LDAP Admin で鍵方式で SSH ログイン可能なユーザを OpenLDAP 上に作成する

LDAP Admin を使うと GUI で簡単に LDAP 上の操作が可能です。今回は LDAP Admin を使って OpenLDAP 上に SSH 公開鍵を登録したユーザを作成する手順をメモしておきます。

前提条件¶

OpenLDAP サーバ＆クライアントになる Linux は以下の記事をベースに作成されているものとします。

鍵交換方式を使って SSH ログイン出来るように OpenLDAP を設定する

本記事で LDAP Admin を利用して OpenLDAP サーバへ接続する環境には下記の記事に従って、SSH 公開鍵登録用のテンプレートが追加されているものとします。

LDAP Admin に SSH の公開鍵を追加するテンプレートを追加する

全体の設計¶

全体の DN や OU の設計は以下の通りとします。グループを 2 つ、ユーザも 2 つ作成します。併せて gidNumber や uidNumber も値を指定して作成します。

file

Step.1¶

LDAP Admin を起動し、Start メニューから Connect をクリックします。

file

Step.2¶

New connection をダブルクリックします。

file

Step.3¶

OpenLDAP サーバに併せて、パラメータを指定します。 Account 設定時は Anonymous connection のチェックを外し、ディレクトリサービスの管理者用に作成したユーザを指定します。

file

Step.4¶

これで LDAP 接続の設定が作成されました。作成された接続アイコン（下の図では LDAP という表示名のアイコン）をダブルクリックして接続します。

file

Step.5¶

パラメータに問題が無ければ OpenLDAP に接続され、以下のような画面になります。今回は予め Groups と Users という OU を作成してあります。

file

Step.6¶

Groups の OU を右クリックし、表示されたメニューから New → Group をクリックします。

file

Step.7¶

新規作成するグループ名を入力します。今回は Administrators と入力して OK をクリックします。

file

Step.8¶

グループが作成されました。但し、gidNumber が指定した値になっていませんので、次の手順で修正します。

file

Step.9¶

gidNumber を右クリックし、表示されたメニューから Edit value をクリックします。

file

Step.10¶

このグループに本来、割り当てたかった gidNumber を入力します。今回は 5001 と入力し、OK をクリックします。

file

Step.11¶

これで gidNumber の修正が完了しました。これで、ひとつ目の Administrators グループの作成は完了です。

file

Step.12¶

同様の手順で、ふたつ目の Users グループを作成します。 gidNumber は最初に決めたパラメータに従って 5002 にします。

file

Step.13¶

次はユーザを作成します。 Users OU を右クリックし、表示されたメニューから New → User をクリックします。

file

Step.14¶

必要なパラメータを指定します。画面下部にある Account properties のうち、Shadow Account と PublicKey のチェックを入れておきます（OK は押さずに、次の手順へ進みます）。

file

Step.15¶

Membership タブをクリックします。この画面で、このユーザが所属するグループを選択します。今回は Primary group だけ設定したいので、画面右上にある Set ボタンをクリックします。

file

Step.16¶

OpenLDAP 上に作成済みのグループが表示されます。作成中の administrator ユーザを所属させる Administrators グループを選択し、OK をクリックします。

file

Step.17¶

これで Primary group が設定されました（OK はクリックせず、次の手順に進みます）。

file

Step.18¶

PublicKey タブをクリックします。 OpenSSH Public Key: というテキストエリアが表示されますので、ここに SSH アクセス用の公開鍵を登録します。

file

Step.19¶

これでユーザが作成されました。但しグループの場合と似ていますが、uidNumber の値が設計とは異なる値になっていますので、次の手順で修正します。

file

Step.20¶

uidNumber の値を右クリックし、Edit value をクリックします。

file

Step.21¶

uidNumber として本来、設定すべき値を入力します。今回は 10001 と入力し、OK をクリックします。

file

Step.22¶

これで、ひとり目の administrator ユーザの作成が完了しました。

file

Step.23¶

同様に、ふたり目の user ユーザも作成します。手順は同じですが、冒頭で決めたパラメータに従い、所属させる Primary group は Users グループとしました。

file

Step.24¶

これで、ふたり目の user ユーザの作成も完了しました。

file

ログイン確認¶

実際に OpenLDAP クライアントになっている Linux へ administrator ユーザで秘密鍵を指定して SSH アクセスしてみます。無事、SSH ログイン出来、id コマンドで表示させた uid / gid 値が意図した値になっていれば成功です。

$ ssh -i ~/.ssh/id_rsa 172.20.0.142 -l administrator
Creating home directory for administrator.
administrator@172-020-000-142:~$ id administrator
uid=10001(administrator) gid=5001(Administrators) groups=5001(Administrators)