LinuxでLDAPサーバーをセットアップする方法

編集済み 1 1週間前 によって ExtremeHow 編集チーム

ユーザー管理LDAPサーバー設定認証設定ディレクトリサービス統合シスアドミンセキュリティアクセス制御

ネットワーク管理や情報システムの世界では、LDAPはLight-Weight Directory Access Protocolの略です。これは、ユーザープロファイル、メールアドレスなどのリソースを管理および検索するためにネットワーク上の分散ディレクトリに保存されたソフトウェアプロトコルです。

LDAPは、ユーザー名とパスワードを保存する中央の場所を提供し、さまざまなアプリケーションやサービスへのアクセスを制御するために広く使用されています。このガイドでは、LinuxシステムでLDAPサーバーをセットアップする簡単なプロセスを学びます。

ステップ1: Linuxシステムの準備

開始する前に、Linuxシステムが最新の状態であることを確認してください。次のコマンドを実行して、システムパッケージリストを更新し、すべてのパッケージをアップグレードします。

sudo apt-get update sudo apt-get upgrade

これにより、システムに最新の更新プログラムとバグ修正がインストールされます。

ステップ2: OpenLDAPのインストール

OpenLDAPは最も広く使用されているLDAPソフトウェアです。これは、大規模な展開に理想的な堅牢なプラットフォームを提供します。次のコマンドを実行して、LinuxシステムにOpenLDAPをインストールします:

sudo apt-get install slapd ldap-utils

インストール中に、LDAPディレクトリの管理者パスワードを入力するよう求められます。このパスワードはLDAPサーバーを管理するのに必要なので、覚えておくことが重要です。

ステップ3: LDAPの設定

インストールが完了したら、次のコマンドを実行してLDAPサーバーを設定します:

sudo dpkg-reconfigure slapd

このコマンドは、一連の設定スクリプトを実行し、セットアッププロセスをガイドします。初期設定で使用した管理者パスワードを再入力し、ドメイン名や組織情報などの詳細を入力します。

ここで重要なのは、ドメインコンポーネントは逆順で入力する必要があるという点です。たとえば、ドメインがexample.comの場合、dc=example,dc=comとして入力します。

ステップ4: LDAPディレクトリのポピュレーション

LDAPサーバーがインストールされ、設定が完了したら、LDAPディレクトリにエントリを追加する必要があります。これは、LDIF (LDAP Data Interchange Format) ファイルを作成することで行います。これは、特定の形式でエントリを含む単純なテキストファイルです。

dn: ou=people,dc=example,dc=com objectClass: organizationalUnit ou: people dn: ou=groups,dc=example,dc=com objectClass: organizationalUnit ou: groups

このファイルを適切な名前で保存します。たとえば、base.ldifです。この情報を次のようにldapaddコマンドを使ってLDAPディレクトリに追加できます:

sudo ldapadd -x -D cn=admin,dc=example,dc=com -W -f base.ldif

管理者パスワードを入力するよう求められます。認証に成功すると、エントリがLDAPディレクトリに追加されます。

ステップ5: LDAPエントリの追加と管理

ベース構造が準備できたら、個々のエントリを追加できます。たとえば、新しいユーザーを追加したい場合は、次の内容で別のLDIFファイルを作成できます:

dn: uid=johndoe,ou=people,dc=example,dc=com objectClass: inetOrgPerson sn: Doe givenName: John cn: John Doe displayName: John Doe uid: johndoe mail: johndoe@example.com userPassword: password

再び、適切な名前でファイルを保存します。たとえば、johndoe.ldifです。このユーザーを次のようにldapaddコマンドを使ってLDAPディレクトリに追加します:

sudo ldapadd -x -D cn=admin,dc=example,dc=com -W -f johndoe.ldif

LDAPではパスワードは理想的には安全な形式で保存されるべきです。ハッシュ化されたパスワードを使用することを考慮してください。slappasswdコマンドを使ってハッシュ化されたパスワードを生成できます:

slappasswd

このコマンドはパスワードの入力を求め、LDIFファイルのプレーンテキストの代わりに使用できる安全にハッシュ化されたバージョンを提供します。

既存のエントリを変更するには、ldapmodifyコマンドを使用できます。これにより、メールアドレスやパスワードなどの属性を変更できます:

sudo ldapmodify -x -D cn=admin,dc=example,dc=com -W

その後、LDIFファイルに似た構造でLDAPコマンドを入力して変更を行います。

ステップ6: LDAP設定のテスト

LDAPサーバーを設定し、エントリを入力した後、すべてが期待どおりに動作していることを確認するためにテストを行うことが重要です。ldapsearchコマンドを使用してディレクトリ内を検索します:

ldapsearch -x -b dc=example,dc=com

このコマンドはディレクトリに追加したエントリを返し、設定の成功を確認します。

ステップ7: LDAPサーバーのセキュリティ確保

ネットワークサービスにおいて、セキュリティは重要です。LDAPも例外ではありません。LDAPSを有効にしてSSL/TLSを使用する安全な接続を提供することを検討してください。有効なSSL証明書をインポートまたは作成し、slapd構成ファイルを適切に変更してLDAPをそれに使用するように設定します。

構成内で、ldapmodifyコマンドを使用してSSL/TLSを正しく設定します。次のような設定になります:

dn: cn=config changetype: modify add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mycert.pem add: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/private/mycertkey.pem

最後に、変更を適用するためにLDAPサーバーを再起動します:

sudo systemctl restart slapd

ステップ8: LDAPの定期的なメンテナンス

サーバーと同様に、定期的なメンテナンスは継続的な運用を確保するために重要です。LDAPディレクトリの定期的なバックアップはデータの損失を防ぐことができます。また、セキュリティの脆弱性を保護するために、サーバーとすべての関連ソフトウェアを最新の状態に保つことを確認してください。

自動化スクリプトを使用することで、特に大規模な展開でプロセスの簡略化を図れます。

結論

LinuxでLDAPサーバーをセットアップすることは、一度完了すれば、ネットワーク全体で認証とディレクトリサービスを一元化するための強力なツールを提供する構造化されたプロセスです。LDAPが構成されると、大規模なデータの管理が容易になり、ネットワークはアクセス制御の効率化を享受できます。組織のデータを保護するために、常にLDAPサーバーを保護し、更新し続けることを忘れないでください。

  この記事をシェアする

記事の内容に誤りがある場合, あなたは 更新をリクエストできます