じわじわと適用範囲を広げてきたopenldapも今回のnginxで最後。もちろん、その他のツールでも使えるところは使っていきたいんだけどね。mariadbとかも最近はLDAP化できるのかな。ともあれ、webの場合は、ちょっとアクセス制御したいときによく使うBASIC認証にLDAPを使いたい。基本はIP制限等なので、あくまで例外的に穴を開けたいときにくらいにしか使わないけど。だからこそ、いちいちパスワード用意したりするのが面倒だから、いつも使っているアカウントの認証でログインできてしまいたい。... 続きを読む
Tag Archives: ldap
openldap サーバの samba 連携
現在、ローカルの認証とsshの認証をLDAPに切り替えた。続いて統合したい認証はsamba。統合しないと独自でパスワード用のDBを持つことになるため、他の認証と比してダブルマスター感が非常に強く、何としても統合しておきたい対象の1つ。一方で認証不能の障害時にsambaが悪いのか、ldapが悪いのか、切り分けがしづらいので、いざとなったら通常認証に戻して切り分け出来るようにしておくのがベター。sshだったら、ldap認証でないユーザーもいるだろうから切り分けしやすいんだけどね。... 続きを読む
openldap サーバの openssh 連携
前回、レプリケーションさせたopenldapサーバを2台のサーバで起動させた。マルチマスター構成なので、どちらかさえ生きていればよいという冗長化がなされた状態だ。あとはクライアント側の設定をすればldapによる認証を利用できるようになる。何はともあれ、sshくらいはldap認証に切り替えないと恩恵が薄いので、まずはlocalでのsu認証とssh認証をldapに切り替えてみる。ssh用の公開鍵情報を登録できるように以下のような設定を追加する。どちらかのldapサーバで実行する前提。... 続きを読む
openldap サーバの冗長化 @ CentOS 7.3
以前から幾つかのコンポーネントで認証を統一したいなあという希望はあった。まっさきに思い浮かぶのは当然LDAPの導入なんだけど、若かりし頃にすべてのストレージエンジンをmysqlに任せたいなんて思う頃があって、openldap+mysql環境を作ってしまってどハマリした経験がある。それ以来、構造が複雑化しがちなLDAPの導入を避けてきたんだけど、最近は扱うミドルウェア数も増えてきて、認証の統一だけでなく、単純にノードを超えたアカウント管理が欲しくなってきた。... 続きを読む