7: 2021-06-26 (土) 12:31:29 iseki  |
現: 2022-10-19 (水) 11:55:51 iseki |
| | *** Lightweight Directory Access Protocol [#n96cf17c] | | *** Lightweight Directory Access Protocol [#n96cf17c] |
| | - [[OpenLDAP]] | | - [[OpenLDAP]] |
| - | - [[389 Directory Server]] | + | - [[389 Directory Server]] (NSLで使用 with [[phpLDAPadmin]]) |
| - | - [[pam_ldap]], [[nss_ldap]] | + | |
| | #br | | #br |
| | | | |
| | | | |
| | *** Server [#s3d4fc77] | | *** Server [#s3d4fc77] |
| | + | **** Port 番号 [#x29cc0e8] |
| | + | - 389 |
| | + | - over TLS: 636 |
| | + | #br |
| | + | |
| | **** Unix/Linux の場合 [#id89d737] | | **** Unix/Linux の場合 [#id89d737] |
| | - 以下のオブジェクトを使用する | | - 以下のオブジェクトを使用する |
| | --- account または inetOrgPerson と共に用いる | | --- account または inetOrgPerson と共に用いる |
| | -- posixGroup | | -- posixGroup |
| | + | #br |
| | + | **** ログイン時の homeディレクトリの自走生成 [#n8cb4070] |
| | + | - [[oddjob-mkhomedir>oddjobd]] |
| | #br | | #br |
| | | | |
| | *** Client [#aa30e8dd] | | *** Client [#aa30e8dd] |
| - | - 認証設定については ''authconfig-tui ''などのツールもある. | |
| - | | |
| - | #br | |
| | | | |
| | **** [[PAM]] [#p72bc515] | | **** [[PAM]] [#p72bc515] |
| | - [[pam_ldap]] | | - [[pam_ldap]] |
| - | - システムへのログインなどでは,別途ユーザ情報を取得する必要がある.(通常はNSSを使用) | + | - pam_ldap は設定ファイルを見て,直接 LDAPサーバに接続する. |
| | + | - システムへのログインなどでは,別途ユーザ情報(getent passwd)を取得する必要がある. |
| | + | -- 通常はNSS nsswitch.conf と [[nslcd]] を使用 |
| | + | -- /etc/passwd にエントリだけ書いてもOK |
| | + | - CentOS の場合はソースコンパイルする(/lib/security/pam_ldap.so) |
| | + | - 設定ファイルは /etc/[[ldap.conf>./ldap.conf]] と/etc/openldap/ldap.conf の両方を見ているみたい. |
| | + | -- /etc/ldap.conf, /etc/openldap/ldap.conf は同じ内容でOK. |
| | #br | | #br |
| | | | |
| | **** [[PAM]] + NSS([[nslcd]])(+ [[nscd]]) [#oa7924cd] | | **** [[PAM]] + NSS([[nslcd]])(+ [[nscd]]) [#oa7924cd] |
| - | - ログインなどの場合ユーザを別途取得する必要がある. | + | - ログインなどの場合,ユーザ情報は nss(nsswitch.conf)+nslcd が取得. |
| | - 面倒なので,[[pam_ldap]] を [[nslcd]] 経由で[[LDAP]]に繋がるようにする.(設定ファイルが減る) | | - 面倒なので,[[pam_ldap]] を [[nslcd]] 経由で[[LDAP]]に繋がるようにする.(設定ファイルが減る) |
| | -- /etc/nslcd.conf と /etc/ldap.conf の内容はほぼ同じ | | -- /etc/nslcd.conf と /etc/ldap.conf の内容はほぼ同じ |
| | - [[pam_ldap]] + [[nss_ldap]] | | - [[pam_ldap]] + [[nss_ldap]] |
| - | -- pam : /etc/pam.d/system-auth | + | -- pam : /etc/pam.d/sshd, su, system-auth など |
| | -- nsswitch : /etc/nsswitch.conf | | -- nsswitch : /etc/nsswitch.conf |
| | -- nslcd : /etc/nslcd.conf | | -- nslcd : /etc/nslcd.conf |
| | + | -- CentOS7 の pam_ldap.so(nslcd経由)はなんだか挙動が変. |
| | | | |
| | - [[nscd]] はキャッシュデーモン | | - [[nscd]] はキャッシュデーモン |
| | #br | | #br |
| | | | |
| - | **** SSSD [#gce9aa6a] | + | **** [[SSSD>sssd]] [#gce9aa6a] |
| - | - [[sssd]] | + | - 単体で認証可能.キャッシュ一体型.お手軽. |
| | + | - ログインなどの場合ユーザを別途取得する必要が''ない'' |
| | #br | | #br |
| | | | |
| | - 必須属性 : uid | | - 必須属性 : uid |
| | - 任意属性 : description, shadowLastChange, shadowMax, shadowMin, shadowWarning, shadowInactive, shadowExpire, shadowFlag, userPassword | | - 任意属性 : description, shadowLastChange, shadowMax, shadowMin, shadowWarning, shadowInactive, shadowExpire, shadowFlag, userPassword |
| | + | #br |
| | + | *** Hack [#ge965592] |
| | + | - [[通信解析>./protocol]] |
| | #br | | #br |
