2. pam_ldap と nss_ldap を使った LDAP 認証

2.2.1.1. OpenLDAP のインストールと設定

LDAP のインストールと設定の手順は、 LDAP-HOWTO を参考にできます。

slapd が適切に設定されたら、 データベースの初期生成のためにデータを入れる必要があります。 そこで、LDIF (LDAP Data Interchange Format) ファイルを 作らなくてはなりません。これはテキストファイルで、 以下のコマンドによって LDAP データベースにインポートされます。

#ldif2ldbm -i your_file.ldif

OpenLDAP 2.0.x (LDAPv3) を使うのであれば、標準的な NIS スキーマが /etc/openldap/schema/nis.schema というファイルに 入っていますから、それを自分の slapd.conf で include ディレクティブによってスキーマを有効にしてください。

以下に LDIF ファイルの最も簡単な例を挙げます。 各エントリは空行で分けられています。

dn:dc=yourorg, dc=com objectclass: top objectclass: organizationalUnit dn:ou=groups, dc=yourorg, dc=com objectclass: top objectclass: organizationalUnit ou: groups dn:ou=people, dc=yourorg, dc=com objectclass: top objectclass: organizationalUnit ou: people dn: cn=Giuseppe LoBiondo, ou=people, dc=yourorg, dc=com cn: Giuseppe Lo Biondo sn: Lo Biondo objectclass: top objectclass: person objectclass: posixAccount objectclass: shadowAccount uid:giuseppe userpassword:{crypt}$1$ss2ii(0$gbs*do&@=)eksd uidnumber:104 gidnumber:100 gecos:Giuseppe Lo Biondo loginShell:/bin/zsh homeDirectory: /home/giuseppe shadowLastChange:10877 shadowMin: 0 shadowMax: 999999 shadowWarning: 7 shadowInactive: -1 shadowExpire: -1 shadowFlag: 0 dn: cn=mygroup, ou=groups, dc=yourorg, dc=com objectclass: top objectclass: posixGroup cn: mygroup gidnumber: 100 memberuid: giuseppe memberuid: anotheruser

ここでは下部組織を二つ持つ組織として、DN を定義しました。 dc=yourorg, dc=com という組織として定義しましたが、その下に、ふたつの組織サブユニット ― people と groups ― が含まれています。そしてユーザは、people 組織ユニット と、groups 組織ユニット下のグループ (のうち、ユーザが所属しているもの。 訳注：giuseppe の場合は mygroup) とに所属するよう記述されています。

LDIF ファイルは、サーバが動作していないときに インポートしなくてはなりません。ldif2ldbm コマンドは LDAP サーバを通さずに直接データベースを構築するからです。 LDIF ファイルをデータベースにインポートすれば、 サーバを起動できます。

2.2.2.1. PAM LDAP のインストールと設定

pam_ldap をコンパイルしてインストールするには、 以下のようにしてください。

$ ./configure --with-ldap-lib=netscape4 --with-ldap-dir=/usr/local/ldapsdk $ make # make install

configure の --with-ldap-lib オプションは、 どの LDAP ライブラリを使おうとしているかを指定します。

--with-ldap-dir オプションは、どこに Netscape ldapsdk ツールキットをインストールしてあるのかを指定します。

これによって /lib/security/pam_ldap.so.1 と各種シンボリックリンクがインストールされます。

PAM が新しい認証システムにアクセスできるように、 適切に設定されなくてはいけません。PAM 設定ファイルは /etc/pam.d というディレクトリに配置され、 認証が供給されるサービス名にしたがって名付けられています。

たとえば以下は login サービスのための PAM 設定ファイル (login という名前のファイル) です。

#%PAM-1.0 auth required /lib/security/pam_securetty.so auth required /lib/security/pam_nologin.so auth sufficient /lib/security/pam_ldap.so auth required /lib/security/pam_unix_auth.so use_first_pass account sufficient /lib/security/pam_ldap.so account required /lib/security/pam_unix_acct.so password required /lib/security/pam_cracklib.so password sufficient /lib/security/pam_ldap.so password required /lib/security/pam_unix_passwd.so use_first_pass md5 shadow session required /lib/security/pam_unix_session.so

PAM で使う標準的な PAM 設定ファイルは pam_ldap のソースの pam_ldap-(バージョン)/pam.d というディレクトリ の中にあります。

この標準的なファイルは /etc/pam.d ディレクトリの中に コピーできます。もし何かおかしなことをしてしまうと、おそらく再びログイン できなくなってしまうので、この操作をする時は注意深く行ってください。 新しいファイルをインストールする前に /etc/pam.d のバックアップをとっておき、 それを復帰させる権限のあるシェルを開いたままにしておくことをお勧めします。

2.2.2.2. NSS LDAP のインストールと設定

ソースを展開してから、Makefile を確認してください。ほとんどの設定内容に対しては編集の必要はありません。 とはいえ、SSL を使いたいのであれば SSL 対応の LDAP ライブラリ ― たとえば Netscape のもの ― をリンクしなくてはなりません。

LDAP の SDK が /usr/local/ldapsdk 内にあるとすれば、SSL を有効にするには、Makefile を修正しなければなりません。 その修正内容は、Makefile.linux.mozilla 内で NSFLAGS を探して、コメントになっている -DSSL を有効にすることです。

さらに LIBS の定義を見て、そのファイル内で指定されている ldapssl ライブラリが、自分のインストールしてあるものと同じかどうか を確認してください (ldap_nss.so は libldapssl40 と libldapssl30 の両方にリンクしてコンパイルされます)。

その後、ライブラリをインストールできます ―

$ make -f Makefile.linux.mozilla # make -f Makefile.linux.mozilla install #ldconfig

これによって /lib/libnss_ldap.so がインストールされます。これが nss_ldap ライブラリです。 そして /etc/nsswitch.ldap と /etc/ldap.conf とがまだ存在してない場合には、サンプルの設定ファイルとしてインストールされます。

インストールしたら、その NSS 設定ファイル /etc/nsswitch.conf を編集しなくてはなりません。 LDAP はあらゆるサービスに用いることができるのですが、今回は passwd, group, shadow にのみ使用します。この場合、設定ファイルの冒頭に 以下のようなことを書いておくべきです。

passwd: files ldap group: files ldap shadow: files ldap

この設定だとエントリは、まずシステムファイル内で探されて、 値が返ってこなかったなら LDAP サーバに問い合わせられます。

2.2.2.3. NSCD の設定

NSCD は多くの Linux ディストリビューションには 最初から入っています。入っていなくても GNU C ライブラリの パッケージ内にあります。

NSCD の設定ファイルは /etc/nscd.conf です。各行は属性と値、または属性とキャッシュ名と値のいずれかを指定します。 それぞれのフィールドはスペースかタブで区切られます。キャッシュ名は hosts, passwd, groups のいずれかにすることができます (今回は hosts をキャッシュしません)。

enable-cache passwd yes positive-time-to-live passwd 600 negative-time-to-live passwd 20 suggested-size passwd 211 keep-hot-count passwd 20 check-files passwd yes enable-cache group yes positive-time-to-live group 3600 negative-time-to-live group 60 suggested-size group 211 keep-hot-count group 20 check-files group yes

LDAP から得た passwd エントリを NSCD プログラムが キャッシュしてしまうということを心に銘記しておいてください。

これはつまり、LDAP サーバ上のユーザ情報に手を加えたときにも NSCD キャッシュは有効なままだということです。この問題は、 check-files ディレクティブによって通常の UNIX ファイルを利用すれば避けられます。 これは対応するファイルが変更されたときにはキャッシュを無効にします。 このような仕組みは一般的なはずなのに、現時点で LDAP には適用されません。LDAP サーバとキャッシュの間の不整合を 避ける方法は、passwd エントリを更新したときに 次のコマンドを打って自分でキャッシュを無効にすることです。

#nscd --invalidate=TABLE

上記 TABLE のところは passwd, groups, hosts のいずれかになります。

試用時には、混乱を避けるため NSCD を使わないようにしてください。

さらに言えば、NSS と NSCD の使用は大量の ファイルデスクリプタを開いてしまいます。 そのため、システム上の使えるファイルデスクリプタが 簡単に不足してしまいます (これはシステムをハングさせかねません)。

Linux マシン (カーネル 2.2.x) では、 次のようにしてファイルデスクリプタの上限を増やすことができます。

#echo 16384 > /proc/sys/fs/file-max

推奨されるファイルデスクリプタ上限値は、とにかく そのシステムの構成に依存します。

2.2.2.4. LDAP クライアントの設定ファイル

LDAP クライアントの設定ファイルである /etc/ldap.conf は、他の LDAP クライアントからと同様、pam_ldap や nss_ldap からも読まれます。 以下は、そのファイルが今回の環境ではどのようになっているべきかの一例です。

# # @(#)$Id: ldap.conf,v 2.18 2001/03/28 23:35:00 lukeh Exp $ # これは LDAP NSS ライブラリと LDAP PAM モジュールのための設定ファイルです。 # PADL Software # http://www.padl.com # # もしこのファイルに host も base もなければ、そのときは # _ldap._tcp.[defaultdomain]. という DNS RR が解決されます。 # [defaultdomain] は識別名に割り当てられ、 # 目標のホストはサーバとして使われることになります。 # # 自分の LDAP サーバです。LDAP を使わずに解決できなくてはなりません。 host 192.111.111.111 # # 検索ベースの識別名です。 base dc=yourorg, dc=com # # 使用する LDAP のバージョンです。(デフォルトは 2 ですが、 # OpenLDAP 2.0.x や Netscape Directory Server を使うなら 3 にしてください) # ldap_version 3 # # サーバにバインドする識別名です。 # 指定は任意です ― 指定しなければ匿名バインドです。 # binddn cn=manager,dc=padl,dc=com # # バインドする資格証明です。 # 指定は任意です ― 指定しなければ資格証明が不要です。 #bindpw secret # # ポートです。 # 指定は任意です ― 指定しなければ 389 です。636 は LDAPS 用です。 port 636 # # 検索スコープです。 #scope sub #scope one #scope base # # 以下のオプションは nss_ldap 特有のものです。 # # 自分の libc が使うハッシュのアルゴリズムです。 # 指定は任意です ― 指定しなければ des です。 #crypt md5 #crypt sha #crypt des # # 以下のオプションは pam_ldap 特有のものです。 # # uid=%s に AND するフィルタです。 pam_filter objectclass=posixAccount # # ユーザ ID の属性です。(デフォルトは uid) pam_login_attribute uid # # パスワードポリシーをルート DSE で検索します。 # (Netscape Directory Server に有効です) # (訳注：ルート DSE については Root Directory Server Specific Entry # のことだという報告をいただきました。訳者は知りませんでした。) #pam_lookup_policy yes # # このグループのメンバであることを強要します。 #pam_groupdn cn=PAM,ou=Groups,dc=padl,dc=com # # グループメンバの属性です。 pam_member_attribute memberuid # テンプレートログインの属性と、デフォルトのテンプレートユーザです。 # (これ以前のユーザのエントリ内の属性で上書きできます) #pam_login_attribute userPrincipalName #pam_template_login_attribute uid #pam_template_login nobody # # ローカルにパスワードをハッシュします。 # University of Michigan 版 LDAP サーバに必要とされます。 # また、もし UNIX-Crypt のハッシュ機構を使用しており、 # かつ NT Synchronization (同期) サービスを使用していないならば # Netscape Directory Server で有効です。 pam_crypt local # # SSL の設定 ssl yes sslpath /usr/local/ssl/certs

pam_groupdn ディレクティブは LDAP サーバが 一連のクライアントの認証情報を管理している場合に、 ユーザが認可されるのを一部のクライアントだけに限定したい ときに便利です。このディレクティブは NIS の netgroups と同じ機能を 提供することができるのです。

SSL 設定に関するディレクティブはパッケージ内で文書化 されていませんが、SSL を有効にし、LDAP サーバ証明書および CA 証明書を含むファイルが どこに格納されているか指定します。

cert7.db という名前の Netscape 証明書データベースが sslpath 内で検索されます。このファイルにはサーバ証明書と (そのサーバ証明書が自己署名でないかぎり) CA 証明書とを含んでいなければなりません。このファイルを生成するには ふたつの方法 ― Netscape PKCS#11 を使うか Netscape のブラウザを使うか ― があります。

Netscape のブラウザを使う場合は、サーバ上で slapd と stunnel を起動したあとで Netscape Navigator を https://your.ldap.server:636/ という URL に接続すると、自分のデータベースにそのサーバ証明書を入力するよう 促されます。(自己署名の証明書を使わないのであれば) 同様に (CA から供給される) CA 証明書もデータベースにロード しなくてはなりません。ここまで来たら、$HOME/.netscape/cert7.dbを sslpath にコピーできます。 上記の作業の際、デフォルトの cert7.db を持つ 初期状態のアカウントで行なう方が好ましいです。なぜなら 自分の証明書データベースには他のサーバ証明書があるかもしれず、あると LDAP クライアントがそれを、信用済みの認証サーバなのだと みなしてしまうからです。いったんサーバ証明書がインポートされた ブラウザは SSL をデバッグするために使えます。 そのブラウザは pam や nss のライブラリのようにふるまうからです。