは"dc=site"
- LDAPクライアントでは、nss_ldap、pam_ldap、sssd-ldapのパッケージがインストール済み

 

  1. 認証サーバ(LDAPサーバ)
    設定例)

    1) 証明書を作成

     # mkdir myCA
     # cd myCA
     # /usr/share/ssl/misc/CA.pl -newca
      ※パスフレーズ、組織情報を入力
     # openssl req -new -nodes -keyout newreq.pem -out newreq.pem
      ※パスフレーズ、組織情報を入力
     #/usr/share/ssl/misc/CA.pl -sign
      ※自己署名
     # cp demoCA/cacert.pem /etc/openldap/
     # cp newcert.pem /etc/openldap/servercrt.pem
     # cp newreq.pem /etc/openldap/serverkey.pem
     # chown ldap.ldap /etc/openldap/*.pem
     # chmod 640 /etc/openldap/cacert.pem
     # chmod 600 /etc/openldap/serverkey.pem

    2) Yast2>Network Services>認証サーバ

    3) 起動時の設定

     - LDAPサーバの起動で「はい」にチェックを入れる

    4) グローバル設定

     ログレベル設定
     - 「接続、操作、結果のログ」にチェックを入れる
     TLS設定
     -「TLSを有効にする」チェック
     -「LDAP over SSL (ldaps)」にチェック
     - ステップ1)で作成した証明書をインポート
      CA証明書 /etc/openldap/cacert.pem
      証明書ファイル /etc/openldap/servercrt.pem
      証明書鍵ファイル /etc/openldap/serverkey.pem

    5) データベースを選択し、dc=siteの管理者DNが「cn=Administrator」に設定されていることを確認

    6) OKをクリック


  2. 認証クライアント(LDAPクライアント)
    設定例)

    1) 認証サーバ上で作成した証明書ファイルと証明書鍵ファイルをコピー

     証明書ファイル /etc/openldap/servercrt.pem
     証明書鍵ファイル /etc/openldap/serverkey.pem

    2) /etc/nsswitch.confファイルを以下のように編集

     # vi /etc/nsswitch.conf
     :
     passwd: compat sss
     group: compat sss

    3) /etc/sssd/sssd.confファイルを以下のように編集

     # cp /etc/sssd/sssd.conf /etc/sssd/sssd.conf.org
     # vi /etc/sssd/sssd.conf
     [sssd]
     config_file_version = 2
     services = nss, pam
     domains = site
     [domain/site]
     id_provider = ldap
     auth_provider = ldap
     ldap_schema = rfc2307bis
     enumerate = false
     cache_credentials = false
     ldap_uri = ldap://<ldap server host name>.site
     ldap_tls_reqcert = never
     [nss]
     filter_users = root
     filter_groups = root
     [pam]

     注記:
     上記設定例では、テスト目的でldap_tls_reqcert = never (証明書の要求を無効)に設定しています。
     この設定は、セキュリティリスクがありますので、本番環境では、設定しないようにしてください。

    4) pam-configツールを使って、PAM設定を変更

     # pam-config --add --mkhomedir
     # pam-config --add --sss
     # service nscd stop
     # chkconfig nscd off
     # systemctl restart sssd
     # systemctl enable sssd

    5) テスト用にユーザ登録

     # cat test1.ldif
     dn: cn=test1,dc=site
     objectClass: posixAccount
     objectClass: inetOrgPerson
     objectClass: organizationalPerson
     objectClass: person
     objectClass: top
     cn: test1
     uid: test1
     sn: test1
     uidNumber: 5001
     gidNumber: 5001
     homeDirectory: /home/test1
     loginShell: /bin/bash
     userPassword: password

     # ldapadd -x -h <LDAPサーバのIPアドレス> -D cn=Administrator,dc=site -w <パスワード> -f test1.ldif

    6) 登録したユーザが検索できることを確認

     # ldapsearch -x -h <LDAPサーバのIPアドレス> -D cn=Administrator,dc=site -s sub cn=test1 -b dc=site -w <パスワード>


  3. ログイン確認

    1) コンソール(GNOME)からtest1ユーザでログイン

    2) LDAPクライアント上でsuコマンドを実行

     # su - test1

    3) teratermからログイン

     ユーザ名 test1
     「チャレンジレスポンス認証を使う」にチェックを入れる
     パスワード test1.ldifで設定したパスワードを入力

免責条項

このサポート ナレッジベースは、NetIQ/Novell/SUSE顧客、および弊社製品およびそのソリューションに関心のあるパーティへ、情報やアイデアの取得およびそれらの知識を得る為の有効なツールを提供します。 本文書の商品性、および特定目的への適合性について、いかなる黙示の保証も否認し、排除します。

  • ドキュメント ID:00100028
  • 作成年月日:11-FEB-16
  • 修正年月日:11-FEB-16
    • SUSESUSE Linux Enterprise 12

このドキュメントはあなたの問題を解決しましたか? フィードバックを送る

SUSEサポートフォーラム

経験豊富なシステムオペレーターへの質問を投稿したり、他のSUSEコミュニティのエキスパートと交流したりすることができます。

コミュニティに参加

サポートリソース

このガイドラインでは、SUSEサブスクリプション、Premium Support、教育機関向けプログラム、またはパートナープログラムで提供されるテクニカルサポートの活用方法について説明します。


SUSE Technical Support Handbook Update Advisories
サポートに関するFAQ

インシデントを開く

テクニカルサポートへのインシデントの報告、サブスクリプションの管理、パッチのダウンロード、ユーザーアクセスの管理を行うことができます。

カスタマーセンターにアクセス