CentOS 8で標準搭載! 「389-ds」で構築する 認証サーバーについて
2 likes8,007 views
RHEL8/CentOS8から標準になったLDAPサーバ「389-ds」の歴史や機能、インストール方法、管理方法などの概要です。
![35
389-ds
コマンドによる初期設定手順
[root@cent82 ~]# dscreate interactive
Install Directory Server (interactive mode)
===========================================
Enter system's hostname [cent82.3bit.co.jp]: [enter]
Enter the instance name [cent82]: [enter]
Enter port number [389]: [enter]
Create self-signed certificate database [yes]: [enter]
Enter secure port number [636]: [enter]
Enter Directory Manager DN [cn=Directory Manager]: [enter]
Enter the Directory Manager password: (パスワード)
Confirm the Directory Manager Password: (パスワード)
Enter the database suffix (or enter "none" to skip)
[dc=cent82,dc=3bit,dc=co,dc=jp]: dc=example,dc=jp
Create sample entries in the suffix [no]: [enter]
Create just the top suffix entry [no]: yes
Do you want to start the instance after the installation? [yes]: [enter]
Are you ready to install? [no]: yes
Starting installation...
Completed installation for cent82
[root@cent82 ~]# ps ax | grep dirsrv
6909 ? Ssl 0:02 /usr/sbin/ns-slapd -D /etc/dirsrv/slapd-cent82 -i /run/
dirsrv/slapd-cent82.pid](https://image.slidesharecdn.com/osc2020do-sunbit-draft-200627032409/85/CentOS-8-389-ds-35-320.jpg)
![40
389-dsの証明書管理
●
証明書ストアは /etc/dirsrv/インスタンスの直下
●
管理するコマンドは certutil, pk12util
(GUIはまだうまく動いていない様子)
●
CAは自己署名でよいが信頼フラグが必要
●
サーバ証明書はCAのサインが必要
[root@cent82 ~]# certutil -L -d /etc/dirsrv/slapd-centos82
Certificate Nickname Trust Attributes
SSL,S/MIME,JAR/XPI
Self-Signed-CA CT,,
Server-Cert u,u,u
[root@cent82 ~]#
C:Trusted CA
T: for client auth
u: have private key
信頼フラグは3カラム
SSLは最初のカラム](https://image.slidesharecdn.com/osc2020do-sunbit-draft-200627032409/85/CentOS-8-389-ds-40-320.jpg)
![41
[root@cent82 ~]# certutil -L -d /etc/dirsrv/slapd-centos82 -l -n Self-Signed-CA
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
00:b5:0c:de:e6
Signature Algorithm: PKCS #1 SHA-256 With RSA Encryption
Issuer:
"CN=ssca.389ds.example.com,O=testing,L=389ds,ST=Queensland,C=AU"
Validity:
Not Before: Fri Jun 19 02:51:11 2020
Not After : Sun Jun 19 02:51:11 2022
389-dsの証明書管理
●
自動作成した証明書は有効期間が2年
●
Replication, WindowsSyncではSSL/TLS必須
●
証明書を作り直したほうがよい](https://image.slidesharecdn.com/osc2020do-sunbit-draft-200627032409/85/CentOS-8-389-ds-41-320.jpg)
![42
[root@cent82 dirsrv]# openssl req -new -x509 -newkey rsa:4096 -out
cacert.pem -keyout cakey.pem -days 3652
Generating a RSA private key
......................++++
writing new private key to 'cakey.pem'
Enter PEM pass phrase: (パスフレーズ)
Verifying - Enter PEM pass phrase:(パスフレーズ)
-----
Country Name (2 letter code) [XX]:JP
State or Province Name (full name) []:Hokkaido
Locality Name (eg, city) [Default City]:Sapporo
Organization Name (eg, company) [Default Company Ltd]:Sunbit System
Organizational Unit Name (eg, section) []:Network Dept.
Common Name (eg, your name or your server's hostname) []:ca.example.jp
Email Address []:
[root@cent82 dirsrv]#
389-dsの証明書管理
●
CA自己署名証明書の作成](https://image.slidesharecdn.com/osc2020do-sunbit-draft-200627032409/85/CentOS-8-389-ds-42-320.jpg)
![43
[root@cent82 dirsrv]# openssl genrsa -out centos82.key 4096
Generating RSA private key, 4096 bit long modulus (2 primes)
........................................++++
[root@cent82 dirsrv]# openssl req -new -key centos82.key -out centos82.csr
-----
Country Name (2 letter code) [XX]:JP
...
Common Name (eg, your name or your server's hostname)
[]:centos82.example.jp
Email Address []:
[root@cent82 dirsrv]# openssl x509 -req -in centos82.csr -out centos82.crt -
days 3652 -CA cacert.pem -CAkey cakey.pem -set_serial 1
Signature ok
subject=C = JP, ST = Hokkaido, L = Sapporo, O = Sunbit System, OU = Network
Dept., CN = centos82.example.jp
Getting CA Private Key
Enter pass phrase for cakey.pem:
[root@cent82 dirsrv]#
389-dsの証明書管理
●
サーバ署名要求とCA署名の証明書作成](https://image.slidesharecdn.com/osc2020do-sunbit-draft-200627032409/85/CentOS-8-389-ds-43-320.jpg)
![44
[root@cent82 ~]# openssl pkcs12 -export -inkey cakey.pem -in cacert.pem -out
cacert.p12
Enter pass phrase for cakey.pem:(鍵作成時のパスフレーズ)
Enter Export Password:(p12ファイルのパスワード)
[root@cent82 ~]# openssl pkcs12 -export -inkey centos82.key -in centos82.crt -
out centos82.p12
Enter pass phrase for centos82.key:(鍵作成時のパスフレーズ)
Enter Export Password:(p12ファイルのパスワード)
389-dsの証明書管理
●
秘密鍵を含めて入れるためpkcs12形式にする](https://image.slidesharecdn.com/osc2020do-sunbit-draft-200627032409/85/CentOS-8-389-ds-44-320.jpg)
![45
[root@cent82 dirsrv]# pk12util -i cacert.p12 -d /etc/dirsrv/slapd-centos82 -k /
etc/dirsrv/slapd-centos82/pwdfile.txt
Enter password for PKCS12 file:
pk12util: no nickname for cert in PKCS12 file.
pk12util: using nickname: ca.example.jp - Sunbit System
pk12util: PKCS12 IMPORT SUCCESSFUL
[root@cent82 dirsrv]# pk12util -i centos82.p12 -d /etc/dirsrv/slapd-centos82 -
k /etc/dirsrv/slapd-centos82/pwdfile.txt
Enter password for PKCS12 file:
pk12util: no nickname for cert in PKCS12 file.
pk12util: using nickname: centos82.example.jp - Sunbit System
pk12util: PKCS12 IMPORT SUCCESSFUL
389-dsの証明書管理
●
pkcs12形式を証明書ストアに入れる
●
pkcs12形式を扱うコマンドは 'pk12util'
●
証明書ストアパスワードは pwdfile.txtにある](https://image.slidesharecdn.com/osc2020do-sunbit-draft-200627032409/85/CentOS-8-389-ds-45-320.jpg)
![46
[root@cent82 dirsrv]# certutil -M -d /etc/dirsrv/slapd-centos82/ -n
'ca.example.jp - Sunbit System' -t "CT,," -f
/etc/dirsrv/slapd-centos82/pwdfile.txt
[root@cent82 dirsrv]# certutil -L -d /etc/dirsrv/slapd-centos82/
Certificate Nickname Trust Attributes
SSL,S/MIME,JAR/XPI
Self-Signed-CA CT,,
Server-Cert u,u,u
ca.example.jp - Sunbit System CTu,u,u
centos82.example.jp - Sunbit System u,u,u
389-dsの証明書管理
●
CA証明書の信頼フラグに'CT'を加える](https://image.slidesharecdn.com/osc2020do-sunbit-draft-200627032409/85/CentOS-8-389-ds-46-320.jpg)
![47
[root@cent82 dirsrv]# systemctl stop dirsrv@centos82
[root@cent82 dirsrv]# vi /etc/dirsrv/slapd-centos82/dse.ldif
[root@cent82 dirsrv]# systemctl start dirsrv@centos82
389-dsの証明書管理
●
ディレクトリサーバを停止する
●
dse.ldifの証明書名を書き換える
●
ディレクトリサーバを起動する](https://image.slidesharecdn.com/osc2020do-sunbit-draft-200627032409/85/CentOS-8-389-ds-47-320.jpg)
![49
389-dsの証明書管理
●
起動したらLDAPSポートを接続確認
[root@cent82 slapd-centos82]# openssl s_client -connect localhost:636 -state
CONNECTED(00000003)
SSL_connect:before SSL initialization
SSL_connect:SSLv3/TLS write client hello
SSL_connect:SSLv3/TLS write client hello
Can't use SSL_get_servername
SSL_connect:SSLv3/TLS read server hello
depth=1 C = JP, ST = Hokkaido, L = Sapporo, O = Sunbit System, OU =
Network Dept., CN = ca.example.jp
verify error:num=19:self signed certificate in certificate chain
verify return:1
depth=1 C = JP, ST = Hokkaido, L = Sapporo, O = Sunbit System, OU =
Network Dept., CN = ca.example.jp
verify return:1
depth=0 C = JP, ST = Hokkaido, L = Sapporo, O = Sunbit System, OU =
Network Dept., CN = centos82.example.jp
verify return:1](https://image.slidesharecdn.com/osc2020do-sunbit-draft-200627032409/85/CentOS-8-389-ds-49-320.jpg)
CentOS 8で標準搭載! 「389-ds」で構築する 認証サーバーについて
- 3. 3 389-dsとは ● LDAPv3サーバ ● Fedora Projectで開発 ● https://directory.fedoraproject.org/ ● GPLv3で配布 ● 389-ds ≒ Redhat Directory Server ● RHEL, Fedora, CentOSは標準装備 ● 「信頼性」「パフォーマンス」「スケーラ ビリティ」がキャッチフレーズ
- 6. 6 389-dsとは:成り立ち ● 起源はiPlanetDS | NetscapeDS ● iPlanet : Netscapeを買収したAOLとSun Microsystemsとの提携ブランド ● Sun Microsystemsは innosoftを買収。各社の コードをiPlanetにマージ ● 2001/03 iPlanet提携解消 ● SunOneとNetscapeにコードがfork ● 2004/03 RedHatがNetscapeの権利取得 ● 2005/05 RedHatがFedore DSをリリース ● 2009/05 FDS > 389に改名
- 7. 7 389-dsとは: 成り立ち ● iPlanet以前 ● 1990 X.500 ディレクトリ標準化 ● 1993 Novell Netware Directory Server ● 1993/07 RFC1487 UM-LDAP Tim Howes (of the University of Michigan) Steve Kille, Wengyik Yeong ● 1995/03 RFC1777 UM-LDAP3 ● 1996 NetScape Directory Server ● 1997 Sun Directory Server 1.0 ● 1998/08 OpenLDAP 1.0
- 8. 8 389-dsとは: 成り立ち ● OpenLDAP, SunDS, NetscapeDSは UM-LDAP3を参照して開始された ● 根源は同じでもコードは別モノ ● SunDSはiPlanetによりNDS由来に変わる ● Novellは独自路線で1999にLDAP準拠 https://www.identityfusion.com/the-most-complete-history-of- directory-services-you-will-ever-find/ https://ldapwiki.com/wiki/History%20of%20LDAP
- 9. 9 389dsにまつわるLDAP実装 1993/07 RFC1487 DAP 1995/03 RFC1777 LDAP 1997/11 RFC2252 LDAPv3 1998/01 Netscape DS 1998/08 OpenLDAP1 2000/08 OpenLDAP2 1996 Netscape 1999 Novell eDirectory 1993 Novell Netware Directory Server 2014 Microforcus NetIQ eDirectory 2000 Microsoft Active Directory 1999 AOL-SUN iPlanet 2001/03 Sun Sun DSEE 2010 Oracle Directory Server 2005/05 RedHat RedHat Directory Server 2003/03 RFC3494 LDAPv2 2002/09 RFC3377 LDAPv3 2006/06 RFC4510-4519, 4522-4533 LDAPv3 echnical Specification Road Map 2007/08 RFC5020 LDAP entryDN Operational Attribute 2005 Sun OpenDS (OSS) 2005 OpenDJ (OSS) 2001 Fedra Netscape Directory Server 2005/07 Fedra Fedora DS (OSS) 2009/08 Fedora 389 Directory Server (OSS) 2005/05 Apache Apache Directory Server (OSS) UM-LDAP UM-LDAP 3.2|3.3 2001/03 Sun SunOne 1990 X.500 標準化 2011/12 Oracle Unified Directory 1997 SUN Sun DS 1.0 1998 Critical Angle Inc. 2000/03 Sun が買収 1998/04 innosoft International ds 4.1 1990 1995 2000 2005 2010 2015 2020
- 11. 11 なぜ389 dsなのか ● GUI操作 ● 1.3系まではjavaによる管理コンソール ● 1.4系からcockpitプラグインによる管理 – サービス再起動、停止、設定値変更 – レプリケーション定義 – ログ出力 – バックアップ/リストア ● 現在のところDIT操作インタフェースはない = Apache Directory Studio等が必要
- 12. 12 なぜ389 dsなのか ● Windows Active Directory 同期 ● Windows Sync Agreement ● 双方向または片方向の同期が可能 – LDAPで変更したパスワードをADに同期 – ADの変更はpasssyncプログラムで対応 – ユーザ、グループの同期が可能 ● OUの変更には対応できない ● Fedora DS 7.1(2004/後半)からある機能
- 13. 13 なぜ389 dsなのか ● RedHatの公式なマニュアルがある ● 1.4.1 == Redhat Directory Server 11.1 (1.4.2のマニュアルは今はまだ) ● 現状、英語版のみ https://access.redhat.com/documentation/ ja-jp/red_hat_directory_server/11/ 用意するつもりはある、ってことかと?
- 31. 31 389-ds インストール ● よく見るインストール手順 ● 確認:dnf module list | grep 389 389-ds 1.4 389 Directory Server (base) ● 有効化: dnf module enable 389-ds ● インストール: dnf install 389-ds-base ● この手順はRHEL/CentOSではcockpit環境 を得られない ● RedHatはIDMの一部と捉えている様子
- 32. 32 389-ds インストール ● port389.orgにある手順 ● EPELを入れる:dnf install epel-release ● EPELの389-directory-serverモジュールから インストールする(RHEL/CentOS8.1以降) dnf module install 389-directory-server:stable/default ● インストールされるパッケージ python3-lib389 389-ds-base-libs cockpit-389-ds 389-ds-base
- 33. 33 389-ds インストール ● cockpitは有効化しておきましょう systemctl enable cockpit.socket systemctl start cockpit.socket
- 35. 35 389-ds コマンドによる初期設定手順 [root@cent82 ~]# dscreate interactive Install Directory Server (interactive mode) =========================================== Enter system's hostname [cent82.3bit.co.jp]: [enter] Enter the instance name [cent82]: [enter] Enter port number [389]: [enter] Create self-signed certificate database [yes]: [enter] Enter secure port number [636]: [enter] Enter Directory Manager DN [cn=Directory Manager]: [enter] Enter the Directory Manager password: (パスワード) Confirm the Directory Manager Password: (パスワード) Enter the database suffix (or enter "none" to skip) [dc=cent82,dc=3bit,dc=co,dc=jp]: dc=example,dc=jp Create sample entries in the suffix [no]: [enter] Create just the top suffix entry [no]: yes Do you want to start the instance after the installation? [yes]: [enter] Are you ready to install? [no]: yes Starting installation... Completed installation for cent82 [root@cent82 ~]# ps ax | grep dirsrv 6909 ? Ssl 0:02 /usr/sbin/ns-slapd -D /etc/dirsrv/slapd-cent82 -i /run/ dirsrv/slapd-cent82.pid
- 40. 40 389-dsの証明書管理 ● 証明書ストアは /etc/dirsrv/インスタンスの直下 ● 管理するコマンドは certutil, pk12util (GUIはまだうまく動いていない様子) ● CAは自己署名でよいが信頼フラグが必要 ● サーバ証明書はCAのサインが必要 [root@cent82 ~]# certutil -L -d /etc/dirsrv/slapd-centos82 Certificate Nickname Trust Attributes SSL,S/MIME,JAR/XPI Self-Signed-CA CT,, Server-Cert u,u,u [root@cent82 ~]# C:Trusted CA T: for client auth u: have private key 信頼フラグは3カラム SSLは最初のカラム
- 41. 41 [root@cent82 ~]# certutil -L -d /etc/dirsrv/slapd-centos82 -l -n Self-Signed-CA Certificate: Data: Version: 3 (0x2) Serial Number: 00:b5:0c:de:e6 Signature Algorithm: PKCS #1 SHA-256 With RSA Encryption Issuer: "CN=ssca.389ds.example.com,O=testing,L=389ds,ST=Queensland,C=AU" Validity: Not Before: Fri Jun 19 02:51:11 2020 Not After : Sun Jun 19 02:51:11 2022 389-dsの証明書管理 ● 自動作成した証明書は有効期間が2年 ● Replication, WindowsSyncではSSL/TLS必須 ● 証明書を作り直したほうがよい
- 42. 42 [root@cent82 dirsrv]# openssl req -new -x509 -newkey rsa:4096 -out cacert.pem -keyout cakey.pem -days 3652 Generating a RSA private key ......................++++ writing new private key to 'cakey.pem' Enter PEM pass phrase: (パスフレーズ) Verifying - Enter PEM pass phrase:(パスフレーズ) ----- Country Name (2 letter code) [XX]:JP State or Province Name (full name) []:Hokkaido Locality Name (eg, city) [Default City]:Sapporo Organization Name (eg, company) [Default Company Ltd]:Sunbit System Organizational Unit Name (eg, section) []:Network Dept. Common Name (eg, your name or your server's hostname) []:ca.example.jp Email Address []: [root@cent82 dirsrv]# 389-dsの証明書管理 ● CA自己署名証明書の作成
- 43. 43 [root@cent82 dirsrv]# openssl genrsa -out centos82.key 4096 Generating RSA private key, 4096 bit long modulus (2 primes) ........................................++++ [root@cent82 dirsrv]# openssl req -new -key centos82.key -out centos82.csr ----- Country Name (2 letter code) [XX]:JP ... Common Name (eg, your name or your server's hostname) []:centos82.example.jp Email Address []: [root@cent82 dirsrv]# openssl x509 -req -in centos82.csr -out centos82.crt - days 3652 -CA cacert.pem -CAkey cakey.pem -set_serial 1 Signature ok subject=C = JP, ST = Hokkaido, L = Sapporo, O = Sunbit System, OU = Network Dept., CN = centos82.example.jp Getting CA Private Key Enter pass phrase for cakey.pem: [root@cent82 dirsrv]# 389-dsの証明書管理 ● サーバ署名要求とCA署名の証明書作成
- 44. 44 [root@cent82 ~]# openssl pkcs12 -export -inkey cakey.pem -in cacert.pem -out cacert.p12 Enter pass phrase for cakey.pem:(鍵作成時のパスフレーズ) Enter Export Password:(p12ファイルのパスワード) [root@cent82 ~]# openssl pkcs12 -export -inkey centos82.key -in centos82.crt - out centos82.p12 Enter pass phrase for centos82.key:(鍵作成時のパスフレーズ) Enter Export Password:(p12ファイルのパスワード) 389-dsの証明書管理 ● 秘密鍵を含めて入れるためpkcs12形式にする
- 45. 45 [root@cent82 dirsrv]# pk12util -i cacert.p12 -d /etc/dirsrv/slapd-centos82 -k / etc/dirsrv/slapd-centos82/pwdfile.txt Enter password for PKCS12 file: pk12util: no nickname for cert in PKCS12 file. pk12util: using nickname: ca.example.jp - Sunbit System pk12util: PKCS12 IMPORT SUCCESSFUL [root@cent82 dirsrv]# pk12util -i centos82.p12 -d /etc/dirsrv/slapd-centos82 - k /etc/dirsrv/slapd-centos82/pwdfile.txt Enter password for PKCS12 file: pk12util: no nickname for cert in PKCS12 file. pk12util: using nickname: centos82.example.jp - Sunbit System pk12util: PKCS12 IMPORT SUCCESSFUL 389-dsの証明書管理 ● pkcs12形式を証明書ストアに入れる ● pkcs12形式を扱うコマンドは 'pk12util' ● 証明書ストアパスワードは pwdfile.txtにある
- 46. 46 [root@cent82 dirsrv]# certutil -M -d /etc/dirsrv/slapd-centos82/ -n 'ca.example.jp - Sunbit System' -t "CT,," -f /etc/dirsrv/slapd-centos82/pwdfile.txt [root@cent82 dirsrv]# certutil -L -d /etc/dirsrv/slapd-centos82/ Certificate Nickname Trust Attributes SSL,S/MIME,JAR/XPI Self-Signed-CA CT,, Server-Cert u,u,u ca.example.jp - Sunbit System CTu,u,u centos82.example.jp - Sunbit System u,u,u 389-dsの証明書管理 ● CA証明書の信頼フラグに'CT'を加える
- 47. 47 [root@cent82 dirsrv]# systemctl stop dirsrv@centos82 [root@cent82 dirsrv]# vi /etc/dirsrv/slapd-centos82/dse.ldif [root@cent82 dirsrv]# systemctl start dirsrv@centos82 389-dsの証明書管理 ● ディレクトリサーバを停止する ● dse.ldifの証明書名を書き換える ● ディレクトリサーバを起動する
- 48. 48 389-dsの証明書管理 ● /etc/dirsrv/インスタンス/dse.conf の書換 dn: cn=RSA,cn=encryption,cn=config objectClass: top objectClass: nsEncryptionModule cn: RSA nsSSLPersonalitySSL: centos82.example.jp - Sunbit System nsSSLActivation: on nsSSLToken: internal (software) dn: cn=encryption,cn=config objectClass: top objectClass: nsEncryptionConfig cn: encryption nsSSLSessionTimeout: 0 nsSSLClientAuth: allowed CACertExtractFile: /etc/dirsrv/slapd-centos82/ca.example.jp.pem modifiersName: cn=server,cn=plugins,cn=config modifyTimestamp: 20200619032219Z numSubordinates: 1 ここを書き換えると 指定の証明書が使用される CA証明書を保存するファイル名 書き換えなくても問題はない
- 49. 49 389-dsの証明書管理 ● 起動したらLDAPSポートを接続確認 [root@cent82 slapd-centos82]# openssl s_client -connect localhost:636 -state CONNECTED(00000003) SSL_connect:before SSL initialization SSL_connect:SSLv3/TLS write client hello SSL_connect:SSLv3/TLS write client hello Can't use SSL_get_servername SSL_connect:SSLv3/TLS read server hello depth=1 C = JP, ST = Hokkaido, L = Sapporo, O = Sunbit System, OU = Network Dept., CN = ca.example.jp verify error:num=19:self signed certificate in certificate chain verify return:1 depth=1 C = JP, ST = Hokkaido, L = Sapporo, O = Sunbit System, OU = Network Dept., CN = ca.example.jp verify return:1 depth=0 C = JP, ST = Hokkaido, L = Sapporo, O = Sunbit System, OU = Network Dept., CN = centos82.example.jp verify return:1
- 50. 50 Windows AD同期と証明書 389-ds Windows Active Directory ssh/xdm POP/IMAP FTP Winsync Agreement パスワード同期 ユーザ情報同期 LDAP参照 認証の提供 属性値の提供 Windowsネイティブ環 境 認証 パスワード変更 ユーザ情報変更 389-ds 389-ds マルチマスタ この通信はLDAPS/startTLS が必須
- 54. 54 Windows AD同期設定 ● 「Replication」>「Winsync Agreement」 指定したツリー配下が同期 コンテナの同期は対応していない (OUをそれぞれに作る必要)
- 55. 55 Windows AD同期 そのまま同期するもの 同期しないもの description destinationIndicator facsimileTelephoneNumber givenName homePhone homePostalAddress initials l mail mobile o ou pager physicalDeliveryOfficeName postOfficeBox postalAddress postalCode registeredAddress sn st telephoneNumber teletexTerminalIdentifier telexNumber title userCertificate 公開された証明書 x121Address LDAP属性 ADのプロパティ名 全般:説明 電話:FAX番号 全般:名 全般:電話番号 全般:イニシャル 住所:市町村区 全般:電子メール 電話:携帯電話 電話:ポケットベル 全般:事業所 住所:私書箱 住所:郵便番号 全般:姓 住所:都道府県 電話:自宅 組織:役職 campany department info wWWHomePage LDAP属性 ADのプロパティ名 組織:会社名 組織:部署 電話:メモ 全般:WEBページ
- 56. 56 Windows AD同期 Mapして同期するもの 一般的な名称 備考 アカウント名 uid cn 識別名 cn cn 名前 cn name ntUserDomainId sMAccountName アカウント パスワード userPassword unicodePwd 最終ログオン時刻 ntUserLastLogon lastLogonTimestam[p 最終ログオフ時刻 ntUserLastLogoff lastLogoffTimestam[p アカウント無効 ntUserAcctExpires accountExpire ログオン時間 ntUserLogonHours logonHours パスワード userPassword unicodePwd プロファイルパス ntUserProfile profilePath ユーザプロファイルのパス ログオンスクリプト ntUserScriptPath scriptPath ログオンスクリプトのパス ホームフォルダ ntUserHomeDir homeDirectory ホームディレクトリ位置 ストレージ容量 ntUserMaxStrage maxStrage ユーザパラメータ ntUserParams userParameters ワークステーション ntUserWorkstations userWorkstatiojns 一般的な属性 codePage ntUserCodePage codePage コメント ntUserComment comment 組織:上司 manager manager seealso seealso street StreetAddress × street LDAPの登録属性 Active Directoryの登録属性 LDAP->windowsかつwindowsにない時作成 windows->LDAPのときのみ windowsログオン名 Windows ADからは passsyncが必要 windows->LDAPのみ windows->LDAPのみ Windows ADからは passsyncが必要 Windowsプロファイル等 AD内部のコードページ情報 DNに変換して格納 DNに変換して格納 住所:番地 IETFではaliasだがwindowsは別にあるため →windowsのときのみ windowsからstreet属性が来た場合は書き込まない
- 57. 57 余談: IdSync for Windows ● Sun Java System Identity Sychronization for Windows (2004/前半) ● Windows2000ADとの同期機能 ● 同期の方法はFedora DSとは異なる ● Windowsからのパスワード変更がWindows不 可侵で受け取れる
- 58. 58 性能 ● 次のようなエントリを10万件登録/削除 # test00001, people, example.jp dn: uid=test00001,ou=people,dc=example,dc=jp objectClass: top objectClass: person objectClass: organizationalPerson objectClass: inetOrgPerson ou: people cn: test00001 sn: test givenName: 00001 uid: test00001 mail: [email protected] userPassword: test00001 telephoneNumber: +81 11 001 0001 l: Hokkaido roomNumber: 00001
- 59. 59 性能 機材 CentOS 8.2 VirtualBox 4CPU 4Gmem (Thinkpad X1 Corei7 2.7GHz) 条件 389-ds password hash をSHA256に変更 bdb time ldapadd -D 'cn=Directory Manager' -W -x -f testadd.ldif OpenLDAP 2.4 olcDbMaxSizeを10M →1GB mdb time ldapadd -D 'cn=manager,dc=example,dc=jp' -W - x -f testadd.ldif 1万追加 real 0m46.343s user 0m0.449s sys 0m0.612s real 1m26.181s user 0m0.430s sys 0m0.659s 1万削除 real 0m47.710s user 0m0.307s sys 0m0.484s real 1m20.794s user 0m0.230s sys 0m0.409s 10万追加 real 8m36.313s user 0m4.476s sys 0m6.423s real 23m34.480s user 0m3.916s sys 0m5.604s 10万削除 real 8m3.592s user 0m2.569s sys 0m4.784s real 14m30.160s user 0m2.266s sys 0m4.028s
- 63. 63 宣伝:ShapeLDAP 定形LDAPツリーのユーザ管理WEBアプリケーション • 必要最小限のユーザ情報+エントリテンプレートで登録 • 管理者/パスワード管理者/ユーザの権限 • CSVによるユーザ登録/削除機能 • 389-dsの機能でWindows AD同期 • 実はSun Java DSの時代からやってます • 大学等、定形で毎年大量のユーザ登録が発生する環境で LDAPユーザ管理+Windowsユーザ管理を一元化したい 場合にお役に立ちます。
- 64. 64 宣伝:ShapeLDAP
- 65. 65 有限会社サンビットシステム • 1998年8月設立 • 2009年より札幌市豊平区平岸 • 今年のフレーズ: オープンソースの活用で社会貢献 ● 港営業務システム「あまつみ®」の開発・運用 ● ShapeLDAP開発、販売 ● ITインフラ構築、ITシステム設計支援 ● ソフトウエア受託開発,パッケージ開発 ● IT教育など