2009/03/09 OpenLDAP ppolicy
OpenLDAP ppolicy
1. OpenLDAPインストール
- CentOS 5 標準のパッケージ openldap-2.3.27
- Fedora 7 標準のパッケージ openldap-2.3.34
- yum -y install openldap-servers openldap-clients
2. パスワードポリシー用のスキーマ追加
- slapd.confへの設定
- ppolicy.schemaを追加する。vi /etc/openldap/slapd.conf
include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/nis.schema include /etc/openldap/schema/ppolicy.schema
- サービスを再起動を行う。
# service ldap restart
3. オーバーレイの適用とモジュールのロード
- slapd.confへの設定
- CentOS 5のopenldap-2.3.27にはモジュール(ppolicy.la)が含まれてないので、Fedora 7のopenldap-2.3.34の/usr/lib/openldap/ppolicy.laをコピーしてくる。(標準のパッケージを使わずにソースからインストールしてもよい)
- 定義を追加する。vi /etc/openldap/slapd.conf
# Load dynamic backend modules: modulepath /usr/lib/openldap moduleload ppolicy.la # overlay overlay ppolicy
- なお、モジュール(ppolicy.la)を設定しないとエラーとなる。
# slaptest overlay "ppolicy" not found slaptest: bad configuration file!
- overlay ディレクティブとdatabase ディレクティブの間にppolicyオーバレイ固有のディレクティブを設定することができる。ppolicy_use_lockoutなど。
4. パスワードポリシー実装設計
- ディレクトリ全体、ユーザグループ単位、ユーザエントリ単位に設定することが可能。
- 例として下記のような構成で設定する。
dc=jp
│
└dc=domain-A
│
├ou=policy
│ dn: cn=pwdPolicy,ou=policy,dc=domain-A,dc=jp
│ (ディレクトリ全体のポリシー設定用DN)
│
├ou=org-A (組織A)
│ │
│ ├ou=policy
│ │ dn: cn=pwdPolicy,ou=policy,ou=org-A,dc=domain-A,dc=jp
│ │ (組織Aのポリシー設定用DN)
│ │
│ └ou=people
│ dn: uid=user-A,ou=people,ou=org-A,dc=domain-A,dc=jp
│
└ou=org-B (組織B)
├ou=policy
│ dn: cn=pwdPolicy,ou=policy,ou=org-B,dc=domain-A,dc=jp
│ (組織Bのポリシー設定用DN)
│
└ou=people
dn: uid=user-B,ou=people,ou=org-B,dc=domain-A,dc=jp
コメント
コメントを投稿