Lightweight Directory Access Protocol †[edit]
ユーザ認証での使用 †[edit]
Unix/Linux の場合 †[edit]
- 以下のオブジェクトを使用する
- posixAccount
- account または inetOrgPerson と共に用いる
- posixGroup
ログイン時の homeディレクトリの自走生成 †[edit]
- pam_ldap
- pam_ldap は設定ファイルを見て,直接 LDAPサーバに接続する.
- システムへのログインなどでは,別途ユーザ情報(getent passwd)を取得する必要がある.
- 通常はNSS nsswitch.conf と nslcd を使用
- /etc/passwd にエントリだけ書いてもOK
- CentOS の場合はソースコンパイルする(/lib/security/pam_ldap.so)
- 設定ファイルは /etc/ldap.conf と/etc/openldap/ldap.conf の両方を見ているみたい.
- /etc/ldap.conf, /etc/openldap/ldap.conf は同じ内容でOK.
- ログインなどの場合,ユーザ情報は nss(nsswitch.conf)+nslcd が取得.
- 面倒なので,pam_ldap を nslcd 経由でLDAPに繋がるようにする.(設定ファイルが減る)
- /etc/nslcd.conf と /etc/ldap.conf の内容はほぼ同じ
- pam_ldap + nss_ldap
- pam : /etc/pam.d/sshd, su, system-auth など
- nsswitch : /etc/nsswitch.conf
- nslcd : /etc/nslcd.conf
- CentOS7 の pam_ldap.so(nslcd経由)はなんだか挙動が変.
- 単体で認証可能.キャッシュ一体型.お手軽.
- ログインなどの場合ユーザを別途取得する必要がない
ObjectClass †[edit]
- 必須属性 : uid
- 任意属性 : description, host, l, o, ou, seeAlso
inetOrgPerson †[edit]
- 任意属性 : audio, businessCategory, carLicense, departmentNumber, employeeNumber, employeeType, givenName, homePhone, homePostalAddress, initials, jpegPhoto, labeledURI, mail, manager, mobile, pager, photo, preferredLanguage, roomNumber, secretary, uid, userCertificate, userSMIMECertificate, x500uniqueIdentifier
posixAccount (補助オブジェクトクラス) †[edit]
- 必須属性 : cn, uid, uidNumber, gidNumber, homeDirectory
- 任意属性 : description, gecos, loginShell, userPassword
posixGroup †[edit]
- 必須属性 : cn, gidNumber
- 任意属性 : description, memberUid, userPassword
shadowAccount (補助オブジェクトクラス) †[edit]
- 必須属性 : uid
- 任意属性 : description, shadowLastChange, shadowMax, shadowMin, shadowWarning, shadowInactive, shadowExpire, shadowFlag, userPassword
Last-modified: 2023-08-29 (火) 11:25:30