Search

openldap ssh linuxuser連携

2015年10月19日

環境

▼LDAPサーバ
centos 6.4
openldap-2.4.23-32

▼LDAPクライアント
centos 6.4

LDAPサーバ側作業

データイメージ

example.com
 |_ cm=Manager
 |_ ou=a
    |_ ou=a_1
       |_ cn=test
       |_ uid=test

ディレクトリを作成

vi /etc/openldap/base.ldif

dn: ou=a,dc=example,dc=com
objectClass: organizationalUnit
ou: a

dn: ou=a_1,ou=a,dc=example,dc=com
objectClass: organizationalUnit
ou: a_1

適応

ldapadd -x -D "cn=Manager,dc=example,dc=com" -w secret -f base.ldif

グループを作成

vi /etc/openldap/group.ldif

dn: cn=test,ou=a_1,ou=a,dc=example,dc=com
objectClass: top
objectClass: posixGroup
cn: test
gidNumber: 501

適応

ldapadd -x -D "cn=Manager,dc=example,dc=com" -w secret -f group.ldif

ユーザを作成

vi /etc/openldap/user.ldif

dn: uid=test,ou=a_1,ou=a,dc=example,dc=com
uid: test
cn: test
objectClass: account
objectClass: posixAccount
objectClass: top
userPassword: test
loginShell: /bin/bash
uidNumber: 501
gidNumber: 501
homeDirectory: /home/test

適応

ldapadd -x -D "cn=Manager,dc=example,dc=com" -w secret -f user.ldif

LDAPクライアント側作業

LDAPで名前解決(認証)ができるよう設定を行う。

モジュールをインストール

yum install nss-pam-ldapd

nslcdの設定

これはLDAPに問い合わせを行うデーモンプログラムです。

vi /etc/nslcd.conf
・
・
・
#uri ldap://127.0.0.1/
uri ldap://192.168.**.**/
base dc=example,dc=com

base   group  ou=a_1,ou=a,dc=example,dc=com
base   passwd  ou=a_1,ou=a,dc=example,dc=com
base   shadow  ou=a_1,ou=a,dc=example,dc=com

起動

chkconfig nslcd on
/etc/init.d/nslcd start

NSS(nsswitch.conf)がLDAPを利用するように設定

vi /etc/nsswitch.conf
・
・
・
passwd:     files ldap  ← ldapを追加
shadow:     files ldap  ←
group:      files ldap  ←
・
・
・

PAMの設定

PAM(Pluggable Authentication Module)とは、個々のサービスに必要な認証機能を提供してくれます。

/etc/pam_ldap.conf 設定

vi /etc/pam_ldap.conf
・
・
・
#host 127.0.0.1
host 192.168.**.**
base dc=example,dc=com
・
・
・

/etc/pam.d/system-auth 設定

vi /etc/pam.d/system-auth

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        sufficient    pam_ldap.so use_first_pass                   ←追加
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so

account     required      pam_unix.so
account     [default=bad success=ok user_unknown=ignore] pam_ldap.so  ←追加
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_ldap.so use_authtok                      ←追加
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_ldap.so                                  ←追加
session     optional      pam_mkhomedir.so skel=/etc/skel umask=077

ssh 設定

/etc/pam.d/password-auth 設定

vi /etc/pam.d/password-auth

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        sufficient    pam_ldap.so use_first_pass                  ←追加
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so

account     required      pam_unix.so
account     [default=bad success=ok user_unknown=ignore authinfo_unavail=ignore] pam_ldap.so   ←追加
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_ldap.so use_authtok                     ←追加
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_ldap.so                                 ←追加
session     sufficient   pam_mkhomedir.so skel=/etc/skel/ umask=0022

これでssh ログインできるようになります。
sshログインするとディレクトリが作成されます。