YaSTによるLDAPサーバの設定

LDAPサーバを設定するには、YaSTを使用します。一般的にLDAPサーバは、ユーザアカウントデータ、メール設定、DNS設定、およびDHCPサーバ設定を管理するために用いられます。

図 36.2. YaST LDAPサーバの設定

LDAPサーバのユーザアカウントデータを設定するには、以下の手順に従ってください。

rootとしてログインします。
YaSTを起動して、［ネットワークサービス］+［LDAPサーバ］の順に選択します。
システムブート時にLDAPを開始するように設定します。
LDAPサーバに、自己のサービスをSLP経由でアナウンスさせる場合は、［Register at an SLP Daemon］を選択します。
［General Setting］と［データベース］を設定するには、［設定］を選択します。

LDAPサーバの［グローバル設定］を設定するには、以下の手順に従ってください。

ダイアログの左側にある［Schema Files］を選択して、サーバの環境設定に含めるスキーマファイルを変更するか、またはそのまま使用します。スキーマファイルのデフォルトは、YaSTユーザアカウントデータのソースを提供するサーバに適用されます。
［Log Level Settings］を選択すると、LDAPサーバの記録動作(冗長度)を設定できます。事前定義済みのリストから、必要に応じて記録オプションを選択するか、選択を解除します。ログファイルは、多数のオプションを選択するほど大きくなります。
LDAPサーバが許可する接続の種類を選択します。以下の項目を選択することができます。
bind_v2
このオプションを選択すると、旧バージョンのプロトコル(LDAPv2)を使用してクライアントから接続要求(バインド要求)を出すことができます。
bind_anon_cred
通常、LDAPサーバは空の資格情報(DNまたはパスワード)を使用した認証試行を拒否します。ただし、このオプションを使用すると、DNを使用せずにパスワードのみを使用して接続し、匿名接続を確立できます。
bind_anon_dn
このオプションを有効にすると、DNだけでパスワードは使用せずに認証なしで(匿名で)接続できます。
update_anon
このオプションを有効にすると、非認証(匿名)更新操作が許可されます。アクセスはACLとその他の規則に従って制限されます(36.3.1項「slapd.conf内のグローバルエントリ」を参照)。
クライアントとサーバ間の安全な通信を設定するには、［TLS Settings］を使用します。
1. クライアント/サーバの通信にTLSおよびSSL暗号化を使用するには、［TLSActive］に［Yes］を設定します。
2. ［Select Certificate］をクリックして、有効な証明書の入手方法を設定します。［Import Certificate］(外部ソースから証明書をインポートする場合)または［Use Common Server Certificate］(インストール時に作成された証明書を使用する場合)を選択します。
  - 証明書をインポートすることを選択した場合、証明書へのパスの入力を要求するメッセージが表示されます。
  - 共通のサーバ証明書を使用するが、インストール時に証明書が作成されていない場合は、証明書が作成されます。

LDAPサーバが管理するデータベースを設定するには、以下の手順に従ってください。

ダイアログの左側にある、［Databases］を選択します。
新しいデータベースを追加するには、［Add Database］をクリックします。
必要なデータを入力します。
Base DN
LDAPサーバのベースDNを入力します。
Root DN
サーバ管理者のDNを入力します。［Append Base DN(ベースDNの追加)］を選択した場合は、管理者のcnのみを入力すると、残りはシステムにより自動的に入力されます。
LDAP Password
データベース管理者のパスワードを入力します。
暗号化
ルートDNのパスワードを保護するために使用する暗号化アルゴリズムを指定します。［crypt］、［smd5］、［ssha］、または［sha］を選択します。このダイアログには [plain] オプションも用意されています。このオプションを選択すると、プレーンテキストパスワードが使用可能になりますが、セキュリティ上の理由から選択することはお薦めしません。設定を確認して前のダイアログに戻るには、［OK］を選択します。

LDAPサーバのセキュリティを強化するには、パスワードポリシーの強制を有効にしてください。

パスワードポリシーを指定するには、［パスワードポリシーの設定］を選択します。
追加、変更時に、平文テキストパスワードをデータベースに書き込む前にハッシュするには、［平文パスワードをハッシュする］を選択します。

［アカウントロック状態を知らせる］は、ロックされたアカウントへのバインド要求時に、詳細なエラーメッセージを返します。

	セキュリティが重要な環境におけるロックされたアカウント
セキュリティが大切な環境では、［アカウントロック状態を知らせる］は使用しないでください。ロックされたアカウントに関するエラーメッセージには、セキュリティに関する情報も含まれているため、不正侵入者に悪用される可能性があります。

デフォルトのポリシーオブジェクトのDNを入力してください。YaSTが推奨するDN以外のDNを使用するには、選択項目を入力してください。それ以外の場合は、デフォルト設定を使用してください。

データベース設定を終了するには、［完了］をクリックします。

パスワードポリシーを選択していない場合は、この時点でサーバを実行することができます。パスワードポリシーを有効にしている場合は、パスワードポリシーの設定作業を行います。存在していないパスワードポリシーオブジェクトを選択した場合、YaSTがそれを作成します。

LDAP サーバパスワードを入力します。
パスワード変更ポリシーの設定:
1. パスワード履歴に保管するパスワード数を指定します。保存されているパスワードは、ユーザが再利用することはできません。
2. ユーザが各自のパスワードを変更できるかどうか、また管理者がリセットした場合にユーザにパスワードの変更を強制するかどうかを指定します。必要に応じて、パスワード変更時に古いパスワードの入力を要求するかどうかを指定します。
3. パスワード品質の検査を行うかどうか、またどの程度まで検査するかを指定します。有効なパスワードとみなす最小パスワード長を設定します。［確認できないパスワードを受け付ける］を選択した場合、品質検査を実行できない場合でも、ユーザは暗号化パスワードを使用することができます。［確認済みパスワードのみを受け付ける］を選択した場合、パスワード検査に合格したパスワードだけが有効とみなされます。
パスワードエージングポリシーの設定:
1. 最小パスワード有効日数(有効なパスワードを変更できるようになるまでの時間)と最大パスワード有効日数を指定します。
2. パスワード有効期限の警告を出してから、実際にパスワードの有効期限が切れるまでの時間を指定します。
3. パスワードが完全に失効するまでの、有効期限切れパスワードの使用を許可する猶予回数を指定します。
ロックアウトポリシーの設定:
1. パスワードロックを有効にします。
2. パスワードをロックするまでのバインド失敗回数を指定します。
3. パスワードのロック期間を指定します。
4. パスワード失敗をキャッシュに保持する期間を指定します。
［了解］を選択して、パスワードポリシー設定を適用します。

以前に作成したデータベースを編集するには、そのベースDNを左側のツリーで選択します。ウィンドウの右側に、新規データベースの作成に使用する際と同様にダイアログが表示されます。ただし、この場合、ベースDNはグレー表示され、変更することはできません。

［終了］を選択してLDAPサーバの設定を終了すると、LDAPサーバの基本的な動作設定に進む準備ができたことになります。この設定を微調整するには、ファイル/etc/openldap/slapd.confを適切に編集してからサーバを再起動します。