389 Directory Server
をテンプレートにして作成
[
トップ
] [
タイトル一覧
|
ページ一覧
|
新規
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
* 389-ds [#k9ce659f]
- [[LDAP]] 実装の一つ
- [[OpenLDAP]] より良いとの噂.
- https://www.secioss.co.jp/389-directory-server-%E6%A7%8...
- 情報が少ない!
** NSL [#cf647cf8]
-- ds.nsl.tuis.ac.jp
-- [[phpldapadmin>phpLDAPadmin]]
-- デーモン:ns-lsapd
** CentOS8 (1.4系)[#d6b77973]
*** Information [#s2fb0473]
- 古い Java コンソールと管理サーバーは廃止
-- 代わりは?
-- [[Cockpit]] または [[Apache Directory Studio]] を使う?
--- [[Cockpit]] はまだ能力不足(2021 6/3)
--- DIT(Directory Information Tree)操作に [[Apache Dire...
- 結局 [[Apache Directory Studio]] も良く分からんので,[[...
*** Install [#fcfbefb6]
# dnf install epel-release
# dnf update epel-release
# dnf module install 389-directory-server:stable/default
- openldap のクライアントも入れておいた方が便利
*** Setup [#vfcc1b4f]
# dscreate interactive
- Create self-signed certificate database に yes で答える...
-- NSSのデータベース用パスワードは /etc/dirsrv/slapd-[Dir...
- Create just the top suffix entry [no]: yes
- DataBase は ''/var/lib/dirsrv/slapd-[Directory server i...
- [[Cockpit]] からも接続可能
**** Example [#p39549e6]
# dscreate interactive
Install Directory Server (interactive mode)
===========================================
selinux is disabled, will not relabel ports or files.
Selinux support will be disabled, continue? [yes]:
Enter system's hostname [altair]: ds.nsl.tuis.ac.jp
Enter the instance name [ds]: nsl
Enter port number [389]:
Create self-signed certificate database [yes]:
Enter secure port number [636]:
Enter Directory Manager DN [cn=Directory Manager]: cn=Ma...
Enter the Directory Manager password: ********
Confirm the Directory Manager Password: ********
Enter the database suffix (or enter "none" to skip) [dc=...
Create sample entries in the suffix [no]: yes
Do you want to start the instance after the installation...
Are you ready to install? [no]: yes
Starting installation...
Completed installation for nsl
**** firewall [#qefc799e]
# firewall-cmd --add-service=ldap --permanent
# firewall-cmd --add-service=ldaps --permanent
# firewall-cmd --reload
**** 起動 [#i3f71e60]
- systemctl start dirsrv@[Directory server identifier]
-- systemctrl start dirsrv@nsl.service
*** check [#c4ab40fc]
- TLS を使う場合は /etc/openldap/ldap.conf に ''TLS_REQCE...
ex.) ldapsearch -x -H ldap://localhost -D cn=Manager -W ...
ex.) ldapsearch -x -H ldaps://localhost -D cn=Manager -W...
*** Client [#x92900f4]
- [[pam_ldap]]
- [[nss_ldap]], [[nslcd]]
- [[sssd]]
*** 属性値の変更 [#bed30db8]
**** 変更例 [#r2f61dc3]
- dapmodify -x -H ldap://202.26.150.51 -D cn=Manager -W -...
# cat change.ldif
dn: cn=config
changetype: modify
replace: nsslapd-security
nsslapd-security: on
**** aci 内部属性の変更 [#adeb9eca]
- 一般ユーザに userPassword の変更権限の aci内部属性を与...
- ldapmodify -x -H ldap://202.26.150.51 -D cn=Manager -W ...
# cat userPass.ldif
dn: dc=nsl,dc=tuis,dc=ac,dc=jp
changetype: modify
add: aci
aci: (targetattr = "userPassword") (version 3.0; acl
"modify own password"; allow (write) userdn = "ldap:///...
**** ldapサーバが相手の証明書をチェックしない [#o1fd5ca1]
- cn=config
-- nsslapd-tls-check-crl : none
-- nsslapd-ssl-check-hostname : off
*** Replication [#pbbe0db9]
**** Cockpit を使った Replication (389-ds => 389-ds) [#...
- Supplier --> Consumer ならうまくいく
-- Agreement で Consumer のデータベースを初期化する.
-- ldaps(636)で通信する場合は,「''ldapサーバが相手の証...
- Supplier <--> Supplier がダメ
- Consumer を Cockpit で削除しようとすると,389-ds が止ま...
**** OpenLDAP => 389-ds [#qea3193d]
- syncprovモジュールを使用する.(?)
- Consumer(389-ds) から Supplier(OpenLDAP)に聞きに行...
*** Trouble Shooting [#xce00c43]
**** エラー番号 [#f1f44c73]
- https://software.fujitsu.com/jp/manual/manualfiles/M050...
**** パスワードの変更に失敗しました。 サーバーのメッセー...
- 一般ユーザにパスワード変更の権限がない(err=50)
- 上記の 「aci 内部属性の変更」 を参照
** old(1.3系) [#y104db5f]
*** Install [#j1cca87e]
# dnf module enable 389-ds
# dnf install 389-ds-base
# dnf install 389-ds-base-legacy-tools
*** Setup [#ibdb458d]
# setup-ds.pl
- ほぼデフォルトでOK
-- Computer name は DNSで引けるものにする.
-- Directory server identifier は他と被らないようにする....
- 失敗した場合は /tmp に作られる log をチェックする.
- /etc/dirsrv/slapd-[Directory server identifier]/ が作ら...
- LDAPI が作られない.Cockpit でアクセスできない.
*** Execute [#eae554aa]
# systemctl start dirsrv@[Directory server identifier]
ex.) systemctl start dirsrv@nsl
**** check [#of7b3188]
- ex.) ldapsearch -x -H ldap://localhost -D cn=Manager -W...
*** 389 Windows Console [#ld5fba0b]
- https://directory.fedoraproject.org/docs/389ds/releases...
*** TLS [#nce42bec]
**** サーバ証明書 (p12ファイル) [#faee5d4f]
# cd /etc/dirsrv
# mkdir certs
# cd certs
# mkdir private
# openssl genrsa 2048 > private/private.key
# openssl req -new -x509 -key private/private.key -out s...
# openssl pkcs12 -export -inkey private/private.key -in ...
p12ファイルのパスワードを設定
**** 389 へ配置 [#pde7bcf7]
# pk12util -i server.p12 -d /etc/dirsrv/slapd-nsl
Internal (Software) Token のパスワードを設定
- 確認
# certutil -d /etc/dirsrv/slapd-nsl -L
Certificate Nickname ...
...
Server-Cert ...
**** 389のファイル設定 [#r48dce25]
- /etc/dirsrv/slapd-nsl/pin.txt (Internal (Software) To...
Internal (Software) Token:pass
- /etc/dirsrv/slapd-nsl/ldaps.ldif
dn: cn=config
changetype: modify
replace: nsslapd-security
nsslapd-security: on
- ldaps.ldif の変更を反映
# ldapmodify -x -H ldap://localhost -D cn=Manager -W -f ...
LDAPのパスワードを入力
- /etc/openldap/ldap.conf に TLS_REQCERT never を追加
**** firewall [#qefc799e]
# firewall-cmd --add-service=ldap --permanent
# firewall-cmd --add-service=ldaps --permanent
# firewall-cmd --reload
**** check [#r813c364]
# systemctl restart dirsrv@nsl
# ldapsearch -x -H ldaps://localhost -D cn=Manager -W -b...
終了行:
* 389-ds [#k9ce659f]
- [[LDAP]] 実装の一つ
- [[OpenLDAP]] より良いとの噂.
- https://www.secioss.co.jp/389-directory-server-%E6%A7%8...
- 情報が少ない!
** NSL [#cf647cf8]
-- ds.nsl.tuis.ac.jp
-- [[phpldapadmin>phpLDAPadmin]]
-- デーモン:ns-lsapd
** CentOS8 (1.4系)[#d6b77973]
*** Information [#s2fb0473]
- 古い Java コンソールと管理サーバーは廃止
-- 代わりは?
-- [[Cockpit]] または [[Apache Directory Studio]] を使う?
--- [[Cockpit]] はまだ能力不足(2021 6/3)
--- DIT(Directory Information Tree)操作に [[Apache Dire...
- 結局 [[Apache Directory Studio]] も良く分からんので,[[...
*** Install [#fcfbefb6]
# dnf install epel-release
# dnf update epel-release
# dnf module install 389-directory-server:stable/default
- openldap のクライアントも入れておいた方が便利
*** Setup [#vfcc1b4f]
# dscreate interactive
- Create self-signed certificate database に yes で答える...
-- NSSのデータベース用パスワードは /etc/dirsrv/slapd-[Dir...
- Create just the top suffix entry [no]: yes
- DataBase は ''/var/lib/dirsrv/slapd-[Directory server i...
- [[Cockpit]] からも接続可能
**** Example [#p39549e6]
# dscreate interactive
Install Directory Server (interactive mode)
===========================================
selinux is disabled, will not relabel ports or files.
Selinux support will be disabled, continue? [yes]:
Enter system's hostname [altair]: ds.nsl.tuis.ac.jp
Enter the instance name [ds]: nsl
Enter port number [389]:
Create self-signed certificate database [yes]:
Enter secure port number [636]:
Enter Directory Manager DN [cn=Directory Manager]: cn=Ma...
Enter the Directory Manager password: ********
Confirm the Directory Manager Password: ********
Enter the database suffix (or enter "none" to skip) [dc=...
Create sample entries in the suffix [no]: yes
Do you want to start the instance after the installation...
Are you ready to install? [no]: yes
Starting installation...
Completed installation for nsl
**** firewall [#qefc799e]
# firewall-cmd --add-service=ldap --permanent
# firewall-cmd --add-service=ldaps --permanent
# firewall-cmd --reload
**** 起動 [#i3f71e60]
- systemctl start dirsrv@[Directory server identifier]
-- systemctrl start dirsrv@nsl.service
*** check [#c4ab40fc]
- TLS を使う場合は /etc/openldap/ldap.conf に ''TLS_REQCE...
ex.) ldapsearch -x -H ldap://localhost -D cn=Manager -W ...
ex.) ldapsearch -x -H ldaps://localhost -D cn=Manager -W...
*** Client [#x92900f4]
- [[pam_ldap]]
- [[nss_ldap]], [[nslcd]]
- [[sssd]]
*** 属性値の変更 [#bed30db8]
**** 変更例 [#r2f61dc3]
- dapmodify -x -H ldap://202.26.150.51 -D cn=Manager -W -...
# cat change.ldif
dn: cn=config
changetype: modify
replace: nsslapd-security
nsslapd-security: on
**** aci 内部属性の変更 [#adeb9eca]
- 一般ユーザに userPassword の変更権限の aci内部属性を与...
- ldapmodify -x -H ldap://202.26.150.51 -D cn=Manager -W ...
# cat userPass.ldif
dn: dc=nsl,dc=tuis,dc=ac,dc=jp
changetype: modify
add: aci
aci: (targetattr = "userPassword") (version 3.0; acl
"modify own password"; allow (write) userdn = "ldap:///...
**** ldapサーバが相手の証明書をチェックしない [#o1fd5ca1]
- cn=config
-- nsslapd-tls-check-crl : none
-- nsslapd-ssl-check-hostname : off
*** Replication [#pbbe0db9]
**** Cockpit を使った Replication (389-ds => 389-ds) [#...
- Supplier --> Consumer ならうまくいく
-- Agreement で Consumer のデータベースを初期化する.
-- ldaps(636)で通信する場合は,「''ldapサーバが相手の証...
- Supplier <--> Supplier がダメ
- Consumer を Cockpit で削除しようとすると,389-ds が止ま...
**** OpenLDAP => 389-ds [#qea3193d]
- syncprovモジュールを使用する.(?)
- Consumer(389-ds) から Supplier(OpenLDAP)に聞きに行...
*** Trouble Shooting [#xce00c43]
**** エラー番号 [#f1f44c73]
- https://software.fujitsu.com/jp/manual/manualfiles/M050...
**** パスワードの変更に失敗しました。 サーバーのメッセー...
- 一般ユーザにパスワード変更の権限がない(err=50)
- 上記の 「aci 内部属性の変更」 を参照
** old(1.3系) [#y104db5f]
*** Install [#j1cca87e]
# dnf module enable 389-ds
# dnf install 389-ds-base
# dnf install 389-ds-base-legacy-tools
*** Setup [#ibdb458d]
# setup-ds.pl
- ほぼデフォルトでOK
-- Computer name は DNSで引けるものにする.
-- Directory server identifier は他と被らないようにする....
- 失敗した場合は /tmp に作られる log をチェックする.
- /etc/dirsrv/slapd-[Directory server identifier]/ が作ら...
- LDAPI が作られない.Cockpit でアクセスできない.
*** Execute [#eae554aa]
# systemctl start dirsrv@[Directory server identifier]
ex.) systemctl start dirsrv@nsl
**** check [#of7b3188]
- ex.) ldapsearch -x -H ldap://localhost -D cn=Manager -W...
*** 389 Windows Console [#ld5fba0b]
- https://directory.fedoraproject.org/docs/389ds/releases...
*** TLS [#nce42bec]
**** サーバ証明書 (p12ファイル) [#faee5d4f]
# cd /etc/dirsrv
# mkdir certs
# cd certs
# mkdir private
# openssl genrsa 2048 > private/private.key
# openssl req -new -x509 -key private/private.key -out s...
# openssl pkcs12 -export -inkey private/private.key -in ...
p12ファイルのパスワードを設定
**** 389 へ配置 [#pde7bcf7]
# pk12util -i server.p12 -d /etc/dirsrv/slapd-nsl
Internal (Software) Token のパスワードを設定
- 確認
# certutil -d /etc/dirsrv/slapd-nsl -L
Certificate Nickname ...
...
Server-Cert ...
**** 389のファイル設定 [#r48dce25]
- /etc/dirsrv/slapd-nsl/pin.txt (Internal (Software) To...
Internal (Software) Token:pass
- /etc/dirsrv/slapd-nsl/ldaps.ldif
dn: cn=config
changetype: modify
replace: nsslapd-security
nsslapd-security: on
- ldaps.ldif の変更を反映
# ldapmodify -x -H ldap://localhost -D cn=Manager -W -f ...
LDAPのパスワードを入力
- /etc/openldap/ldap.conf に TLS_REQCERT never を追加
**** firewall [#qefc799e]
# firewall-cmd --add-service=ldap --permanent
# firewall-cmd --add-service=ldaps --permanent
# firewall-cmd --reload
**** check [#r813c364]
# systemctl restart dirsrv@nsl
# ldapsearch -x -H ldaps://localhost -D cn=Manager -W -b...
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
