OpenGroove

Scientific Linux 6.1のLDAPクライアントでハマったこと。今回は6.1だが、それ以降でも、6でも、CentOS 6でも、基本一緒だと思う。

標題のテーマ、簡単です。便利です。こりゃ、使わない手はない。httpdのパッケージインストールであればそのままLDAP認証が利用できると思われるが、念のためhttpd.confのLoadModule行にmod_ldap.so, mod_authnz_ldap.soがあることを確認。

LDAP DB_CONFIGのパラメータチューニングに関連するコマンド、db_statについて覚え書き。DB_CONFIGで設定されているキャッシュヒット率など確認するにはdb_stat -mコマンドを実行する。

LDAPエントリにおける構造型オブジェクトクラスには、やっかいなルールがある。構造型オブジェクトクラスであるobjectClass: accountと、objectClass: inetOrgPersonを両方ひとつのエントリに含めることはできないのである。

不要認証問合せの回避やindex作成などLDAPコネタ、チューニング／最適化あたりを。

LDAPのログ出力について、syslogに代わり、syslog-ngの記述をメモ。設定ファイルは/etc/syslog-ng/syslog-ng.confか、その辺。

自アカウントにてcronをセットした後、どうも動作していないようなので/var/log/cronをチェックしたらこんなMsgが・・・「ORPHAN (no passwd entry)　」読んで字のごとし。/etc/passwdにエントリが存在しないよ、と。

LDAP認証導入後のマシンで認証に失敗してしまう問題が発生し、ハマった。/var/log/secureには以下のエラーが。May 20 16:10:05 host001 sshd[22841]: Invalid user someone from 219.94.xxx.xx

ldapのrootdnを変えたい場合、作業の順番とか適切な方法を一応考えてみて「これでどうだ」と試行錯誤してみたが、結局DBを初期化して一からやり直すのが手っ取り早いような気がした。

標題の件、何度かやってもすぐ忘れてしまうのでメモ、、、ldapmodifyでやれることは、replaceで「置換」、addで「追加」、deleteで「削除」。

LDAPでホスト毎のアクセス制限をするには。探すのにちょっと手間取ったが、結論から言うと、hostアトリビュート、もしくはdescriptionアトリビュートを利用する。

あれこれ調べるほどわけがわからなくなる、OpenLDAP設定のメモ以前のメモ。ある程度まとまってからちゃんと書こうと思っていたが、そんなこと言ってたら永遠に書けそうにないので。

OpenLDAPインストール。今さら書くようなことでもないが、個人的メモなので。。必要なツールがマシンに入っているかどうか、事前に yum list installed ‘*ldap*’ などで確認しておくとよい。