LDAP とローカルで同じユーザー名をつけたら一度ログアウトしましょう，という話

 情けない話なので備忘録．

ローカルで user1 を作成しログインした状態で，同名ユーザーを LDAP で user1 としou=SUDOers となるグループに設定していた．このとき，ユーザー名は同じに見えるのだけれど，user_id がローカルは 1001，LDAP は 10001 となっていたので，「ユーザー名は正しく見えるのにファイル生成で変に permission denied されるぞ」「ユーザー名は正しく見えるのにsudoできないぞ?」という事態が起きていた．

% sudo ls

sudo: あなたは passwd データベースに存在しません

どうやってわかったかというと，id コマンドは認証系 (LDAP) のユーザー名と user_id を表示してくれて，

% id user1

uid=10001(user1) gid=10001(user1) groups=10001(user1),11000(admin),10000(user)

そのシェルで whoami したらローカルでログインした該当 user_id が認証システムにないと言われたためである．

% whoami

whoami: cannot find name for user ID 1001

ls に -n オプションをつけるとユーザー名ではなくユーザーIDを表示してくれるのでそれもよいかもしれない．

%ls -l

合計 383M

drwxr-xr-x.  6 user1 user1 4.0K 10月 22 01:43 .

drwxrwxrwx. 83 user1 user1 8.0K 10月 22 06:41 ..

...

drwxr-xr-x. 14 user1 user1 4.0K 10月 21 21:48 zlib-1.2.9

%ls -ln

合計 383M

drwxr-xr-x.  6 10001 10001 4.0K 10月 22 01:43 .

drwxrwxrwx. 83 10001 10001 8.0K 10月 22 06:41 ..

...

drwxr-xr-x. 14 10001 10001 4.0K 10月 21 21:48 zlib-1.2.9

ログアウトしてログインしたら解決したという情けない話であった．とはいえ認証系でおかしい時にログアウトするのは勇気がいるけれど．

(危ない操作をする場合は，タブ1つはログインしっぱなしにしておけとか，違う tty でログインしておけ，とか言っていましたね)

ldappasswd が Invalide credentials (49) を返してくる

 タイトルの通りですが，LDAPのパスワードを変えようと ldappasswd を使うのだが， % ldappasswd -x -D "cn=Manager,dc=example,dc=com" -W "uid=student1,ou=Users,dc=example,dc=com" -S New password: Re-enter new password: Enter LDAP Password: ldap_bind: Invalid credentials (49)  

と返されうまくいかない．原因は

(1) 認証に利用しているrootdnが異なる

(2) 認証に利用しているパスワードが異なる，特に平文を使っている場合，それがハッシュ化される時のハッシュ値が実行条件によって変化する

(3) 認証に利用しているパスワードへのアクセス権がない

などがあげられるらしいが，(2) はMD5にしているし，(1)，(3) は他の ldap* コマンドは受け付けているので理由が全くわからなくて困ってしまった．

結局初期化はインスタンスごと作り直すことに．

#!/bin/perl # # perl script to generate .ldif # # usage: # perl gen_ldif.pl "username" "passwd" "sudo/normal" # -> "username".ldif # -> "username".sh # sudo "username".sh # my $username = $ARGV[0]; my $passwd = $ARGV[1]; my $uid = $ARGV[2]; my $sudo = $ARGV[3]; system("pwdhash -s MD5 $passwd > _tmp_"); open(PWD,"_tmp_") || die "cannot open _tmp_file, die\n"; $passwd = <PWD>; chomp($passwd); #open(LDIF,">${username}.ldif") || die "cannot open ${username}.ldif, die\n"; open(SH, ">${username}.sh") || die "cannot open ${username}.sh, die\n"; printf STDOUT <<EOF; dn: uid=${username},ou=Users,dc=example,dc=com changetype: add objectClass: top objectClass: person objectClass: inetOrgPerson objectClass: organizationalPerson objectClass: posixAccount uid: ${username} cn: ${username} sn: ${username} uidNumber: ${uid} gidNumber: ${uid} homeDirectory: /home/${username} loginShell: /bin/bash userPassword: ${passwd} dn: cn=user,ou=Groups,dc=example,dc=com changetype: modify add: memberUid memberUid: ${username} dn: cn=${username},ou=Groups,dc=example,dc=com changetype: add objectClass: top objectClass: posixGroup cn: ${username} gidNumber: ${uid} EOF if(${sudo} =~ "sudo"){ printf STDOUT <<EOF; dn: cn=admin,ou=Groups,dc=example,dc=com changetype: modify add: memberUid memberUid: ${username} EOF } close(LDIF); #printf SH <<EOF; #ldapmodify -D cn=Manager -W -f ./${username}.ldif #EOF system("rm _tmp_");  

こんな感じの Perl スクリプトでユーザーを追加する .ldif を作成．

#!/bin/sh LDIF="users.ldif" # lab staff perl gen_ldif.pl professor1 pass1 10002 sudo > ${LDIF} # students perl gen_ldif.pl student1 pass2 20001 normal >> ${LDIF} perl gen_ldif.pl student2 pass2 20002 normal >> ${LDIF}  

シェルスクリプトで .ldif スクリプトを起動．

#!/bin/sh # # usage # sudo sudo_reset_ldap.sh # reset ldap db dsctl ds01 stop dsctl ds01 remove --do-it dscreate from-file /root/ds01.inf sudo dsctl ds01 restart sudo systemctl restart dirsrv@ds01 # systemctl status dirsrv@ds01 # read sssd.ldif ldapadd -D cn=Manager -W -f ./sssd.ldif # read other user.ldif ldapadd -D cn=Manager -W -f ./users.ldif  

その後，既存インスタンスの削除，インスタンス生成，LDAP オブジェクトの生成(基本+自分)，LDAP オブジェクトの生成( Perl で作った学生分)という感じ．

LinuxMint / AlmaLinux 環境に LDAP を入れる

長年やりたいと思っていた  LDAP/389DirectoryServer をインストールできた．こちらのサイトを大いにコピー参考させていただいた．大変ありがたい．

AlmaLinux 9 で 389 Directory Server を構築してみる

AlmaLinux 9 で SSSD+389ds でLDAP認証を構築してみる

こちらの環境は以下の通りなので，Server 側は一部読み替えが必要です．

Server：LinuxMint 

Client：AlmaLinux8 

Server側設定

LDAP/389DirectoryServer をインストール

% apt -y install 389-ds % which dscreate /usr/sbin/dscreate % dscreate create-template /root/ds01.inf % chmod 600 /root/ds01.inf % pwdhash -s MD5 password {MD5}X03MO1qnZdYdgyfeuILPmQ==  

生成した .inf の一部を書き換える．

% vi /root/ds01.inf # インスタンス名 + instance_name = ds01 # ds389 の root ユーザパスワードを設定 + root_password = {MD5}X03MO1qnZdYdgyfeuILPmQ== # root ユーザ名を設定 (デフォルトは cn=Directory Manager) + root_dn = cn=Manager # 自己署名証明書の有効期限の変更（2年→30年） + self_sign_cert_valid_months = 360 # ベースDNを作成（しない→する） + create_suffix_entry = True # ベースDNの指定 + suffix = dc=example,dc=com  

インスタンスの生成と動作確認

% dscreate from-file /root/ds01.inf Starting installation ... Validate installation settings ... Create file system structures ... Create self-signed certificate database ... Perform SELinux labeling ... Create database backend: dc=example,dc=com ... Perform post-installation tasks ... Completed installation for instance: slapd-ds01 % systemctl status dirsrv@ds01  

→Activeになっていることを確認

ポート開放

クライアントから接続するためのポートをあける

apt -y install ufw systemctl status ufw ufw default allow outgoing  

ufw allow ssh ufw allow 389 ufw allow 636 systemctl reload ufw  

sssd.ldif を作成

意識が低いので公開鍵認証ではなくパスフレーズ認証です．元記事にあった公開鍵認証のためのスキーマは読みません．

% cat sssd.ldif dn: ou=Users,dc=example,dc=com objectClass: organizationalUnit ou: Users aci: (targetattr="*")(version 3.0; acl "Allow full read to sssd"; allow (read,search,compare) userdn = "ldap:///cn=sssd,ou=tool-admin,dc=example,dc=com";) dn: ou=Groups,dc=example,dc=com objectClass: organizationalUnit ou: Groups aci: (targetattr="*")(version 3.0; acl "Allow full read to sssd"; allow (read,search,compare) userdn = "ldap:///cn=sssd,ou=tool-admin,dc=example,dc=com";) dn: ou=tool-admin,dc=example,dc=com objectClass: organizationalUnit ou: tool-admin dn: ou=SUDOers,dc=example,dc=com objectClass: organizationalUnit ou: SUDOers aci: (targetattr="*")(version 3.0; acl "Allow full read to sssd"; allow (read,search,compare) userdn = "ldap:///cn=sssd,ou=tool-admin,dc=example,dc=com";) dn: cn=sssd,ou=tool-admin,dc=example,dc=com objectClass: applicationProcess objectClass: simpleSecurityObject cn: sssd userPassword: sssd00 dn: uid=user01,ou=Users,dc=example,dc=com objectClass: top objectClass: person objectClass: inetOrgPerson objectClass: organizationalPerson objectClass: posixAccount uid: user01 cn: user01 sn: user01 uidNumber: 10001 gidNumber: 10001 homeDirectory: /home/user01 loginShell: /bin/bash userPassword: user0100 dn: uid=user02,ou=Users,dc=example,dc=com objectClass: top objectClass: person objectClass: inetOrgPerson objectClass: organizationalPerson objectClass: posixAccount uid: user02 cn: user02 sn: user02 uidNumber: 10002 gidNumber: 10002 homeDirectory: /home/user02 loginShell: /bin/bash userPassword: user0200 dn: cn=user,ou=Groups,dc=example,dc=com objectClass: top objectClass: posixGroup cn: user gidNumber: 10000 memberUid: user01 memberUid: user02 dn: cn=user01,ou=Groups,dc=example,dc=com objectClass: top objectClass: posixGroup cn: user01 gidNumber: 10001 dn: cn=user02,ou=Groups,dc=example,dc=com objectClass: top objectClass: posixGroup cn: user02 gidNumber: 10002 dn: cn=admin,ou=Groups,dc=example,dc=com objectClass: top objectClass: posixGroup cn: admin gidNumber: 11000 memberUid: user01 dn: cn=%admin,ou=SUDOers,dc=example,dc=com objectClass: top objectClass: sudoRole cn: %admin sudoUser: %admin sudoHost: ALL sudoCommand: ALL  

sssd.ldif を読む

% ldapadd -D cn=Manager -W -f ./sssd.ldif Enter LDAP Password:  

補足：

  % ldapmodify -D cn=Manager -W -f ./sssd.ldif Enter LDAP Password: ldapmodify: modify operation type is missing at line 2, entry "ou=Users,dc=example,dc=com"  

modify operation type is missing at line 2, entry "ou=Users,dc=example,dc=com"

と表示されてる場合，ldapadd ではなく ldapmodify を実行している．ldapmodify を使う場合は，ldifにどのような変更を行うか記述が必要らしい．

3.2.4 LDIFによるエントリの追加・削除・更新・識別名変更と未サポートのLDIF記述

再度実行してみる

% ldapadd -D cn=Manager -W -f ./sssd.ldif Enter LDAP Password: adding new entry "ou=Users,dc=example,dc=com" adding new entry "ou=Groups,dc=example,dc=com" adding new entry "ou=tool-admin,dc=example,dc=com" adding new entry "ou=SUDOers,dc=example,dc=com" adding new entry "cn=sssd,ou=tool-admin,dc=example,dc=com" adding new entry "uid=user01,ou=Users,dc=example,dc=com" adding new entry "cn=user,ou=Groups,dc=example,dc=com" adding new entry "cn=user01,ou=Groups,dc=example,dc=com" adding new entry "cn=admin,ou=Groups,dc=example,dc=com" adding new entry "cn=%admin,ou=SUDOers,dc=example,dc=com"  

ldif の情報が登録できたか確認する．

% ldapsearch -D cn=Manager -W  

クライアント設定

sssdインストール

% dnf install sssd sssd-tools sssd-dbus  

sssd.conf は Quita の記事のほぼそのままです．

% touch /etc/sssd/sssd.conf % chown root:root /etc/sssd/sssd.conf % chmod 600 /etc/sssd/sssd.conf % cat /etc/sssd/sssd.conf  

[sssd] debug_level = 0 config_file_version = 2 services = nss, pam, ssh, sudo domains = default [domain/default] id_provider = ldap auth_provider = ldap chpass_provider = ldap sudo_provider = ldap ldap_uri = ldaps://xx.xx.xx.140:636 ldap_default_bind_dn = cn=sssd,ou=tool-admin,dc=example,dc=com ldap_default_authtok = sssd00 ldap_search_base = dc=example,dc=com ldap_id_use_start_tls = True ldap_tls_reqcert = never ldap_search_timeout = 3 ldap_network_timeout = 3 ldap_opt_timeout = 3 ldap_enumeration_search_timeout = 60 ldap_enumeration_refresh_timeout = 300 ldap_connection_expire_timeout = 600 ldap_sudo_smart_refresh_interval = 600 ldap_sudo_full_refresh_interval = 10800 entry_cache_timeout = 1200 cache_credentials = True [nss] homedir_substring = /home entry_negative_timeout = 20 entry_cache_nowait_percentage = 50 [pam] [sudo] [autofs] [ssh] [pac] [ifp]  

SSSD 起動

% systemctl start sssd % systemctl status sssd  

→Activeになっていることを確認

動作確認

% sssctl domain-status default Online status: Online Active servers: LDAP: xxx.xxx.xxx.140 Discovered LDAP servers: - xxx.xxx.xxx.140  

ユーザー情報取得

% getent passwd user01 user01:*:10001:10001:user01:/home/user01:/bin/bash % id user01 uid=10001(user01) gid=10001(user01) groups=10001(user01),11000(admin),10000(user)  

認証をSSSDに変更

% authselect select sssd with-sudo --force バックアップは /var/lib/authselect/backups/2025-10-15-10-52-21.8mo86Y に保存されました プロファイル "sssd" が設定されました。 以下の nsswitch マップはプロファイルで上書きされます: - passwd - group - netgroup - automount - services - sudoers Make sure that SSSD service is configured and enabled. See SSSD documentation for more information.  

ログインしてみよう．

% su user01 パスワード: bash: /home/user01/.bashrc: 許可がありません bash-4.4$ sudo ls あなたはシステム管理者から通常の講習を受けたはずです。 これは通常、以下の3点に要約されます: #1) 他人のプライバシーを尊重すること。 #2) タイプする前に考えること。 #3) 大いなる力には大いなる責任が伴うこと。 パスワード: ダウンロード テンプレート デスクトップ ドキュメント ビデオ 音楽 画像 公開  

.bashrc が読めていないけれど，ログインもできたしsudoもできた．ようやく使えるようになった．

LDAP初期化

LDAP の設定を初期化する際は消す前に一度止める必要があるらしい．LDAP 設定でおかしいなと思ったら，次の一連のコマンドを実行してまっさらな .inf ファイルから再構築していた．この知識がない段階では，LDAP  がうまくいかなくなったら OS まるごと再インストールしていた．(TATが…)

% dsctl ds01 stop Instance "ds01" has been stopped % dsctl ds01 remove --do-it Removing instance ... Completed instance removal % dscreate from-file /root/ds01.inf Starting installation ... Validate installation settings ... Create file system structures ... Create self-signed certificate database ... selinux is disabled, will not relabel ports or files. Perform SELinux labeling ... selinux is disabled, will not relabel ports or files. Create database backend: dc=example,dc=com ... Perform post-installation tasks ... Completed installation for instance: slapd-ds01 %  

参考

こちらのサイトも参考にはしていたのだけれど，おそらく aci 設定が適切でなくてユーザー情報は引けたがログインには至らなかった．

RaspberryPiに389DirectoryServer(389-ds)をインストールしてみた

AlmaLinuxにOpenLDAPクライアントをインストールした

ラズパイにファイアウォールを設定する(ufw)

いつも頼りにしている Server World さんの設定はすごくシンプルなんだがうまくいかない．

OpenLDAP : LDAP サーバーの設定

https://www.server-world.info/query?os=Rocky_Linux_8&p=openldap&f=1

OpenLDAP : LDAP クライアントの設定

https://www.server-world.info/query?os=Rocky_Linux_8&p=openldap&f=3

はまったこと

sssd.ldif に書いたパスワードの末尾に空白があるとパスフレーズ認証が通らない．これは平文でも暗号化していても同じ．これでずっと悩んでいて，うまく行ったりうまく行かなかったりぱっと見の再現性がなくてめっちゃこまっていた．

また /root/ds01.inf の先頭行が空欄になっていたのも問題だったかもしれない．とにかく設定中にエラーなり警告なりが出てくれないので難易度が高すぎる．