そろそろLDAPにしてみないか?
第6回 OpenSSHの公開鍵をLDAPで管理
公開鍵管理の概要
読者の皆さんの多くはリモートメンテナンスのために,各サーバでsshデーモンを動作させているはずです。しかしtelnetではなくsshにすればそれだけで安心安全,というわけではありません。共通鍵認証ではそれぞれの通信自体は暗号化されているとはいえ,近年では総当たり攻撃のターゲットとなっているケースも非常に多くセキュリティ的に安心できるものではないためです。皆さんはちゃんとRSAやDSAによる公開鍵認証を利用されていますか?
公開鍵認証のメリットは,共通鍵認証と比較して,より安全な認証を実現することができる点にあります。その一方,クライアント側には秘密鍵ファイルと多くの場合はパスフレーズが,サーバ側には公開鍵ファイルが必要になるため,デメリットとしてユーザ数が多いとそれらの管理も煩雑になることが挙げられます。
たとえば管理対象のサーバが100台あるとすれば,あるユーザの入社時,退職時には100台のサーバの公開鍵情報を追加,削除しなければなりません。当然これらの作業はシェルスクリプトなどで半自動化されているのが望ましいのですが,LDAPサーバを有効活用することで,さらにその手間を軽減させることができます。公開鍵情報をそのままLDAP上に登録しておき,sshdプロセスがLDAP上の公開鍵情報を参照してくれれば良いのです。この方式であれば,入社時にはLDAPサーバに対して鍵をldapadd,退職時には同様にldapdeleteするだけで非常に作業が楽になります。
OpenSSHのインストール
sshデーモンと聞いて皆さんが真っ先に思いつくのはOpenSSHでしょう。もともとOpenBSD向けのソフトウェアでしたが,さまざまなプラットフォームに移植されており,SSHサーバを実現するためのデファクトスタンダードであると言って過言ではありません。
本稿執筆時のOpenSSHの最新バージョンは4.7p1です。バージョンが上がるにつれ,さまざまな機能が追加されているのですが,ソース中からgrepしてみればわかるとおり,最新版も実はそれだけでLDAP認証に対応しているわけではありません。
公開鍵をLDAP上に格納し,それをsshdプロセスから参照させるためにはパッチが必要となります。http://dev.inversepath.com/trac/openssh-lpkより最新のパッチをダウンロードしてください。執筆時の最新バージョンはopenssh-lpk-4.6p1-0.3.9.patchでしたが,4.7p1にも問題なく適用することができました(図1)。
図1 パッチの適用とOpenSSHのインストール
% tar zxfv openssh-4.7p1.tar.gz % cd openssh-4.7p1 % patch -p2 < ../openssh-lpk-4.6p1-0.3.9.patch % ./configure --with-ldap && make # make install
今回は便宜上,--with-ldapオプションのみ利用していますので,必要に応じてその他のオプションを有効にしてください。インストール後,lddコマンドでバイナリのライブラリ依存を確認し,LDAPライブラリがうまくリンクされていれば成功です。パッチが当たっているかはデフォルトの設定ファイルからも確認することもできます。
図2 lddコマンドによるライブラリの確認
% ldd /usr/local/sbin/sshd | egrep '(ldap|lber)'
libldap-2.2.so.7 => /usr/lib/libldap-2.2.so.7 (0x00a8d000)
liblber-2.2.so.7 => /usr/lib/liblber-2.2.so.7 (0x0035c000)
図3 設定ファイルの確認
% grep -i ldap /usr/local/etc/sshd_config
なお,ディストリビューションによってはLDAP対応OpenSSHが配布されている場合があります。たとえばGentoo Linuxの場合,
# USE=LDAP emerge openssh
とすればLDAP対応版のOpenSSHがインストールできますし,Mandriva Linuxの場合は
# rpmbuild --rebuild openssh-4.3p2-12mdv2007.0.src.rpm --with ldap
のような形でバイナリパッケージを作成することができます。詳細については上記パッチ配布サイトのドキュメントを参照してみてください。後々のメンテナンスを考えるとパッケージからの導入をお勧めします。
スキーマ設定
今回の目標は,ユーザの公開鍵情報をLDAP上に格納し,sshdプロセスにそれを参照させることです。
過去の記事でも述べましたように,LDAP上に何らかの値を登録する際には,そのデータ用のスキーマという箱のようなものが必要になります。userPasswordやtelephoneNumberなどの属性は多くのソフトウェアから参照されるため,標準のスキーマに含まれているのですが,OpenLDAPの公開鍵用のスキーマは一般的なものではありませんので,ユーザ自身で準備する必要があります。
しかし,ゼロから作成する必要はありません。先ほどのサイトでパッチとともにスキーマファイルが配布されているので,ありがたくそのまま利用させて頂くことにしましょう。
http://dev.inversepath.com/trac/openssh-lpkよりopenssh-lpk_openldap.schemaをダウンロードし,/etc/openldap/schema以下に保存しておきます。/etc/openldap/slapd.confでは,このファイルを参照できるようリスト1の構文を追加しておき,slapdプロセスを再起動させておきましょう。
リスト1 /etc/openldap/slapd.confに追加する1行
include /etc/openldap/schema/openssh-lpk_openldap.schema
なお,LDAPスキーマに関しては,日本LDAPユーザ会の太田さんがわかりやすい資料を作成されています。LDAPユーザ会メーリングリストの投稿数はまだそれほど多くないのですが,まだの方はぜひメーリングリストにも参加してみてください。
ではデータを登録してみます。普段ssh接続に使用している公開鍵ファイル,つまりサーバ側で通常authorized_keys2という名前で保存されているファイルを用意してください。通常であれば皆さんはクライアント側の~/.ssh/id_rsa.pubまたは~/.ssh/id_dsa.pubというファイルを公開鍵として使用されているはずです。公開鍵認証を使用されていない読者の方もいらっしゃるでしょうから,今回は公開鍵の作成から行っていくこととしましょう。
中満英生(なかみつひでお)
大学時代に出会ったSolarisがきっかけでUNIXの世界へ。その後ホスティングプロバイダ,データセンターで実務経験を積む傍ら,雑誌記事の執筆や技術セミナーの講師を務める。サーバ設定の他,セキュリティに関する著作や技術者エッセイも執筆経験あり。
![[改訂第3版] SQLポケットリファレンス](http://image.gihyo.co.jp/assets/images/cover/2009/thumb/TH40_9784774138350.jpg){kind=small}
![[改訂3版]図解でよくわかる ネットワークの重要用語解説](http://image.gihyo.co.jp/assets/images/cover/2009/thumb/TH40_9784774138213.jpg){kind=small}
![[改訂新版]これだけはおさえたい データベース 基礎の基礎](http://image.gihyo.co.jp/assets/images/cover/2009/thumb/TH40_9784774139937.jpg){kind=small}
