[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

pam_ldapによる、ログインアカウントの設定について

Subject: pam_ldapによる、ログインアカウントの設定について
From: Tetuya Saito <Tetsuya.Saito@rite.or.jp>
To: tech-misc-ja@jp.netbsd.org
Date: Fri, 16 Aug 2002 02:06:59 +0900
Message-Id: <20020816013016.9C35.TETUYA@rite.or.jp>
Delivered-To: mailing list tech-misc-ja@jp.netbsd.org
Mailing-List: contact tech-misc-ja-help@jp.netbsd.org; run by ezmlm-idx

みなさん、こんばんわ

斉藤＠RITEと申します。

じつは、現在、下記のようなネットワークを構成し、ldapによるログインアカウントの共有化に挑戦しております。
[ネットワーク]
------------------                           ------------------
| NetBSD 1.5.3   |                           | NetBSD 1.5.3   |
| OpenLDAP Server|---------------------------| OpenLDAP client|
| 192.168.0.1    |                           | 192.168.0.2    |
------------------                           ------------------
  (Server)                                      (Client)
[ソフト]
Server
OpenLDAP2.0.25(souceよりコンパイル)
-------------------------------------
client
OpenLDAP2.0.23(パッケージよりinstall)
libcrack-2.7(パッケージよりinstall)
PAM-0.75(パッケージよりinstall)
pam-ldap-77(パッケージよりinstall)

上記のようなネットワークを構成し、OpenLDAP Server側のslapd.confに
下記のような設定を施し、アカウント情報をOpenLDAPに設定しました。
[slapd.confの設定]
include         /usr/local/etc/openldap/schema/core.schema
include         /usr/local/etc/openldap/schema/cosine.schema
include         /usr/local/etc/openldap/schema/nis.schema

pidfile         /usr/local/var/slapd.pid
argsfile        /usr/local/var/slapd.args

access to attribute=userPassword
        by self write
        by dn="cn=Manager,dc=hogehoge,dc=hogehogehoge" write
        by anonymous auth
        by * none

access to *
        by dn="cn=Manager,dc=hogehoge,dc=hogehogehoge" write
        by self write
        by * read

database        ldbm
suffix          "dc=hoge,dc=hogehoge,dc=hogehogehoge"
rootdn          "cn=Manager,dc=hogehoge,dc=hogehogehoge"
rootpw          hogehogehogehoge
password-hash   {CRYPT}
directory       /usr/local/var/openldap-ldbm
index   objectClass     eq

[OpenLDAPに設定した。アカウント情報]
dn: uid=test,ou=ops,dc=hogehoge,dc=hogehogehoge
uid: test
objectclass: posixAccount
objectclass: shadowAccount
uidNumber: 1000
gidNumber: 20
gecos: test
homeDirectory: /home/test
loginShell: /usr/local/bin/tcsh
cn: test
userPassword: {CRYPT}Ir/dlH5L0ETDY(slappasswdで作成)


次に、client側のNetBSDにpam_ldapをパッケージからinstallしクライアント側のログイン情報を
pamを使用してOpenLDAP側に問い合わせられるように下記の設定を施しました。
#pam_ldapをパッケージを使用してinstallするには、いろいろなパッケージ同士の依存関係があり
#他のパッケージ(OpenLDAP2.0.2、libcrack-2.7、PAM-0.75、pam-ldap-77)をあわせてinstallしてあります。
[/usr/pkg/etc/pam/ldap.confの設定]
host 192.168.0.1
base dc=hogehoge,dc=hogehogehoge
binddn cn=Manager,dc=hogehoge,dc=hogehogehoge
bindpw hogehogehogehoge
ldap_version 3
pam_filter objectclass=posixAccount
pam_login_attribute uid
pam_member_attribute posixAccount
pam_crypt local
[/usr/pkg/etc/pam.conf]
追加した設定のみ抜粋
login   auth       required   pam_ldap.so
login   account    required  pam_ldap.so
login   password   required  pam_ldap.so
login   session    required  pam_ldap.so
passwd  password   sufficient pam_ldap.so


上記のような設定をし、私の予想ではclientより
id testとすれば、OpenLDAP Serverにログイン情報を問い合わせ
id testの情報が返されてくると思ったのですが
実際には、clientはOpenLDAP Serverには何もとあわせいないようで
コンソール上には"id: test: No such user"と出力されます。

これは、わたしの設定がどこか間違っているためでしょうか？
それとも、NetBSDではこのようなことは基本的にできないのでしょうか？

本来であればNISを使うのが筋なのかもしれませんが、できればいろいろな用途で
利用可能なLDAPにアカウント情報を持たせたいと思っております。

識者の皆様、なにとぞご助言よろしくお願い申し上げます。

-- 
　　／／／／／／☆
　／／／／★
　／／☆　　　Tetsuya Saito
　★　　　tetuya@rite.or.jp

Index(es):
- Date
- Thread