雑多な記録

User Tools

Site Tools

Trace:
自作クラスタ計算機:openldapを使ったldapサーバの基本設定

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
自作クラスタ計算機:openldapを使ったldapサーバの基本設定 [2026/05/13 13:20] – [計算ノードでの作業] koudai自作クラスタ計算機:openldapを使ったldapサーバの基本設定 [2026/05/14 17:13] (current) – [LDAPクライアント] koudai
Line 1: Line 1:
 ====== 管理ノード ====== ====== 管理ノード ======
 +
  
 ===== OpenLDAPのインストールと初期設定 ===== ===== OpenLDAPのインストールと初期設定 =====
 +
 +(UFWを使用している場合)LDAPサーバ用のポートを開放
 +<code>
 +$ sudo ufw allow 389
 +</code>
 +
 +ソフトウェアのインストール
  
 <code> <code>
Line 46: Line 54:
 modifyTimestamp: 20260511092330Z modifyTimestamp: 20260511092330Z
 </code> </code>
- 
  
  
Line 162: Line 169:
 正しく登録されていれば、今まで入力した情報がすべて表示されます。 正しく登録されていれば、今まで入力した情報がすべて表示されます。
  
- +以下で述べるLDAPユーザの自動homeディレクトリ作成機能利用しないなら、手動で作成する。
- +
-LDAPユーザのhomeディレクトリを作成+
 <code> <code>
 $ sudo mkdir /home/taro $ sudo mkdir /home/taro
Line 171: Line 176:
  
  
 +===== ユーザーの削除 =====
  
- 
-LDAPサーバ用のポートを開放 
 <code> <code>
-sudo ufw allow 389+ldapdelete -x -W -D "cn=admin,dc=cluster,dc=home,dc=arpa" 'cn=taro,ou=groups,dc=cluster,dc=home,dc=arpa' 
 +$ ldapdelete -x -W -D "cn=admin,dc=cluster,dc=home,dc=arpa" 'uid=taro,ou=people,dc=cluster,dc=home,dc=arpa'
 </code> </code>
  
  
-hostsファルを編集+====== LDAPクラアント ======
  
-<file - hosts> +  * 最近はLDAPクライアントとしてSSSDが推奨されているらしいが、設定が面倒なので昔ながらのNSLCDを使う。 
-192.168.0.1   kanri.cluster.home.arpa kanri +  * 管理ノード、計算ノードで行う。
-192.168.0.10  keisan10.cluster.home.arpa keisan10 +
-192.168.0.11  keisan11.cluster.home.arpa keisan11 +
-</file> +
- +
- +
- +
- +
-====== 計算ノードでの作業 ======+
  
 <code> <code>
-$ apt install libnss-ldapd libpam-ldapd ldap-utils+$ apt install libnss-ldapd libpam-ldapd
 </code> </code>
  
Line 200: Line 197:
   * Name services to configure: passwd, group, shadow, hosts (スペースキーでチェックを入れられます)   * Name services to configure: passwd, group, shadow, hosts (スペースキーでチェックを入れられます)
  
-ユーザーがるか確認+<code> 
 +$ sudo pam-auth-update 
 +</code> 
 +  * 「LDAP Authentication」を有効化(通常は自動で有効化済み) 
 +  * Create home directory on login を有効化 
 + 
 +<code> 
 +$ sudo systemctl restart nslcd nscd 
 +</code> 
 + 
 +ユーザーが見えるか確認
  
 <code> <code>
Line 206: Line 213:
 taro:x:10000:10000:Taro Yamada:/home/taro:/bin/bash taro:x:10000:10000:Taro Yamada:/home/taro:/bin/bash
 </code> </code>
- 
- 
-参考 
- 
- 
-https://server-network-note.net/2022/11/openldap-client-ubuntu22-04lts-server/ 
- 
-https://zenn.dev/iasl/articles/1d35c87a66ee35 
- 
- 
- 
- 
- 
-====== SSSD ====== 
- 
- 
-必要なパッケージのインストール 
  
 <code> <code>
-sudo apt install sssd libnss-sss libpam-sss ldap-utils+id taro
 </code> </code>
 +  * uidとgidが見えます。
  
-SSSDの設定+ 
 +ユーザーに切り替えるには
  
 <code> <code>
-sudo vim /etc/sssd/sssd.conf+su - taro
 </code> </code>
-<file - sssd.conf> 
-[sssd] 
-services = nss, pam 
-config_file_version = 2 
-domains = default 
  
-[domain/default] 
-id_provider = ldap 
-auth_provider = ldap 
  
-ldap_uri = ldap://192.168.01. 
-ldap_search_base = dc=cluster,dc=home,dc=arpa 
  
-# ユーザー・グループの場所 +=== おまけ ===
-ldap_user_search_base ou=people,dc=cluster,dc=home,dc=arpa +
-ldap_group_search_base ou=groups,dc=cluster,dc=home,dc=arpa+
  
-# 認証 +ラズパ5で組んだクラタマシンで実行すると、追加したtaroのログイン失敗ます。
-ldap_default_bind_dn = cn=admin,dc=cluster,dc=home,dc=arpa +
-ldap_default_authtok = LDAPをトールした設定たパスワード+
  
-# TLS 
-ldap_id_use_start_tls = false 
-ldap_tls_reqcert = never 
-ldap_auth_disable_tls_never_use_in_production = true 
-</file> 
- 
-権限変更 
 <code> <code>
-sudo chmod 600 /etc/sssd/sssd.conf+su - taro 
 +Password:  
 +su: Authentication failure
 </code> </code>
  
-NSS設定 +/var/log/syslogを見ると
-<code> +
-$ sudo vim /etc/nsswitch.conf +
-</code>+
 <file> <file>
-(略) +2026-05-14T16:16:19.302517+09:00 kanri kernel: audit: type=1400 audit(1778742979.300:545): apparmor="DENIED" operation="connect" class="file" profile="unix-chkpwd" name="/att/unix-chkpwd/run/nslcd/socket" pid=16833 comm="unix_chkpwd" requested_mask="wr" denied_mask="wr" fsuid=0 ouid=0
-passwd        files systemd sss +
-group         files systemd sss +
-shadow        files systemd sss +
-(略)+
 </file> </file>
-普通はくにいじる必要ないで+となってたの、AppAmorを修正しました
  
- 
-ホームディレクトリの生成 
 <code> <code>
-$ sudo apt install oddjob-mkhomedir+$ sudo nano /etc/apparmor.d/unix-chkpwd
 </code> </code>
 +<file>
 +(略)
 +  include if exists <local/unix-chkpwd>
  
- +  /att/unix-chkpwd/run/nslcd/socket rw,   #この行を追加 
-PAM設定+
 +</file>
 <code> <code>
-$ sudo pam-auth-update+$ sudo apparmor_parser -r /etc/apparmor.d/unix-chkpwd
 </code> </code>
-  * 「SSS Authentication」を有効化(通常は自動で有効化済み) 
  
  
-SSSD起動 
-<code> 
-$ sudo systemctl restart sssd 
-$ sudo systemctl enable sssd 
-</code> 
  
 +====== 参考資料 ======
  
-ユーザーが見えるか確認 
  
-<code> +  * https://server-network-note.net/2022/11/openldap-client-ubuntu22-04lts-server
-$ getent passwd taro +  * https://zenn.dev/iasl/articles/1d35c87a66ee35
-</code> +
-  * なにも表示されなかったら失敗しています。 +
- +
-<code> +
-$ id taro +
-</code> +
-  * uidとgidが見えます。 +
- +
- +
-ユーザーに切り替えるには +
- +
-<code> +
-$ su - taro +
-</code>+
自作クラスタ計算機/openldapを使ったldapサーバの基本設定.1778646040.txt.gz · Last modified: 2026/05/13 13:20 by koudai