Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

3.2. LDAP および IdM

(OpenLDAP や Red Hat Directory Server など)標準の LDAP ディレクトリー(OpenLDAP や Red Hat Directory Server など)の両方を LDAP アイデンティティープロバイダーとして使用することができます。さらに、関連する Kerberos サーバーを使用して LDAP プロバイダーとして設定することで、以前の IdM バージョンおよび FreeIPA をアイデンティティープロバイダーとして設定できます。
openldap-clients パッケージまたは sssd パッケージは、ユーザーデータベースの LDAP サーバーを設定するのに使用されます。デフォルトでは、両方のパッケージがデフォルトでインストールされます。

3.2.1. UI での LDAP 認証の設定

  1. 「authconfig UI の起動」 で、authconfig UI を開きます。
  2. User Account Database ドロップダウンメニューで LDAP を選択します。
  3. LDAP サーバーへの接続に必要な情報を設定します。
    • LDAP 検索ベース DN は、ユーザーディレクトリーのルートサフィックスまたは 識別名 (DN) を提供します。アイデンティティーまたは認証に使用されるユーザーエントリーはすべてこの親エントリーの下に存在します。たとえば、ou=people,dc=example,dc=com になります。
      このフィールドは任意です。このオプションを指定しないと、System Security Services Daemon (SSSD) は、LDAP サーバーの設定エントリーの namingContexts 属性および defaultNamingContext 属性を使用して、検索ベースを検出しようとします。
    • LDAP サーバー は LDAP サーバーの URL を提供します。これには通常、ldap://ldap.example.com:389 など LDAP サーバーのホスト名およびポート番号の両方が必要です。
      ldaps:// で始まる URL を使用してセキュアなプロトコルを入力すると、Download CA Certificate ボタンが有効になります。これにより、発行した認証局から LDAP サーバーの発行元 CA 証明書を取得します。CA 証明書は、プライバシー強化されたメール(PEM)形式である必要があります。
    • 非セキュアな標準ポート接続 (ldap:// で始まる URL) を使用する場合は、Use TLS を使用して接続を暗号化する ように、STARTTLS を使用して LDAP サーバーとの通信を暗号化できます。このチェックボックスを選択すると、Download CA Certificate ボタンも有効になります。
      注記
      通信がすでに暗号化されているため、サーバー URL が LDAPS (LDAP over SSL) セキュアプロトコルを使用している場合は、TLS を使用して接続を暗号化する チェックボックスをオンにする必要はありません。
  4. 認証方法を選択します。LDAP は、簡単なパスワード認証または Kerberos 認証を許可します。
    Kerberos の使用については、「UI での Kerberos 認証の設定」 を参照してください。
    LDAP パスワード オプションは、PAM アプリケーションで LDAP 認証を使用します。このオプションでは、LDAPS または TLS を使用して LDAP サーバーに接続するセキュアな接続を設定する必要があります。