【Linux】 GUIによるOpenLDAPユーザ管理方法(LDAP Account Manager)

CLIのLDAPコマンドは,エントリの’追加’(slapadd)と’編集’(slapmodify)でコマンドがそれぞれ分かれており,非常に使い勝手が悪いですが,GUIを用いることで,コマンドラインで行うよりもはるかに管理しやすくなります.

LDAPのGUIアプリケーションは,phpLDAPadminやLDAP Account Managerなどが代表的です.

今回は,Linuxユーザアカウント管理が目的のため,より簡単なLDAP Account Managerを使用します.

今回の環境は,仮想マシンにUbuntu 22.04 Desktop 64bit (AMD64) をインストールしました.

目次

OpenLDAPのインストールと設定

まずは,OpenLDAPをインストールします.インストールコマンドは下記の通りです.


apt install slapd ldap-utils

続いてLDAPのDNSなどを設定します.


dpkg-reconfigure slapd

画面に従い,DNSをexample.com,Organazationをexamole_orgとします.

ここでは最低限の設定なため,さらに詳細なOpenLDAPの設定は下記記事を参考ください.

LDAP Account Managerのインストール

LDAP Account Managerのインストール

LDAP Account Manager (LAM)は,下記コマンドでインストール可能です.


apt install ldap-account-manager

Debian10では,ldap-accont-managerがaptでインストールできないため,debをダウンロードしてインストールします.

debはこちらからダウンロード可能です.

LAM 8.1の場合,下記のようにインストールします.


apt install -f ./ldap-account-manager_8.1-1_all.deb

Apache2の設定

LAMのインストールと同時に,Apache2もインストールされます.

メモリ制限の設定

Apache2のPHP設定ファイルを確認し,必要であれば変更します.変更項目はメモリ制限です.

/etc/php/8.1/apache2/php.ini


...
memory_limit=128M
...

大規模なエントリ(10000以上)の場合,256M程度必要です.(参考

アクセス制限(任意)

初期設定では,すべてのアクセス元からアクセス可能です.セキュリティ上のアクセス元を制限したい場合,下記項目を変更します.

/etc/apache2/conf-enabled/ldap-account-manager.conf


...
- Require all granted
+ Require ip 127.0.0.1 192.168.1.0/24
...

設定の反映

Apache2の再起動し,設定を反映します.


systemctl restart apache2

LDAP Account Managerの設定

LAMの初期設定

ウェブブラウザでlocalhost/lamもしくは<IPアドレス>/lamにアクセスすると,次の画面が表示されます.

[LAM configuration]をクリックし,設定画面に遷移します.

次に,[Edit server profiles]をクリックします.

初期パスワードは,lamです.パスワードを入力し,管理画面に移動します.

General settings

まず,[General setting]で設定を行います.

画面を下にスクロールし,[Tool setting]と[Security setting]にLDAP設定を記述します.

設定を保存します.

次のようにcn=adminになっており,設定が反映されていることがわかります.

Account Types

続いて,まず,[Account Types]で設定を行います.ここでは,ユーザとグループエントリの設定を行います.

ユーザエントリとグループエントリを設定します.

設定を保存します.

LDAPにログイン

ユーザ名およびパスワードを使用し,LDAPにログインします.

初めてログインし,[Account Types]で設定したエントリが作成されていない場合,[Create]をクリックすることでエントリ,作成されます.

右上のメニューより[Tools]>[Tree view]より,現在のディレクトリ情報をツリー表示により確認できます.

LDAP Account Managerの使い方

グループ作成

[Groups]タブの[New Group]をクリックし,新しいグループを作成します.

グループ名,GIDなどを入力し,保存します.

問題なく作成されれば,下記のような画面が表示されます.

先ほどと同様に[Tools]>[Tree view]を確認すると,グループが作成されていることが確認できます.

ユーザ作成

グループ作成と同様に,[Users]タブの[New user]をクリックし,ユーザを作成します.

まず,[Personal]よりユーザ情報を入力します.Last nameは必須項目です.

続いて,Unix/Linux用アカウント情報を入力し,保存します.

無事作成されれば,下記のような画面が表示されます.

ここまでで,ディレクトリツリーは下記のようになっています.

>> スーパーユーザーなら知っておくべきLinuxシステムの仕組み

ユーザのセカンダリグループの設定

ユーザhogeのセカンダリグループを設定するために,新しくグループbarを作成します.

作成手順は,グループ作成と同様ですが,[Edit members]を設定します.

右表のユーザ一覧より,グループに所属させるユーザを選択し,「←」ボタンより追加します.

ユーザを左表に追加した後,[Back]をクリックします.

追加したユーザが[Edit members]の下に表示されます.

問題なく作成されると,下記のような画面が表示されます.

セカンダリグループに登録されたユーザは,[Group members]から確認できます.

設定後のディレクトリツリーは,下記の通りです.

まとめ

以前の記事ではCLIでLDAP設定を行いました.

コマンドラインでの操作はかなり煩雑でしたが,GUIを用いることで容易に設定可能になりました.

しかしながら,LDAP自体を理解できていないとGUIでも手こずる可能性が高いと思われます.

LDAPの用語や構造を理解するための学習目的で,一度はCLIで操作すると良いでしょう.CLIによるLDAP設定は,下記の記事で記載しています.

よかったらシェアしてね!
目次