■Linux SSHログイン認証をOpenLDAPで一元管理
LDAPサーバに登録したユーザでのSSHログインおよびパスワード変更をアプリ系サーバで実現するための流れを、下記のパートに分けて記載していきます。- (1) OpenLDAPのインストールと起動
- (2) LDIFによるLDAPサーバへのデータ登録
- (3) LDAP登録ユーザでのSSHログイン認証とパスワード変更
- (4) OpenLDAPのログ出力設定 <<本編
■本編の概要
OpenLDAPサーバはデフォルト設定ではログを出力しません。
slapd.confにログレベルを記述すると、シスログ経由でログを出力します。
ログレベルおよびログの出力先の設定についての手順を記載します。
OS: CentOS 6.5 (64-bit) openldap: 2.4.23 LDAPサーバホスト名: ty-ldap01 アプリ系サーバホスト名: ty-app01,ty-app02
■標準のログレベルだと出力量が多すぎるので変更
[root@ty-ldap01 ~]# vi /etc/openldap/slapd.conf [root@ty-ldap01 ~]# grep -A 5 "EVERYTHING" /etc/openldap/slapd.conf # rootdn can always read and write EVERYTHING! # LogLevel loglevel 512 # change own password ---- from ---- [root@ty-ldap01 ~]# change_slapd.sh config file testing succeeded slapd を停止中: [ OK ] slapd を起動中: [ OK ] [root@ty-ldap01 ~]#※loglevelのデフォルト値は256です。詳細については他のサイトを参照ください。
※change_slapd.shは「OpenLDAPのインストールと起動」 で作成したスクリプトです。
■rsysylogにOpenLDAPのログ出力設定
openldap-servers、openldap-clients、nss-pam-ldapd を追加インストール
[root@ty-ldap01 ~]# echo "local4.* /var/log/ldap.log" > /etc/rsyslog.d/ldaplog.conf [root@ty-ldap01 ~]# cat /etc/rsyslog.d/ldaplog.conf local4.* /var/log/ldap.log [root@ty-ldap01 ~]# /etc/init.d/rsyslog restart システムロガーを停止中: [ OK ] システムロガーを起動中: [ OK ] [root@ty-ldap01 ~]#
■OpenLDAP登録ユーザでログインしたときのログ
## アプリ系サーバの操作
[root@ty-app01 ~]# su - user1001 -bash-4.1$ su - user1002 パスワード: -bash-4.1$
## その時のLDAPサーバのログ
[root@ty-ldap01 ~]# tail -f /var/log/ldap.log Apr 20 03:20:07 ty-ldap01 slapd[2503]: conn=1000 op=1 ENTRY dn="uid=user1001,ou=people,dc=open_ldap,dc=com" Apr 20 03:20:07 ty-ldap01 slapd[2503]: conn=1001 op=1 ENTRY dn="uid=user1001,ou=people,dc=open_ldap,dc=com" Apr 20 03:20:07 ty-ldap01 slapd[2503]: conn=1002 op=1 ENTRY dn="uid=user1001,ou=people,dc=open_ldap,dc=com" Apr 20 03:20:07 ty-ldap01 slapd[2503]: conn=1003 op=1 ENTRY dn="uid=user1001,ou=people,dc=open_ldap,dc=com" Apr 20 03:20:07 ty-ldap01 slapd[2503]: <= bdb_equality_candidates: (uniqueMember) not indexed Apr 20 03:20:07 ty-ldap01 slapd[2503]: conn=1004 op=1 ENTRY dn="uid=user1001,ou=people,dc=open_ldap,dc=com" Apr 20 03:20:07 ty-ldap01 slapd[2503]: conn=1000 op=2 ENTRY dn="uid=user1001,ou=people,dc=open_ldap,dc=com" Apr 20 03:20:07 ty-ldap01 slapd[2503]: conn=1001 op=2 ENTRY dn="cn=team1000,ou=group,dc=open_ldap,dc=com" Apr 20 03:20:07 ty-ldap01 slapd[2503]: conn=1002 op=2 ENTRY dn="uid=user1001,ou=people,dc=open_ldap,dc=com" Apr 20 03:20:18 ty-ldap01 slapd[2503]: conn=1003 op=3 ENTRY dn="uid=user1002,ou=people,dc=open_ldap,dc=com" Apr 20 03:20:18 ty-ldap01 slapd[2503]: conn=1004 op=2 ENTRY dn="uid=user1001,ou=people,dc=open_ldap,dc=com" Apr 20 03:20:18 ty-ldap01 slapd[2503]: conn=1001 op=3 ENTRY dn="uid=user1002,ou=people,dc=open_ldap,dc=com" Apr 20 03:20:21 ty-ldap01 slapd[2503]: conn=1002 op=3 ENTRY dn="uid=user1002,ou=people,dc=open_ldap,dc=com" Apr 20 03:20:21 ty-ldap01 slapd[2503]: conn=1005 op=1 ENTRY dn="uid=user1002,ou=people,dc=open_ldap,dc=com" Apr 20 03:20:21 ty-ldap01 slapd[2503]: conn=1003 op=4 ENTRY dn="uid=user1001,ou=people,dc=open_ldap,dc=com" Apr 20 03:20:21 ty-ldap01 slapd[2503]: conn=1004 op=3 ENTRY dn="uid=user1002,ou=people,dc=open_ldap,dc=com" Apr 20 03:20:21 ty-ldap01 slapd[2503]: conn=1000 op=5 ENTRY dn="uid=user1002,ou=people,dc=open_ldap,dc=com" Apr 20 03:20:21 ty-ldap01 slapd[2503]: conn=1001 op=4 ENTRY dn="uid=user1002,ou=people,dc=open_ldap,dc=com" Apr 20 03:20:21 ty-ldap01 slapd[2503]: conn=1002 op=4 ENTRY dn="uid=user1002,ou=people,dc=open_ldap,dc=com" Apr 20 03:20:21 ty-ldap01 slapd[2503]: conn=1003 op=5 ENTRY dn="uid=user1001,ou=people,dc=open_ldap,dc=com" Apr 20 03:20:21 ty-ldap01 slapd[2503]: conn=1004 op=4 ENTRY dn="uid=user1002,ou=people,dc=open_ldap,dc=com" Apr 20 03:20:21 ty-ldap01 slapd[2503]: <= bdb_equality_candidates: (uniqueMember) not indexed Apr 20 03:20:21 ty-ldap01 slapd[2503]: conn=1000 op=6 ENTRY dn="uid=user1002,ou=people,dc=open_ldap,dc=com" Apr 20 03:20:21 ty-ldap01 slapd[2503]: conn=1001 op=5 ENTRY dn="uid=user1002,ou=people,dc=open_ldap,dc=com" Apr 20 03:20:21 ty-ldap01 slapd[2503]: conn=1002 op=5 ENTRY dn="cn=team1000,ou=group,dc=open_ldap,dc=com" Apr 20 03:20:21 ty-ldap01 slapd[2503]: conn=1003 op=6 ENTRY dn="uid=user1002,ou=people,dc=open_ldap,dc=com"デフォルトのloglevelから一つ下げましたが、別ユーザにスイッチするだけで上記のログが出力されます。
以上で終了です。長文おつきあいありがとうございます。サイト継続ご協力のほどお願い申し上げます。m(_ _)m
Before << (3) LDAP登録ユーザでのSSHログイン認証とパスワード変更