LDAP 認証
イントロダクションとコンセプト
このガイドでは LDAP ディレクトリから Arch Linux を認証できるように設定します。LDAP ディレクトリはローカル (同一のコンピュータにインストール) でもネットワーク (中央認証が必要なラボ環境など) でもかまいません。
ガイドは2つのパートに分かれています。最初のパートでは認証ディレクトリをホストする OpenLDAP サーバーをセットアップします。次のパートではクライアントコンピュータで認証を行うのに必要な NSS と PAM モジュールを設定します。既存の LDAP サーバーが存在して Arch の認証を設定したいだけの場合、2番目のパートまでスキップしてください。
NSS と PAM
NSS (Name Service Switch の略) は設定データベースの様々なソースを設定するシステム機構です。例えば、/etc/passwd
は passwd
データベースの file
タイプのソースです。
PAM (Pluggable Authentication Module の略) は様々なプラグインを使って認証スキームを拡張するために Linux (やその他の *nix) によって使われている機構です。
まとめると、NSS を設定して OpenLDAP サーバーを passwd
や shadow
などの設定データベースのソースとして使うようにして、それから設定したソースを使ってユーザーを認証するように PAM を設定することになります。
LDAP サーバーのセットアップ
インストール
インストールや基本的な設定については OpenLDAP の記事に書かれています。インストールが完了したら、このページに戻ってきて下さい。
アクセス制御の設定
LDAP サーバーから (暗号化された) パスワードに誰もアクセスできないように、そしてユーザーだけが自分のパスワードを編集できるようにするため、以下を /etc/openldap/slapd.conf
に追加して slapd.service
を再起動してください:
slapd.conf
access to attrs=userPassword by self write by anonymous auth by dn.base="cn=Manager,dc=example,dc=org" write by * none access to * by self write by dn.base="cn=Manager,dc=example,dc=org" write by * read
ベースデータで LDAP ツリーを作成
以下の内容で base.ldif
という名前の一時ファイルを作成してください。
base.ldif
# example.org dn: dc=example,dc=org dc: example o: Example Organization objectClass: dcObject objectClass: organization # Manager, example.org dn: cn=Manager,dc=example,dc=org cn: Manager description: LDAP administrator objectClass: organizationalRole objectClass: top roleOccupant: dc=example,dc=org # People, example.org dn: ou=People,dc=example,dc=org ou: People objectClass: top objectClass: organizationalUnit # Groups, example.org dn: ou=Groups,dc=example,dc=org ou: Groups objectClass: top objectClass: organizationalUnit
OpenLDAP ツリーに追加:
$ ldapadd -D "cn=Manager,dc=example,dc=org" -W -f base.ldif
データがインポートされたことをテスト:
$ ldapsearch -x -b 'dc=example,dc=org' '(objectclass=*)'
ユーザーの追加
ユーザーを手動で追加するには、以下のような .ldif
ファイルを作成:
user_joe.ldif
dn: uid=johndoe,ou=People,dc=example,dc=org objectClass: top objectClass: person objectClass: organizationalPerson objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: johndoe cn: John Doe sn: Doe givenName: John title: Guinea Pig telephoneNumber: +0 000 000 0000 mobile: +0 000 000 0000 postalAddress: AddressLine1$AddressLine2$AddressLine3 userPassword: {CRYPT}xxxxxxxxxx labeledURI: https://archlinux.org/ loginShell: /bin/bash uidNumber: 9999 gidNumber: 9999 homeDirectory: /home/johndoe/ description: This is an example user
userPassword
エントリの xxxxxxxxxx
は /etc/shadow
内の値で置き換えるか slappasswd
コマンドを使って下さい。そしてユーザーを追加:
$ ldapadd -D "cn=Manager,dc=example,dc=org" -W -f user_joe.ldif
クライアントのセットアップ
OpenLDAP に書かれているようにして OpenLDAP クライアントをインストールしてください。ldapsearch
でサーバーにクエリが送信できることを確認してください。
次に、公式リポジトリから nss-pam-ldapd をインストールします。
NSS の設定
NSS は様々なソースを設定データベースとして管理するシステムファリシティです。例えば、/etc/passwd
は passwd
データベースの file
タイプのソースであり、ユーザーアカウントが保存されます。
NSS のメインの設定ファイルである /etc/nsswitch.conf
を編集してください。システムデータベースとしてどのソースを使うのか NSS を設定します。ldap
ディレクティブを passwd
, group
, shadow
データベースに追加してください。ファイルは以下のようになります:
passwd: files ldap group: files ldap shadow: files ldap
/etc/nslcd.conf
を編集して base
と uri
行をあなたの ldap サーバーの設定にあわせて変更してください。
systemd を使って nslcd.service
を起動します。
これでクライアント側で getent passwd
を実行すると LDAP ユーザーが確認できるはずです。
PAM の設定
PAM の設定は大まかに言って pam_unix.so
が書かれているところ全てに pam_ldap.so
も記述するだけです。Arch は pambase に移行しているため、編集が必要な箇所は減っています。pam の設定に関する詳細は RedHat のドキュメント によくまとまっています。nss-pam-ldapd の上流のドキュメントも読むと良いでしょう。
まず /etc/pam.d/system-auth
を編集してください。このファイルは pam.d
内の他のファイルからも大抵インクルードされているので、/etc/pam.d/system-auth
に変更を加えることで、ほとんどのファイルに変更を適用できます。pambase をアップデートすると /etc/pam.d/system-auth
は変化することがあります。
各セクションの一番上に sufficient の pam_ldap.so
を追加してください。ただし session セクションだけは例外で、optional にしておきます。
/etc/pam.d/system-auth
auth sufficient pam_ldap.so auth required pam_unix.so try_first_pass nullok auth optional pam_permit.so auth required pam_env.so account sufficient pam_ldap.so account required pam_unix.so account optional pam_permit.so account required pam_time.so password sufficient pam_ldap.so password required pam_unix.so try_first_pass nullok sha512 shadow password optional pam_permit.so session required pam_limits.so session required pam_unix.so session optional pam_ldap.so session optional pam_permit.so
次に /etc/pam.d/su
と /etc/pam.d/su-l
を同じように編集してください。su-l
ファイルはユーザーが su --login
を実行したときに使われます。
各セクションの一番上に sufficient の pam_ldap.so
を追加して、auth セクションの pam_unix
に use_first_pass
を追加してください。
/etc/pam.d/su
#%PAM-1.0 auth sufficient pam_ldap.so auth sufficient pam_rootok.so # Uncomment the following line to implicitly trust users in the "wheel" group. #auth sufficient pam_wheel.so trust use_uid # Uncomment the following line to require a user to be in the "wheel" group. #auth required pam_wheel.so use_uid auth required pam_unix.so use_first_pass account sufficient pam_ldap.so account required pam_unix.so session sufficient pam_ldap.so session required pam_unix.so
ユーザーが自分のパスワードを編集できるように、/etc/pam.d/passwd
を編集:
/etc/pam.d/passwd
#%PAM-1.0 password sufficient pam_ldap.so #password required pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3 #password required pam_unix.so sha512 shadow use_authtok password required pam_unix.so sha512 shadow nullok
ログイン時にホームフォルダを作成
ログイン時にホームフォルダを作成したい場合 (例: ホームフォルダを共有するのに NFS を使わない場合)、/etc/pam.d/system-login
を編集して pam_mkhomedir.so
を session セクションの "sufficient" アイテムの上に追加してください。ssh, xdm, kdm, gdm などから tty にログインしたときにホームフォルダが作成されるようになります。同じように /etc/pam.d/su
や /etc/pam.d/su-l
などのファイルも編集することで、su
や su --login
でもホームフォルダの作成を有効にできます。ssh ログインの場合はホームフォルダを作成して欲しくないときは system-login
などのかわりに system-local-login
を編集してください。
/etc/pam.d/system-login
...top of file not shown... session optional pam_loginuid.so session include system-auth session optional pam_motd.so motd=/etc/motd session optional pam_mail.so dir=/var/spool/mail standard quiet -session optional pam_systemd.so session required pam_env.so session required pam_mkhomedir.so skel=/etc/skel umask=0022
/etc/pam.d/su-l
...top of file not shown... session required pam_mkhomedir.so skel=/etc/skel umask=0022 session sufficient pam_ldap.so session required pam_unix.so
sudo の有効化
LDAP ユーザーから sudo を使うようにするには、/etc/pam.d/sudo
を編集します。sudoers もあわせて編集する必要があります。
/etc/pam.d/sudo
#%PAM-1.0 auth sufficient pam_ldap.so auth required pam_unix.so try_first_pass auth required pam_nologin.so
また、/etc/openldap/ldap.conf
に以下を追加してください:
/etc/openldap/ldap.conf
sudoers_base ou=sudoers,dc=AFOLA
SSSD によるオンライン・オフライン認証
SSSD はシステムデーモンです。主な機能は共通フレームワークを通してリモートのリソースを識別・認証できるようにすることで、システムのキャッシュやオフラインのサポートを提供します。PAM や NSS モジュールも含まれており、将来的には D-BUS ベースのインタフェースによって拡張ユーザー情報も含める予定です。拡張ユーザーデータだけでなくローカルユーザーを保存するデータベースとしても使えます。
インストール
sssd パッケージは公式リポジトリからインストールできます。
SSSD で基本的な認証を有効にする方法
SSSD の設定
/etc/sssd/sssd.conf
が存在しない場合は作成してください:
/etc/sssd/sssd.conf
[sssd] config_file_version = 2 services = nss, pam domains = LDAP [domain/LDAP] cache_credentials = true id_provider = ldap auth_provider = ldap ldap_uri = ldap://server1.example.org, ldap://server2.example.org ldap_search_base = dc=example,dc=org ldap_id_use_start_tls = true ldap_tls_reqcert = demand ldap_tls_cacert = /etc/openldap/certs/cacerts.pem chpass_provider = ldap ldap_chpass_uri = ldap://server1.example.org entry_cache_timeout = 600 ldap_network_timeout = 2 ldap_group_member = uniquemember
上記はあくまで例です。詳しくは man sssd.conf
を見てください。
最後に chmod 600 /etc/sssd/sssd.conf
でパーミッションを設定してください。そうしないと sssd は起動しません。
NSCD の設定
sssd のキャッシュに干渉するので /etc/nscd.conf
で passwd と group エントリのキャッシュを無効化します。
NSS の設定
以下のように /etc/nsswitch.conf
を編集してください:
/etc/nsswitch.conf
# Begin /etc/nsswitch.conf passwd: files sss group: files sss shadow: files sss sudoers: files sss publickey: files hosts: files dns myhostname networks: files protocols: files services: files ethers: files rpc: files netgroup: files # End /etc/nsswitch.conf
PAM の設定
まず /etc/pam.d/system-auth
を以下のように編集:
/etc/pam.d/system-auth
#%PAM-1.0 auth sufficient pam_sss.so auth required pam_unix.so try_first_pass nullok auth optional pam_permit.so auth required pam_env.so account [default=bad success=ok user_unknown=ignore] pam_sss.so account required pam_unix.so account optional pam_permit.so account required pam_time.so password sufficient pam_sss.so use_authtok password required pam_unix.so try_first_pass nullok sha512 shadow password optional pam_permit.so session required pam_limits.so session required pam_unix.so session optional pam_sss.so session optional pam_permit.so
sudo の設定
/etc/pam.d/sudo
を以下のように編集:
/etc/pam.d/sudo
#%PAM-1.0 auth sufficient pam_sss.so auth required pam_unix.so try_first_pass auth required pam_nologin.so
パスワード管理
ユーザーが passwd
を使って自分のパスワードを変えられるように /etc/pam.d/passwd
を以下のように編集:
/etc/pam.d/passwd
#%PAM-1.0 password sufficient pam_sss.so #password required pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3 #password required pam_unix.so sha512 shadow use_authtok password required pam_unix.so sha512 shadow nullok
systemctl start sssd
で sssd を起動して systemctl enable sssd
で有効化してください。
これで getent passwd <username>
や id <username>
で ldap ユーザーの詳細情報が確認できるはずです。
ユーザーを使ってログインすると、ログイン情報がキャッシュされ、ldap サーバーがオフラインだったり利用できない状態であってもキャッシュされた情報を使ってログインすることができるようになります。