CentOS 6.2で
OpenLDAPとシステムの認証を統合しようとしたら結構ハマッタのでした。
下記のサイトでいろいろやってみたところ
http://sios-oss.blogspot.com/2011/12/rhel6-openldap-pam.html
- /etc/openldap/slapd.confが初期状態では無くなっている。
- 昔のように、slapd.confを使いたい場合は、 /etc/openldap/slapd.dを削除して、ベースのslapd.conf.bakを流用する
- システム認証はsssdというデーモンを使うが、TLSを有効にしないと正常に動作しない。
- caファイルが用意できない場合で、OS付属のcaファイルを使う場合/etc/sssd/sssd.confに「ldap_tls_reqcert = never」とetc/nslcd.confに「tls_cacertfile /etc/pki/tls/certs/ca-bundle.crt」と「tls_checkpeer no」が必要とのことです。
TLSを有効にしないと、LDAP上のユーザでログインできない・パスワード変更がきかないなどの症状が出ます。
訂正:
TLSを有効にしないと、と書きましたがsssd側でTLS無効で動作させることができる?かもです。
1回OpenLDAPがおかしくなってTLSでは二度と動作しなくなってしまいまして、sssdの方をldaps→ldapに変えたら動いたのでOKかもです。