私の家には、外部と接続されているネットワークにサーバマシンが2台ある。それぞれにLinux OSのCentOSがインストールされている。それには、ユーザアカウントがそれぞれ独立した状態で存在し、もちろんパスワード・ホームディレクトリも独立している。このサーバは、現在実験段階中ではあるがミラーとして動作し、1台の電源のみが入っている。いわゆるコールドスタンバイのデュプレックスシステムのような状態になっている。実際は、CPU(サーバマシン)が、デュプレックスであり、ストレージは、シンプレックスであるという変な構成で、冗長でも何でもない。
これはさておきまして、今回は、最初の方にのべた、ユーザアカウントの統合の話です。2台のサーバが1台ずつユーザアカウントを持っているというのは、非常に使いにくい状態にあります。例えば、新たなサーバを導入したとき(することはないと思いますが・・・)に、ユーザアカウント情報を新たに追加しなくてはなりません。これは面倒です。また、ファイル共有をさせたいときはUID(User ID)とGID(Group ID)が一致していなければ、正しくアクセス制御が働きません。
で、この面倒なユーザ管理をサーバで一元管理すると言うのが、LDAPです。LDAPには様々な種類があります。Windowsであれば、Active Directoryに該当する物です。Active Directoryは、LDAP + Windowsに必要な情報 + Kerberos認証 + αと言った感じだと思います。
Active Directoryを使うことも出来るんですが、私の家のActive Directoryは、内部のネットワークの管理専用としていること、セキュリティ向上のためにサーバ類と隔離していること、有償ソフトウェアであることなど難点が多くがあり、使用していません。別で、OpenLDAPと言う物を使用することにしました。
OpenLDAPは、名前の通りオープンソースでLDAPのサーバ機能を提供するソフトウェアです。Active Directoryと比べると、CUIベースのため設定がやりにくいです。ただ、サーバの移転等には、強そうです。
導入に関しては、少々面倒です。また一時、設定ミスがあったため、ログイン不可能となったりしました。rootは、LDAP管理外なので、それでログインして解決しました。
参考サイトのリンクを張っておきます。対象OSは、CentOS 5.xです。
OpenLDAP構築メモ (ここサイトを見て行えばおおよそ出来ます)
Windowsネットワーク用統合認証サーバー構築(OpenLDAP+Samba) - Fedoraで自宅サーバー構築 (LDAPサーバの確認の項まで。この設定だと、OpenLDAP起動時にWarning.が出るので注意)
導入後は、パスワード管理が1つで出来るので便利になりました。ただし、useraddなどのUnixコマンドを利用してのユーザアカウント追加などが出来なくなるので、すごく便利とは言い切れません。いちいち定義を書くのは面倒なので、LDAP用のユーザ管理シェルスクリプトを作らないといけません。
コメントする