3.2. LDAP と IdM

(OpenLDAP や Red Hat Directory Server などの) LDAP ディレクトリーは、LDAP アイデンティティープロバイダーとして使用することができます。また、古いバージョンの IdM と FreeIPA は、それらを関連する Kerberos サーバーと LDAP プロバイダーとして設定することで、アイデンティティープロバイダーとすることができます。
ユーザーデータベースの LDAP サーバー設定には、openldap-clients パッケージか sssd パッケージを使用します。両パッケージともデフォルトでインストールされています。

3.2.1. UI での LDAP 認証の設定

  1. 「authconfig UI の起動」 にあるように、authconfig UI を開きます。
  2. ユーザーアカウントデータベース のドロップダウンメニューで LDAP を選択します。
  3. LDAP サーバーへの接続に必要な情報を設定します。
    • LDAP 検索ベース DN で、ユーザーディレクトリーの root のサフィックスまたは 識別名 (DN) を指定します。アイデンティティーまたは認証に使用するユーザーエントリーはすべて、ou=people,dc=example,dc=com などのように、この親エントリーの下に存在します。
      このフィールドはオプションです。指定しない場合は、LDAP サーバーの設定エントリーにある namingContexts および defaultNamingContext 属性を使って System Security Services Daemon (SSSD) が検索ベースの検出を試行します。
    • LDAP サーバー には、LDAP サーバーの URL を入力します。これには通常、ldap://ldap.example.com:389 のように、LDAP サーバーのホスト名とポート番号の両方が必要になります。
      ldaps:// で開始する URL を使用してセキュアなプロトコルを入力すると、CA 証明書をダウンロードする ボタンが有効になり、このボタンで LDAP サーバーの発行 CA 証明書を発行元の証明局から取得します。CA 証明書はプライバシー強化メール (PEM: privacy enhanced mail) 形式でなければなりません。
    • セキュアでない標準のポート接続 (ldap:// で始まる URL) を使用する場合は、TLS を使用して接続を暗号化する チェックボックスを使用して STARTTLS で LDAP サーバーとの通信を暗号化します。このチェックボックスを選択すると、CA 証明書をダウンロードする... ボタンが有効になります。

      注記

      サーバーの URL で LDAPS (LDAP および SSL) のセキュアなプロトコルが使用されている場合には、通信がすでに暗号化されているので TLS を使用して接続を暗号化する チェックボックスは選択する必要はありません。
  4. 認証の方法を選択します。LDAP は、単純なパスワード認証または Kerberos 認証を受け付けます。
    Kerberos の使用方法は、「UI での Kerberos 認証の設定」 で説明しています。
    LDAP パスワード オプションでは、LDAP 認証を使用するために PAM アプリケーションを使用します。このオプションは、LDAP サーバーへの接続に LDAPS または TLS のいずれかを設定したセキュアな接続が必要です。

3.2.2. コマンドラインでの LDAP ユーザーストアの設定

LDAP ID ストアを使用するには、--enableldap を使用します。LDAP を認証ソースとして使用するには、--enableldapauth を使用して、それから LDAP サーバー名、ユーザー接尾辞のベース DN、および (オプションとして) TLS を使用するかどうか、などの必須となる接続情報を使用します。authconfig コマンドには、ユーザーエントリーの RFC 2307bis スキーマを有効または無効にするオプションもあります。これは、authconfig UI では利用できません。
プロトコル (ldap または ldaps) とポート番号を含む完全な LDAP URL を使うようにしてください。--enableldaptls オプションとセキュアな LDAP URL (ldaps) を一緒に使用しないでください。
authconfig --enableldap --enableldapauth --ldapserver=ldap://ldap.example.com:389,ldap://ldap2.example.com:389 --ldapbasedn="ou=people,dc=example,dc=com" --enableldaptls --ldaploadcacert=https://ca.server.example.com/caCert.crt --update
LDAP のパスワード認証に --ldapauth ではなく、LDAP ユーザーストアで Kerberos を使用することもできます。これらのオプションは 「コマンドラインでの Kerberos 認証の設定」 で説明されています。