コメント
DebianでのLDAPサーバーの設定方法
編集済み 2 数週間前 によって ExtremeHow 編集チーム
ディストリビューション型オペレーティングシステムLDAPディレクトリサービスネットワーキングサーバー設定リナックスオープンソースシステム管理コマンドラインインターフェースセキュリティ
翻訳が更新されました 2 数週間前
この詳細なガイドでは、DebianシステムでのLDAP(Lightweight Directory Access Protocol)サーバーのセットアップと設定プロセスについて紹介します。LDAPは、インターネットプロトコルネットワーク上の分散ディレクトリ情報サービスにアクセスし維持するために使用されるプロトコルです。一般的に集中認証、アドレス帳などに使用されます。このチュートリアルを終えると、さまざまなアプリケーションで使用できる機能的なLDAPサーバーが手に入ります。ステップバイステップで進めていきましょう。
1. LDAPの理解
インストールと設定プロセスに進む前に、LDAPとは何か、そしてどのように機能するかを理解することが重要です。LDAPはクライアントサーバーモデルに基づいています。クライアントはサーバーに情報を要求し、サーバーはこれらの要求に応答します。データはディレクトリツリーに似た階層的な方法で保存されます。LDAPの主要な構成要素には、エントリ、属性、オブジェクトクラスがあります。
LDAPのエントリは、データベースの行に似ています。各エントリには、識別名(DN)と呼ばれる一意の識別子があります。属性は、データベーステーブルの列に似た、各エントリと関連付けられたデータです。オブジェクトクラスは、エントリと属性の種類を定義します。
2. DebianにLDAPパッケージをインストールする
まず、必要なLDAPパッケージをインストールする必要があります。ターミナルを開いてパッケージインデックスを更新してください:
sudo apt update次に、slapdとldap-utilsパッケージをインストールします。slapdパッケージはLDAPサーバーそのものであり、ldap-utilsパッケージはサーバーと対話するためのユーティリティを提供します:
sudo apt install slapd ldap-utilsインストール中に、LDAPディレクトリの管理者パスワードを入力するよう求められます。LDAPサーバーの管理に使用されるため、セキュアなパスワードを選択してください。
3. dpkg-reconfigureを使用したLDAPの設定
インストール後、必要に応じてLDAPを再設定し、希望のドメイン名や管理者パスワードなどの設定を行うことができます。次のコマンドを使用します:
sudo dpkg-reconfigure slapd複数の設定オプションを選択するように求められます。これらのオプションを見てみましょう:
- OpenLDAPサーバーの設定をスキップしますか? - Noを選択して設定を続行します。
- DNSドメイン名 - example.comのように、LDAP設定用のドメイン名を入力します。これにより、ベースDNが作成されます。
- 組織名 - 組織の名前を入力します。
- 管理者パスワード - LDAP管理者ユーザーのパスワードを入力します。
- データベースバックエンド - デフォルトのMDBを保持します。
- slapdが削除されたときにデータベースを削除しますか? - No.を選択します。
- 古いデータベースを移動しますか? - Yesを選択します。
- LDAPv2プロトコルを許可しますか? - Noを選択します。LDAPv3が推奨されるセキュアなプロトコルです。
完了すると、指定した設定でLDAPサーバーが設定されます。
4. LDAP設定の確認
次のコマンドを実行して、LDAPサーバーが実行中であることを確認できます:
sudo systemctl status slapdこれにより、LDAPサービスの状態が表示されます。正常に実行されていることを確認するには、アクティブなステータスを確認してください。
5. LDAPサーバーのテスト
次に、LDAPサーバーが期待どおりに動作していることを確認するための基本的なテストを実行できます。ドメイン名を検索してみてください:
ldapsearch -x -LLL -H ldap://localhost -b dc=example,dc=com設定時に指定したドメインコンポーネント(DC)でdc=example,dc=comを置き換えてください。サーバーが正しく動作している場合は、ディレクトリの構造とエントリが表示されるはずです。
6. LDAPへのエントリの追加
LDAPサーバーをセットアップした後、おそらくエントリを追加したいでしょう。これは、LDIF(LDAP Data Interchange Format)ファイルを作成することで実行できます。以下に組織単位を追加する例を示します:
dn: ou=users,dc=example,dc=com
objectClass: organizationalUnit
ou: usersこれをadd_users.ldifとして保存し、次のようにしてLDAPに追加します:
sudo ldapadd -x -D cn=admin,dc=example,dc=com -W -f add_users.ldif管理者パスワードを求められます。成功した場合、この組織単位はLDAPディレクトリ構造の一部となります。
7. LDAPエントリの変更
エントリを追加できるだけでなく、エントリを変更することも可能です。エントリを変更するためのLDIFファイルの例を以下に示します:
dn: ou=users,dc=example,dc=com
changetype: modify
add: description
description: この組織単位にはユーザーエントリが含まれています。これをmodify_users.ldifとして保存し、次のコマンドを使用して適用します:
sudo ldapmodify -x -D cn=admin,dc=example,dc=com -W -f modify_users.ldif成功すると、これによりusers組織単位に詳細が追加されます。
8. LDAPエントリの削除
エントリを削除するには、エントリのDNを表すLDIFファイルを使用します。たとえば、users組織単位を削除するには、delete_users.ldifという名前のファイルを次の内容で作成します:
dn: ou=users,dc=example,dc=com
changetype: delete次に、以下を使用して削除を実行します:
sudo ldapdelete -x -D cn=admin,dc=example,dc=com -W -f delete_users.ldifこの方法では、削除するエントリを識別するために識別名(DN)が使用されます。
9. LDAPサーバーのセキュリティ保護
セキュリティは重要な考慮事項です。デフォルトでは、LDAPはデータ(パスワードを含む)をプレーンテキストで送信します。これはTLS(Transport Layer Security)を実装することで保護できます。まず、必要なパッケージをインストールします:
sudo apt install gnutls-binLDAPサーバー用の秘密鍵と証明書を作成します。次に、/etc/ldap/slapd.d/cn=config.ldifを編集してこの証明書を使用するようにサーバーを設定します。
olcTLSCertificateFile: /etc/ssl/certs/ldap-server.pem
olcTLSCertificateKeyFile: /etc/ssl/private/ldap-server-key.pem最後に、変更を適用するためにLDAPサービスを再起動します:
sudo systemctl restart slapdこれで、TLSをサポートするLDAPクライアントを使用してLDAPサーバーに安全に接続することができます。
10. 結論と追加の提案
DebianでのLDAPサーバーの設定は詳細ですが、報奨をもたらし、ネットワーク全体でのユーザーとリソースの管理を集中化します。インストールからサーバーのTLSによるセキュリティ強化まで、すべてをカバーしました。Apache Directory Studioなどの人気のあるクライアントをはじめ、ディレクトリを閲覧および管理するための多くのLDAPツールがあります。LDAPデータの定期的なバックアップと不正なアクティビティのアクセスログの監視を行うことで、導入をさらに強固にすることができます。
このチュートリアルではシングルノードのシンプルな設定を扱いましたが、LDAPはレプリケーションと負荷分散を含む大規模なネットワークインフラストラクチャに組み込むことができます。認証、メールクライアントのディレクトリ、またはアプリケーションデータストレージに使用されるかどうかに関係なく、LDAPをマスターすることで強力なディレクトリサービスの多くの可能性が開かれます。
記事の内容に誤りがある場合, あなたは