アンケートご協力のお願いgihyo.jpでは,2010年度に向けて豪華プレゼントが当たる読者属性アンケートを実施しております。ご協力ください。

gihyo.jp » ADMINISTRATOR STAGE » 連載 » そろそろLDAPにしてみないか? » 第4回 UNIXアカウント以外でLDAP

そろそろLDAPにしてみないか?

第4回 UNIXアカウント以外でLDAP

FTPアカウントにLDAP

LDAPに対応しているアプリケーションは数多く存在するため,何から紹介すればよいのか迷ってしまうのですが,わかりやすさ,容易に構築できるという点で今回はFTPサーバ+LDAPサーバの組み合わせを紹介してみたいと思います。「えー? 今さらFTPサーバ?」なんて言わないで最後まで読んでみてください(笑)

通常であれば,あるユーザがFTPサービスを利用する場合,そのアカウント情報は/etc/passwd/etc/shadowに登録されている必要があります。

しかし,ユーザにFTPのみを使用させたい場合,/etc/passwdなどにアカウントが存在してしまうと都合が悪いことがあります。なぜなら/etc/passwdに登録されているユーザ情報はgetpwent(3)などにより,さまざまなアプリケーションから参照されるためです。ldapuserというユーザにはFTPサービスのみ提供したいのに,ldapuser@example.comというメールアドレス宛にメールを送ると/var/mail/ldapuserというメールボックスが作成されては,都合が悪い・・・ですよね。

さて,LDAPサーバ内にFTPアカウントを作成するためには,いくつかの方法が考えられます。1つめの方法はPAMを利用することです。多くの一般的なFTPサーバ,たとえばvsftpdはPAMによる認証に対応しているため,この方法を用いると,特別な設定をすることなくFTPアカウントを使用することができます。

開発者にとってのメリットとしては,ソフトウェアをPAMにさえ対応させれば自動的にLDAP認証(pam_ldap)にも対応できることが挙げられます。一方,認証関連の設定は/etc/ldap.confを用いて行うことになるため,設定の影響範囲が大きいことがデメリットとも言えるでしょう。例えばvsftpdの設定を変更するつもりで/etc/ldap.confを編集しても,その設定がpam_ldapを使用するすべてのソフトウェアに反映されてしまいます。

もう1つの方法は,PAMとは独立してLDAP内にFTP専用のアカウントを作成することです。このようなアカウントを作成しておけば,仮にFTP専用ユーザのユーザ名とパスワードが漏洩してしまっても,その被害の影響範囲はFTPサービスのみに限定されます。アカウント情報を勝手に使われてしまっても用途はFTPに限定されているため,その情報を元にSSHログインできるわけではありません。もちろん開発者は各種LDAP関数を活用してソフトウェアを構成しておく必要があります。Proftpdはこの方式に対応していますが,先ほど例として挙げたvsftpdには,残念ながらこの実装が含まれていません。

それではFTP専用アカウント,ということを前提として,FTP認証用の属性などを設計してみましょう。最低限の情報としては表1のようなものになると思います。

表1 必要な属性

必要な項目必要な理由
ユーザ 認証に使用するためftpuser
パスワード認証に使用するためftppass
ホームディレクトリログイン時のホームディレクトリ/home/ftproot/ftpuser
UID番号ファイル作成時などに使用される10000
GID番号ファイル作成時などに使用される10000
グループ名(必要に応じて)ls-laなどでGID番号だけでなくグループ名が表示されるようにsales

標準スキーマで用意されている属性を使えば,ftpuserのエントリはリスト1のようになるはずです。

リスト1 LDIFで表現

# FTPグループ
dn: cn=sales,ou=FTPGroup,dc=example,dc=com
cn: sales
gidNumber: 10000

# FTPユーザ
dn: uid=ftpuser, ou=ftpuser, dc=example, dc=com
uid: ftpuser
userPassword: ftppass
homeDirectory: /home/ftproot/ftpuser
uidNumber: 10000
gidNumber: 10000

とりあえずは必要な属性のみを列挙してみましたが,すでに皆さんご存じのように,ある属性を使用するにはそれが属するobjectClassを定義する必要があります。上記のFTPグループではcngidNumber属性を使用しています。ということで,gidNumberというキーワードを/etc/openldap/schema以下からgrepしてみれば,目的のobjectClassがわかります。

gidNumberが含まれるobjectClassは次のように定義されています。

objectclass ( 1.3.6.1.1.1.2.2 NAME 'posixGroup' SUP top STRUCTURAL
        DESC 'Abstraction of a group of accounts'
        MUST ( cn $ gidNumber )
        MAY ( userPassword $ memberUid $ description ) )

ということで,cnとgidNumberが含まれている今回のエントリにobjectClass: posixGroupを追加しておくだけで良さそうです。グループではなくユーザ部分はどうなるでしょうか? 今度はuidNumberをキーワードにschemaディレクトリを検索してみます。次のようなエントリが見つかりました。

objectclass ( 1.3.6.1.1.1.2.0 NAME 'posixAccount' SUP top AUXILIARY
        DESC 'Abstraction of an account with POSIX attributes'
        MUST ( cn $ uid $ uidNumber $ gidNumber $ homeDirectory )
        MAY ( userPassword $ loginShell $ gecos $ description ) )

このposixAccountというobjectClassを使用するためには,先ほど列挙した内容以外にuid属性が必要となります(uid属性がMUSTと定義されているため)。さらに,このobjectClassはtopから派生し,補助オブジェクト(AUXILIARY)であることもわかります。補助オブジェクトとなっているobjectClassは単体で宣言することができません。補助オブジェクトはSTRUCTURALであるaccountなどのobjectClassと一緒に使用する必要があります。

著者プロフィール

中満英生(なかみつひでお)

大学時代に出会ったSolarisがきっかけでUNIXの世界へ。その後ホスティングプロバイダ,データセンターで実務経験を積む傍ら,雑誌記事の執筆や技術セミナーの講師を務める。サーバ設定の他,セキュリティに関する著作や技術者エッセイも執筆経験あり。

コメント

コメントの記入

パスサポ

多数の情報処理技術者試験対策書籍の発行実績を誇る技術評論社がお届けする,資格試験合格サイト「めざせ! 情報処理試験 パスサポ」が開設されました。

ピックアップ

サクセスストーリーに続く,快適サーバー運用管理のヒント!

データの増大,煩雑な管理,システムダウン,セキュリティなど,迫りくる課題からシステム管理者の負担を軽くするポイントを解説します。

gihyo.jp インフラエンジニア情報局

ネットワークやITにかかわるあらゆる業種で必要とされるインフラエンジニアに向けた技術情報や心構え,その魅力について多角的に紹介。

テストエンジニア ステーション

いま,ITに関わるあらゆる開発業務で注目されつつあるテスト系エンジニアをターゲットにしたコンテンツサイトを展開します。

一行クイックアンケート

gihyo.jpで取り上げてほしいネタは?

※検索はページ右上の検索ボックスをご利用ください。

その他の連載

キーパーソンが見るWeb業界

本連載はWeb Site Expert/gihyo.jpとの連動企画です。阿部淳也, 長谷川敦士, 森田雄のお三方による,Web業界をテーマにした座談会です。

きたみりゅうじの聞かせて珍プレー

ソフトウェア開発の現場で体験したトホホな失敗,思わずうなる珍プレーをきたみりゅうじ氏が四コママンガで紹介。みなさんからの投稿もお待ちしてます!

ActionScript 3.0で始めるオブジェクト指向スクリプティング

野中文雄氏が,簡単なスクリプトは書いたことがあるという初級者を対象に,ActionScript 3.0の基本からクラス定義までを解説します。

まだ間に合う「ITパスポート」受験対策 原山先生の短期合格塾

この連載では,4月18日のITパスポート試験の受験に向けて,短い期間で効率良く受験対策を行う方法や,確実に得点するための裏ワザなどを伝授していきます。

Ubuntu Weekly Recipe

Ubuntuの強力なデスクトップ機能を活用するための,いろいろなレシピをお届けします。

C/C++プログラマのためのDTrace入門

よくカーネルのチューニングや解析で活用されるDTraceですが,実はユーザプログラムの開発においても非常に有用です。連載ではC/C++プログラマやテストに関わる方向けにDTraceの使い方を解説します。

Blogopolisから学ぶ計算幾何

計算幾何学は,図形に関するアルゴリズムを研究するコンピュータサイエンスの一分野です。本連載では,ビジュアルブログ検索エンジン「Blogopolis」で採用されている計算幾何のアプローチを例に取り上げながら,計算幾何の初歩を実践的に学習します。

検索エンジンはいかにして動くのか?

本連載では, 今や誰もが利用している検索エンジンの中身を,全体の仕組みやデータ構造,アルゴリズムから分散インデックスまで,最近の研究事例も交えて紹介します。

連載一覧

gihyo.jp

  • DEVELOPER STAGE
  • ADMINISTRATOR STAGE
  • WEB+DESIGN STAGE
  • LIFESTYLE STAGE
  • SCIENCE STAGE
  • NEWS & REPORT

書籍案内

  • 新刊書籍
  • 書籍ジャンル一覧
  • 書籍シリーズ一覧
  • 新刊ピックアップ
  • ロングセラー
  • 電脳会議

定期刊行物一覧

  • Software Design
  • WEB+DB PRESS
  • Web Site Expert
  • 組込みプレス