13.6. OpenLDAP 設定の概要

13.6.1. /etc/openldap/slapd.confの編集

slapd LDAP サーバーを使用するには、その設定ファイル、 /etc/openldap/slapd.confを変更する必要があります。 このファイルを編集して正しいドメインとサーバーを指定しなければなりません。

suffixの行はLDAPサーバーが情報を提供する、 変更すべきドメイン名を示します：

suffix          "dc=your-domain,dc=com"

それを完全修飾のドメイン名が表示されるようにします。例えば：

suffix          "dc=example,dc=com"

rootdnエントリは、LDAPディレクトリ上の操作用に設定されたアクセス制御又は 管理制限パラメータで制限されていないユーザー用のDistinguished Name(区別名) (DN)です。 rootdnの ユーザーは、LDAPディレクトリのrootユーザーとも考えられます。設定ファイルの中で、 rootdnの行をデフォルトの値から、次の例の様に変更します：

rootdn          "cn=root,dc=example,dc=com"

ネットワーク上で LDAPディレクトリを充填する予定の場合、 rootpwの行を変更します。— デフォルトの値を暗号化したパスワード文字列で入れ換えます。 暗号化したパスワード文字列を生成するには、次のコマンドを 入力します：

slappasswd

パスワードの入力と確認用の再入力を求められます。そうすると プログラムは生成された暗号化パスワードの結果をターミナルに出力します。

次に、新規に作成された暗号化パスワードを>/etc/openldap/slapd.confの rootpwの行にコピーして、「#」サインを削除します。

終了すると、その行は次と同様な形になります：

rootpw {SSHA}vv2y+i6V6esazrIv70xSSnNAJE18bb2u

	警告
	/etc/openldap/slapd.confに指定してある rootpwディレクティブを含む LDAP パスワードは、TLS暗号化を有効にする場合以外は、ネットワーク 上に暗号化なしで送信されます。 TLS暗号化を有効にするには、/etc/openldap/slapd.conf内の 説明を再確認して、slapd.conf用のmanページを参照して 下さい。

セキュリティ強化の為には、LDAPディレクトリを充填した後でrootpw ディレクティブは、その行の先頭に「#」マークを付けてコメントアウト (無効化)します。

LDAPディレクトリを充填するために、ローカルで/usr/sbin/slapadd コマンドラインツールを使用している時は、rootpw ディレクティブは使う必要がありません。

	重要
	/usr/sbin/slapaddは rootとして操作する必要があります。 しかし、ディレクトリサーバーはldapユーザーとして作動 します。その為、ディレクトリサーバーはslapaddによって 作成されたファイルは何も変更することが出来ません。この問題を修正するには slapaddを使用した後で、次のコマンドを入力します： chown -R ldap /var/lib/ldap