2009-03-06
LDAP Account Managerのインストールと設定
さてLDAPの概要は分かったような気がしてきた。
しかし、当初の目的「認証連携、Posix/Apache/Redmineアカウント一元管理」のためにはどうしたらよいだろう。
アカウント管理に用途を限らないLDAPは自由度が高すぎて、色々学ぶことや決め事が必要そうだ。
アカウント管理のためには、どういうツリーをつくるべきなののか?
いわゆる設計というやつである。ベストプラクティス的なものが世の中にあるはずだが・・
というわけで、おそらくそういう人をターゲットにしたであろう、
フリーのPHP実装、アカウント管理特化型WebUI LDAPクライアントにたどりついた。その名もずばりldap-account-manager。
インストール
早速インストールしてみた。
apt-get install ldap-account-manager
なんだか、勝手にapache2がprefork MPMになったりしてビビッたが、なんだかインストールされてくれた。
既にapache2はインストール済みで色々使っている状態だったので、へんな設定上書きされるのが心配だったが、結論だけ言えばそれは杞憂に終わった。さすがUbuntu。
ちょっとだけ整合性を取る調整をしたあと、ブラウザで、http://example.com/lam/ 的なURLを入れると、「PHPで使えるメモリが16Mしかなくて困る。php.iniをいじって64M以上にしてくれ」的なエラーメッセージが出てきた。最初「php.iniってどこにあるの?」と困ったが、調べたところintrepid (ubuntu8.10)では/etc/php5/apache2/php.ini なんてところにあることが分かった。該当部分を編集してapache再起動したところ、こんな感じのログイン画面が出てきた。
こういう画面が出たということは、インストール自体はOKということだろう。
LDAP Account Manager (LAM)の設定
「さて、早速使ってみよう。」と思った矢先、困った。「どうやってログインするんだ?」
先ほどのスクリーンショットは、インストール直後は、正確にはちょっと違っていて、実はUser Nameプロダウンのところに「admin」(slapdインストール時に作られたadminユーザ)なんていう風には出てこない。そうでていれば迷わなかったが、最初は「Manager」なんていうのが出ていて、「誰よこれ?」的理由でログインできずに少し混乱した。この部分は後で説明するが、正解は、「LAM設定をする」というプロセスが必要ということ。先ほどインストールしたslapdの初期設定とこのLAMとやらの初期設定は全然リンクしてません。ですので、そこをヒモ付けてやる作業が必要になる。
具体的には、以下のとおり
- このLAMとやらには、「マスターパスワード」という概念があって、それは初期設定では「LAM」になっている。
- 先ほどのログイン画面スクリーンショット右上のLAM configurationメニューを押すと以下がでてくる
- ここで下のメニューを押すと、以下のようなのがでてくるので、
このスクリーンショットも設定後のものなので、インストール直後は設定値がちょっと違っていた。縦長の画面だが、上から見ていこう。
- まず、Server-settingsのTreeSuffixの部分。ここには、マシンのFQDN名を入れた。これは、slapdのインストール時に初期値としてそう設定されるからである。(と思われる。)
- つぎに、Unix> Password Hash TypeをPLAINに変更した。が、これは、意味がなかったようだ。初期値であるSSHAにしておくのが良さそうだ。
- 最後に、Security settings> List of valid usersの項目だ。 最初、ここにManagerなんていうものが入っているので、最初のログイン画面で混乱させられたわけだ。ここには、自分のサーバのFQDNにあわせて、上記のような値を書いてやる。そうすると、slapdインストール時に設定したadminユーザとそのパスワードで、先ほどのLAMのログイン画面(LAMと入れたところではない)からログインできるようになる。
- ログインすると、以下のようにLDAPの中身をいじる(ユーザ管理をする)メニューがでてくる。
- あとは、UIにしたがって、ユーザなりグループなりを作ればよい。この部分は比較的分かりやすい。
- 721 http://www.google.co.jp/search?sourceid=navclient&hl=ja&ie=UTF-8&rlz=1T4GGLC_jaJP308JP308&q=mysql+設定 文字コード
- 669 http://www.google.co.jp/search?hl=ja&client=firefox-a&rls=org.mozilla:ja:official&hs=86L&q=vmware+SIOCSIFADDR:+No+such+device&btnG=検索&lr=lang_ja
- 274 http://www.google.co.jp/search?hl=ja&lr=lang_ja&client=firefox-a&rls=org.mozilla:ja:official&hs=o2Z&q=apache+vista+設定&revid=1363335911&ei=DlaySZOSMtLEkAW_jvW-BA&sa=X&oi=revisions_inline&resnum=0&ct=top-revision&cd=4
- 205 http://www.google.co.jp/search?hl=ja&client=firefox-a&rls=com.ubuntu:ja:unofficial&hs=XMD&q=ubuntu+apache2+設定&btnG=検索&lr=
- 196 http://blog.reirou.jp/2007/10/blog-post_04.html
- 189 http://www.google.com/search?hl=ja&lr=lang_ja&ie=UTF-8&oe=UTF-8&q=互換性ファイル+vista&num=50
- 161 http://www.google.co.jp/search?hl=ja&safe=off&client=firefox-a&rls=org.mozilla:ja:official&hs=9gc&num=100&q=dd-wrt wrt54g&btnG=検索&lr=lang_ja
- 154 http://d.hatena.ne.jp/ehara_kw/20080122/1200972379
- 130 http://www.google.co.jp/search?hl=ja&q=互換性ファイル&meta=lr=&aq=f
- 126 http://www.google.co.jp/search?client=firefox-a&rls=org.mozilla:ja:official&channel=s&hl=ja&q=svnsync+basic認証&lr=&btnG=Google+検索
