LinuxMint / AlmaLinux 環境に LDAP を入れる

長年やりたいと思っていた  LDAP/389DirectoryServer をインストールできた．こちらのサイトを大いにコピー参考させていただいた．大変ありがたい．

AlmaLinux 9 で 389 Directory Server を構築してみる

AlmaLinux 9 で SSSD+389ds でLDAP認証を構築してみる

こちらの環境は以下の通りなので，Server 側は一部読み替えが必要です．

Server：LinuxMint 

Client：AlmaLinux8 

Server側設定

LDAP/389DirectoryServer をインストール

% apt -y install 389-ds % which dscreate /usr/sbin/dscreate % dscreate create-template /root/ds01.inf % chmod 600 /root/ds01.inf % pwdhash -s MD5 password {MD5}X03MO1qnZdYdgyfeuILPmQ==  

生成した .inf の一部を書き換える．

% vi /root/ds01.inf # インスタンス名 + instance_name = ds01 # ds389 の root ユーザパスワードを設定 + root_password = {MD5}X03MO1qnZdYdgyfeuILPmQ== # root ユーザ名を設定 (デフォルトは cn=Directory Manager) + root_dn = cn=Manager # 自己署名証明書の有効期限の変更（2年→30年） + self_sign_cert_valid_months = 360 # ベースDNを作成（しない→する） + create_suffix_entry = True # ベースDNの指定 + suffix = dc=example,dc=com  

インスタンスの生成と動作確認

% dscreate from-file /root/ds01.inf Starting installation ... Validate installation settings ... Create file system structures ... Create self-signed certificate database ... Perform SELinux labeling ... Create database backend: dc=example,dc=com ... Perform post-installation tasks ... Completed installation for instance: slapd-ds01 % systemctl status dirsrv@ds01  

→Activeになっていることを確認

ポート開放

クライアントから接続するためのポートをあける

apt -y install ufw systemctl status ufw ufw default allow outgoing  

ufw allow ssh ufw allow 389 ufw allow 636 systemctl reload ufw  

sssd.ldif を作成

意識が低いので公開鍵認証ではなくパスフレーズ認証です．元記事にあった公開鍵認証のためのスキーマは読みません．

% cat sssd.ldif dn: ou=Users,dc=example,dc=com objectClass: organizationalUnit ou: Users aci: (targetattr="*")(version 3.0; acl "Allow full read to sssd"; allow (read,search,compare) userdn = "ldap:///cn=sssd,ou=tool-admin,dc=example,dc=com";) dn: ou=Groups,dc=example,dc=com objectClass: organizationalUnit ou: Groups aci: (targetattr="*")(version 3.0; acl "Allow full read to sssd"; allow (read,search,compare) userdn = "ldap:///cn=sssd,ou=tool-admin,dc=example,dc=com";) dn: ou=tool-admin,dc=example,dc=com objectClass: organizationalUnit ou: tool-admin dn: ou=SUDOers,dc=example,dc=com objectClass: organizationalUnit ou: SUDOers aci: (targetattr="*")(version 3.0; acl "Allow full read to sssd"; allow (read,search,compare) userdn = "ldap:///cn=sssd,ou=tool-admin,dc=example,dc=com";) dn: cn=sssd,ou=tool-admin,dc=example,dc=com objectClass: applicationProcess objectClass: simpleSecurityObject cn: sssd userPassword: sssd00 dn: uid=user01,ou=Users,dc=example,dc=com objectClass: top objectClass: person objectClass: inetOrgPerson objectClass: organizationalPerson objectClass: posixAccount uid: user01 cn: user01 sn: user01 uidNumber: 10001 gidNumber: 10001 homeDirectory: /home/user01 loginShell: /bin/bash userPassword: user0100 dn: uid=user02,ou=Users,dc=example,dc=com objectClass: top objectClass: person objectClass: inetOrgPerson objectClass: organizationalPerson objectClass: posixAccount uid: user02 cn: user02 sn: user02 uidNumber: 10002 gidNumber: 10002 homeDirectory: /home/user02 loginShell: /bin/bash userPassword: user0200 dn: cn=user,ou=Groups,dc=example,dc=com objectClass: top objectClass: posixGroup cn: user gidNumber: 10000 memberUid: user01 memberUid: user02 dn: cn=user01,ou=Groups,dc=example,dc=com objectClass: top objectClass: posixGroup cn: user01 gidNumber: 10001 dn: cn=user02,ou=Groups,dc=example,dc=com objectClass: top objectClass: posixGroup cn: user02 gidNumber: 10002 dn: cn=admin,ou=Groups,dc=example,dc=com objectClass: top objectClass: posixGroup cn: admin gidNumber: 11000 memberUid: user01 dn: cn=%admin,ou=SUDOers,dc=example,dc=com objectClass: top objectClass: sudoRole cn: %admin sudoUser: %admin sudoHost: ALL sudoCommand: ALL  

sssd.ldif を読む

% ldapadd -D cn=Manager -W -f ./sssd.ldif Enter LDAP Password:  

補足：

  % ldapmodify -D cn=Manager -W -f ./sssd.ldif Enter LDAP Password: ldapmodify: modify operation type is missing at line 2, entry "ou=Users,dc=example,dc=com"  

modify operation type is missing at line 2, entry "ou=Users,dc=example,dc=com"

と表示されてる場合，ldapadd ではなく ldapmodify を実行している．ldapmodify を使う場合は，ldifにどのような変更を行うか記述が必要らしい．

3.2.4 LDIFによるエントリの追加・削除・更新・識別名変更と未サポートのLDIF記述

再度実行してみる

% ldapadd -D cn=Manager -W -f ./sssd.ldif Enter LDAP Password: adding new entry "ou=Users,dc=example,dc=com" adding new entry "ou=Groups,dc=example,dc=com" adding new entry "ou=tool-admin,dc=example,dc=com" adding new entry "ou=SUDOers,dc=example,dc=com" adding new entry "cn=sssd,ou=tool-admin,dc=example,dc=com" adding new entry "uid=user01,ou=Users,dc=example,dc=com" adding new entry "cn=user,ou=Groups,dc=example,dc=com" adding new entry "cn=user01,ou=Groups,dc=example,dc=com" adding new entry "cn=admin,ou=Groups,dc=example,dc=com" adding new entry "cn=%admin,ou=SUDOers,dc=example,dc=com"  

ldif の情報が登録できたか確認する．

% ldapsearch -D cn=Manager -W  

クライアント設定

sssdインストール

% dnf install sssd sssd-tools sssd-dbus  

sssd.conf は Quita の記事のほぼそのままです．

% touch /etc/sssd/sssd.conf % chown root:root /etc/sssd/sssd.conf % chmod 600 /etc/sssd/sssd.conf % cat /etc/sssd/sssd.conf  

[sssd] debug_level = 0 config_file_version = 2 services = nss, pam, ssh, sudo domains = default [domain/default] id_provider = ldap auth_provider = ldap chpass_provider = ldap sudo_provider = ldap ldap_uri = ldaps://xx.xx.xx.140:636 ldap_default_bind_dn = cn=sssd,ou=tool-admin,dc=example,dc=com ldap_default_authtok = sssd00 ldap_search_base = dc=example,dc=com ldap_id_use_start_tls = True ldap_tls_reqcert = never ldap_search_timeout = 3 ldap_network_timeout = 3 ldap_opt_timeout = 3 ldap_enumeration_search_timeout = 60 ldap_enumeration_refresh_timeout = 300 ldap_connection_expire_timeout = 600 ldap_sudo_smart_refresh_interval = 600 ldap_sudo_full_refresh_interval = 10800 entry_cache_timeout = 1200 cache_credentials = True [nss] homedir_substring = /home entry_negative_timeout = 20 entry_cache_nowait_percentage = 50 [pam] [sudo] [autofs] [ssh] [pac] [ifp]  

SSSD 起動

% systemctl start sssd % systemctl status sssd  

→Activeになっていることを確認

動作確認

% sssctl domain-status default Online status: Online Active servers: LDAP: xxx.xxx.xxx.140 Discovered LDAP servers: - xxx.xxx.xxx.140  

ユーザー情報取得

% getent passwd user01 user01:*:10001:10001:user01:/home/user01:/bin/bash % id user01 uid=10001(user01) gid=10001(user01) groups=10001(user01),11000(admin),10000(user)  

認証をSSSDに変更

% authselect select sssd with-sudo --force バックアップは /var/lib/authselect/backups/2025-10-15-10-52-21.8mo86Y に保存されました プロファイル "sssd" が設定されました。 以下の nsswitch マップはプロファイルで上書きされます: - passwd - group - netgroup - automount - services - sudoers Make sure that SSSD service is configured and enabled. See SSSD documentation for more information.  

ログインしてみよう．

% su user01 パスワード: bash: /home/user01/.bashrc: 許可がありません bash-4.4$ sudo ls あなたはシステム管理者から通常の講習を受けたはずです。 これは通常、以下の3点に要約されます: #1) 他人のプライバシーを尊重すること。 #2) タイプする前に考えること。 #3) 大いなる力には大いなる責任が伴うこと。 パスワード: ダウンロード テンプレート デスクトップ ドキュメント ビデオ 音楽 画像 公開  

.bashrc が読めていないけれど，ログインもできたしsudoもできた．ようやく使えるようになった．

LDAP初期化

LDAP の設定を初期化する際は消す前に一度止める必要があるらしい．LDAP 設定でおかしいなと思ったら，次の一連のコマンドを実行してまっさらな .inf ファイルから再構築していた．この知識がない段階では，LDAP  がうまくいかなくなったら OS まるごと再インストールしていた．(TATが…)

% dsctl ds01 stop Instance "ds01" has been stopped % dsctl ds01 remove --do-it Removing instance ... Completed instance removal % dscreate from-file /root/ds01.inf Starting installation ... Validate installation settings ... Create file system structures ... Create self-signed certificate database ... selinux is disabled, will not relabel ports or files. Perform SELinux labeling ... selinux is disabled, will not relabel ports or files. Create database backend: dc=example,dc=com ... Perform post-installation tasks ... Completed installation for instance: slapd-ds01 %  

参考

こちらのサイトも参考にはしていたのだけれど，おそらく aci 設定が適切でなくてユーザー情報は引けたがログインには至らなかった．

RaspberryPiに389DirectoryServer(389-ds)をインストールしてみた

AlmaLinuxにOpenLDAPクライアントをインストールした

ラズパイにファイアウォールを設定する(ufw)

いつも頼りにしている Server World さんの設定はすごくシンプルなんだがうまくいかない．

OpenLDAP : LDAP サーバーの設定

https://www.server-world.info/query?os=Rocky_Linux_8&p=openldap&f=1

OpenLDAP : LDAP クライアントの設定

https://www.server-world.info/query?os=Rocky_Linux_8&p=openldap&f=3

はまったこと

sssd.ldif に書いたパスワードの末尾に空白があるとパスフレーズ認証が通らない．これは平文でも暗号化していても同じ．これでずっと悩んでいて，うまく行ったりうまく行かなかったりぱっと見の再現性がなくてめっちゃこまっていた．

また /root/ds01.inf の先頭行が空欄になっていたのも問題だったかもしれない．とにかく設定中にエラーなり警告なりが出てくれないので難易度が高すぎる．