CentOS7.9にdockerでOpenLDAPとphpLDAPadminを導入する

はじめに

・OpenLDAPの環境をphpLDAPadminでアカウントを作成し、ホスト含め複数端末にてログインできるように設定するところまでがゴール。
・ググったところあまり見当たらず苦心したのでまとめています。初心者がネットの海を溺れながら探り当てた方法につき過不足があることをご了承ください。
・セキュリティ未考慮です。
・参考画像はありません。すみません。

※2023/10/02追記
playbookにもありましたがクライアント設定のnsswitch.conf編集が抜けてましたので追記。

・LDAPホスト(CentOS7.9)

[root@localhost ~]# cat /etc/redhat-release 
CentOS Linux release 7.9.2009 (Core)
[root@localhost ~]# 

・クライアント(Ubuntu22.04)
20.04でも可能なことを確認しています。
また、CentOSでのクライアント接続手順も記載しています。

root@settingtest3-VirtualBox:/home/settingtest3/デスクトップ# cat /etc/lsb-release 
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=22.04
DISTRIB_CODENAME=jammy
DISTRIB_DESCRIPTION="Ubuntu 22.04 LTS"
root@settingtest3-VirtualBox:/home/settingtest3/デスクトップ# 

dockerコンテナ起動

Bashでコンテナ起動。

vi ldap.bash

ldap.bash

SERVICE=ldap-service
HOST_NAME=ldap-host
PASSWORD=adminpass
docker run \
    -p 389:389 \
    --restart=always \
    --name $SERVICE \
    --hostname $SERVICE \
    --env 'LDAP_ORGANISATION=Setumei' \
    --env LDAP_DOMAIN=example.com \
    --env LDAP_ADMIN_PASSWORD=$PASSWORD \
    --detach \
    osixia/openldap
docker run \
    -p 443:443 \
    --restart=always \
    --name ${SERVICE}-admin \
    --hostname ${SERVICE}-admin \
    --link $SERVICE:$HOST_NAME \
    --env PHPLDAPADMIN_LDAP_HOSTS=$HOST_NAME \
    --detach \
    osixia/phpldapadmin

bash ldap.bash

-p が無いと設定が正しくてもホストからでも接続できなくなった
docker-composeはよくわかりませんでした。

phpLDAPadminにてLDAPアカウント作成

1. https://localhostにて接続。
   上記ldap.bashでたてた場合、以下でログイン。

Login DN:cn=admin,dc=example,dc=com
Password:adminpass

0. ログイン後左ペインのツリーをクリック後、右ペインのCreate a child entryで以下作成

※左ペインのCreate a child entryはなにか一つ作成してRefreshボタンを押さないと出現しない

1. グループディレクトリ作成

Generic: Organisational Unit
名前例：Groups
#のちに作成するPosixGroupのまとめ役としてouを作成

2. ユーザーディレクトリ

Generic: Organisational Unit
名前例：Users
#アカウントのまとめ役

3. LDAPアカウントグループ

Generic: Posix Group
名前例：LDAPgroup

4. LDAPアカウント

Generic: User Account
名前例：ldap
#Login ShellはBashにしておく

アカウントは作成後2つあるように見えることがあるが、Refreshボタンを押すと１つになる。
最初のアカウントはUIDが1000になるが、ローカルのアカウントで被っている可能性が高いので二つ目以降がおすすめ
もしくはGeneric: User Accountではなく、DefaultからObjectClassをCtrl押しながら複数選択しすべて手動入力して作成か

LDAP接続手順 on CentOS with nslcd※LDAPサーバ本体でも可能

①必要パッケージインストール

yum -y install openldap-clients nss-pam-ldapd

②初期設定

authconfig --enableldap --enableldapauth --ldapserver=127.0.0.1 --ldapbasedn="dc=example,dc=com" --enablemkhomedir --update

#basednとアドレスを書き換えて実行
authconfigで変更するとpam.dのconfやnsswitch.confなどの設定が上書きされるため初回以降は注意

③uriとbaseを設定　※④参考

vi /etc/openldap/ldap.conf

binddnとbindpwはssh/suするだけなら不要

④nslcd.conf編集

vi /etc/nslcd.conf

#以下例のようにuri、base、binddn、bindpwを追記する
　base dc=example,dc=com
　uri ldap://10.0.2.114
　binddn cn=admin,dc=example,dc=com
　bindpw adminpass

⑤nslcdサービススタート

systemctl restart nslcd
systemctl enable nslcd

⑥nslcd正常性確認

getent passwd
#まだ表示されない
systemctl status nslcd
#エラーが発生していないか確認（getentなどで接続を試みないとエラーが表示されない可能性あり）

Can't contact LDAP server なんちゃら...のエラーが出る場合は設定が足りない可能性あり

⑦nsswitch.conf編集

vi /etc/nsswitch.conf

#passwd:shadow:group:に ldapを追記。sssはそのままでもok
==============
passwd: files systemd ldap
group: files systemd ldap
shadow: files ldap
==============

⑧LDAPアカウントが表示されるか確認

getent passwd

#LDAPアカウントが一番下に*付きで表示されることを確認
表示されない場合はsystemctl status nslcdでエラー内容を見てみる

⑨suでログインできるか確認

su ldap

#ログイン後「bash: /home/users/****/.bashrc: 許可がありません」と表示された場合は、UIDがサーバ本体の他アカウントなどと被っている可能性
sh-4.2$ と表示される場合はLoginShellが/bin/bashに指定されていない可能性

⑩sshでログインできるようにしたい場合

vi /etc/pam.d/password-auth
vi /etc/pam.d/password-auth-ac

#sssをldapに置換 :s/sss/ldap/g
念のためpassword-auth-acも同じようにldapに置換

⑪sshできるか確認

ssh ldap@localhost

LDAP接続手順 on Ubuntu with pam(?)

①必要パッケージインストール

apt install libnss-ldap libpam-ldap ldap-utils

#ldap://アドレス 、デフォルトはldapi:///になっていることに注意
ドメインを入力、no,noを選択

②/ldap.conf編集

vi /etc/ldap.conf

#以下例のようにbinddn,bindpwを入力し、
　binddn cn=admin,dc=example,dc=com
　bindpw adminpass
その他設定がLDAPサーバの設定とあっているか確認。
　base dc=example,dc=com
　uri ldap://10.0.2.114
　ldap_version 3

③nsswitch.conf編集

vi /etc/nsswitch.conf

#passwd:shadow:group:に ldapを追記。
==============
passwd: files systemd ldap
group: files systemd ldap
shadow: files ldap
==============

③接続できるか確認

getent passwd
su ldap

#LDAPアカウントが見える、ログインできることを確認

参考文献（勝手に）

• Qiita記事投稿用テンプレート
• dockerでLDAP Serverを起動。ついでにphpLDAPadminも
• LDAPクラインアントからLDAPサーバへログインしよう
• OpenLDAP : LDAPクライアントの設定 (AD)
• PAM と NSS の違い、LDAP連携のイメージ
• サーバー管理の困った！を○○で解決　LDAPを使ったユーザー管理編 2/2
• dockerコンテナ使ってOpenLDAPへcentos8からssh接続する

雑記

・筆者はLDAPについて、PAMについて、ログイン認証の仕組みについてなどよく理解していません。
・basednもbinddnも同じでとりあえず問題なし。
・dockerの-pオプションはdocker updateコマンド未対応で--ENVオプションでもないので後付けはできないハズ。
・おまけ①　centos7.9でのdockerインストール手順

#参考：https://docs.docker.jp/engine/installation/linux/docker-ce/centos.html
yum install -y yum-utils 
yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo 
yum install docker-ce docker-ce-cli containerd.io docker-compose-plugin 
systemctl enable docker 
systemctl start docker

・おまけ②　AnsibleでのLDAP設定Playbook※Ubuntu18.04以降

    - name: apt install libnss-ldap libpam-ldap ldap-utils
      apt:
        name:
          - libnss-ldap
          - libpam-ldap
          - ldap-utils

    - name: "/etc/ldap.conf.org.d/ の存在確認"
      stat:
        path: "/etc/ldap.conf.org.d/"
      register: ldap_conf_reg

    - name: "ldap.confをバックアップ"
      synchronize:
        src: "/etc/"
        dest: "/etc/ldap.conf.org.d/"
        rsync_opts:
             - "--include=ldap.conf"
             - "--exclude=*"
        times: no #タイムスタンプ無視
        checksum: yes #タイムスタンプ無視
      delegate_to: "{{ inventory_hostname }}"
      when: ldap_conf_reg.stat.exists == false

    - name: "ldap.conf編集_uri"
      lineinfile:
        path: "/etc/ldap.conf"
        regexp: "^uri ldap"
        line: "uri ldap://10.0.2.114/"

    - name: "ldap.conf編集_base dc=example,dc=com"
      lineinfile:
        path: "/etc/ldap.conf"
        regexp: "^base dc="
        line: "base dc=example,dc=com"

    - name: "ldap.conf編集_ldap_version 3"
      lineinfile:
        path: "/etc/ldap.conf"
        regexp: "^ldap_version"
        line: "ldap_version 3"

    - name: "ldap.conf編集_binddn,bindpw"
      blockinfile:
        path: "/etc/ldap.conf"
        block: |
          binddn cn=admin,dc=example,dc=com
          bindpw adminpass

    - name: "/etc/nsswitch.conf.org.d/ の存在確認"
      stat:
        path: "/etc/nsswitch.conf.org.d/nsswitch.conf"
      register: nsswitch_conf_reg

    - name: "nsswitch.confをバックアップ"
      synchronize:
        src: "/etc/"
        dest: "/etc/nsswitch.conf.org.d/"
        rsync_opts:
             - "--include=nsswitch.conf"
             - "--exclude=*"
        times: no #タイムスタンプ無視
        checksum: yes #タイムスタンプ無視
      delegate_to: "{{ inventory_hostname }}"
      when: nsswitch_conf_reg.stat.exists == false

    - name: "nsswitch.conf編集_shadow"
      lineinfile:
        path: "/etc/nsswitch.conf"
        regexp: "^shadow:         "
        line: "shadow:         files ldap"

    - name: "nsswitch.conf編集_passwd"
      lineinfile:
        path: "/etc/nsswitch.conf"
        regexp: "^passwd:         "
        line: "passwd:         files systemd ldap"

    - name: "nsswitch.conf編集_group"
      lineinfile:
        path: "/etc/nsswitch.conf"
        regexp: "^group:          "
        line: "group:          files systemd ldap"

以上