2013年06月11日

ロリ○ップ

LDAPサーバを構築したのでメモ

タイトルは、依頼主がLDAPのことをそう呼んでるから採用しました((

■要件

・社内で使ってるADの情報で認証したい
・けど、ADをグローバルに出すとか無いわー
・なのでProxyとして使えればOK
・( ゚ρ゚)
・ついでに独自のデータとかも格納出来れば、それはとっても嬉しいなって

■参考サイト

この辺り。とっても参考になりました。

CentOS6 をプログラミング環境として使う OpenLDAP環境構築

後、AD連携という点でこんな話もあるようで。(修正済みっぽい?)
OpenLDAPサーバを介してActiveDirectoryに接続する際の注意点ふたつメモ

slapd.confに書くやり方は結構出てきたのですが
OpenLDAP 2.4だとslapd.conf → 変換してslapd.d以下にファイル展開
みたいにする必要がある上に、そこの変換でコケてたから中々進めませんでした/(^o^)\

後これ。
slapo-translucent(5) - Linux man page

■設定内容

またまたはまっていたので要所だけメモ。
slapd.conf.obsoluteのbdb以降を消し、
後ろにdatabase ldap用の設定を追記した物で変換成功しましたヽ・w・ノ

#######################################################################
# database definitions
#######################################################################

database ldap
suffix "dc=example,dc=com"
rootdn "cn=administrator,cn=Users,dc=example,dc=com"

# Cleartext passwords, especially for the rootdn, should
# be avoided. See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
# rootpw secret
# rootpw {crypt}ijFYNcSNctBYg
rootpw password
uri ldap://example.com

access to * by * read

chase-referrals no
conn-ttl 15
idle-timeout 5
single-conn yes
acl-authcDN "cn=administrator,cn=Users,dc=example,dc=com"
acl-passwd password



中々繋がらなかったので
パケットキャプチャしてみた。

最初の2つが、backendにldapを使ってくれるかの確認で試したldapsearchで
それ以降は直接backendのADを指定してldapsearchした時のもの。



どうも、正規のアクセスと違って
bind_requestをやる前にsearchrequestを投げてるみたい・・・?

manのページをみて、認証に絡んでそうなところを片っ端から足して試行錯誤したのですが
rootdnrootpwはプロクシになるサーバを利用するための情報であって
BackendであるADを利用するための情報は
acl-authcDNacl-passwdで指定しないといけないようです。

同じ情報でやってくれるオプションがあるような気もしますが
ひとまず動いた段階でメモメモφ(・ワ・

nanodayo at 18:13コメント(0)トラックバック(0) 
UNIX 

トラックバックURL

コメントする

名前
 
  絵文字