Show Table of Contents
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
3.2. LDAP と IdM
(OpenLDAP や Red Hat Directory Server などの) LDAP ディレクトリーは、LDAP アイデンティティープロバイダーとして使用することができます。また、古いバージョンの IdM と FreeIPA は、それらを関連する Kerberos サーバーと LDAP プロバイダーとして設定することで、アイデンティティープロバイダーとすることができます。
ユーザーデータベースの LDAP サーバー設定には、openldap-clients パッケージか sssd パッケージを使用します。両パッケージともデフォルトでインストールされています。
3.2.1. UI での LDAP 認証の設定
- 「authconfig UI の起動」 にあるように、
authconfig
UI を開きます。 - ユーザーアカウントデータベース のドロップダウンメニューで を選択します。
- LDAP サーバーへの接続に必要な情報を設定します。
- LDAP 検索ベース DN で、ユーザーディレクトリーの root のサフィックスまたは 識別名 (DN) を指定します。アイデンティティーまたは認証に使用するユーザーエントリーはすべて、
ou=people,dc=example,dc=com
などのように、この親エントリーの下に存在します。このフィールドはオプションです。指定しない場合は、LDAP サーバーの設定エントリーにあるnamingContexts
およびdefaultNamingContext
属性を使って System Security Services Daemon (SSSD) が検索ベースの検出を試行します。 - LDAP サーバー には、LDAP サーバーの URL を入力します。これには通常、
ldap://ldap.example.com:389
のように、LDAP サーバーのホスト名とポート番号の両方が必要になります。ldaps://
で開始する URL を使用してセキュアなプロトコルを入力すると、 ボタンが有効になり、このボタンで LDAP サーバーの発行 CA 証明書を発行元の証明局から取得します。CA 証明書はプライバシー強化メール (PEM: privacy enhanced mail) 形式でなければなりません。 - セキュアでない標準のポート接続 (
ldap://
で始まる URL) を使用する場合は、TLS を使用して接続を暗号化する チェックボックスを使用してSTARTTLS
で LDAP サーバーとの通信を暗号化します。このチェックボックスを選択すると、 ボタンが有効になります。注記
サーバーの URL で LDAPS (LDAP および SSL) のセキュアなプロトコルが使用されている場合には、通信がすでに暗号化されているので TLS を使用して接続を暗号化する チェックボックスは選択する必要はありません。
- 認証の方法を選択します。LDAP は、単純なパスワード認証または Kerberos 認証を受け付けます。Kerberos の使用方法は、「UI での Kerberos 認証の設定」 で説明しています。LDAP パスワード オプションでは、LDAP 認証を使用するために PAM アプリケーションを使用します。このオプションは、LDAP サーバーへの接続に LDAPS または TLS のいずれかを設定したセキュアな接続が必要です。
3.2.2. コマンドラインでの LDAP ユーザーストアの設定
LDAP ID ストアを使用するには、
--enableldap
を使用します。LDAP を認証ソースとして使用するには、--enableldapauth
を使用して、それから LDAP サーバー名、ユーザー接尾辞のベース DN、および (オプションとして) TLS を使用するかどうか、などの必須となる接続情報を使用します。authconfig
コマンドには、ユーザーエントリーの RFC 2307bis スキーマを有効または無効にするオプションもあります。これは、authconfig
UI では利用できません。
プロトコル (
ldap
または ldaps
) とポート番号を含む完全な LDAP URL を使うようにしてください。--enableldaptls
オプションとセキュアな LDAP URL (ldaps
) を一緒に使用しないでください。
authconfig --enableldap --enableldapauth --ldapserver=ldap://ldap.example.com:389,ldap://ldap2.example.com:389 --ldapbasedn="ou=people,dc=example,dc=com" --enableldaptls --ldaploadcacert=https://ca.server.example.com/caCert.crt --update
LDAP のパスワード認証に
--ldapauth
ではなく、LDAP ユーザーストアで Kerberos を使用することもできます。これらのオプションは 「コマンドラインでの Kerberos 認証の設定」 で説明されています。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。