LDAP

LDAP

Lightweight Directory Access Protocol

• OpenLDAP
• 389 Directory Server　(NSLで使用 with phpLDAPadmin)
   

ユーザ認証での使用

Server

Port 番号

• 389
• over TLS: 636
   

Unix/Linux の場合

• 以下のオブジェクトを使用する
  • posixAccount
    • account または inetOrgPerson と共に用いる
  • posixGroup
     

ログイン時の homeディレクトリの自走生成

• oddjob-mkhomedir
   

Client

PAM

• pam_ldap
• pam_ldap は設定ファイルを見て，直接 LDAPサーバに接続する．
• システムへのログインなどでは，別途ユーザ情報（getent passwd）を取得する必要がある．
  • 通常はNSS nsswitch.conf と nslcd を使用
  • /etc/passwd にエントリだけ書いてもOK
• CentOS の場合はソースコンパイルする（/lib/security/pam_ldap.so）
• 設定ファイルは /etc/ldap.conf と/etc/openldap/ldap.conf の両方を見ているみたい．
  • /etc/ldap.conf, /etc/openldap/ldap.conf は同じ内容でOK．
     

PAM + NSS（nslcd）(+ nscd)

• ログインなどの場合，ユーザ情報は nss（nsswitch.conf）+nslcd が取得．
• 面倒なので，pam_ldap を nslcd 経由でLDAPに繋がるようにする．(設定ファイルが減る)
  • /etc/nslcd.conf と /etc/ldap.conf の内容はほぼ同じ
• pam_ldap + nss_ldap
  • pam : /etc/pam.d/sshd, su, system-auth など
  • nsswitch : /etc/nsswitch.conf
  • nslcd : /etc/nslcd.conf
  • CentOS7 の pam_ldap.so（nslcd経由）はなんだか挙動が変．

• nscd はキャッシュデーモン
   

SSSD

• 単体で認証可能．キャッシュ一体型．お手軽．
• ログインなどの場合ユーザを別途取得する必要がない
   

ObjectClass

account

• 必須属性 : uid
• 任意属性 : description, host, l, o, ou, seeAlso
   

inetOrgPerson

• 任意属性 : audio, businessCategory, carLicense, departmentNumber, employeeNumber, employeeType, givenName, homePhone, homePostalAddress, initials, jpegPhoto, labeledURI, mail, manager, mobile, pager, photo, preferredLanguage, roomNumber, secretary, uid, userCertificate, userSMIMECertificate, x500uniqueIdentifier
   

posixAccount (補助オブジェクトクラス)

• 必須属性 : cn, uid, uidNumber, gidNumber, homeDirectory
• 任意属性 : description, gecos, loginShell, userPassword
   

posixGroup

• 必須属性 : cn, gidNumber
• 任意属性 : description, memberUid, userPassword
   

shadowAccount (補助オブジェクトクラス)

• 必須属性 : uid
• 任意属性 : description, shadowLastChange, shadowMax, shadowMin, shadowWarning, shadowInactive, shadowExpire, shadowFlag, userPassword
   

Hack

• 通信解析