雑多な記録

User Tools

Site Tools

Trace:
自作クラスタ計算機:openldapを使ったldapサーバの基本設定

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
自作クラスタ計算機:openldapを使ったldapサーバの基本設定 [2026/05/13 12:03] – [計算ノードでの作業] koudai自作クラスタ計算機:openldapを使ったldapサーバの基本設定 [2026/05/14 17:13] (current) – [LDAPクライアント] koudai
Line 1: Line 1:
 ====== 管理ノード ====== ====== 管理ノード ======
 +
  
 ===== OpenLDAPのインストールと初期設定 ===== ===== OpenLDAPのインストールと初期設定 =====
 +
 +(UFWを使用している場合)LDAPサーバ用のポートを開放
 +<code>
 +$ sudo ufw allow 389
 +</code>
 +
 +ソフトウェアのインストール
  
 <code> <code>
Line 46: Line 54:
 modifyTimestamp: 20260511092330Z modifyTimestamp: 20260511092330Z
 </code> </code>
- 
  
  
Line 162: Line 169:
 正しく登録されていれば、今まで入力した情報がすべて表示されます。 正しく登録されていれば、今まで入力した情報がすべて表示されます。
  
- +以下で述べるLDAPユーザの自動homeディレクトリ作成機能利用しないなら、手動で作成する。
- +
-LDAPユーザのhomeディレクトリを作成+
 <code> <code>
 $ sudo mkdir /home/taro $ sudo mkdir /home/taro
Line 171: Line 176:
  
  
 +===== ユーザーの削除 =====
  
- 
-LDAPサーバ用のポートを開放 
 <code> <code>
-sudo ufw allow 389+ldapdelete -x -W -D "cn=admin,dc=cluster,dc=home,dc=arpa" 'cn=taro,ou=groups,dc=cluster,dc=home,dc=arpa' 
 +$ ldapdelete -x -W -D "cn=admin,dc=cluster,dc=home,dc=arpa" 'uid=taro,ou=people,dc=cluster,dc=home,dc=arpa'
 </code> </code>
  
  
-hostsファルを編集+====== LDAPクラアント ======
  
-<file - hosts> +  * 最近はLDAPクライアントとしてSSSDが推奨されているらしいが、設定が面倒なので昔ながらのNSLCDを使う。 
-192.168.0.1   kanri.cluster.home.arpa kanri +  * 管理ノード、計算ノードで行う。
-192.168.0.10  keisan10.cluster.home.arpa keisan10 +
-192.168.0.11  keisan11.cluster.home.arpa keisan11 +
-</file>+
  
 +<code>
 +$ apt install libnss-ldapd libpam-ldapd
 +</code>
  
- +  * LDAP server URI: ldap://192.168.0.1/ 
- +  * LDAP server search base: dc=cluster,dc=home,dc=arpa 
-====== 計算ノードでの作業 ====== +  * Name services to configure: passwd, group, shadow, hosts (スペースでチェックを入れられます)
- +
-必要なパッケジのイン+
  
 <code> <code>
-$ sudo apt install sssd libnss-sss libpam-sss ldap-utils+$ sudo pam-auth-update
 </code> </code>
- +  * 「LDAP Authentication」を有効化(通常は自動で有効化済み) 
-SSSDの設定+  * Create home directory on login を有効化
  
 <code> <code>
-$ sudo vim /etc/sssd/sssd.conf+$ sudo systemctl restart nslcd nscd
 </code> </code>
-<file - sssd.conf> 
-[sssd] 
-services = nss, pam 
-config_file_version = 2 
-domains = default 
  
-[domain/default] +ユーザーが見えるか確
-id_provider = ldap +
-auth_provider = ldap +
- +
-ldap_uri = ldap://192.168.01. +
-ldap_search_base = dc=cluster,dc=home,dc=arpa +
- +
-ユーザー・グループの場所 +
-ldap_user_search_base = ou=people,dc=cluster,dc=home,dc=arpa +
-ldap_group_search_base = ou=groups,dc=cluster,dc=home,dc=arpa +
- +
-証 +
-ldap_default_bind_dn = cn=admin,dc=cluster,dc=home,dc=arpa +
-ldap_default_authtok = LDAPをインストールした際に設定したパスワード +
- +
-# パスワード +
-ldap_tls_reqcert = never +
- +
-# UID/GID +
-enumerate = false +
-</file>+
  
-権限変更 
 <code> <code>
-sudo chmod 600 /etc/sssd/sssd.conf+getent passwd taro 
 +taro:x:10000:10000:Taro Yamada:/home/taro:/bin/bash
 </code> </code>
  
-NSS設定 
 <code> <code>
-sudo vim /etc/nsswitch.conf+id taro
 </code> </code>
-<file> +  * uidgidが見えます。
-(略) +
-passwd:         files systemd sss +
-group:          files systemd sss +
-shadow:         files systemd sss +
-(略) +
-</file> +
-普通はくにいじる必要ないです。+
  
  
-ムディレクトリの生成 +ザーに切り替えるには
-<code> +
-$ sudo apt install oddjob-mkhomedir +
-</code>+
  
- 
-PAM設定 
 <code> <code>
-sudo pam-auth-update+su taro
 </code> </code>
-  * 「SSS Authentication」を有効化(通常は自動で有効化済み) 
  
  
-SSSD起動 
-<code> 
-$ sudo systemctl restart sssd 
-$ sudo systemctl enable sssd 
-</code> 
  
 +=== おまけ ===
  
-ユーザーが見えか確認+ラズパイ5で組んだクラスタマシンで実行すと、追加したtaroのログインに失敗します。
  
 <code> <code>
-getent passwd taro+su - taro 
 +Password:  
 +su: Authentication failure
 </code> </code>
-  * にも表示されなかたら失敗していま+ 
 +/var/log/syslogを見ると 
 +<file> 
 +2026-05-14T16:16:19.302517+09:00 kanri kernel: audit: type=1400 audit(1778742979.300:545): apparmor="DENIED" operation="connect" class="file" profile="unix-chkpwd" name="/att/unix-chkpwd/run/nslcd/socket" pid=16833 comm="unix_chkpwd" requested_mask="wr" denied_mask="wr" fsuid=0 ouid=0 
 +</file> 
 +なっていたので、AppAmorを修正しした
  
 <code> <code>
-id taro+sudo nano /etc/apparmor.d/unix-chkpwd
 </code> </code>
-  * uidとgidが見えます。 +<file> 
- +(略) 
- +  include if exists <local/unix-chkpwd>
-ユーザーに切り替えるには+
  
 +  /att/unix-chkpwd/run/nslcd/socket rw,   #この行を追加
 +}
 +</file>
 <code> <code>
-su taro+sudo apparmor_parser -r /etc/apparmor.d/unix-chkpwd
 </code> </code>
  
  
  
 +====== 参考資料 ======
  
  
-SSSD.confの設定をいじったら +  * https://server-network-note.net/2022/11/openldap-client-ubuntu22-04lts-server/ 
- +  * https://zenn.dev/iasl/articles/1d35c87a66ee35
-<code> +
-$ sudo apt install sssd-tools +
-$ sudo nano /etc/sssd/sssd.conf +
-$ sudo chmod 600 /etc/sssd/sssd.conf +
-$ sudo systemctl restart sssd +
-$ sudo sss_cache -E +
-</code>+
自作クラスタ計算機/openldapを使ったldapサーバの基本設定.1778641396.txt.gz · Last modified: 2026/05/13 12:03 by koudai