そろそろLDAPにしてみないか?

第2回 OpenLDAPの設定パラメータ

この記事を読むのに必要な時間:およそ 4.5 分

前回はLDAPの実用性を分かっていただくため,各パラメータの意味などは一切省略してUNIXアカウントを統合するためのLDAPサーバを構築してみたわけですが,今回はそれぞれの設定パラメータについて解説していきたいと思います。

サーバ設定のパラメータ

それでは,まずはOpenLDAPサーバの設定から見ていきましょう。前回はリスト1の内容を用いていました。

リスト1 /etc/openldap/slapd.conf(第1回と同じもの)

include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/nis.schema
pidfile         /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args
database        bdb
suffix          "dc=example,dc=com"
rootdn          "cn=Manager,dc=example,dc=com"
rootpw          secret
directory       /var/lib/ldap

このリスト1は,あくまでも基本的な設定のみを列挙したものです。本格的な設定を行う場合は,OpenLDAPのマニュアルや日本LDAPユーザ会スタッフ 稲地さんのOpenLDAP情報などをご覧ください。

各パラメータの意味は次の通りです。

include スキーマファイル名
スキーマファイルを指定します。LDAPサーバはデータ格納用のサーバとなりますが,何でも好きなデータを格納できるわけではありません。自分が好きなデータを使用するには,あらかじめその内容をスキーマファイルという定義ファイルに定めておく必要があるのです。OpenLDAPをインストールすればさまざまなスキーマファイルがインストールされますので,住所や電話番号,メールアドレスなど標準的なスキーマは整っています。
pidfile PIDファイル
slapdのPIDが保存されます
argsfile argsファイル名
slapd起動時のコマンドラインオプションが保存されます
database
バックエンドデータベースの形式を定義します。bdb(Berkeley DB形式)を用いるのが一般的ですが,ldbmなどその他の形式を用いることが可能です。
suffix
日本語訳では「接尾辞」となりますが,データツリーのベース部分とでも覚えておけば良いでしょう。今回の場合dc=example,dc=comという値を定義することで,以降のすべてのデータはこのツリーの下に保存されることになります。
rootdn
管理者DNを定義します。この言葉は聞き慣れないものだと思いますので,管理者IDと考えても差し支えないでしょう。
rootpw
上記管理者のパスワードを定義します。ここでは平文で定義していますが,SSHA形式などエンコードされた値を用いるのが一般的です。
directory
データの実体を保存するディレクトリです。

LDAPとツリー

ツリーという言葉が出てきましたね。LDAPではデータをツリーで表現します。たとえばデータは次のような場所に格納されます。

uid=nakamitsu,ou=PreSales,o=F5Networks

nakamitsuというデータはF5Networks組織のPreSales部にあることがわかります。ここで用いられるuidouなどの値は属性と呼ばれ,uidはユーザIDを示す,ouは組織単位を表す,などと決められています。

データをツリーで表現することのメリットは何でしょうか? たとえば日本全国民の個人データベースがあり,そこから筆者の情報を引き出すことを考えてみましょう。データが1冊の電話帳のような形式であった場合,1件1件順番に検索していたのでは,非常に効率が悪いことがわかります。

それでは電話帳が1冊ではなく,都道府県別に用意されていた場合はどうでしょうか? 筆者は東京在住ですので,東京都の電話帳のみから検索を行えば良いことがわかります。さらにその東京都の電話帳が区別に記載されていれば新宿区のみから検索を行えばさらにターゲットを絞ることができます。この例をLDAP的に表現すると,次のような形となります。

氏名=中満英生,町=高田馬場,区=新宿区,都道府県=東京都,国=日本

このように,データがどのツリーの下に所属しているのかが判明していた場合,つまり私の住所が新宿区高田馬場にあるとあらかじめわかっていた場合には,全国のデータベースから検索を行う必要がなく,限られた高田馬場データベースから検索を行えば良いことになり,当然検索速度も全国からの検索に比べると圧倒的に速いことがわかります。

LDIFとは?

次にLDIF(LDAP Data Interchange Format)形式のファイルについて説明します。LDAPサーバ内の実データはBDB形式などのバイナリファイルで管理されている場合が多く,これらのデータベースを操作してデータの追加や削除を行うのは容易なことではありません。LDIF形式のファイルやエントリを編集することで,簡単にデータを操作することができます。LDIF形式とはテキストデータであり,データを

属性: 値

または

属性:: Base64エンコードされた値

という形で示します。注意点としては,日本語などのマルチバイト文字を含むデータはUTF-8で定義してください。前回用いたUNIXアカウントはリスト2のLDIFで定義されていました。

リスト2 UNIXアカウントのLDIFファイルの例

dn: uid=ldapuser,ou=People,dc=example,dc=com
objectClass: account
objectClass: posixAccount
uid: ldapuser
cn: ldapuser
userPassword: ldapuser
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/ldapuser

1行目のdnからはじまる行は少し特殊で,このエントリが定義される位置を示します。つまりリスト2の例ではldapuserというユーザのエントリがou=People, dc=example, dc=comというツリーの直下にあることを意味しています。

ldapaddやldapdelete

LDIFで作成したデータをLDAPサーバに登録したり,また特定のデータを削除したりするにはLDAPクライアントコマンドを使用します。よく使用されるのは次のコマンドです。

  • ldapadd
  • ldapdelete
  • ldapmodify

これらのコマンドに関しては以降の連載でも使用する機会が出てきますので,必要に応じて解説していきます。

著者プロフィール

中満英生(なかみつひでお)

大学時代に出会ったSolarisがきっかけでUNIXの世界へ。その後ホスティングプロバイダ,データセンターで実務経験を積む傍ら,雑誌記事の執筆や技術セミナーの講師を務める。サーバ設定の他,セキュリティに関する著作や技術者エッセイも執筆経験あり。

コメント

コメントの記入