13.3. OpenLDAPデーモンとユーティリティ
OpenLDAP ライブラリとツールのセットは以下のパッケージに 分配されています:
openldap — OpenLDAPサーバーとクライアント アプリケーションを実行するのに必要なライブラリを含んでいます。
openldap-clients — LDAPサーバー上で ディレクトリの表示と変更の為のコマンドラインツールを含んでいます。
openldap-servers — LDAPサーバーの設定と 実行に必要なサーバーと他のユーティリティを含んでいます。
2種類のサーバーがopenldap-serversパッケージの中に 含まれています: スタンドアロン LDAP デーモン (/usr/sbin/slapd)とスタンドアロン LDAP 更新複製 デーモン(/usr/sbin/slurpd)です。
slapdデーモンはスタンドアロン LDAPサーバーであり、 slurpdデーモンはネットワーク上の1つのLDAPサーバーから 別のLDAPサーバーへの変更を同期するのに使用されます。slurpdデーモンは 複数のLDAPサーバーを利用している時にのみに使用されます。
管理の作業をするには、openldap-serversパッケージが /usr/sbin/ディレクトリへ、以下のユーティリティを インストールする必要があります:
slapadd — LDIFファイルから LDAPディレクトリへエントリを追加します。例えば、/usr/sbin/slapadd -l ldif-inputコマンドは 新規のエントリを 含むLDIFファイル、ldif-inputで読み込みます。
slapcat — デフォルトフォーマット — Berkeley DB — のLDAPディレクトリからエントリを取り出して、 LDIFファイルの 中にそれを保存します。例えば、/usr/sbin/slapcat -lldif-output コマンドは、LDAPディレクトリからのエントリを含む ldif-outputというLDIFファイルを出力します。
slapindex — 現在のコンテンツの slapdディレクトリベースの索引を再構成します。
slappasswd — ldapmodifyで使う ユーザーパスワードの値か、あるいはslapdの設定ファイル、 /etc/openldap/slapd.confの中のrootpwの 値を生成します。パスワードを作成するには、/usr/sbin/slappasswdを実行します。
 | 警告 |
|---|---|
slapadd、slapcat、slapindexを使用する前に、 /usr/sbin/service slapd stopを発行して必ずslapdを停止させて ください。そうしないとLDAPディレクトリの一貫性を失う可能性があります。 |
これらのユーティリティの使用方法の詳細については、それぞれのmanページを参照してください。
openldap-clientsパッケージは、LDAPディレクトリのエントリを 追加、変更、削除するのに使う/usr/bin/の中へツールをインストール します。これらのツールには以下の項目が含まれます:
ldapmodify — ファイル又は標準入力からの入力を受け付け、 LDAPディレクトリのエントリを変更します。
ldapadd — ファイル又は標準入力からの入力を受け付け、 ユーザーのディレクトリのエントリに追加します。ldapaddは実際には ldapmodify -aへのハードリンクです。
ldapsearch— shellプロンプトを使用してLDAPディレクトリ内のエントリを検索します。
ldapdelete — ターミナルでのユーザー入力又は、ファイルからの 入力を受け付け、LDAPディレクトリからエントリを削除します。
ldapsearchを例外として、これらのユーティリティは LDAPディレクトリで変更をしたいそれぞれのエントリ用のコマンドをタイプするよりも、 変更したいファイルへの参照をする方がずっと簡単に使用できます。そのような ファイルの形式ついては、それぞれのアプリケーションのman ページに概要があります。
13.3.1. NSS, PAM, 及び LDAP
OpenLDAPパッケージに加えて、Red Hat Linux には、LinuxとUNIX環境の中へ 統合できるLDAPの能力を強化するnss_ldapと呼ばれる パッケージが含まれています。
nss_ldapパッケージは、以下のモジュールを提供します:
/lib/libnss_ldap-<glibc-version>.so
/lib/security/pam_ldap.so
libnss_ldap-<glibc-version>.soモジュールにより アプリケーションは、glibcのNameservice Switch (NSS)インターフェイスを経由した LDAPディレクトリを使用してユーザー、グループ、ホスト、そしてその他の情報を検索できます。NSSは、 アプリケーションがネットワーク情報サービス (NIS)ネームサービスと 単層の認証ファイルと合同で、LDAP使用して認証できるようにします。
pam_ldapモジュールの使用で、PAM-認識のアプリケーションは LDAPディレクトリ内に保存してある情報を使用してユーザーの認証ができます。 PAM-認識のアプリケーションには コンソールログイン、POPとIMAPのメールサーバー、 及びSambaが含まれます。ネットワーク上でLDAPサーバーを起用することにより、 これらのアプリケーションのすべては、同じユーザーIDとパスワードの組合せを 使用して認証ができるようになり、管理が非常に簡単になります。
13.3.2. PHP4, Apache HTTP サーバー, 及び LDAP
Red Hat Linux には、PHPサーバーサイド スクリプト言語用の LDAPモジュールを 収納したパッケージが含まれています。
php-ldapパッケージは/usr/lib/php4/ldap.so モジュールを経由してPHP4 HTML埋め込型のスクリプト言語へ LDAP サポートを 追加します。このモジュールにより PHP4スクリプトは、LDAPディレクトリに 保存されている情報にアクセスできます。
 | 重要 |
|---|---|
Red Hat Linux では、auth_ldapパッケージの配布を終了しています。 このパッケージは Apache HTTP サーバー のバージョン1.3とそれ以前用のLDAPサポートを提供して いました。 このモジュールの状況の詳細は、Apache Software Foundationの以下の webサイトで確認して下さい。 http://www.apache.org/ |
13.3.3. LDAP クライアントアプリケーション
ディレクトリの作成と変更をサポートするグラフィカルなLDAPクライアントが ありますが、 Red Hat Linuxと一緒には配送されていません。そのようなアプリケーションの 1つがLDAP Browser/Editorです。— Javaベースの ツールで以下のサイトでオンラインで入手できます。 http://www.iit.edu/~gawojar/ldap.
他のLDAPクライアントのほとんどは読み込み専用でディレクトリにアクセスし、 そのまま変更なしにそれを参照して組織全体の情報を得ます。そのような アプリケーションの例としては、MozillaベースのWebブラウザ、Sendmail、 Balsa、Pine、 Evolution、Gnome Meetingが あります。