Home
News
Forum
Wiki
Blog
Contents
Gallery
Movies
Downloads
About NSL
If you want to see English page, please click "English" Button at Left.
[
タイトル一覧
|
ページ一覧
|
新規
|
単語検索
|
最終更新
|
ヘルプ
]
389 Directory Server
をテンプレートにして作成
[
トップ
]
[ ]
開始行:
* 389-ds
- [[LDAP]] 実装の一つ
- [[OpenLDAP]] より良いとの噂.
- https://www.secioss.co.jp/389-directory-server-%E6%A7%8...
- 情報が少ない!
#br
** NSL
-- ds.nsl.tuis.ac.jp
-- [[phpldapadmin>phpLDAPadmin]]
-- デーモン:ns-lsapd
#br
** CentOS8 (1.4系)
*** Information
- 古い Java コンソールと管理サーバーは廃止
-- 代わりは?
-- [[Cockpit]] または [[Apache Directory Studio]] を使う?
--- [[Cockpit]] はまだ能力不足(2021 6/3)
--- DIT(Directory Information Tree)操作に [[Apache Dire...
- 結局 [[Apache Directory Studio]] も良く分からんので,[[...
#br
*** Install
# dnf install epel-release
# dnf update epel-release
# dnf module install 389-directory-server:stable/default
- openldap のクライアントも入れておいた方が便利
#br
*** Setup
# dscreate interactive
- Create self-signed certificate database に yes で答える...
-- NSSのデータベース用パスワードは /etc/dirsrv/slapd-[Dir...
- Create just the top suffix entry [no]: yes
- DataBase は ''/var/lib/dirsrv/slapd-[Directory server i...
- [[Cockpit]] からも接続可能
#br
**** Example
# dscreate interactive
Install Directory Server (interactive mode)
===========================================
selinux is disabled, will not relabel ports or files.
Selinux support will be disabled, continue? [yes]:
Enter system's hostname [altair]: ds.nsl.tuis.ac.jp
Enter the instance name [ds]: nsl
Enter port number [389]:
Create self-signed certificate database [yes]:
Enter secure port number [636]:
Enter Directory Manager DN [cn=Directory Manager]: cn=Ma...
Enter the Directory Manager password: ********
Confirm the Directory Manager Password: ********
Enter the database suffix (or enter "none" to skip) [dc=...
Create sample entries in the suffix [no]: yes
Do you want to start the instance after the installation...
Are you ready to install? [no]: yes
Starting installation...
Completed installation for nsl
#br
**** firewall
# firewall-cmd --add-service=ldap --permanent
# firewall-cmd --add-service=ldaps --permanent
# firewall-cmd --reload
**** 起動
- systemctl start dirsrv@[Directory server identifier]
-- systemctrl start dirsrv@nsl.service
#br
*** check
- TLS を使う場合は /etc/openldap/ldap.conf に ''TLS_REQCE...
ex.) ldapsearch -x -H ldap://localhost -D cn=Manager -W ...
ex.) ldapsearch -x -H ldaps://localhost -D cn=Manager -W...
#br
*** Client
- [[pam_ldap]]
- [[nss_ldap]], [[nslcd]]
- [[sssd]]
#br
*** 属性値の変更
**** 変更例
- dapmodify -x -H ldap://202.26.150.51 -D cn=Manager -W -...
# cat change.ldif
dn: cn=config
changetype: modify
replace: nsslapd-security
nsslapd-security: on
**** aci 内部属性の変更
- 一般ユーザに userPassword の変更権限の aci内部属性を与...
- ldapmodify -x -H ldap://202.26.150.51 -D cn=Manager -W ...
# cat userPass.ldif
dn: dc=nsl,dc=tuis,dc=ac,dc=jp
changetype: modify
add: aci
aci: (targetattr = "userPassword") (version 3.0; acl
"modify own password"; allow (write) userdn = "ldap:///...
**** ldapサーバが相手の証明書をチェックしない
- cn=config
-- nsslapd-tls-check-crl : none
-- nsslapd-ssl-check-hostname : off
#br
*** Replication
**** Cockpit を使った Replication (389-ds => 389-ds)
- Supplier --> Consumer ならうまくいく
-- Agreement で Consumer のデータベースを初期化する.
-- ldaps(636)で通信する場合は,「''ldapサーバが相手の証...
- Supplier <--> Supplier がダメ
- Consumer を Cockpit で削除しようとすると,389-ds が止ま...
#br
**** OpenLDAP => 389-ds
- syncprovモジュールを使用する.(?)
- Consumer(389-ds) から Supplier(OpenLDAP)に聞きに行...
#br
*** Trouble Shooting
**** エラー番号
- https://software.fujitsu.com/jp/manual/manualfiles/M050...
#br
**** パスワードの変更に失敗しました。 サーバーのメッセー...
- 一般ユーザにパスワード変更の権限がない(err=50)
- 上記の 「aci 内部属性の変更」 を参照
#br
** old(1.3系)
*** Install
# dnf module enable 389-ds
# dnf install 389-ds-base
# dnf install 389-ds-base-legacy-tools
*** Setup
# setup-ds.pl
- ほぼデフォルトでOK
-- Computer name は DNSで引けるものにする.
-- Directory server identifier は他と被らないようにする....
- 失敗した場合は /tmp に作られる log をチェックする.
- /etc/dirsrv/slapd-[Directory server identifier]/ が作ら...
- LDAPI が作られない.Cockpit でアクセスできない.
#br
*** Execute
# systemctl start dirsrv@[Directory server identifier]
ex.) systemctl start dirsrv@nsl
#br
**** check
- ex.) ldapsearch -x -H ldap://localhost -D cn=Manager -W...
#br
*** 389 Windows Console
- https://directory.fedoraproject.org/docs/389ds/releases...
#br
*** TLS
**** サーバ証明書 (p12ファイル)
# cd /etc/dirsrv
# mkdir certs
# cd certs
# mkdir private
# openssl genrsa 2048 > private/private.key
# openssl req -new -x509 -key private/private.key -out s...
# openssl pkcs12 -export -inkey private/private.key -in ...
p12ファイルのパスワードを設定
#br
**** 389 へ配置
# pk12util -i server.p12 -d /etc/dirsrv/slapd-nsl
Internal (Software) Token のパスワードを設定
- 確認
# certutil -d /etc/dirsrv/slapd-nsl -L
Certificate Nickname ...
...
Server-Cert ...
**** 389のファイル設定
- /etc/dirsrv/slapd-nsl/pin.txt (Internal (Software) To...
Internal (Software) Token:pass
- /etc/dirsrv/slapd-nsl/ldaps.ldif
dn: cn=config
changetype: modify
replace: nsslapd-security
nsslapd-security: on
- ldaps.ldif の変更を反映
# ldapmodify -x -H ldap://localhost -D cn=Manager -W -f ...
LDAPのパスワードを入力
- /etc/openldap/ldap.conf に TLS_REQCERT never を追加
#br
**** firewall
# firewall-cmd --add-service=ldap --permanent
# firewall-cmd --add-service=ldaps --permanent
# firewall-cmd --reload
**** check
# systemctl restart dirsrv@nsl
# ldapsearch -x -H ldaps://localhost -D cn=Manager -W -b...
#br
終了行:
* 389-ds
- [[LDAP]] 実装の一つ
- [[OpenLDAP]] より良いとの噂.
- https://www.secioss.co.jp/389-directory-server-%E6%A7%8...
- 情報が少ない!
#br
** NSL
-- ds.nsl.tuis.ac.jp
-- [[phpldapadmin>phpLDAPadmin]]
-- デーモン:ns-lsapd
#br
** CentOS8 (1.4系)
*** Information
- 古い Java コンソールと管理サーバーは廃止
-- 代わりは?
-- [[Cockpit]] または [[Apache Directory Studio]] を使う?
--- [[Cockpit]] はまだ能力不足(2021 6/3)
--- DIT(Directory Information Tree)操作に [[Apache Dire...
- 結局 [[Apache Directory Studio]] も良く分からんので,[[...
#br
*** Install
# dnf install epel-release
# dnf update epel-release
# dnf module install 389-directory-server:stable/default
- openldap のクライアントも入れておいた方が便利
#br
*** Setup
# dscreate interactive
- Create self-signed certificate database に yes で答える...
-- NSSのデータベース用パスワードは /etc/dirsrv/slapd-[Dir...
- Create just the top suffix entry [no]: yes
- DataBase は ''/var/lib/dirsrv/slapd-[Directory server i...
- [[Cockpit]] からも接続可能
#br
**** Example
# dscreate interactive
Install Directory Server (interactive mode)
===========================================
selinux is disabled, will not relabel ports or files.
Selinux support will be disabled, continue? [yes]:
Enter system's hostname [altair]: ds.nsl.tuis.ac.jp
Enter the instance name [ds]: nsl
Enter port number [389]:
Create self-signed certificate database [yes]:
Enter secure port number [636]:
Enter Directory Manager DN [cn=Directory Manager]: cn=Ma...
Enter the Directory Manager password: ********
Confirm the Directory Manager Password: ********
Enter the database suffix (or enter "none" to skip) [dc=...
Create sample entries in the suffix [no]: yes
Do you want to start the instance after the installation...
Are you ready to install? [no]: yes
Starting installation...
Completed installation for nsl
#br
**** firewall
# firewall-cmd --add-service=ldap --permanent
# firewall-cmd --add-service=ldaps --permanent
# firewall-cmd --reload
**** 起動
- systemctl start dirsrv@[Directory server identifier]
-- systemctrl start dirsrv@nsl.service
#br
*** check
- TLS を使う場合は /etc/openldap/ldap.conf に ''TLS_REQCE...
ex.) ldapsearch -x -H ldap://localhost -D cn=Manager -W ...
ex.) ldapsearch -x -H ldaps://localhost -D cn=Manager -W...
#br
*** Client
- [[pam_ldap]]
- [[nss_ldap]], [[nslcd]]
- [[sssd]]
#br
*** 属性値の変更
**** 変更例
- dapmodify -x -H ldap://202.26.150.51 -D cn=Manager -W -...
# cat change.ldif
dn: cn=config
changetype: modify
replace: nsslapd-security
nsslapd-security: on
**** aci 内部属性の変更
- 一般ユーザに userPassword の変更権限の aci内部属性を与...
- ldapmodify -x -H ldap://202.26.150.51 -D cn=Manager -W ...
# cat userPass.ldif
dn: dc=nsl,dc=tuis,dc=ac,dc=jp
changetype: modify
add: aci
aci: (targetattr = "userPassword") (version 3.0; acl
"modify own password"; allow (write) userdn = "ldap:///...
**** ldapサーバが相手の証明書をチェックしない
- cn=config
-- nsslapd-tls-check-crl : none
-- nsslapd-ssl-check-hostname : off
#br
*** Replication
**** Cockpit を使った Replication (389-ds => 389-ds)
- Supplier --> Consumer ならうまくいく
-- Agreement で Consumer のデータベースを初期化する.
-- ldaps(636)で通信する場合は,「''ldapサーバが相手の証...
- Supplier <--> Supplier がダメ
- Consumer を Cockpit で削除しようとすると,389-ds が止ま...
#br
**** OpenLDAP => 389-ds
- syncprovモジュールを使用する.(?)
- Consumer(389-ds) から Supplier(OpenLDAP)に聞きに行...
#br
*** Trouble Shooting
**** エラー番号
- https://software.fujitsu.com/jp/manual/manualfiles/M050...
#br
**** パスワードの変更に失敗しました。 サーバーのメッセー...
- 一般ユーザにパスワード変更の権限がない(err=50)
- 上記の 「aci 内部属性の変更」 を参照
#br
** old(1.3系)
*** Install
# dnf module enable 389-ds
# dnf install 389-ds-base
# dnf install 389-ds-base-legacy-tools
*** Setup
# setup-ds.pl
- ほぼデフォルトでOK
-- Computer name は DNSで引けるものにする.
-- Directory server identifier は他と被らないようにする....
- 失敗した場合は /tmp に作られる log をチェックする.
- /etc/dirsrv/slapd-[Directory server identifier]/ が作ら...
- LDAPI が作られない.Cockpit でアクセスできない.
#br
*** Execute
# systemctl start dirsrv@[Directory server identifier]
ex.) systemctl start dirsrv@nsl
#br
**** check
- ex.) ldapsearch -x -H ldap://localhost -D cn=Manager -W...
#br
*** 389 Windows Console
- https://directory.fedoraproject.org/docs/389ds/releases...
#br
*** TLS
**** サーバ証明書 (p12ファイル)
# cd /etc/dirsrv
# mkdir certs
# cd certs
# mkdir private
# openssl genrsa 2048 > private/private.key
# openssl req -new -x509 -key private/private.key -out s...
# openssl pkcs12 -export -inkey private/private.key -in ...
p12ファイルのパスワードを設定
#br
**** 389 へ配置
# pk12util -i server.p12 -d /etc/dirsrv/slapd-nsl
Internal (Software) Token のパスワードを設定
- 確認
# certutil -d /etc/dirsrv/slapd-nsl -L
Certificate Nickname ...
...
Server-Cert ...
**** 389のファイル設定
- /etc/dirsrv/slapd-nsl/pin.txt (Internal (Software) To...
Internal (Software) Token:pass
- /etc/dirsrv/slapd-nsl/ldaps.ldif
dn: cn=config
changetype: modify
replace: nsslapd-security
nsslapd-security: on
- ldaps.ldif の変更を反映
# ldapmodify -x -H ldap://localhost -D cn=Manager -W -f ...
LDAPのパスワードを入力
- /etc/openldap/ldap.conf に TLS_REQCERT never を追加
#br
**** firewall
# firewall-cmd --add-service=ldap --permanent
# firewall-cmd --add-service=ldaps --permanent
# firewall-cmd --reload
**** check
# systemctl restart dirsrv@nsl
# ldapsearch -x -H ldaps://localhost -D cn=Manager -W -b...
#br
ページ名:
サイト内 検索
高度な検索
ログイン
ユーザー名:
パスワード:
パスワード紛失
新規登録
サブ メニュー
新着情報
Books
リンク
サイトマップ
e-Learning
TUIS 認証局証明書
ミニカレンダー
2024年 12月
日
月
火
水
木
金
土
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
<今日>
オンライン状況
62 人のユーザが現在オンラインです。 (11 人のユーザが xpwiki を参照しています。)
登録ユーザ: 0
ゲスト: 62
もっと...
アクセスカウンタ
今日 :
昨日 :
総計 :
Powered by XOOPS Cube 2.1© 2001-2006
XOOPS Cube Project
Design by
XoopsDesign.com