NSS(Name Service Switch)とPAM(Pluggable Authentication Modules)のLDAP用モジュールをインストールします。
# apt-get install libnss-ldap libpam-ldap
同時にnscd(Name Service Cache Daemon)もインストールされるようです。
そしてlibnss-ldapのdebconfへの回答。
- LDAP サーバーの URI > ldap://127.0.0.1/
- 検索ベースの識別名 > dc=zeon,dc=org
- 利用する LDAP バージョン > 3
- LDAP データベースはログインを必要としますか? > No
- root への特別な LDAP 権限? > Yes
- オーナーのみ設定ファイルの読み書きができるようにしますか? > Yes
- root の LDAPアカウント(*) > cn=admin,dc=zeon,dc=org
- LDAP root アカウントのパスワード > zabi
* LDAP インストール時にデフォルトで "admin" と決まっているようです。
続いてlibpam-ldapのdebconfへの回答。
- LDAP サーバーの URI > ldap://127.0.0.1/
- 検索ベースの識別名 > dc=zeon,dc=org
- 利用する LDAP バージョン > 3
- ローカルの root データベース管理者を作成する > Yes
- LDAP データベースはログインを必要としますか? > No
- root の LDAPアカウント(*) > cn=admin,dc=zeon,dc=org
- LDAP root アカウントのパスワード > zabi
- パスワード変更時にローカルでの暗号化を行います > crypt
玄箱を LDAP認証へ移行
# vi /etc/nsswitch.conf
これを、
passwd:compat
group:compat
shadow:compat
こう。
passwd:compat ldap
group:compat ldap
shadow:compat ldap
これで玄箱ログイン時はLDAPも参照するようになりました。
次、PAM関連設定ファイルの編集(+ は行追加、- は行削除)
# vi /etc/pam.d/common-account
+account sufficient pam_ldap.so
account required pam_unix.so
# vi /etc/pam.d/common-auth
-auth required pam_unix.so nullok_secure
+auth sufficient pam_ldap.so
+auth required pam_unix.so nullok_secure use_first_pass
# vi /etc/pam.d/common-session
session required pam_unix.so
+session optional pam_ldap.so
+session optional pam_mkhomedir.so skel=/etc/skel
# vi /etc/pam.d/common-password
-password required pam_unix.so nullok obscure md5
+password sufficient pam_ldap.so
+password required pam_unix.so nullok obscure md5
いろんなサイトを参考にしながら設定しましたが、
正直何をやっているのか理解していません。。。勉強します。。。
(やばそうな事をやっているというのは分かりますが・・・)
設定完了したので、とりあえず既存のLinuxユーザーでログインできるか検証。
# login ユーザー名
これでログイン出来なければ最悪。
必ずエラー解決してから作業完了すること!
コメントする