![11
389-ds コマンドによる初期設定手順
[root@cent82 ~]# dscreate interactive
Install Directory Server (interactive mode)
===========================================
Enter system's hostname [cent82.3bit.co.jp]: [enter]
Enter the instance name [cent82]: [enter]
Enter port number [389]: [enter]
Create self-signed certificate database [yes]: [enter]
Enter secure port number [636]: [enter]
Enter Directory Manager DN [cn=Directory Manager]: [enter]
Enter the Directory Manager password: (パスワード)
Confirm the Directory Manager Password: (パスワード)
Enter the database suffix (or enter "none" to skip)
[dc=cent82,dc=3bit,dc=co,dc=jp]: dc=example,dc=jp
Create sample entries in the suffix [no]: [enter]
Create just the top suffix entry [no]: yes
Do you want to start the instance after the installation? [yes]: [enter]
Are you ready to install? [no]: yes
Starting installation...
Completed installation for cent82
[root@cent82 ~]#
管理アカウントの
デフォルトは
cn=Directory Manager
suffixのデフォルトは
ホストのFQDN](https://image.slidesharecdn.com/osc2021tokyo-sunbit-2021023-211101022548/85/LDAP-389-ds-11-320.jpg)
![18
389-dsを制御するコマンド: dsctl
[root@centos82 ~]# dsctl centos82 status
Instance "centos82" is running
[root@centos82 ~]# dsctl centos82 db2bak
db2bak: Can not operate while directory server is running
db2bak failed
[root@centos82 ~]# dsctl centos82 stop
Instance "centos82" has been stopped
[root@centos82 ~]# dsctl centos82 db2bak
db2bak successful
[root@centos82 ~]# dsctl centos82 start
Instance "centos82" has been started
[root@centos82 ~]# dsctl centos82 backups
Backup: /var/lib/dirsrv/~/bak/centos82-2021_05_25_18_15_24 - 2021-05-25
18:15:24 (11M)](https://image.slidesharecdn.com/osc2021tokyo-sunbit-2021023-211101022548/85/LDAP-389-ds-18-320.jpg)
![23
設定コマンド: dsconf backend
[root@centos82 ~]# dsconf centos82 backend suffix list
cn=changelog (changelog)
cn=example,dc=jp (example.jp)
[root@centos82 ~]# dsconf centos82 backend get dc=example,dc=jp
dn: cn=example.jp,cn=ldbm database,cn=plugins,cn=config
cn: example.jp
nsslapd-cachememsize: 402653184
nsslapd-cachesize: -1
nsslapd-directory: /var/lib/dirsrv/slapd-centos82/db/example.jp
nsslapd-dncachememsize: 67108864
nsslapd-readonly: off
nsslapd-require-index: off
nsslapd-require-internalop-index: off
nsslapd-suffix: dc=example,dc=jp
objectClass: top
objectClass: extensibleObject
objectClass: nsBackendInstance
backendのリスト
backend毎にパラメータ調整や
indexを設定できる](https://image.slidesharecdn.com/osc2021tokyo-sunbit-2021023-211101022548/85/LDAP-389-ds-23-320.jpg)
![25
設定コマンド: dsconf backup
[root@centos82 ~]# dsconf centos82 backup create
The backup create task has finished successfully
[root@centos82 ~]# dsctl centos82 backups
Backup: /var/lib/dirsrv/slapd-centos82/bak/centos82-2021_05_25_18_15_24 - 2021-
05-25 18:15:24 (11M)
Backup: /var/lib/dirsrv/slapd-centos82/bak/centos82-2021_05_25_18_47_16 - 2021-
05-25 18:47:16 (11M)
[root@centos82 ~]# dsconf centos82 backup restore
centos82-2021_05_25_18_47_16
The backup restore task has finished successfully
dsctlコマンドでbackupを探して
リストアしたい
バックアップ名を指定する
バックアップ](https://image.slidesharecdn.com/osc2021tokyo-sunbit-2021023-211101022548/85/LDAP-389-ds-25-320.jpg)
![27
設定コマンド: dsconf config
[root@centos82 ~]# dsconf centos82 config replace nsslapd-unhashed-pw-switch=on
Successfully replaced "nsslapd-unhashed-pw-switch"
[root@centos82 ~]# dsconf centos82 config get nsslapd-unhashed-pw-switch
nsslapd-unhashed-pw-switch: on
root@centos82 ~]# dsconf centos82 config get
dn: cn=config
cn: config
nsslapd-SSLclientAuth: allowed
nsslapd-accesscontrol: on
nsslapd-accesslog: /var/log/dirsrv/slapd-shapeldap8/access
...
Windows同期に設定必須
nsslapd-unhashed-pw-switch=on
の設定
変更可能な設定値一覧の表示](https://image.slidesharecdn.com/osc2021tokyo-sunbit-2021023-211101022548/85/LDAP-389-ds-27-320.jpg)
![30
設定コマンド: dsconf security
dn: cn=RSA,cn=encryption,cn=config
...
nsSSLPersonalitySSL: centos82.example.jp - Sunbit System
nsSSLActivation: on ここを書き換える場合
[root@cent82 slapd-centos82]# dsconf -D 'cn=Directory Manager' centos82 security rsa
set --nss-cert-name TESTCERT
[root@cent82 slapd-centos82]# grep nsSSLPersonal
/etc/dirsrv/slapd-centos82/dse.ldif
nsSSLPersonalitySSL: TESTCERT dsconf securityコマンドで変更する
--nss-cert-name が nsSSLPersonalitySSLを変更する!
マニュアルを読みましょう
●
LDAPSで使用する証明書を変える場合](https://image.slidesharecdn.com/osc2021tokyo-sunbit-2021023-211101022548/85/LDAP-389-ds-30-320.jpg)
![32
設定コマンド: dsconf directory_manager
●
'cn=Directory Manager' のパスワードを変更するだ
け。
[root@cent82 slapd-centos82]# dsconf centos82 directory_manager
password_change
Enter new directory manager password : (パスワード)
CONFIRM - Enter new directory manager password : (パスワード)
[root@cent82 slapd-centos82]#](https://image.slidesharecdn.com/osc2021tokyo-sunbit-2021023-211101022548/85/LDAP-389-ds-32-320.jpg)
![35
389-dsの設定値たち
●
389-dsの設定値はすべてデフォルト値がある。
●
全ての設定値がdse.ldifに記述されているわけで
はない。(未設定の値はデフォルト値が使用されファイ
ルには反映されない)
●
全設定値を見るにはldapsearchを使う。
(dsconf .. config get は全設定は表示しない)
[root@cent82 slapd-centos82]# ldapsearch -D 'cn=Directory Manager' -W -x -b
cn=config onjectclass=*](https://image.slidesharecdn.com/osc2021tokyo-sunbit-2021023-211101022548/85/LDAP-389-ds-35-320.jpg)
![36
389-dsの設定値たち
●
変更したら再起動が必要な機能も設定値にある。
(下記は全てではありません)
[root@cent82 slapd-centos82]# dsconf centos82 config get | grep restart
nsslapd-requiresrestart: cn=config:nsslapd-port
nsslapd-requiresrestart: cn=config:nsslapd-secureport
nsslapd-requiresrestart: cn=config:nsslapd-ldapifilepath
nsslapd-requiresrestart: cn=config:nsslapd-ldapilisten
nsslapd-requiresrestart: cn=config:nsslapd-workingdir
nsslapd-requiresrestart: cn=config:nsslapd-plugin
nsslapd-requiresrestart: cn=config:nsslapd-sslclientauth
nsslapd-requiresrestart: cn=config:nsslapd-changelogdir
nsslapd-requiresrestart: cn=config:nsslapd-changelogsuffix
nsslapd-requiresrestart: cn=config:nsslapd-changelogmaxentries
nsslapd-requiresrestart: cn=config:nsslapd-changelogmaxage
nsslapd-requiresrestart: cn=config:nsslapd-db-locks
nsslapd-requiresrestart: cn=config:nsslapd-maxdescriptors
ポート番号の変更
プラグインに対する変更
ファイルディスクリプタ数の変更](https://image.slidesharecdn.com/osc2021tokyo-sunbit-2021023-211101022548/85/LDAP-389-ds-36-320.jpg)
![37
389-dsの設定値たち
●
dsconf configコマンドを使用して動作中に設定値を変
更することができる。(ldapmodifyでも可)
●
例えばauditlog
[root@cent82 slapd-centos82]# dsconf centos82 config get | grep logging-enable
nsslapd-accesslog-logging-enabled: on
nsslapd-auditfaillog-logging-enabled: off
nsslapd-auditlog-logging-enabled: off
nsslapd-errorlog-logging-enabled: on
[root@cent82 slapd-centos82]# dsconf centos82 config replace nsslapd-auditlog-
logging-enabled=on
Successfully replaced "nsslapd-auditlog-logging-enabled"
[root@cent82 slapd-centos82]# dsconf centos82 config get nsslapd-auditlog-logging-
enabled
nsslapd-auditlog-logging-enabled: on](https://image.slidesharecdn.com/osc2021tokyo-sunbit-2021023-211101022548/85/LDAP-389-ds-37-320.jpg)
![[GKE & Spanner 勉強会] Cloud Spanner の技術概要](https://cdn.slidesharecdn.com/ss_thumbnails/gke02-200121091040-thumbnail.jpg?width=560&fit=bounds)
More Related Content
What's hot (20)
Similar to これからLDAPを始めるなら 「389-ds」を使ってみよう (20)
これからLDAPを始めるなら 「389-ds」を使ってみよう
- 3. 3 389-dsとは ● LDAPv3サーバ ● Fedora Projectで開発 ● https://directory.fedoraproject.org/ ● GPLv3で配布 ● 389-ds ≒ Redhat Directory Server ● RHEL, Fedora, CentOSは標準装備 ● 「信頼性」「パフォーマンス」「スケーラビリ ティ」がキャッチフレーズ
- 4. 4 389-dsとは ● 2021/10時点での最新版は1.4系列 ● 1.3系はRedHat7用 ● 1.4系はRedHat8用 (1.4.xはRedhat8.x) ● (2.0系はsrpmがあるのでrpmbuildでお試し可) ● Debian, openSUSEにもパッケージがある ● 過去にはHP-UX, Solarisサポートもあった ● 方向性は移植より安定継続... ● cockpitによる管理GUIがある
- 6. 6 389-dsとは Feature Design Documentsで気になる 389 Directory Server 1.4.4 ● Replication Agreement Bootstrap Credentials ● Replication Changelog moved into main database ● Openldap to 389 Migration ● Mapping Tree Assembly Rework OpenLDAPからの移行機能が計画中?
- 9. 9 389-dsを使ってみよう ● 朗報:日本語マニュアルが出ました! https://access.redhat.com/documentation/ja-jp/ red_hat_directory_server/11 (公開資料:RHNアカウント不要) ● RedHat Directory Serverのものですが、389-dsと同じ です。 ● CentOS用の導入方法は記述されていません。
- 10. 10 389-ds インストール ● port389.orgにある手順 ● EPELを入れる:dnf install epel-release ● EPELの389-directory-serverモジュールから インストールする(RHEL/CentOS8.1以降) dnf module install 389-directory-server:stable/default ● インストールされるパッケージ python3-lib389 389-ds-base-libs cockpit-389-ds 389-ds-base
- 11. 11 389-ds コマンドによる初期設定手順 [root@cent82 ~]# dscreate interactive Install Directory Server (interactive mode) =========================================== Enter system's hostname [cent82.3bit.co.jp]: [enter] Enter the instance name [cent82]: [enter] Enter port number [389]: [enter] Create self-signed certificate database [yes]: [enter] Enter secure port number [636]: [enter] Enter Directory Manager DN [cn=Directory Manager]: [enter] Enter the Directory Manager password: (パスワード) Confirm the Directory Manager Password: (パスワード) Enter the database suffix (or enter "none" to skip) [dc=cent82,dc=3bit,dc=co,dc=jp]: dc=example,dc=jp Create sample entries in the suffix [no]: [enter] Create just the top suffix entry [no]: yes Do you want to start the instance after the installation? [yes]: [enter] Are you ready to install? [no]: yes Starting installation... Completed installation for cent82 [root@cent82 ~]# 管理アカウントの デフォルトは cn=Directory Manager suffixのデフォルトは ホストのFQDN
- 13. 13 CentOSは大丈夫なのか... ● CentOS互換維持のdistribution ● Alma Linux ● Rocky Linux ● Miracle Linux 8 (New 2021/10/04) ● 少なくともAlma Linuxでは同じ手順でインス トール、動作します。 ● Miracle Linux 8でも動きます。
- 14. 14 ldapコマンド ● 389-dsが独自で提供するldapコマンドは、あり ません。 ● openldap-clientsパッケージに含まれるコマンド を使用します。 (ldapsearch, ldapadd, ldapmodify…) ● 2021現在、389-ds自体にはLDAPブラウザ的な機 能はないので、Apache Directory Studioなどを併 用しましょう。
- 15. 15 389-dsを制御するコマンド ● dscreate: インスタンスの作成 ● dsctl : サーバの制御 ● dsconf : 設定値の変更
- 16. 16 389-dsを制御するコマンド: dscreate ● dscreate: インスタンスの作成 ● dscreate from-file: 定義ファイルから作成 ● dscreate interactive: 対話的に作成 (dscreate interactive の動作例は既出です)
- 17. 17 389-dsを制御するコマンド: dsctl ● dsctl: サーバの動作制御 ● 書式: dsctl instance subcommand instance: 対象のインスタンス名 subcommand: start サーバ起動 stop サーバ停止 restart サーバ再起動 status 起動状態表示 remove インスタンス削除 db2bak バックアップ作成 backups バックアップリスト表示 bak2db バックアップ復元
- 18. 18 389-dsを制御するコマンド: dsctl [root@centos82 ~]# dsctl centos82 status Instance "centos82" is running [root@centos82 ~]# dsctl centos82 db2bak db2bak: Can not operate while directory server is running db2bak failed [root@centos82 ~]# dsctl centos82 stop Instance "centos82" has been stopped [root@centos82 ~]# dsctl centos82 db2bak db2bak successful [root@centos82 ~]# dsctl centos82 start Instance "centos82" has been started [root@centos82 ~]# dsctl centos82 backups Backup: /var/lib/dirsrv/~/bak/centos82-2021_05_25_18_15_24 - 2021-05-25 18:15:24 (11M)
- 19. 19 389-dsを制御するコマンド: dsconf ● dsconf: 設定値の変更 ● 書式: dsconf instance subcommand ● instance: 対象のインスタンス名 subcommand: backend バックエンド関連 backup バックアップ関連 config 設定値関連 security LDAPS関連 directory_manager 管理ユーザパスワード (まだありますが、略します)
- 20. 20 設定コマンド: dsconf backend ● backendはsuffixに対応したデータベース ● 何もしなければroot suffixは1つのデータベー ス ● suffixを作る毎にそれぞれ1つのデータベースが 作成される ● sub suffixを作成してroot suffixとは別の管理に することもできる ● openldapのDB backendのみ(な感じ)
- 21. 21 設定コマンド: dsconf backend ● 2つのroot suffix がある場合 ● example.jp と 3bit.co.jpの2つのDBができる。 dc=example,dc=jp dc=3bit,dc=co,dc=jp ou=group,dc=3bit,dc=co,dc=jp ou=user,dc=3bit,dc=co,dc=jp ou=group,dc=example,dc=jp ou=user,dc=example,dc=jp
- 22. 22 設定コマンド: dsconf backend ● 1つのroot suffix にsub suffixがある場合 ● example.jp とext.example.jpの2つのDBができる。 ● BASE DNをdc=example,dc=jpで検索した場合 dc=ext,dc=example,dc=jp配下は得られない。 dc=example,dc=jp ou=ext,dc=example,dc=jp ou=group,ou=ext,dc=example,dc=jp ou=user,ou=ext,dc=example,dc=jp ou=group,dc=example,dc=jp ou=user,dc=example,dc=jp
- 23. 23 設定コマンド: dsconf backend [root@centos82 ~]# dsconf centos82 backend suffix list cn=changelog (changelog) cn=example,dc=jp (example.jp) [root@centos82 ~]# dsconf centos82 backend get dc=example,dc=jp dn: cn=example.jp,cn=ldbm database,cn=plugins,cn=config cn: example.jp nsslapd-cachememsize: 402653184 nsslapd-cachesize: -1 nsslapd-directory: /var/lib/dirsrv/slapd-centos82/db/example.jp nsslapd-dncachememsize: 67108864 nsslapd-readonly: off nsslapd-require-index: off nsslapd-require-internalop-index: off nsslapd-suffix: dc=example,dc=jp objectClass: top objectClass: extensibleObject objectClass: nsBackendInstance backendのリスト backend毎にパラメータ調整や indexを設定できる
- 24. 24 設定コマンド: dsconf backup ● DBのバックアップ、リストアを行う ● オンラインで可能 – バックアップは取得できるがdsconfコマンドでは バックアップ名を検索する方法がない! ● バックアップの検索は dsctl backups で ● dsctl instance backups
- 25. 25 設定コマンド: dsconf backup [root@centos82 ~]# dsconf centos82 backup create The backup create task has finished successfully [root@centos82 ~]# dsctl centos82 backups Backup: /var/lib/dirsrv/slapd-centos82/bak/centos82-2021_05_25_18_15_24 - 2021- 05-25 18:15:24 (11M) Backup: /var/lib/dirsrv/slapd-centos82/bak/centos82-2021_05_25_18_47_16 - 2021- 05-25 18:47:16 (11M) [root@centos82 ~]# dsconf centos82 backup restore centos82-2021_05_25_18_47_16 The backup restore task has finished successfully dsctlコマンドでbackupを探して リストアしたい バックアップ名を指定する バックアップ
- 26. 26 設定コマンド: dsconf config ● 多分最も使われるサブコマンド ● 設定値を変更する ● (やってることはldapmodifyなのでは...) ● LDAPSに関連する設定値は dsconf security サブコマンドで行う
- 27. 27 設定コマンド: dsconf config [root@centos82 ~]# dsconf centos82 config replace nsslapd-unhashed-pw-switch=on Successfully replaced "nsslapd-unhashed-pw-switch" [root@centos82 ~]# dsconf centos82 config get nsslapd-unhashed-pw-switch nsslapd-unhashed-pw-switch: on root@centos82 ~]# dsconf centos82 config get dn: cn=config cn: config nsslapd-SSLclientAuth: allowed nsslapd-accesscontrol: on nsslapd-accesslog: /var/log/dirsrv/slapd-shapeldap8/access ... Windows同期に設定必須 nsslapd-unhashed-pw-switch=on の設定 変更可能な設定値一覧の表示
- 29. 29 設定コマンド: dsconf security ● /etc/dirsrv/インスタンス/dse.conf の書換 dn: cn=RSA,cn=encryption,cn=config objectClass: top objectClass: nsEncryptionModule cn: RSA nsSSLPersonalitySSL: centos82.example.jp - Sunbit System nsSSLActivation: on nsSSLToken: internal (software) ここを書き換えると 指定の証明書が使用される
- 30. 30 設定コマンド: dsconf security dn: cn=RSA,cn=encryption,cn=config ... nsSSLPersonalitySSL: centos82.example.jp - Sunbit System nsSSLActivation: on ここを書き換える場合 [root@cent82 slapd-centos82]# dsconf -D 'cn=Directory Manager' centos82 security rsa set --nss-cert-name TESTCERT [root@cent82 slapd-centos82]# grep nsSSLPersonal /etc/dirsrv/slapd-centos82/dse.ldif nsSSLPersonalitySSL: TESTCERT dsconf securityコマンドで変更する --nss-cert-name が nsSSLPersonalitySSLを変更する! マニュアルを読みましょう ● LDAPSで使用する証明書を変える場合
- 32. 32 設定コマンド: dsconf directory_manager ● 'cn=Directory Manager' のパスワードを変更するだ け。 [root@cent82 slapd-centos82]# dsconf centos82 directory_manager password_change Enter new directory manager password : (パスワード) CONFIRM - Enter new directory manager password : (パスワード) [root@cent82 slapd-centos82]#
- 35. 35 389-dsの設定値たち ● 389-dsの設定値はすべてデフォルト値がある。 ● 全ての設定値がdse.ldifに記述されているわけで はない。(未設定の値はデフォルト値が使用されファイ ルには反映されない) ● 全設定値を見るにはldapsearchを使う。 (dsconf .. config get は全設定は表示しない) [root@cent82 slapd-centos82]# ldapsearch -D 'cn=Directory Manager' -W -x -b cn=config onjectclass=*
- 36. 36 389-dsの設定値たち ● 変更したら再起動が必要な機能も設定値にある。 (下記は全てではありません) [root@cent82 slapd-centos82]# dsconf centos82 config get | grep restart nsslapd-requiresrestart: cn=config:nsslapd-port nsslapd-requiresrestart: cn=config:nsslapd-secureport nsslapd-requiresrestart: cn=config:nsslapd-ldapifilepath nsslapd-requiresrestart: cn=config:nsslapd-ldapilisten nsslapd-requiresrestart: cn=config:nsslapd-workingdir nsslapd-requiresrestart: cn=config:nsslapd-plugin nsslapd-requiresrestart: cn=config:nsslapd-sslclientauth nsslapd-requiresrestart: cn=config:nsslapd-changelogdir nsslapd-requiresrestart: cn=config:nsslapd-changelogsuffix nsslapd-requiresrestart: cn=config:nsslapd-changelogmaxentries nsslapd-requiresrestart: cn=config:nsslapd-changelogmaxage nsslapd-requiresrestart: cn=config:nsslapd-db-locks nsslapd-requiresrestart: cn=config:nsslapd-maxdescriptors ポート番号の変更 プラグインに対する変更 ファイルディスクリプタ数の変更
- 37. 37 389-dsの設定値たち ● dsconf configコマンドを使用して動作中に設定値を変 更することができる。(ldapmodifyでも可) ● 例えばauditlog [root@cent82 slapd-centos82]# dsconf centos82 config get | grep logging-enable nsslapd-accesslog-logging-enabled: on nsslapd-auditfaillog-logging-enabled: off nsslapd-auditlog-logging-enabled: off nsslapd-errorlog-logging-enabled: on [root@cent82 slapd-centos82]# dsconf centos82 config replace nsslapd-auditlog- logging-enabled=on Successfully replaced "nsslapd-auditlog-logging-enabled" [root@cent82 slapd-centos82]# dsconf centos82 config get nsslapd-auditlog-logging- enabled nsslapd-auditlog-logging-enabled: on
- 40. 40 389-dsのスキーマ管理 ● 389-dsの書式 (authldap.schemaの一部) objectClasses: ( 1.3.6.1.4.1.10018.1.2.1 NAME 'CourierMailAccount' DESC 'Mail account object as used by the Courier mail server' … attributeTypes: ( 1.3.6.1.4.1.10018.1.1.1 NAME 'mailbox' DESC 'The absolute path to the mailbox for a mail account in a non-default location' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) (authldap.schemaは389-ds標準ではありません) ● RFC2252に従っています。
- 41. 41 389-dsのスキーマ管理 ● openldapの書式 *.schema objectclass ( 1.3.6.1.4.1.10018.1.2.1 NAME 'CourierMailAccount' DESC 'Mail account object as used by the Courier mail server' attributetype ( 1.3.6.1.4.1.10018.1.1.1 NAME 'mailbox' DESC 'The absolute path to the mailbox for a mail account in a non-defau lt location' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) *.ldif olcObjectclasses: ( 1.3.6.1.4.1.10018.1.2.1 NAME 'CourierMailAccount' DESC 'Mail account object as used by the Courier mail server' olcAttributeTypes: ( 1.3.6.1.4.1.10018.1.1.1 NAME 'mailbox' DESC 'The absolute path to the mailbox for a mail account in a non-defau lt location' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
- 44. 44 これまでのデータを389-dsで使う ● howto-openldap-migrationの互換性リスト 機能 OpenLDAP 389-ds 互換性 双方向同期 SyncREPL 389独自 × MemberOf Overlay Plugin ○ (単純な構成のみ) External Auth SASL PTA Plugin △ (設定とデータ変更が必要) LDAP Proxy Proxy - × AD同期 - Winsync Plugin × システムスキーマ OLC形式 389形式(RFC2252) ○ (変換ツールがある) カスタムスキーマ OLC形式 389形式(RFC2252) ○ (変換ツールがある) DBインポート LDIF LDIF ○ (変換ツールがある) パスワードハッシュ 不定 不定 ○ (ARGON2を除く全て) ol 2 ds repl - - × ds 2 ol repl - SyncREPL ○ (あらびっくり! 389-ds → OpenLDAP) EntryUUID システムの一部 プラグイン ○
- 46. 46 これまでのデータを389-dsで使う ● 変換ツール https://directory.fedoraproject.org/docs/389ds/ scripts.html ol2rhds.pl OpenLDAPスキーマをRFC2252形式に変換する (*.schema, *.ldifどちらの形式でも変換してくれる) openLDAP2Fedora.pl OpenLDAPのuserPasswordエントリを389-dsの形式に変換する ol-schema-migrate.pl OpenLDAPの*.schema形式から接頭語olcを削除する ol-macro-exapnd.pl OpenLDAPの OIDマクロを展開する
- 47. 47 これまでのデータを389-dsで使う 1.カスタムスキーマをol2rhds.plで変換 2.変換したスキーマを389-dsの99user.ldifに定義 3.OpenLDAPのSuffix backend毎に分割してLDIFを取得 4.Suffix backendに合わせて389-ds側でbackend を定 義する 5.suffix毎にLDIFをldapaddする 6.indexとACLの定義を頑張る
- 48. 48 これまでのデータを389-dsで使う ● 389-dsのACLの形式 aci: (target = "ldap:///ou=People,dc=example,dc=jp") (version 3.0; acl "Allow users to read and search attributes of own entry"; allow (search, read) (userdn = "userdn = "ldap:///self"); ) target: 対象となるツリーやエントリ allow: 許可される権限 userdn: 許可されるアクセス条件 意訳 ou=people,dc=example,dc=jp配下は(無条件に) 検索と読み込みが許可される (のは)認証されたユーザだけ
- 49. 49 これまでのデータを389-dsで使う 対象について target= ツリーやエントリを直接指定 targetattr= 対象となる属性値を指定 権限について OpenLDAPの OIDマクロを展開する read 読み取り write 属性の追加、修正、削除 search 検索 all すべて 条件について 特定ユーザや条件値 userdn= ldap:///self 認証されたユーザ限定 ldap:///all 認証されてないユーザも含めたアクセス userattr= manager#SELFDN 自身のエントリにmanager属性がある ● ACLの定義諸々 (使いそうな一部のみ)
- 50. 50 これまでのデータを389-dsで使う ● 複雑なACLは移行するときによく考えないと穴 ができるので注意しましょう。 ● せっかく日本語マニュアルが公開されているの で有効に活用しましょう。
- 52. 52 宣伝:ShapeLDAP
- 53. 53 宣伝:ShapeLDAP 定形LDAPツリーのユーザ管理WEBアプリケーション ? 必要最小限のユーザ情報+エントリテンプレートで登録 ? 管理者/パスワード管理者/ユーザの権限 ? CSVによるユーザ登録/削除機能 ? 389-dsの機能でWindows ADとアカウント同期できます ? 実はSun Java DSの時代からやってます(2003) ? 大学、高専など、定形で毎年大量のユーザ登録が発生する 環境でLDAPユーザ管理+Windowsユーザ管理を 一元化したい場合にお役に立ちます。
- 54. 54 有限会社サンビットシステム ? 1998年8月設立 ? 2009年より札幌市豊平区平岸 ? オープンソースの活用で社会貢献 ● 港営業務システム「あまつみ?」の開発?運用 ● ShapeLDAP開発、販売 ● ITインフラ構築、ITシステム設計支援 ● ソフトウエア受託開発,パッケージ開発 ● IT教育など