More than 3 years have passed since last update.

OpenLDAPよりFreeIPAのほうが良い

Posted at 2020-09-21

directory seviceとは？

マシーンが複数台あるとき、いちいちそれぞれのマシンに対してユーザを管理していくのは非効率です。
そんな時はユーザ情報をLDAPで管理すると楽になります。
LDAPも設定がいろいろ大変です。

CentOS8からOpenLDAPがサポートされなくなりました。
あれって思ってみたら、389 Directoryが代わりにあるようです。
ただ、そのまま使うと学習コストが高く、いろいろと一つのパッケージになっているもの、FreeIPAを使うことにしました。
バックエンドで389を使っています。

環境の違いも関係なく、FreeIPAではそのまま設定すれば使えるようになります。

FreeIPAは、いくつかのソフトウェアスタックが一括になっていて、簡単にインストールすることができます。
ディレクトリサービスやDNS、ケルベロス認証、ウェブインタフェースが統合されていてシームレスに動作します。

基本的に、DNSで逆引きも可能であることが条件になります。
そのため、普通に/etc/hostsに記述するだけではだめで、DNSサーバをきちんと立てる必要があります。
ドメインはすでに取得したドメインがあるので、そのサブドメイン int.xxx.comのように設定しました。

hostnameは、FQDNでないとインストールに失敗します。host名の設定はちゃんとやっておきましょう。

/etc/hostname

nozomi.int.kotsuki-lab.com

hostname コマンドで一時的にセットすることもできます。

/etc/hosts

$ cat /etc/hosts
10.4.200.96 nozomi.int.kotsuki-lab.com
...

先頭に書く必要があるそうです。インストーラで最初に参照するところなのかな？

$ sudo dnf module -y install idm:DL1/dns 
$ sudo ipa-server-install --setup-dns

対話式でインストールを進めます。

DNSサーバを登録して、hostnameを設定して、そのあとにインストールをすると、自動的にホストサーバを検出して自動的に設定してくれます。
特に何も設定はいらないはずです。

Userや、Host、sudoの設定などがwebからできます。コンソールが嫌いな人はここからやってもいいと思います。学習コストが低いです。（効率は、悪いかも）