第17章 ディレクトリサーバー

17.1. OpenLDAP

LDAP (Lightweight Directory Access Protocol) は、ネットワーク上で中央に格納されている情報へアクセスするために使用するオープンプロトコルのセットです。これは、ディレクトリ共有のために X.500 標準をベースとしていますが、それほど複雑ではなくリソース集約型です。このため LDAP は X.500 Lite と呼ばれることがあります。
X.500 のように、LDAP はディレクトリを使用して階層式で情報を編成します。ディレクトリには、名前やアドレス、電話番号などの各種情報を格納することができ、また ネットワーク情報サービス (NIS) と似た方法で使用することもできます。このため、誰でも LDAP 対応ネットワーク上にあるマシンから自分のアカウントにアクセスできます。
LDAP の一般的な使用目的は、中央で管理されるユーザーとグループ、ユーザー認証、システム設定です。また、仮想の電話帳としても使用できるため、ユーザーは他のユーザーの連絡先情報に容易にアクセスできます。更に、LDAP は世界各地にある他の LDAP サーバーにユーザーを照会して、グローバルレポジトリに保存されているアドホックな情報を提供することが可能です。しかし LDAP は、大学や政府省庁、民間企業など個々の組織内で最もよく使用されます。
本項では、LDAPv2 及び LDAPv3 プロトコルのオープンソース実装である OpenLDAP 2.4 をインストール/設定する方法について取り上げます。

17.1.1. LDAP の概要

LDAP は、クライアント/サーバーのアーキテクチャーを使用して、ネットワークからアクセス可能な中央情報ディレクトリを作成する信頼できる手段を提供します。クライアントがこのディレクトリ内の情報を修正しようとすると、サーバーはユーザーが修正できる権限を持っていることを確認します。その後、要求された通りにエントリを追加/更新します。通信の安全性を確保するために、Secure Sockets Layer (SSL) または Transport Layer Security (TLS) 暗号化プロトコルを使用して攻撃者が送信を傍受できないようにします。

重要

Red Hat Enterprise Linux 6 の OpenLDAP スイートは OpenSSL を使用しなくなりました。代わりに ネットワークセキュリティサービス (NSS) の Mozilla 実装を使用します。OpenLDAP は現行の証明書、キー、その他の TLS 設定による機能を継続します。Mozilla 証明書とキーデータベースを使用するための Mozilla NSS の設定方法については、How do I use TLS/SSL with Mozilla NSS (Mozilla NSS で TLS/SSL を使用する方法) を参照して下さい。
LDAP サーバーは複数のデータベースシステムをサポートするため、管理者は適用する予定の情報のタイプに最適なソリューションを柔軟に選択できます。明確に定義された アプリケーションプログラミングインターフェース (API) クライアントにより、LDAP サーバーと通信できるアプリケーションは多く、その数と質ともに向上しています。

17.1.1.1. LDAP の用語

以下は、本章で使用されている LDAP 特有の用語一覧です。
エントリ
LDAP ディレクトリ内の単一ユニットです。各エントリは一意の DN (Distinguished Name: 識別名) で識別されます。
属性
エントリに直接関連付けられた情報です。例えば、ある組織が LDAP エントリとして表示されている場合、アドレス、ファックス番号などがこの組織に関連付けられた属性です。同様に、人も電話番号や電子メールアドレスのような共通の属性を持つエントリとして表示させることができます。
属性には、単一値か順不同の空白で区切られた値の一覧のどちらかがあります。一部の属性はオプションですが、その他は必須です。必須の属性は objectClass 定義を使用して指定され、/etc/openldap/slapd.d/cn=config/cn=schema/ ディレクトリ内のスキーマファイル内にあります。
属性とそれに対応する値のアサーションは、RDN (Relative Distinguished Name: 相対識別名) とも呼ばれます。グローバルで一意の識別名とは異なり、相対識別名は 1 エントリごとに一意であるのみです。
LDIF
LDAP データ交換形式 (LDIF) は LDAP エントリをプレーンテキスト形式で表示したものです。以下のような形式を取ります:
[id] dn: distinguished_name
attribute_type: attribute_valueattribute_type: attribute_value…
…
オプションの id は、エントリの編集に使用されるアプリケーションにより決定される番号です。attribute_typeattribute_value のペアが該当するスキーマファイルですべて定義されている限り、各エントリはそれらを必要な数だけ含むことができます。空白の行はエントリの終了を意味しています。

17.1.1.2. OpenLDAP の機能

OpenLDAP スイートは多くの重要な機能を提供します。
  • LDAPv3 サポート — LDAP バージョン 2 以降に行われたプロトコルへの変更の多くは、LDAP をよりセキュアにするように設計されています。その他の改善点としては、SASL (Simple Authentication and Security Layer)、TLS 及び SSL プロトコルに対するサポートがあります。
  • IPC 上の LDAP — プロセス間通信 (IPC) の使用により、ネットワーク上で通信する必要性をなくすことでセキュリティを強化します。
  • IPv6 サポート — OpenLDAP は、次世代のインターネットプロトコルである Internet Protocol version 6 (IPv6) に準拠しています。
  • LDIFv1 サポート — OpenLDAP は LDIF バージョン 1 に完全に準拠しています。
  • 更新された C API — 最新の C API はプログラマーが LDAP ディレクトリサーバーに接続して使用する方法を改善します。
  • 強化されたスタンドアロン LDAP サーバー — これには更新されたアクセス制御システム、スレッドプーリング、改善されたツールの他、多数が含まれます。

17.1.1.3. OpenLDAP サーバーの設定

Red Hat Enterprise Linux における LDAP サーバーの標準的な設定手順は、以下のとおりです。
  1. OpenLDAP スイートをインスト-ルします。必須パッケージの詳細については、「OpenLDAP スイートのインスト-ル」 を参照して下さい。
  2. 「OpenLDAP サーバーの設定」 で説明のとおりに設定をカスタマイズします。
  3. 「OpenLDAP サーバーの実行」 で説明のとおりに slapd サービスを開始します。
  4. ldapadd ユーティリティを使用して、エントリを LDAP ディレクトリに追加します。
  5. ldapsearch ユーティリティを使用して、slapd サービスが情報に正しくアクセスしていることを確認します。

17.1.2. OpenLDAP スイートのインスト-ル

OpenLDAP ライブラリとツールのスイートは、以下のパッケージにより提供されます。

表17.1 OpenLDAP パッケージの一覧

パッケージ 詳細
openldap OpenLDAP サーバー/クライアントアプリケーションを実行するために必要なライブラリを含むパッケージです。
openldap-clients LDAP サーバー上のディレクトリを表示/修正するためのコマンドラインユーティリティを含むパッケージです。
openldap-servers LDAP サーバーを設定して実行するためのサービスとユーティリティの両方を含むパッケージです。これには、スタンドアロン LDAP デーモン である slapd が含まれます。
openldap-servers-sql SQL サポートモジュールを含むパッケージです。
compat-openldap OpenLDAP 互換ライブラリを含むパッケージです。
さらに、LDAP サーバーと共によく使用されるパッケージは以下のとおりです。

表17.2 一般的にインスト-ルされるその他の LDAP パッケージの一覧

パッケージ 詳細
nss-pam-ldapd ユーザーがローカルの LDAP クエリを実行できるようにするローカル LDAP ネームサービスである、nslcd を含むパッケージです。
mod_authz_ldap
Apache HTTP サーバー用の LDAP 認証モジュールである mod_authz_ldap を含むパッケージです。このモジュールは、サブジェクト用の短縮した識別名とクライアント SSL 証明書の発行者を使用して、LDAP ディレクトリ内のユーザーの識別名を決定します。また、ユーザーの LDAP ディレクトリエントリの属性を基にしてユーザーを承認して、アセットのユーザー/グループの権限を基にしてアセットへのアクセスを決定し、パスワードの有効期限が切れたユーザーのアクセスを拒否することもできます。mod_ssl モジュールは、mod_authz_ldap モジュールの使用時に必要である点に注意して下さい。
これらのパッケージをインスト-ルするには、以下の形式で yum コマンドを使用します:
yum install package
例えば、基本的な LDAP サーバーをインストールするには、シェルプロンプトで以下を入力します:
~]# yum install openldap openldap-clients openldap-servers
このコマンドを実行するには、スーパーユーザー権限 (つまり root でログインしている) が必要である点に注意して下さい。Red Hat Enterprise Linux に新しいパッケージをインストールする方法の詳細については、「パッケージのインストール」 を参照して下さい。

17.1.2.1. OpenLDAP サーバーユーティリティの概要

管理タスクを実行するために、openldap-servers パッケージは slapd サービスと共に以下のユーティリティをインスト-ルします。

表17.3 OpenLDAP サーバーユーティリティの一覧

コマンド 詳細
slapacl 属性の一覧へのアクセスをチェックできるようにします。
slapadd LDIF ファイルから LDAP ディレクトリへエントリを追加できるようにします。
slapauth 認証/承認のパーミッション用に ID の一覧をチェックできるようにします。
slapcat LDAP ディレクトリからデフォルト形式でエントリをプルして、LDIF ファイル内に保存できるようにします。
slapdn 利用可能なスキーマ構文を基にして識別名 (DN) の一覧をチェックできるようにします。
slapindex 現在の内容を基にして slapd ディレクトリのインデックスを再構築できるようにします。設定ファイル内のインデックスオプションを変更する時は常にこのユーティリティを実行します。
slappasswd ldapmodify ユーティリティと共に、あるいは slapd 設定ファイル内で使用される暗号化されたユーザーパスワードを作成できるようにします。
slapschema データベースの整合性を対応するスキーマとチェックできるようにします。
slaptest LDAP サーバーの設定をチェックできるようにします。
これらのユーティリティとその使用方法の詳しい説明については、「インストールされているドキュメント」 で参照されている該当の各 man ページをご覧下さい。

重要

root のみが slapadd を実行できますが、slapd サービスは ldap ユーザーとして実行します。このため、ディレクトリサーバーは slapadd によって作成されたファイルは修正することができません。この問題を解決するには、slapd ユーティリティの実行後に、シェルプロンプトで以下を入力します:
~]# chown -R ldap:ldap /var/lib/ldap

警告

データの整合性を維持するために、slapaddslapcatslapindex を使用する前に slapd サービスを停止します。シェルプロンプトで以下を入力します:
~]# service slapd stop
Stopping slapd:                                            [  OK  ]
slapd サービスの起動、停止、再起動及び現在のステータスの確認を行う方法の詳細については 「OpenLDAP サーバーの実行」 を参照して下さい。

17.1.2.2. OpenLDAP クライアントユーティリティの概要

openldap-clients パッケージは、LDAP ディレクトリ内のエントリを追加/修正/削除するために使用できる以下のようなユーティリティをインスト-ルします。

表17.4 OpenLDAP クライアントユーティリティの一覧

コマンド 詳細
ldapadd ファイルまたは標準入力からエントリを LDAP ディレクトリに追加できるようにします。これは ldapmodify -a へのシンボリックリンクです。
ldapcompare 任意の属性と LDAP ディレクトリのエントリを比較できるようにします。
ldapdelete LDAP ディレクトリからエントリを削除できるようにします。
ldapexop LDAP の拡張操作を実行できるようにします。
ldapmodify LDAP ディレクトリ内のエントリをファイルまたは標準入力から修正できるようにします。
ldapmodrdn LDAP ディレクトリエントリの RDN 値を修正できるようにします。
ldappasswd LDAP ユーザー用のパスワードを設定/変更できるようにします。
ldapsearch LDAP ディレクトリエントリを検索できるようにします。
ldapurl LDAP URL を生成/分解できるようにします。
ldapwhoami LDAP サーバー上で whoami 動作を実行できるようにします。
ldapsearch は例外ですが、その他のユーティリティをより簡単に使用するためには、LDAP ディレクトリ内で変更される各エントリ用にコマンドを入力する代わりに、行われる変更を含むファイルを参照します。このようなファイルの形式は、各ユーティリティの man ページに要約されています。

17.1.2.3. 一般的な LDAP クライアントアプリケーションの概要

サーバー上のディレクトリを作成/修正できるグラフィカルな LDAP クライアントは各種存在しますが、どれも Red Hat Enterprise Linux には含まれていません。読み取り専用モードでディレクトリにアクセスできる人気のアプリケーションとしては、Mozilla ThunderbirdEvolutionEkiga があります。

17.1.3. OpenLDAP サーバーの設定

デフォルトでは、OpenLDAP 設定は /etc/openldap/ ディレクトリに格納されています。以下の表は、このディレクトリ内の最も重要なディレクトリとファイルを示しています:

表17.5 OpenLDAP 設定ファイルとディレクトリの一覧

パス 詳細
/etc/openldap/ldap.conf OpenLDAP ライブラリを使用するクライアントアプリケーション用の設定ファイルです。これには ldapaddldapsearchEvolution などが含まれます。
/etc/openldap/slapd.d/ slapd 設定を含むディレクトリです。
OpenLDAP はその設定を /etc/openldap/slapd.conf ファイルから読み取らなくなった点に注意して下さい。代わりに、/etc/openldap/slapd.d/ ディレクトリに存在する設定データベースを使用します。以前のインスト-ルから slapd.conf ファイルが残存している場合は、以下のコマンドを実行することで新しい形式に変換できます:
~]# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/
slapd 設定は、階層ディレクトリ構造で編成されている LDIF エントリで構成されています。これらのエントリを編集するための推奨される方法は 「OpenLDAP サーバーユーティリティの概要」 で説明のとおりサーバーユーティリティを使用することです。

重要

LDIF ファイル内でエラーが発生すると slapd サービスが起動できなくなることがあります。このため、/etc/openldap/slapd.d/ 内の LDIF ファイルを直接編集しないことが強く推奨されます。

17.1.3.1. グローバル設定の変更

LDAP サーバーのグローバル設定オプションは、/etc/openldap/slapd.d/cn=config.ldif ファイル内に格納されています。一般的に使用される指示文は、以下のとおりです:
olcAllows
olcAllows 指示文を使用すると、有効にする機能を指定できます。以下の形式を取ります:
olcAllows: feature
これは、表17.6「利用可能な olcAllows のオプション」 で説明のとおり空白で区切られた機能の一覧を使用します。デフォルトオプションは bind_v2 です。

表17.6 利用可能な olcAllows のオプション

オプション 詳細
bind_v2 LDAP バージョン 2 のバインド要求の受け入れを有効にします。
bind_anon_cred 識別名(DN) が空欄である場合の匿名バインドを有効にします。
bind_anon_dn 識別名(DN) が空欄で ない 場合の匿名バインドを有効にします。
update_anon 匿名による更新操作の処理を有効にします。
proxy_authz_anon 匿名によるプロキシ認証制御の処理を有効にします。

例17.1 olcAllows 指示文の使用

olcAllows: bind_v2 update_anon
olcConnMaxPending
olcConnMaxPending 指示文を使用すると、匿名セッションに対する保留中の要求の最大数を指定できます。以下の形式を取ります:
olcConnMaxPending: number
デフォルトオプションは 100 です。

例17.2 olcConnMaxPending 指示文の使用

olcConnMaxPending: 100
olcConnMaxPendingAuth
olcConnMaxPendingAuth 指示文を使用すると、認証済みセッションに対する保留中の要求の最大数を指定できます。以下の形式を取ります:
olcConnMaxPendingAuth: number
デフォルトオプションは 1000 です。

例17.3 olcConnMaxPendingAuth 指示文の使用

olcConnMaxPendingAuth: 1000
olcDisallows
olcDisallows を使用すると、無効にする機能を指定できます。以下の形式を取ります:
olcDisallows: feature
これは、表17.7「利用可能な olcDisallows のオプション」 で説明のとおり空白で区切られた機能の一覧を使用します。デフォルトでは、どの機能も無効ではありません。

表17.7 利用可能な olcDisallows のオプション

オプション 詳細
bind_anon 匿名バインド要求の受け入れを無効にします。
bind_simple 簡易バインド認証のメカニズムを無効にします。
tls_2_anon STARTTLS コマンドの受け取り時に、匿名セッションの強制を無効にします。
tls_authc 認証時に、STARTTLS コマンドを許可しません。

例17.4 olcDisallows 指示文の使用

olcDisallows: bind_anon
olcIdleTimeout
olcIdleTimeout 指示文を使用すると、アイドル状態の接続を閉じるまでの待機秒数を指定できます。以下の形式を取ります:
olcIdleTimeout: number
このオプションは、デフォルトで無効です (すなわち 0 に設定されています)。

例17.5 olcIdleTimeout 指示文の使用

olcIdleTimeout: 180
olcLogFile
olcLogFile 指示文を使用すると、ログメッセージを書き込むファイルを指定できます。以下の形式を取ります:
olcLogFile: file_name
ログメッセージは、デフォルトで標準エラーに書き込まれます。

例17.6 olcLogFile 指示文の使用

olcLogFile: /var/log/slapd.log
olcReferral
olcReferral オプションを使用すると、サーバーが要求を処理できない場合に処理する別のサーバーの URL を指定できます。以下の形式を取ります:
olcReferral: URL
このオプションは、デフォルトで無効です。

例17.7 olcReferral 指示文の使用

olcReferral: ldap://root.openldap.org
olcWriteTimeout
olcWriteTimeout オプションを使用すると、未処理の書き込み要求がある接続を閉じるまでの待機秒数を指定できます。以下の形式を取ります:
olcWriteTimeout
このオプションは、デフォルトで無効です (すなわち 0 に設定されています)。

例17.8 olcWriteTimeout 指示文の使用

olcWriteTimeout: 180

17.1.3.2. データベース特有の設定の変更

デフォルトでは、OpenLDAP サーバーは Berkeley DB (BDB) をデータベースバックエンドとして使用します。このデータベース用の設定は /etc/openldap/slapd.d/cn=config/olcDatabase={1}bdb.ldif ファイルに格納されています。データベース特有の設定でよく使用される指示文は、以下のとおりです:
olcReadOnly
olcReadOnly 指示文を使用すると、データベースを読み取り専用モードで使用できます。以下の形式を取ります:
olcReadOnly: boolean
これは、TRUE (読み取り専用モードを有効) / FALSE (データベースの修正を有効) を使用します。デフォルトのオプションは FALSE です。

例17.9 olcReadOnly 指示文の使用

olcReadOnly: TRUE
olcRootDN
olcRootDN 指示文を使用すると、アクセス制御により制限されないユーザーまたは LDAP ディレクトリの動作用に設定される管理制限パラメーターを指定できます。以下の形式を取ります:
olcRootDN: distinguished_name
これは、識別名 (DN) を使用します。デフォルトのオプションは cn=Manager,dn=my-domain,dc=com です。

例17.10 olcRootDN 指示文の使用

olcRootDN: cn=root,dn=example,dn=com
olcRootPW
olcRootPW 指示文を使用すると、olcRootDN 指示文を使って指定されたユーザー用のパスワードを設定できます。以下の形式を取ります:
olcRootPW: password
これは、プレーンテキスト文字列かハッシュを使用します。ハッシュを生成するためには、シェルプロンプトで以下を入力します:
~]$ slappaswd
New password: 
Re-enter new password: 
{SSHA}WczWsyPEnMchFf1GRTweq2q7XJcvmSxD

例17.11 olcRootPW 指示文の使用

olcRootPW: {SSHA}WczWsyPEnMchFf1GRTweq2q7XJcvmSxD
olcSuffix
olcSuffix 指示文を使用すると、情報を提供するドメインを指定できます。以下の形式を取ります:
olcSuffix: domain_name
これは、完全修飾ドメイン名 (FQDN) を使用します。デフォルトのオプションは dc=my-domain,dc=com です。

例17.12 olcSuffix 指示文の使用

olcSuffix: dc=example,dc=com

17.1.3.3. スキーマの拡張

OpenLDAP 2.3 以降、/etc/openldap/slapd.d/ ディレクトリには、以前 /etc/openldap/schema/ に配置されていた LDAP 定義も含まれています。デフォルトのスキーマファイルをガイドとして使用して追加の属性タイプとオブジェクトクラスをサポートするために、OpenLDAP により使用されるスキーマを拡張することができます。ただし、このタスクは本章の範囲外です。このトピックの詳細については http://www.openldap.org/doc/admin/schema.html を参照して下さい。

17.1.4. OpenLDAP サーバーの実行

本項では、Standalone LDAP Daemon (スタンドアロン LDAP デーモン) を起動、停止、再起動、現在のステータスを確認する方法について説明しています。システムサービスの管理方法全般については、10章サービスとデーモン を参照して下さい。

17.1.4.1. サービスの開始

slapd サービスを実行するには、シェルプロンプトで以下を入力します:
~]# service slapd start
Starting slapd:                                            [  OK  ]
ブート時にサービスを自動的に起動させたい場合には、以下のコマンドを入力します:
~]# chkconfig slapd on
「サービスの有効化と無効化」 で説明のとおり、サービスの設定 ユーティリティを使用することもできます。

17.1.4.2. サービスの停止

実行中の slapd サービスを停止するには、シェルプロンプトで以下を入力します:
~]# service slapd stop
Stopping slapd:                                            [  OK  ]
ブート時にサービスの自動開始を阻止したい場合には、以下を入力します:
~]# chkconfig slapd off
別の方法として、「サービスの有効化と無効化」 で説明のとおり サービスの設定 ユーティリティを使用することもできます。

17.1.4.3. サービスの再開始

実行中の slapd サービスを再起動するには、シェルプロンプトで以下を入力します:
~]# service slapd restart
Stopping slapd:                                            [  OK  ]
Starting slapd:                                            [  OK  ]
これにより、サービスを停止して、再度開始します。設定を再ロードするには、このコマンドを使用します。

17.1.4.4. サービスステータスの確認

サービスが実行中であることを確認するには、シェルプロンプトで次のコマンドを入力します:
~]# service slapd status
slapd (pid  3672) is running...

17.1.5. OpenLDAP を使用した認証用のシステムの設定

OpenLDAP を使用して認証するようシステムを設定するためには、LDAP サーバーとクライアントマシンの両方に適切なパッケージがインスト-ルされていることを確認します。サーバーの設定方法に関する詳細は、「OpenLDAP スイートのインスト-ル」「OpenLDAP サーバーの設定」 の手順に従って下さい。クライアントで、以下をシェルプロンプトで入力します:
~]# yum install openldap openldap-clients nss-pam-ldapd
11章認証の設定 には、認証のために LDAP を使用するようアプリケーションを設定する方法の詳しい手順が記載されています。

17.1.5.1. 旧認証情報を LDAP 形式に移行

migrationtools パッケージは、認証情報を LDAP 形式に移行する時に役立つシェルスクリプトと Perl スクリプトのセットを提供します。このパッケージをインスト-ルするには、シェルプロンプトで以下を入力します:
~]# yum install migrationtools
これにより、スクリプトを /usr/share/migrationtools/ ディレクトリにインスト-ルします。インスト-ル後、/usr/share/migrationtools/migrate_common.ph ファイルを編集して、以下の行を変更して正しいドメインを反映させます。例えば:
# Default DNS domain
$DEFAULT_MAIL_DOMAIN = "example.com";

# Default base
$DEFAULT_BASE = "dc=example,dc=com";
別の方法として、コマンドライン上で環境変数を直接指定することもできます。例えば、dc=example,dc=com に設定されているデフォルトベースを使って migrate_all_online.sh スクリプトを実行するには、以下を入力します:
~]# export DEFAULT_BASE="dc=example,dc=com" \
/usr/share/migrationtools/migrate_all_online.sh
ユーザーデータベースを移行するために実行するスクリプトを決定するには、表17.8「一般的に使用される LDAP 移行スクリプト」 を参照して下さい。

表17.8 一般的に使用される LDAP 移行スクリプト

既存のネームサービス LDAP は実行中ですか? 使用するスクリプト
/etc フラットファイル はい migrate_all_online.sh
/etc フラットファイル いいえ migrate_all_offline.sh
NetInfo はい migrate_all_netinfo_online.sh
NetInfo いいえ migrate_all_netinfo_offline.sh
NIS (YP) はい migrate_all_nis_online.sh
NIS (YP) いいえ migrate_all_nis_offline.sh
これらのスクリプトを使用する方法の詳細については、/usr/share/doc/migrationtools-version/ ディレクトリ内の README 及び migration-tools.txt ファイルを参照して下さい。

17.1.6. その他のリソース

以下のリソースは、LDAP (Lightweight Directory Access Protocol) に関する追加情報を提供します。システムに LDAP を設定する前に、以下の資料、特に 『OpenLDAP Software Administrator's Guide (OpenLDAP ソフトウェア管理者ガイド)』 を確認することを強く推奨します。

17.1.6.1. インストールされているドキュメント

以下のドキュメントは、openldap-servers パッケージでインスト-ルされます。
/usr/share/doc/openldap-servers-version/guide.html
OpenLDAP Software Administrator's Guide』 のコピー
/usr/share/doc/openldap-servers-version/README.schema
インスト-ルされているスキーマファイルの説明を含む README ファイル
更に、openldapopenldap-serversopenldap-clients パッケージでインスト-ルされる多くの man ページがあります。
クライアントアプリケーション
  • man ldapadd — LDAP ディレクトリにエントリを追加する方法を説明しています。
  • man ldapdelete — LDAP ディレクトリからエントリを削除する方法を説明しています。
  • man ldapmodify — LDAP ディレクトリ内でエントリを修正する方法を説明しています。
  • man ldapsearch — LDAP ディレクトリ内でエントリを検索する方法を説明しています。
  • man ldappasswd — LDAP ユーザーのパスワードを設定/変更する方法を説明しています。
  • man ldapcompareldapcompare ツールの使用方法を説明しています。
  • man ldapwhoamildapwhoami ツールの使用方法を説明しています。
  • man ldapmodrdn — エントリの RDN を修正する方法を説明しています。
サーバーアプリケーション
  • man slapd — LDAP サーバー用のコマンドラインオプションを説明しています。
管理アプリケーション
  • man slapaddslapd データベースにエントリを追加するために使用するコマンドラインオプションを説明しています。
  • man slapcatslapd データベースから LDIF ファイルを生成するために使用するコマンドラインオプションを説明しています。
  • man slapindexslapd データベースのコンテンツを基にしたインデックスの再生成に使用するコマンドラインオプションを説明しています。
  • man slappasswd — LDAP ディレクトリ用のユーザーパスワードを生成するために使用するコマンドラインオプションを説明しています。
設定ファイル
  • man ldap.conf — LDAP クライアント用の設定ファイル内で利用可能な形式とオプションを説明しています。
  • man slapd-config — 設定ディレクトリ内で利用可能な形式とオプションを説明しています。

17.1.6.2. 役立つ Web サイト

http://www.openldap.org/doc/admin24/
OpenLDAP Software Administrator's Guide (OpenLDAP ソフトウェア管理者ガイド)』 の現行バージョンです。
http://www.kingsmountain.com/ldapRoadmap.shtml
LDAP プロトコルに関する役立つリソースと最新ニュースへのリンクが含まれる Jeff Hodges 著の 『LDAP Roadmap & FAQ』 です。
http://www.ldapman.org/articles/
ディレクトリツリーの設計とディレクトリ構造のカスタマイズを行う方法が含まれた、LDAP に関する優れた概要を提供する記事を集めたものです。
http://www.padl.com/
役立つ LDAP ツールが記載された開発者の Web サイトです。