[Centos6] OpenLDAP(2)

OpenLDAPの構築第2弾

今回はSSHログインの際の公開鍵をLDAPで管理します。

OpenLDAPの初期設定は(1)を参照してください(前提条件も(1)にあるのでご注意ください)

  • LDAP用SSH拡張がインストールされていること
  • LDAP設定内にOpenSSHのスキーマ定義が入っていること

さっそく設定に入ります

# vi /etc/ssh/ldap.conf

uri ldap://127.0.0.1/
base dc=example,dc=local
binddn cn=Manager,dc=example,dc=local
bindpw password
host 127.0.0.1

ssl no

パスワードを記述しているのでパーミッションは600にしておきます

# chmod 600 /etc/ssh/ldap.conf

SSHの設定を開きます(SSHの基本的な設定は省略します)

# vi /etc/ssh/sshd_config

PubkeyAuthentication yes

AuthorizedKeysCommand /usr/libexec/openssh/ssh-ldap-wrapper
AuthorizedKeysCommandRunAs root

あとあとでいいんですが、PasswordAuthenticationは無効にしとくとよいです(今無効になっているなら有効にしたほうがいいです。鍵でログインできなくなるかもしれないので)

SSHサーバを再起動します(既存のセッションはなにかあったとき用に残しておく)

/etc/init.d/sshd restart

サーバ側の準備はこんなもんです
鍵ログインするユーザ側の設定を変更します。LdapAdminでやります

ldapadmin2

どうしても見せられないよ!だらけになってしまいます。
左側のObjectClassにldapPublicKeyを追加します。そうすると右側の属性にsshPublicKeyを追加できるようになります
sshPublicKeyには今まではホームディレクトリ配下していたはずの/home/user/.ssh/authorized_keys2の内容を1行で入力します
これで保存します。

LDAPサーバから公開鍵が取れるか次のコマンドでテストします

# /usr/libexec/openssh/ssh-ldap-wrapper username

これで鍵のテキストが出力されればOKです。実際にサーバに鍵認証してみれば出来ているはずです。(ホームディレクトリのキーは退避するなどしてください)

次はSambaの認証です。

Centos6 – OpenLDAP (1) – Linux認証

Centos6 – OpenLDAP(2) – SSH公開鍵認証(今ここ)

Centos6 – OpenLDAP(3) – Samba認証

Centos6 – OpenLDAP(4) – メールサーバ認証

コメントを残す

メールアドレスが公開されることはありません。