OpenLDAP 설치와 설정

설치

---

CentOS의 경우 패키지에서 설치 가능. samba사용자 관리에 전용의 스키마가 필요하므로, samba도 설치할 필요가 있다.

# yum install openldap openldap-servers openldap-clients samba

 

설정

---

스키마의 설정

-       MUST ( uniqueMember $ cn )
-       MAY ( businessCategory $ seeAlso $ owner $ ou $ o $ description ) )
+       MUST ( cn )
+       MAY ( uniqueMember $ businessCategory $ seeAlso $ owner $ ou $ o $ description ) )

 

서버 기본 초기 설정

---

1. 초기 데이터를 삭제

# rm -rf /etc/openldap/slapd.d/*
# rm -rf /var/lib/ldap/*

2. BerkeleyDB의 서식 파일을 복사하고 트랜잭션 로그 자동 삭제 설정 등을 추가

# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

변경 부분은 아래 처럼..

# Data Directory
-#set_data_dir db
+set_data_dir .
 
 # Transaction Log settings
 set_lg_regionmax 262144
 set_lg_bsize 2097152
-#set_lg_dir logs
+set_lg_dir .
 
+# delete log
+set_flags DB_LOG_AUTOREMOVE

3. slapd.conf의 샘플 파일을 설정

# cp -av /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf

- 스키마의 읽기를 추가

include         /etc/openldap/schema/samba.schema

- TLS의 설정

TLSCACertificateFile /etc/openldap/certs/ssl.pem
TLSCertificateFile /etc/openldap/certs/ssl.pem
TLSCertificateKeyFile /etc/openldap/certs/ssl.pem

- 액세스 설정

access to attrs=userPassword
     by self write
     by dn="cn=Manager,dc=naver,dc=com" write
     by anonymous auth
     by * none
#--- 기타 속성에 대한 접근 제한
#       Manager는 모두 허용
#       기타 접속시 read만 가능
access to *
    by self write
    by dn="cn=Manager,dc=naver,dc=com" write
    by * read

- 데이터베이스 설정

## config
database       config
rootdn         "cn=admin,cn=config"
rootpw         {SSHA}bH2ttihNwRlyAYNb0nBeBD6sYp8vZ0s+
## monitor
database monitor
access to *
    by dn.exact="cn=Manager,dc=naver,dc=com" read
    by * none
## base
database        bdb
suffix          "dc=naver,dc=com"
checkpoint      1024 15
rootdn          "cn=Manager,dc=cocone,dc=jp"
# Cleartext passwords, especially for the rootdn, should
# be avoided.  See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
# rootpw                secret
rootpw          {SSHA}bH2ttihNwRlyAYNb0nBeBD6sYp8vZ0s+

4. 관리자 비밀 번호의 생성

# slappasswd -s 임의의 패스워드
{SSHA}k1smRjpl5Na2lNS659dYaYHmJfbZLkWA

5. /etc/openldap/slapd.conf의 수정

6. LDAPS의 유효화./etc/sysconfig/ldap의 수정.

-SLAPD_LDAPS=no
+SLAPD_LDAPS=yes

7. 설정 파일의 체크

# slaptest -u -d 64 -v -f /etc/openldap/slapd.conf
config file testing succeeded

-u dry-run
-d 디버깅 수준의 지정
-v verbose
-f slapd.conf파일의 지정(디폴트면 지정 필요 없음)

8. /etc/openldap/slapd.d의 갱신. 첫회는 에러가 나서지만 문제 없다.

# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d

9. 권한 설정

# chown -R ldap:ldap /var/lib/ldap
# chown -R ldap:ldap /etc/openldap/slapd.d

 

 

로그의 설정

---

기본적으로 로그의 출력이 상태가 아니므로(r)syslog경유로 가져온다. 이 경우 시설은 local4로 고정이므로(r)syslog설정에서 적절하게 설정한다. 예를 들면 아래처럼..

local4.*                                                /var/log/openldap.log

로그를 별도로 내더라도 로테이트의 설정도 아울러 실시한다. /etc/loglotate.d/syslog다음을 추가.

/var/log/openldap.log

로그 수준은 slapd.conf로 설정한다.기본 값은 256.

loglevel 256

Log Level

 

Berkeley DB의 설정

---

초기화

구축한 LDAP데이터를 모두 초기화하고 깨끗한 상태로 하는 법

 

1. LDAP서버의 정지

# service slapd stop

2. 설정 삭제

# rm -rf /etc/openldap/slapd.d/*

3. 콘텐츠의 삭제

# rm -rf /var/lib/ldap/*

이 후 초기 설정한다.