Meaningless Notebook

我輩は雑記帖である。名はまだない。

【OpenLDAP】Samba 向け認証基盤を構築する18

Debian 10.10 に OpenLDAP をセットアップし、QNAP (Samba) の認証基盤にする。

手順は下記の通り。

  1. OpenLDAP のインスト-ル
  2. Samba Schema のセットアップ
  3. smbldap-tools のインスト-ル 及び セットアップ
  4. smbldap-populate 実行
  5. Samba 認証ユ-ザ- 登録

1.OpenLDAP のインスト-ル

下記コマンドを実行して、必須モジュ-ルのインスト-ル

apt install slapd ldap-utils

*

IP アドレス、ドメイン等は事前にセットアップしておく事

*

インスト-ル中に LDAP 管理者パスワ-ドとして登録するパスワ-ド入力が求められる

下記コマンドで LDAP の構成が確認できる。

slapcat

2.Samba Schema のセットアップ

1.Samba インスト-ル

下記コマンドを実行して、Samba をインスト-ルする。

apt install samba

*

LDAP にセットアップする Samba Schema を入手する為で、サ-ビスとして稼働はしない

2.Samba 関連サ-ビス停止

下記コマンドを実行して、Samba 関連サ-ビスを停止させる。

systemctl stop smbd
systemctl disable smbd

systemctl stop nmbd
systemctl disable nmbd

3.Samba Schema セットアップ

下記コマンドを実行して、Samba Schema をセットアップする。

cp /usr/share/doc/samba/examples/LDAP/samba.schema.gz /etc/ldap/schema
cp /usr/share/doc/samba/examples/LDAP/samba.ldif.gz /etc/ldap/schema

gunzip /etc/ldap/schema/samba.schema.gz
gunzip /etc/ldap/schema/samba.ldif.gz

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/samba.ldif

3.smbldap-tools のインスト-ル 及び セットアップ

1.smbldap-tools のインスト-ル

下記コマンドを実行して、Samba 認証用ユ-ザ-管理に使用する smbldap-tools をインスト-ルする。

apt install smbldap-tools

2.設定ファイル準備

下記コマンドを実行して、smbldap-tools 設定ファイルのテンプレ-トをコピ-する。

cp /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz /etc/smbldap-tools
cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools

gunzip /etc/smbldap-tools/smbldap.conf.gz

chmod 600 /etc/smbldap-tools/smbldap_bind.conf

3.設定ファイル修正

『/etc/smbldap-tools/smbldap.conf』を編集する。

28行目付近。

##################################################
#
# General Configuration
#
##################################################

# Put your own SID. To obtain this number do: "net getlocalsid".
# If not defined, parameter is taking from "net getlocalsid" return
SID="認証したい QNAP (Samba) の SID"

# Domain name the Samba server is in charged.
# If not defined, parameter is taking from smb.conf configuration file
# Ex: sambaDomain="IDEALX-NT"
sambaDomain="LDAP 識別名のドメイン部"

57行目付近。

# Slave LDAP server URI
# Ex: slaveLDAP=ldap://slave.ldap.example.com/
# If not defined, parameter is set to "ldap://127.0.0.1/"
# slaveLDAP="ldap://ldap.example.com/"

# Master LDAP server URI: needed for write operations
# Ex: masterLDAP=ldap://master.ldap.example.com/
# If not defined, parameter is set to "ldap://127.0.0.1/"
# masterLDAP="ldap://ldap.example.com/"

# Use TLS for LDAP
# If set to 1, this option will use start_tls for connection
# (you must also used the LDAP URI "ldap://...", not "ldaps://...")
# If not defined, parameter is set to "0"
ldapTLS="0"

*

LDAP サ-バ 1 台構成、TLS 無しとする設定

89行目付近。

# LDAP Suffix
# Ex: suffix=dc=IDEALX,dc=ORG
suffix="LDAP のベ-ス DN"

『/etc/smbldap-tools/smbldap_bind.conf』を編集して管理者パスワ-ドと管理者 DN を設定する。

4.smbldap-populate 実行

下記コマンドを実行して Samba 認証環境構築に必要なデ-タを投入する。

smbldap-populate

*

インスト-ル中に Domain Root パスワ-ドとして登録するパスワ-ド入力が求められる

5.Samba 認証ユ-ザ- 登録

下記コマンドを実行して Samba 認証ユ-ザ-を登録する。

smbldap-useradd -a -u uid (1000 番以降) 登録するユ-ザ- ID
smbldap-passwd ユ-ザ- ID

下記コマンドを実行して Samba 認証ユ-ザ-の GIDを登録する。

smbldap-groupadd -a -g GID (500 番以降) 登録するグル-プ ID
smbldap-groupmod -m 所属させるユ-ザ- ID (カンマ区切り) グル-プ

参考元

  1. OpenLDAP : LDAPサーバーの設定
  2. Samba+LDAP+smbldap-toolsでワークグループの統合認証
  3. QNAP NAS を LDAP ディレクトリへ接続する

Amazon

Leave a Reply

Your email address will not be published.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>