arinux

Linux サーバー設定備忘録
<< openLDAP 構築(40) - Vine 2.6 クライアント設定(2) | main | OpnePNE 構築(1) >>
openLDAP 構築(41) - Vine 3.2 クライアント設定


以下の設定は、LDAP クライアントとなる Vine 3.2 のホスト上で行います。


メモ openldap、nss_ldap パッケージのインストール


  1. ftp://ftp.ics.es.osaka-u.ac.jp/pub/mirrors/Vine/VinePlus/3.2/i386/RPMS.plus/ から、
    以下のパッケージをダウンロードして、「/usr/local/src」 に置きます。


    • openldap-2.1.30-0vl1.4.i386.rpm
    • openldap-devel-2.1.30-0vl1.4.i386.rpm
    • nss_ldap-217-1vl1.i386.rpm
    虫眼鏡 ダウンロードのミラーサイトは こちら


  2. ダウンロードしたパッケージをインストールします。
    [root]# rpm -ivh openldap-2.1.30-0vl1.4.i386.rpm
    [root]# rpm -ivh openldap-devel-2.1.30-0vl1.4.i386.rpm
    [root]# rpm -ivh nss_ldap-217-1vl1.i386.rpm
    



メモ pam_ldap のインストール


  1. http://www.padl.com/Contents/OpenSourceSoftware.html から、
    「pam_ldap.tgz」 をダウンロードして、「/usr/local/src」 に置きます。


  2. 解凍します。
    [root]# cd /usr/local/src
    [root]# tar zxvf pam_ldap.tgz
    


  3. 共有ライブラリの検索パスを追加します。
    [root]# echo "/usr/local/bin" >> /etc/ld.so.conf
    [root]# /sbin/ldconfig
    


  4. コンフィグ、コンパイルしてインストールします。
    [root]# cd pam_ldap-184
    [root]# ./configure
    [root]# make
    [root]# make install
    



メモ sudo のインストール


  1. すでにインストールされている sudo パッケージを削除します。
    [root#] rpm -qa | grep sudo
    sudo-1.6.8p9-0vl3
    
    [root]# rpm -e sudo-1.6.8p9-0vl3
    


  2. http://www.gratisoft.us/sudo/download.html から、
    「sudo-1.6.8p12.tar.gz」 をダウンロードして、「/usr/local/src」 に置きます。


  3. 解凍します。
    [root]# cd /usr/local/src
    [root]# tar sudo-1.6.8p12.tar.gz
    


  4. コンフィグします。
    [root]# cd /usr/local/src/sudo-1.6.8p12
    [root]# ./configure --with-ldap --with-pam
    configure: You will need to customize sample.pam and install it as /etc/pam.d/sudo
    


  5. sample.pamを /etc/pam.d/sudo にコピーします。
    [root]# cp sample.pam /etc/pam.d/sudo
    


  6. コンパイルしてインストールします。
    [root]# make
    [root]# make install
    



メモ ファイル編集


  1. /etc/ldap.conf
    host 10.1.1.15 10.1.1.16 #LDAPサーバーの IPアドレスまたはホスト名を参照順に「space」で区切って記述
    base dc=examples,dc=com
    sudoers_base ou=SUDOers,dc=examples,dc=com
    timelimit 120
    bind_timelimit 120
    idle_timelimit 3600
    pam_filter objectclass=posixAccount
    pam_login_attribute uid
    pam_password md5
    


  2. /etc/openldap/ldap.conf
    URI ldap://test15.examples.com
    BASE dc=examples,dc=com
    TLS_CACERTDIR /etc/openldap/cacerts
    TLS_CACERT /etc/openldap/cacerts/cacert.pem
    


  3. /etc/sysconfig/authconfig
    USEDB=no
    USEHESIOD=no
    USELDAP=yes       # default は no
    USENIS=no
    USEWINBIND=no
    USEKERBEROS=no
    USELDAPAUTH=yes   # default は no
    USEMD5=yes
    USESHADOW=yes
    USESMBAUTH=no
    


  4. /etc/nsswitch.conf
    (省略)
    passwd:     files ldap
    shadow:     files ldap
    group:      files ldap
    (省略)
    


  5. /etc/ssh/sshd_config
    [root]# vi /etc/ssh/sshd_config
    (省略)
    UsePAM yes
    (省略)
    



メモ PAM 設定ファイル編集


  • system-auth を使用しない例です(su は除く)。
  • pam_unix.so よりも pam_ldap.so が先に 読まれるようにしています。

  1. /etc/pam.d/sshd
    #%PAM-1.0
    auth       required     /lib/security/pam_nologin.so
    auth       sufficient   /lib/security/pam_ldap.so
    auth       required     /lib/security/pam_unix_auth.so try_first_pass
    
    account    [default=bad success=ok user_unknown=ignore service_err=ignore ¥
     system_err=ignore authinfo_unavail=ignore] /lib/security/pam_ldap.so
    account    required     /lib/security/pam_unix_acct.so
    
    password   required     /lib/security/pam_cracklib.so retry=3 type=
    password   sufficient   /lib/security/pam_ldap.so
    password   required     /lib/security/pam_pwdb.so use_first_pass
    
    session    required     /lib/security/pam_mkhomedir.so skel=/etc/skel/ umask=0022
    session    required     /lib/security/pam_unix_session.so
    session    optional     /lib/security/pam_ldap.so
    


  2. /etc/pam.d/passwd
    #%PAM-1.0
    auth       sufficient   /lib/security/pam_ldap.so
    auth       required     /lib/security/pam_unix_auth.so use_first_pass
    
    account    sufficient   /lib/security/pam_ldap.so
    account    required     /lib/security/pam_unix_acct.so
    
    password    required      /lib/security/pam_cracklib.so minlen=8 ¥
     dcredit=-1 ucredit=0 lcredit=0 ocredit=0 retry=3 type=
    password   sufficient   /lib/security/pam_ldap.so use_authtok
    password   sufficient   /lib/security/pam_unix.so use_authtok md5 shadow remember=1
    
    


  3. /etc/pam.d/su
    auth       sufficient   /lib/security/pam_rootok.so
    # Uncomment the following line to implicitly trust users in the "wheel" group.
    #auth       sufficient   /lib/security/pam_wheel.so trust use_uid
    # Uncomment the following line to require a user to be in the "wheel" group.
    auth       required     /lib/security/pam_wheel.so use_uid group=nsadmin group=wheel
    auth       required     /lib/security/pam_stack.so service=system-auth
    account    required     /lib/security/pam_stack.so service=system-auth
    password   required     /lib/security/pam_stack.so service=system-auth
    session    required     /lib/security/pam_stack.so service=system-auth
    session    optional     /lib/security/pam_xauth.so
    


  4. /etc/pam.d/sudo
    auth       required     /lib/security/pam_env.so
    auth       sufficient   /lib/security/pam_ldap.so
    auth       sufficient   /lib/security/pam_unix.so
    
    account    [default=bad success=ok user_unknown=ignore service_err=ignore ¥
    system_err=ignore authinfo_unavail=ignore] /lib/security/pam_ldap.so
    account    required     /lib/security/pam_unix.so
    
    password   required     /lib/security/pam_cracklib.so retry=3 type=
    password   sufficient   /lib/security/pam_ldap.so use_authtok
    password   sufficient   /lib/security/pam_unix.so use_authtok md5 shadow
    
    session    required     /lib/security/pam_limits.so
    session    optional     /lib/security/pam_ldap.so
    session    required     /lib/security/pam_unix.so
    



メモ logrotate ファイル編集


  1. /etc/syslog.conf
    # 以下を最終行に追加
    # Save sudo logs
    local3.*                          /var/log/sudo.log
    


  2. /etc/logrotate.d/syslog
    /var/log/messages /var/log/secure /var/log/maillog /var/log/spooler /var/log/boot.log ¥
    /var/log/cron /var/log/sudo.log {
            sharedscripts
            daily
            rotate 30
        postrotate
            /bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
        endscript
    



メモ Default の skel ファイル編集


  1. /etc/skel/.bashrc
    # .bashrc
    
    # User specific aliases and functions
    
    # Source global definitions
    if [ -f /etc/bashrc ]; then
            . /etc/bashrc
    fi
    
    #stty -ixon
    
    # unlimit stacksize for large aray in user mode
    #ulimit -s unlimited
    
    set -o noclobber
    
    # set aliases
    alias ls='ls -F --color=auto'
    alias ll='ls -la --color=auto'
    alias la='ls -a --color=auto'
    alias eng='LANG=C LANGUAGE=C LC_ALL=C'
    alias rm='rm -i'
    
    # user file-creation mask
    umask 022
    


  2. /etc/skel/.bash_profile
    # .bash_profile
    
    # Get the aliases and functions
    if [ -f ~/.bashrc ]; then
        . ~/.bashrc
    fi
    
    # User specific environment and startup programs
    
    # addpath $HOME/bin
    BASH_ENV=$HOME/.bashrc
    USERNAME=""
    
    export USERNAME BASH_ENV PATH LESSOPEN
    export PATH=$PATH:/usr/local/bin
    export LD_LIBRARY_PATH=/usr/local/lib
    



メモ その他


  1. CA証明書をコピー
    マスターの
      /usr/local/etc/openldap/cacerts/cacert.pem
    をクライアントの
      /etc/openldap/cacerts
    にコピー
    


  2. おまじない
    [root]# /sbin/ldconfig
    



ここまで

| arinux | openldap | 10:21 | comments(1) | trackbacks(0) | pookmark |
管理者の承認待ちコメントです。
| - | 2018/05/27 7:18 AM |









http://www.arinux.net/trackback/45
  12345
6789101112
13141516171819
20212223242526
2728293031  
<< May 2018 >>
+ SELECTED ENTRIES
+ RECENT COMMENTS
+ RECENT TRACKBACK
+ CATEGORIES
+ ARCHIVES
+ 掲載予定のタイトル
  • Wordpress
  • Pukiwiki
  • SMTPs/POPs/IMAPs
  • fml
  • Tips
+ CSS Nite
+ MOBILE
qrcode
+ LINKS
+ RECOMMEND
+ PROFILE