기록's

Mac

Terminal을 켜고 다음을 입력합니다.패스워드의 입력을 요구합니다.그 때 PC의 패스워드를 입력합니다.입력한 내용이 표시되지 않으므로 주의하세요.

$ sudo killall -HUP mDNSResponder

Windows

명령 프롬프트를 기동하고 입력합니다.

> ipconfig /release
> ipconfig /renew
> ipconfig /flushdns

개요

LDAP계정 관리에 특화된 브라우저 베이스에서 사용할 수 있는 GUI도구. 프리판도 있지만 Pro판은 아래의 기능이 있다.

• 사용자가 패스워드 설정 가능
• 커스텀 스키마 설정

여기에서는 Pro판 구입으로, 사이트로 로그인하고 오른쪽 위의 링크(LAM Pro releases)에서 다운로드 가능.
계정 정보는 별도로 사내에 메모하여 관리 해둡니다.

설치

Fedora용 rpm을 내려받아 설치할 뿐. Apache로 동작하는 것이 전제가 되어 있고, Apache의 conf.d이하로 설정이 설치된다. 이 경우 Apache의 재기동 할 뿐 아무것도 안 해도 그대로 이용 할 수 있다.

# rpm -ivh ldap-account-manager-VERSION.fedora.1.noarch.rpm

초기 설정

1. 브라우저에서 URL에 접속한다.기본적으로/lam이 앨리어스 설정되어 있으므로 다음과 같은 느낌이다.
   예)http://ldap.example.jp/lam
2. 언어 설정하고, 오른쪽 위의 "LAM구성 설정"에서 "일반 설정을 갱신"에. 로그인 디폴트 패스는 "lam"에서 이는 LDAP자체와 관계 없이 LDAP Account Manager의 설정 접속 패스워드.
3. 마스터 패스워드를 변경, SSL 증명서를 업로드 한다 (와일드 카드 증명서를 사용하고 있지만 이것을 하지 않으면 왠지 잘 접속이 안된다).
4. 「LAM 구성 설정」에서 「서버 프로필의 설정」으로. 서버 프로필 조작으로 lam을 naver으로 변경.
5. 「서버 프로파일의 설정」에서 변경한 「naver」의 설정을 실시한다. 초기 패스워드는 "lam"이므로 이쪽도 변경한다.
6. 서버 주소로 「ldaps://~」를 사용하는 경우는 TLS를 유효화는 「아니오」인 채로 둔다. 이것은 「starttls」옵션의 설정으로, 암호화되지 않는 통신에 대해 실제의 데이터의 교환으로 TLS로 전환하는가의 설정.ldaps로 통신을 개시하는 경우는 불필요한 설정.

SSL은 naver.com 의 와일드 카드 증명서를 취득하고 있으므로 클라이언트측의 설정은 필요없다 (자체 서명 인증서 아님).

memberOf overlay

AD에 있는 memberOf가 기본이라고 OpenLDAP에는 없지만, overlay에서 제공되고 있다.이를 이용하면 사용자의 정보에 어느 그룹에 속하는지를 알 수 있다.

이 attiribute는 내부 속성으로서 존재하고 groupOfNames객체의 member속성에 대한 변경을 트리거로 갱신된다.

설정

slapd.conf에서 설정.

- # moduleload memberof.la
+ moduleload memberof.la
 
+ # memberOf
+ overlay memberof
+ memberof-group-oc   groupOfUniqueNames
+ memberof-member-ad  uniquemember

기본적으로 groupOfNames객체의 member속성이 트리거가 되지만 설정에 의해서 groupOfUniqueNames객체의 uniquemember속성을 트리거로 했다.

ACL의 평가

처음에<what>의 평가를 실시하고, 다음에<who>를 본다.<what>는 access to XXX의 XXX의 부분에 해당한다.

5.3. 접근 통제
slapd의 엔트리 및 속성 접근권은 olcAccess속성으로 제어됩니다.olcAccess속성의 일반적인 형식을 다음과 같습니다.

        olcAccess: <access directive>
        <access directive> ::= to <what>
                [by <who> <access> <control>]+
        <what> ::= * |
                [dn[.<basic-style>]=<regex> | dn.<scope-style>=<DN>]
                [filter=<ldapfilter>] [attrs=<attrlist>]
        <basic-style> ::= regex | exact
        <scope-style> ::= base | one | subtree | children
        <attrlist> ::= <attr> [val[.<basic-style>]=<regex>] | <attr> , <attrlist>
        <attr> ::= <attrname> | entry | children
        <who> ::= * | [anonymous | users | self
                        | dn[.<basic-style>]=<regex> | dn.<scope-style>=<DN>]
                [dnattr=<attrname>]
                [group[/<objectclass>[/<attrname>][.<basic-style>]]=<regex>]
                [peername[.<basic-style>]=<regex>]
                [sockname[.<basic-style>]=<regex>]
                [domain[.<basic-style>]=<regex>]
                [sockurl[.<basic-style>]=<regex>]
                [set=<setspec>]
                [aci=<attrname>]
        <access> ::= [self]{<level>|<priv>}
        <level> ::= none | auth | compare | search | read | write
        <priv> ::= {=|+|-}{w|r|s|c|x|0}+
        <control> ::= [stop | continue | break]
여기서<what>부에는 접근 제어되는 엔트리나 속성을 지정합니다.<who>부에는 접근권을 주는 실체를 지정합니다.<access>부에는 주는 액세스 권한을 지정합니다.복수의<who> <access> <control>지정이 지원되고 있습니다.이에 따라엔트리와 속성의 세트에 대해서 많은 실체에 다른 접근권을 줄 수 있습니다.이들의 접속 제어 옵션의 모든 것은 여기서 설명하지 않습니다.더 자세한 내용은slapd.access(5)man페이지를 참조하세요.

백업

db_hotbackup명령을 사용한다. OpenLDAP설치에서 DB_CONFIG파일을 적절히 설정한 다음에 실행 가능.

# DB_HOME=/var/lib/ldap db_hotbackup -Dcb /tmp/back

이 예에서는/tmp/back 다음에 백업했다.이 데이터를 tar등에서 제작하고 백업으로 두면 좋다.

확인

db_verify에서 백업 데이터의 검증을 실시한다.

# db_verify `ls /tmp/back/*.bdb`

아무 출력된 결과가 없다면 문제없음

리스토어

백업 데이터를 데이터 디렉토리로 되돌리는 것만으로도 복구된다.

1. OpenLDAP서버 정지

# service slapd stop

2. 데이터 삭제

# rm -rf /var/lib/ldap/*

3. 데이터 복구

# cp /tmp/back/* /var/lib/ldap/
# chown -R ldap:ldap /var/lib/ldap/*

4. 기동

# service slapd start

개요

OpenLDAP의 레플리케이션은 syncrepl 형식으로 실시한다. 2.3까지는 slurpd에서의 레플리케이션이 있었지만, 여러 가지 문제가 있어 2.4부터 폐지되었다. 마스터측을 프로바이더, 슬레이브측을 컨슈머라 부른다. syncrepl에는 2개의 동기 방식이 있다.

- refreshOnly

프로바이더로의 정기적인 접속 및 LDAP Sync 조작 실행

- refreshAndPersist

컨슈머가 정지할 때까지 LDAP Sync 조작이 계속됨

또한 프로바이더/컨슈머(Master/Slave) 형식뿐만 아니라 미러모드로 Active/Active 구성도 가능하다. 미러모드는 정확히는 멀티마스터가 아니다. 동시에 갱신을 하면 데이터의 부정합이 나오므로 갱신은 한쪽에 고정하는 것이 좋다.

프로바이더/컨슈머(Master/Slave) 구성

프로바이더측의 설정

- slapd.conf에 추가 설정하는 부분은 다음과 같다.

# 모듈 읽기
modulepath /usr/lib64/openldap
moduleload syncprov.la
 
# syncrepl에서 이용하는 운영 속성에 인덱스를 붙입니다.
index entryCSN,entryUUID eq
 
## 리플리케이션 설정
# syncprov 오버레이 사용 지정
overlay syncprov

# contextCSN 체크 포인트
# 전 체크 포인트부터 <ops> 회의 조작이 실행되고 있는지,
# <minutes> 시간이 경과하면 새로운 체크포인트가 실행되고
syncprov-checkpoint 10 10

# 세션 로그에 저장할 수 있는 조작 수를 지정
syncprov-sessionlog 100

컨슈머 설정

slapd.conf 에 설정 추가

# syncrepl에서 이용하는 운용 속성에 인덱스 설정
index entryCSN,entryUUID eq
 
##리플리케이션 설정
# 식별 번호를 지정
syncrepl rid=100
    provider=ldaps://ldap-0.naver.com:636
    type=refreshAndPersist
    retry="5 10 300 +"
    searchbase="dc=naver,dc=com"
    bindmethod=simple
    binddn="cn=Manager,dc=naver,dc=com"
    credentials=naver

Naver(예)는 LDAP 서버는 공적으로 발행된 와일드카드 서버 증명서를 사용하고 있으므로 필요 없지만, 자기인증국에서 서명한 증명서를 사용하는 경우는

tls_reqcert=never

를 지정하여 체크를 회피할 필요가 있다. 접속처의 프로바이더 명도 *.naver.com 도메인이어야 한다.

미러 모드

Naver(예)의 LDAP 서버는 이곳에서 운용한다. slapd.conf 파일은 각각 기본적으로 동일하지만 아래의 점에 차이가 있다.

 - serverID 지정（노드별로 별도로）

 - syncrepl 에서 rid는 각각 따로 지정한다.

 - ldap-0

## 리플리케이션 설정
모듈 읽기
modulepath /usr/lib64/openldap
moduleload syncprov.la
 
syncrepl 에서 이용하는 운용 속성에 인덱스 설정
index entryCSN,entryUUID eq
 
# syncprov 오버레이 사용 지정
overlay syncprov
 
# 각각의 노드에서 유니크한 서버 ID를 부여할 것
serverID 1
 
# 식별 번호를 지정하다
syncrepl rid=100
    provider=ldaps://ldap-1.naver.com:636
    type=refreshAndPersist
    retry="5 10 300 +"
    searchbase="dc=naver,dc=com"
    bindmethod=simple
    binddn="cn=reader,dc=naver,dc=com"
    credentials=reader
 
# 미러 모드 활성화
mirrormode on

- ldap-1

## 리플리케이션 설정
# 모듈 가져오기
modulepath /usr/lib64/openldap
moduleload syncprov.la
 
syncrepl에서 이용하는 운용 속성에 인덱스 설정
index entryCSN,entryUUID eq
 
# syncprov 오버레이 사용 지정
overlay syncprov
 
# 각각의 노드에서 유니크한 서버 ID를 부여할 것
serverID 2
 
# 식별 번호를 지정하다
syncrepl rid=100
    provider=ldaps://ldap-0.naver.com:636
    type=refreshAndPersist
    retry="5 10 300 +"
    searchbase="dc=naver,dc=com"
    bindmethod=simple
    binddn="cn=reader,dc=naver,dc=com"
    credentials=reader
 
# 미러 모드 활성화
mirrormode on

## 확인
pmm-admin list
Warning: The recommended upgrade process is to upgrade PMM Server first, then PMM Clients.
See Percona's instructions for upgrading at https://www.percona.com/doc/percona-monitoring-and-management/deploy/index.html#deploy-pmm-updating.
pmm-admin 1.17.2
 
PMM Server      | infra.naver
Client Name     | test.naver
Client Address  | 1.1.1.1
Service Manager | linux-systemd
 
---------------- ------------------- ----------- -------- ---------------------------- --------------------
SERVICE TYPE     NAME                LOCAL PORT  RUNNING  DATA SOURCE                  OPTIONS
---------------- ------------------- ----------- -------- ---------------------------- --------------------
mongodb:queries  test  -           YES      monitor:***@localhost:30001  query_examples=true
linux:metrics    test  42000       YES      -
mongodb:metrics  test  42003       YES      monitor:***@localhost:30001  cluster=hsd
 
## 중지 
pmm-admin stop --all
 
[root@test bin]# pmm-admin stop --all
OK, stopped 3 services.
 
 
## 확인
[root@test bin]# pmm-admin list
Warning: The recommended upgrade process is to upgrade PMM Server first, then PMM Clients.
See Percona's instructions for upgrading at https://www.percona.com/doc/percona-monitoring-and-management/deploy/index.html#deploy-pmm-updating.
pmm-admin 1.17.2
 
PMM Server      | infra.naver
Client Name     | test.naver
Client Address  | 1.1.1.1
Service Manager | linux-systemd
 
---------------- ------------------- ----------- -------- ---------------------------- --------------------
SERVICE TYPE     NAME                LOCAL PORT  RUNNING  DATA SOURCE                  OPTIONS
---------------- ------------------- ----------- -------- ---------------------------- --------------------
mongodb:queries  test  -           NO       monitor:***@localhost:30001  query_examples=true
linux:metrics    test  42000       NO       -
mongodb:metrics  test  42003       NO       monitor:***@localhost:30001  cluster=hsd
 
 
## 확인
[root@test bin]# ps -ef | grep pmm
root     13967 23503  0 20:38 pts/2    00:00:00 grep --color=auto pmm


## 시작
pmm-admin start --all

설치

CentOS의 경우 패키지에서 설치 가능. samba사용자 관리에 전용의 스키마가 필요하므로, samba도 설치할 필요가 있다.

# yum install openldap openldap-servers openldap-clients samba

설정

스키마의 설정

-       MUST ( uniqueMember $ cn )
-       MAY ( businessCategory $ seeAlso $ owner $ ou $ o $ description ) )
+       MUST ( cn )
+       MAY ( uniqueMember $ businessCategory $ seeAlso $ owner $ ou $ o $ description ) )

서버 기본 초기 설정

1. 초기 데이터를 삭제

# rm -rf /etc/openldap/slapd.d/*
# rm -rf /var/lib/ldap/*

2. BerkeleyDB의 서식 파일을 복사하고 트랜잭션 로그 자동 삭제 설정 등을 추가

# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

변경 부분은 아래 처럼..

# Data Directory
-#set_data_dir db
+set_data_dir .
 
 # Transaction Log settings
 set_lg_regionmax 262144
 set_lg_bsize 2097152
-#set_lg_dir logs
+set_lg_dir .
 
+# delete log
+set_flags DB_LOG_AUTOREMOVE

3. slapd.conf의 샘플 파일을 설정

# cp -av /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf

- 스키마의 읽기를 추가

include         /etc/openldap/schema/samba.schema

- TLS의 설정

TLSCACertificateFile /etc/openldap/certs/ssl.pem
TLSCertificateFile /etc/openldap/certs/ssl.pem
TLSCertificateKeyFile /etc/openldap/certs/ssl.pem

- 액세스 설정

access to attrs=userPassword
     by self write
     by dn="cn=Manager,dc=naver,dc=com" write
     by anonymous auth
     by * none
#--- 기타 속성에 대한 접근 제한
#       Manager는 모두 허용
#       기타 접속시 read만 가능
access to *
    by self write
    by dn="cn=Manager,dc=naver,dc=com" write
    by * read

- 데이터베이스 설정

## config
database       config
rootdn         "cn=admin,cn=config"
rootpw         {SSHA}bH2ttihNwRlyAYNb0nBeBD6sYp8vZ0s+
## monitor
database monitor
access to *
    by dn.exact="cn=Manager,dc=naver,dc=com" read
    by * none
## base
database        bdb
suffix          "dc=naver,dc=com"
checkpoint      1024 15
rootdn          "cn=Manager,dc=cocone,dc=jp"
# Cleartext passwords, especially for the rootdn, should
# be avoided.  See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
# rootpw                secret
rootpw          {SSHA}bH2ttihNwRlyAYNb0nBeBD6sYp8vZ0s+

4. 관리자 비밀 번호의 생성

# slappasswd -s 임의의 패스워드
{SSHA}k1smRjpl5Na2lNS659dYaYHmJfbZLkWA

5. /etc/openldap/slapd.conf의 수정

6. LDAPS의 유효화./etc/sysconfig/ldap의 수정.

-SLAPD_LDAPS=no
+SLAPD_LDAPS=yes

7. 설정 파일의 체크

# slaptest -u -d 64 -v -f /etc/openldap/slapd.conf
config file testing succeeded

-u dry-run
-d 디버깅 수준의 지정
-v verbose
-f slapd.conf파일의 지정(디폴트면 지정 필요 없음)

8. /etc/openldap/slapd.d의 갱신. 첫회는 에러가 나서지만 문제 없다.

# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d

9. 권한 설정

# chown -R ldap:ldap /var/lib/ldap
# chown -R ldap:ldap /etc/openldap/slapd.d

로그의 설정

기본적으로 로그의 출력이 상태가 아니므로(r)syslog경유로 가져온다. 이 경우 시설은 local4로 고정이므로(r)syslog설정에서 적절하게 설정한다. 예를 들면 아래처럼..

local4.*                                                /var/log/openldap.log

로그를 별도로 내더라도 로테이트의 설정도 아울러 실시한다. /etc/loglotate.d/syslog다음을 추가.

/var/log/openldap.log

로그 수준은 slapd.conf로 설정한다.기본 값은 256.

loglevel 256

Berkeley DB의 설정

초기화

구축한 LDAP데이터를 모두 초기화하고 깨끗한 상태로 하는 법

1. LDAP서버의 정지

# service slapd stop

2. 설정 삭제

# rm -rf /etc/openldap/slapd.d/*

3. 콘텐츠의 삭제

# rm -rf /var/lib/ldap/*

이 후 초기 설정한다.