OpenLDAPでディレクトリサービスってみる(2日目)
OpenLDAPはLPIC2では範囲が狭いといったな、あれは嘘だ
制度改定にともなって元々LPIC-3から202試験にお引っ越しされてきたみたいですね。クソが。
いいさいいさ、勉強しちゃうもんね。
というわけで2日目です
1日目ではとりあえずぐあーーっとコマンドやら設定ファイルやらを羅列したので、2日目ではひとつひとつ飽きるまで 見て行きたいと思います。
1.パッケージを入れる
# yum install openldap-servers openldap-clients
これはまあパッケージをとってきていますね。
今回ですとLDAPサーバとLDAPクライアントを同じサーバで実施してますので、どっちも一気に入れてしまってます。
2.LDAPサーバ管理用のパスワードを生成する
# slappasswd New password: Re-enter new password: {SSHA}hogehogefizzbuzzhagetenaishi ← 暗号化されたパスワード。控えておきます。
今後LDAPサーバの設定を続ける際に使用する管理者用PASSの生成。
slappasswd
コマンドについては日本LDAPユーザ会様にて以下のようなことが言及されています。
パスワードをハッシュ化しておいても、プロトコル転送中の パスワードは保護されない。LDAP 簡易認証を使う前に TLS その他の盗聴防止機構を検討すべきである。
ハッシュ化したパスワード値は、それがクリアテキストのパスワードであるかのように保護すべきである。
v2.4でも同様なのでしょうか。
3,DBの設定
# cd /var/lib/ldap # cp -p /usr/share/openldap-servers/DB_CONFIG.example DB_CONFIG
元々サンプルとしてデータベースの設定ファイルを用意してくれているので、それをコピーしています。
LDAPが使用するデータベースはRDBではなくBDB(Berkeley DB)なのだそうですが、この設定ファイルで共有メモリの調整やらを実施するそうな…む、難しい…
なお、bdbのチューニングはかなり難しいそうで、運用の中で煮るなり焼くなりしなくてはならないそうですが、目安となる情報をコマンドで取ることはできるそうです。
DB_CONFIGファイルが配置されている場所(つまりslapd.conf
のdirectory
に指定されているディレクトリ)に移動してから以下。
db_statv -m … 124 Requested pages found in the cache (98%)
相当色々出てきますが、とりあえず上記が大切らしいです。リクエストされたデータのうち何%がメモリキャッシュからヒットしているかを示す数値です。
4./etc/openldap/slapd.dをからっぽに
# cd /etc/openldap # cp -pR slapd.d slapd.d.org # rm -rf slapd.d/*
デフォルトで配置されているslapd.d
を変名してしまい、中身をすっきりさっぱり消し去ってますね。
この後slapd.conf
を編集しますが、その設定内容からslapd.d
の中身を作るような手順があったので、そのためでしょう。
slapd.d
の中身はなんなのでしょう。むう…
あ、あかん。今日はここまで…不完全過ぎて大草原が発生しそうです。