.jpg)
CLIのLDAPコマンドは,エントリの’追加’(slapadd)と’編集’(slapmodify)でコマンドがそれぞれ分かれており,非常に使い勝手が悪いですが,GUIを用いることで,コマンドラインで行うよりもはるかに管理しやすくなります.
LDAPのGUIアプリケーションは,phpLDAPadminやLDAP Account Managerなどが代表的です.
今回は,Linuxユーザアカウント管理が目的のため,より簡単なLDAP Account Managerを使用します.
今回の環境は,仮想マシンにUbuntu 22.04 Desktop 64bit (AMD64) をインストールしました.
OpenLDAPのインストールと設定
まずは,OpenLDAPをインストールします.インストールコマンドは下記の通りです.
apt install slapd ldap-utils
続いてLDAPのDNSなどを設定します.
dpkg-reconfigure slapd
画面に従い,DNSをexample.com,Organazationをexamole_orgとします.
ここでは最低限の設定なため,さらに詳細なOpenLDAPの設定は下記記事を参考ください.
LDAP Account Managerのインストール
LDAP Account Managerのインストール
LDAP Account Manager (LAM)は,下記コマンドでインストール可能です.
apt install ldap-account-manager
Debian10では,ldap-accont-managerがaptでインストールできないため,debをダウンロードしてインストールします.
debはこちらからダウンロード可能です.
LAM 8.1の場合,下記のようにインストールします.
apt install -f ./ldap-account-manager_8.1-1_all.deb
Apache2の設定
LAMのインストールと同時に,Apache2もインストールされます.
メモリ制限の設定
Apache2のPHP設定ファイルを確認し,必要であれば変更します.変更項目はメモリ制限です.
アクセス制限(任意)
初期設定では,すべてのアクセス元からアクセス可能です.セキュリティ上のアクセス元を制限したい場合,下記項目を変更します.
/etc/apache2/conf-enabled/ldap-account-manager.conf
...
- Require all granted
+ Require ip 127.0.0.1 192.168.1.0/24
...
設定の反映
Apache2の再起動し,設定を反映します.
systemctl restart apache2
LDAP Account Managerの設定
LAMの初期設定
ウェブブラウザでlocalhost/lamもしくは<IPアドレス>/lamにアクセスすると,次の画面が表示されます.
[LAM configuration]をクリックし,設定画面に遷移します.
次に,[Edit server profiles]をクリックします.
初期パスワードは,lamです.パスワードを入力し,管理画面に移動します.
General settings
まず,[General setting]で設定を行います.
画面を下にスクロールし,[Tool setting]と[Security setting]にLDAP設定を記述します.
設定を保存します.
次のようにcn=adminになっており,設定が反映されていることがわかります.
Account Types
続いて,まず,[Account Types]で設定を行います.ここでは,ユーザとグループエントリの設定を行います.
ユーザエントリとグループエントリを設定します.
設定を保存します.
LDAPにログイン
ユーザ名およびパスワードを使用し,LDAPにログインします.
初めてログインし,[Account Types]で設定したエントリが作成されていない場合,[Create]をクリックすることでエントリ,作成されます.
右上のメニューより[Tools]>[Tree view]より,現在のディレクトリ情報をツリー表示により確認できます.
LDAP Account Managerの使い方
グループ作成
[Groups]タブの[New Group]をクリックし,新しいグループを作成します.
グループ名,GIDなどを入力し,保存します.
問題なく作成されれば,下記のような画面が表示されます.
先ほどと同様に[Tools]>[Tree view]を確認すると,グループが作成されていることが確認できます.
ユーザ作成
グループ作成と同様に,[Users]タブの[New user]をクリックし,ユーザを作成します.
まず,[Personal]よりユーザ情報を入力します.Last nameは必須項目です.
続いて,Unix/Linux用アカウント情報を入力し,保存します.
無事作成されれば,下記のような画面が表示されます.
ここまでで,ディレクトリツリーは下記のようになっています.
ユーザのセカンダリグループの設定
ユーザhogeのセカンダリグループを設定するために,新しくグループbarを作成します.
作成手順は,グループ作成と同様ですが,[Edit members]を設定します.
右表のユーザ一覧より,グループに所属させるユーザを選択し,「←」ボタンより追加します.
ユーザを左表に追加した後,[Back]をクリックします.
追加したユーザが[Edit members]の下に表示されます.
問題なく作成されると,下記のような画面が表示されます.
セカンダリグループに登録されたユーザは,[Group members]から確認できます.
設定後のディレクトリツリーは,下記の通りです.
まとめ
以前の記事ではCLIでLDAP設定を行いました.
コマンドラインでの操作はかなり煩雑でしたが,GUIを用いることで容易に設定可能になりました.
しかしながら,LDAP自体を理解できていないとGUIでも手こずる可能性が高いと思われます.
LDAPの用語や構造を理解するための学習目的で,一度はCLIで操作すると良いでしょう.CLIによるLDAP設定は,下記の記事で記載しています.
