【OpenLDAP】Samba 向け認証基盤を構築する

Debian 10.10 に OpenLDAP をセットアップし、QNAP (Samba) の認証基盤にする。

手順は下記の通り。

OpenLDAP のインスト－ル
Samba Schema のセットアップ
smbldap-tools のインスト－ル及びセットアップ
smbldap-populate 実行
Samba 認証ユ－ザ－登録

1.OpenLDAP のインスト－ル

下記コマンドを実行して、必須モジュ－ルのインスト－ル

apt install slapd ldap-utils

IP アドレス、ドメイン等は事前にセットアップしておく事

インスト－ル中に LDAP 管理者パスワ－ドとして登録するパスワ－ド入力が求められる

下記コマンドで LDAP の構成が確認できる。

slapcat

2.Samba Schema のセットアップ

1.Samba インスト－ル

下記コマンドを実行して、Samba をインスト－ルする。

apt install samba

LDAP にセットアップする Samba Schema を入手する為で、サ－ビスとして稼働はしない

2.Samba 関連サ－ビス停止

下記コマンドを実行して、Samba 関連サ－ビスを停止させる。

systemctl stop smbd
systemctl disable smbd

systemctl stop nmbd
systemctl disable nmbd

3.Samba Schema セットアップ

下記コマンドを実行して、Samba Schema をセットアップする。

cp /usr/share/doc/samba/examples/LDAP/samba.schema.gz /etc/ldap/schema
cp /usr/share/doc/samba/examples/LDAP/samba.ldif.gz /etc/ldap/schema

gunzip /etc/ldap/schema/samba.schema.gz
gunzip /etc/ldap/schema/samba.ldif.gz

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/samba.ldif

3.smbldap-tools のインスト－ル及びセットアップ

1.smbldap-tools のインスト－ル

下記コマンドを実行して、Samba 認証用ユ－ザ－管理に使用する smbldap-tools をインスト－ルする。

apt install smbldap-tools

2.設定ファイル準備

下記コマンドを実行して、smbldap-tools 設定ファイルのテンプレ－トをコピ－する。

cp /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz /etc/smbldap-tools
cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools

gunzip /etc/smbldap-tools/smbldap.conf.gz

chmod 600 /etc/smbldap-tools/smbldap_bind.conf

3.設定ファイル修正

『/etc/smbldap-tools/smbldap.conf』を編集する。

28行目付近。

##################################################
#
# General Configuration
#
##################################################

# Put your own SID. To obtain this number do: "net getlocalsid".
# If not defined, parameter is taking from "net getlocalsid" return
SID="認証したい QNAP (Samba) の SID"

# Domain name the Samba server is in charged.
# If not defined, parameter is taking from smb.conf configuration file
# Ex: sambaDomain="IDEALX-NT"
sambaDomain="LDAP 識別名のドメイン部"

57行目付近。

# Slave LDAP server URI
# Ex: slaveLDAP=ldap://slave.ldap.example.com/
# If not defined, parameter is set to "ldap://127.0.0.1/"
# slaveLDAP="ldap://ldap.example.com/"

# Master LDAP server URI: needed for write operations
# Ex: masterLDAP=ldap://master.ldap.example.com/
# If not defined, parameter is set to "ldap://127.0.0.1/"
# masterLDAP="ldap://ldap.example.com/"

# Use TLS for LDAP
# If set to 1, this option will use start_tls for connection
# (you must also used the LDAP URI "ldap://...", not "ldaps://...")
# If not defined, parameter is set to "0"
ldapTLS="0"

LDAP サ－バ 1 台構成、TLS 無しとする設定

89行目付近。

# LDAP Suffix
# Ex: suffix=dc=IDEALX,dc=ORG
suffix="LDAP のベ－ス DN"

『/etc/smbldap-tools/smbldap_bind.conf』を編集して管理者パスワ－ドと管理者 DN を設定する。

4.smbldap-populate 実行

下記コマンドを実行して Samba 認証環境構築に必要なデ－タを投入する。

smbldap-populate

インスト－ル中に Domain Root パスワ－ドとして登録するパスワ－ド入力が求められる

5.Samba 認証ユ－ザ－登録

下記コマンドを実行して Samba 認証ユ－ザ－を登録する。

smbldap-useradd -a -u uid (1000 番以降) 登録するユ－ザ－ ID
smbldap-passwd ユ－ザ－ ID

下記コマンドを実行して Samba 認証ユ－ザ－の GIDを登録する。

smbldap-groupadd -a -g GID (500 番以降) 登録するグル－プ ID
smbldap-groupmod -m 所属させるユ－ザ－ ID (カンマ区切り) グル－プ

Meaningless Notebook