読者です 読者をやめる 読者になる 読者になる

黒縁眼鏡は海を飛ぶ

IT中心にそこはかとなく

OpenLDAPでディレクトリサービスってみる(2日目)

Linux ldap

OpenLDAPはLPIC2では範囲が狭いといったな、あれは嘘だ

制度改定にともなって元々LPIC-3から202試験にお引っ越しされてきたみたいですね。クソが。
いいさいいさ、勉強しちゃうもんね。

 

というわけで2日目です

1日目ではとりあえずぐあーーっとコマンドやら設定ファイルやらを羅列したので、2日目ではひとつひとつ飽きるまで 見て行きたいと思います。

1.パッケージを入れる

# yum install openldap-servers openldap-clients

これはまあパッケージをとってきていますね。
今回ですとLDAPサーバとLDAPクライアントを同じサーバで実施してますので、どっちも一気に入れてしまってます。

 

2.LDAPサーバ管理用のパスワードを生成する

# slappasswd
New password: 
Re-enter new password: 
{SSHA}hogehogefizzbuzzhagetenaishi ← 暗号化されたパスワード。控えておきます。

今後LDAPサーバの設定を続ける際に使用する管理者用PASSの生成。
slappasswdコマンドについては日本LDAPユーザ会様にて以下のようなことが言及されています。

パスワードをハッシュ化しておいても、プロトコル転送中の パスワードは保護されない。LDAP 簡易認証を使う前に TLS その他の盗聴防止機構を検討すべきである。
ハッシュ化したパスワード値は、それがクリアテキストのパスワードであるかのように保護すべきである。
v2.4でも同様なのでしょうか。

 

3,DBの設定

# cd /var/lib/ldap
# cp -p /usr/share/openldap-servers/DB_CONFIG.example DB_CONFIG

元々サンプルとしてデータベースの設定ファイルを用意してくれているので、それをコピーしています。
LDAPが使用するデータベースはRDBではなくBDBBerkeley DB)なのだそうですが、この設定ファイルで共有メモリの調整やらを実施するそうな…む、難しい…

なお、bdbのチューニングはかなり難しいそうで、運用の中で煮るなり焼くなりしなくてはならないそうですが、目安となる情報をコマンドで取ることはできるそうです。
DB_CONFIGファイルが配置されている場所(つまりslapd.confdirectoryに指定されているディレクトリ)に移動してから以下。

db_statv -m

…
124 Requested pages found in the cache (98%)

相当色々出てきますが、とりあえず上記が大切らしいです。リクエストされたデータのうち何%がメモリキャッシュからヒットしているかを示す数値です。

 

4./etc/openldap/slapd.dをからっぽに

# cd /etc/openldap
# cp -pR slapd.d slapd.d.org
# rm -rf slapd.d/*

デフォルトで配置されているslapd.dを変名してしまい、中身をすっきりさっぱり消し去ってますね。
この後slapd.confを編集しますが、その設定内容からslapd.dの中身を作るような手順があったので、そのためでしょう。
slapd.dの中身はなんなのでしょう。むう…

あ、あかん。今日はここまで…不完全過ぎて大草原が発生しそうです。