AsiaQuest Advent Calendar 2023 - ADVENTAR

https://adventar.org/calendars/8650

本記事はAsiaQuest Advent Calendarの8日目です。

LDAPの環境構築

CentOS Stream 9にOpenLDAPをインストールし、 LDAPサーバにphpLDAPadminをインストールするまでの手順をまとめました。

• LDAPとは
• 環境情報
• LDAPサーバの環境構築手順
  • OpenLDAPのインストールと構築
  • phpLDAPadminのインストール
• phpLDAPadminの使い方

LDAPとは

ログイン情報を管理するツールであり、PHPやJava等と連携しユーザー情報を管理できます。
アカウント周りを独自で作成しなくても良いのが利点です。
また、パスワードのログイン期限等を一括で設定できるため、独自で作成しなくても良いのが利点です。

環境情報

OS: CentOS Stream 9
CPU: インテル® Celeron® プロセッサー N3050
メモリ: 8GB
OpenLDAP: v2.6.2

LDAPサーバの環境構築手順

OpenLDAPのインストールと構築

OpenLDAPのインストール
ドメイン名は「asia.quest」として進めていきます。
※必要に応じて変更してください

yum -y install openldap-servers openldap-clients

• OpenLDAPの起動とOS起動時の自動起動を設定

systemctl start slapd
systemctl enable slapd

• 初期化を行う

ls /etc/openldap/slapd.d/cn=config

• 上記コマンドを実施し、olcDatabase={2}の値を確認
  mdb.ldifかhdb.ldifとなっているので覚えておいてください。
  今回はmdb.ldifであるためmdb.ldifとして進めていきます。

systemctl stop slapd
rm -fr /etc/openldap/slapd.d/cn=config/olcDatabase={2}mdb.ldif
rm -fr /var/lib/ldap
install -d -o ldap -g ldap -m 0700 /var/lib/ldap
install -d -o ldap -g ldap -m 0700 /var/lib/ldap/asia.quest
systemctl start slapd

• デフォルトのドメインがmy-domain.comとなっているためasia.questに変更

sudo ldapmodify <<__EOD__
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external
 ,cn=auth" read by dn.base="cn=Manager,dc=asia,dc=quest" read by * none
__EOD__

（以下内容が表示されれば成功）
modifying entry "olcDatabase={1}monitor,cn=config"

• 基本的なスキーマの読み込み

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif

• ドメイン用DB情報を作成
  ※初期化時にhdbであった場合はmdbの部分をhdbに置き換えてください

ldapadd -Y EXTERNAL -H ldapi:/// <<__EOD__
dn: olcDatabase={2}mdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap/asia.quest
olcSuffix: dc=asia,dc=quest
olcRootDN: cn=Manager,dc=asia,dc=quest
olcAccess: {0}to attrs=userPassword,shadowLastChange by dn="cn=Manager,dc=asia,dc=quest" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=Manager,dc=asia,dc=quest" write by * read
olcDbIndex: objectClass eq,pres
olcDbIndex: ou,cn,mail,surname,givenname eq,pres,sub
__EOD__

（以下内容が表示されれば成功）
adding entry "olcDatabase={2}mdb,cn=config"

• データベースのチューニング

ldapmodify -Y EXTERNAL -H ldapi:/// <<__EOD__
dn: olcDatabase={2}mdb,cn=config
changetype: modify
add: olcDbConfig
olcDbConfig: set_cachesize 0 67108864 1
olcDbConfig: set_lg_dir .
olcDbConfig: set_lg_bsize 33554432
olcDbConfig: set_lk_max_objects 3000
olcDbConfig: set_lk_max_locks 3000
olcDbConfig: set_lk_max_lockers 3000
olcDbConfig: set_flags DB_LOG_AUTOREMOVE
__EOD__

（以下内容が表示されれば成功）
modifying entry "olcDatabase={2}mdb,cn=config"

• パスワードの暗号化

slappasswd
New password:（パスワードを入力）
Re-enter new password:（パスワードを再度入力）
{SSHA}XXXXXXXXXX（こちらを{SSHA}からコピーする）

• ドメインのパスワードを設定

ldapmodify -Y EXTERNAL -H ldapi:/// <<__EOD__
dn: olcDatabase={2}mdb,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}XXXXXXXXXX（先ほど作成したパスワードを貼り付け）
__EOD__

（以下内容が表示されれば成功）
modifying entry "olcDatabase={2}mdb,cn=config"

• ドメイン情報の作成

ldapadd  -x -D cn=Manager,dc=asia,dc=quest -W <<__EOD__
dn: dc=asia,dc=quest
objectClass: top
objectClass: dcObject
objectclass: organization
o: Asia Quest（企業情報のため好きな名前に変更してください）
dc: AQ（企業情報のため好きな名前に変更してください）
__EOD__

（以下内容が表示されれば成功）
adding new entry "dc=asia,dc=quest"

• OpenLDAPがHTTP通信でのデータ閲覧を無効化している場合、phpLDAPadminでログインできないため、
  OpenLDAPのHTTP通信でのデータ閲覧を有効化する

getsebool httpd_can_connect_ldap
httpd_can_connect_ldap --> off（onになっている場合はsetseboolを実行しなくてOK）
setsebool -P httpd_can_connect_ldap on

• 外部からアクセスを許可したい場合Firewallの設定を行う

firewall-cmd --add-service=ldap --permanent
firewall-cmd --reload

以上でOpenLDAPの設定が完了です。

もしドメインを追加する場合は、以下を実施しドメイン用DB情報を作成から進めていただければ問題ないです。

systemctl stop slapd
install -d -o ldap -g ldap -m 0700 /var/lib/ldap/（ドメイン名）
systemctl start slapd

phpLDAPadminのインストール

※前提条件としてPHP、Apatchが設定されているものとします

• phpLDAPadminのインストール

yum -y install phpldapadmin

• ログインをuidからdnでログインするよう変更

vi  /etc/phpldapadmin/config.php
（以下場所を変更）
// $servers->setValue('login','attr','dn');
$servers->setValue('login','attr','uid');
↓
$servers->setValue('login','attr','dn');
// $servers->setValue('login','attr','uid');

• 外部からアクセスを許可したい場合以下の設定を行う
  ※指定方法はスラッシュ表記法でも可（例：192.168.255.255/16）
  apatchによって記載する箇所は片方でも良いですが、面倒であれば両方記載すれば確実です

vi /etc/httpd/conf.d/phpldapadmin.conf
（以下場所を変更）
<Directory /usr/share/phpldapadmin/htdocs>
  <IfModule mod_authz_core.c>
    # Apache 2.4
    Require local
    Require ip （IPアドレスを指定）
  </IfModule>
  <IfModule !mod_authz_core.c>
    # Apache 2.2
    Order Deny,Allow
    Deny from all
    Allow from 127.0.0.1 （IPアドレスを指定）
    Allow from ::1
  </IfModule>
</Directory>

• phpLDAPadminをapatchに連携するよう設定

vi /etc/httpd/conf/httpd.conf
（以下一文を最後に追加、存在する場合は不要）
Include conf.d/*.conf

以上でphpLDAPadminの設定が完了です。

phpLDAPadminの使い方

• http://localhost/phpldapadmin（別サーバーの場合localhostの部分はサーバーのIPかドメイン名）でphpLDAPadminに遷移する

ログインDNには、作成したDN（今回の場合は「cn=Manager,dc=asia,dc=quest」）、
パスワードには、先ほど設定したパスワードを入力するとログインができます。

ログイン後の画面は以下となっており、左のdc=asia,dc=questが作成したドメイン情報となります。

OUの作成

• ドメイン情報の「子の項目を作成」を押下
  
• 「Generic: Organisational Unit」を押下
  
• OUの名前を設定
  
• 問題ない場合はコミットを押下
  
• OU情報が作成される
  

ユーザーの作成

• OU情報の「子の項目を作成」を押下
  
• 「Generic: Simple Security Object」または「Generic: User Account」を押下
  今回は「Generic: Simple Security Object」を選択
• ユーザー名、パスワードを設定
  
• 問題ない場合はコミットを押下
  
• ユーザーが作成される
  
• 削除する場合は「この項目を削除」を押下すると削除できる
  

簡単ですが以上がphpLDAPadminの使い方です。

次回はPHP（Laravel）かJava（Spring）を使用してLDAP経由のログインを試していけたらと思います。

参考文献

【Server World】OpenLDAP : LDAPサーバーの設定
【Developers IO】LDAPサーバにphpLDAPadminをインストールして疎通確認する
【Qiita】OpenLDAPをマルチドメインでレプリケーション