相方が携帯紛失

ドメイン0を認証サーバにするためにLDAPサーバを立てる。
OpenLDAPはDebianだとslapdパッケージになる。
とりあえず今回は認証機構にはpamを用いるのを目標にする。

インストールするパッケージは以下。

• slapd
• ldap-utils
• libnss-ldap
• libpam-ldap

まず、slapdを設定。

# grep ^[^#] /etc/ldap/slapd.conf
include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/nis.schema
include         /etc/ldap/schema/inetorgperson.schema
pidfile         /var/run/slapd/slapd.pid
argsfile        /var/run/slapd/slapd.args
loglevel        none
modulepath      /usr/lib/ldap
moduleload      back_hdb
sizelimit 500
tool-threads 1
backend         hdb
database        hdb
suffix          "dc=waterblue,dc=net"
rootdn          "cn=admin,dc=waterblue,dc=net"
directory       "/var/lib/ldap"
dbconfig set_cachesize 0 2097152 0
dbconfig set_lk_max_objects 1500
dbconfig set_lk_max_locks 1500
dbconfig set_lk_max_lockers 1500
index           objectClass eq
lastmod         on
checkpoint      512 30
access to attrs=userPassword,shadowLastChange
        by anonymous auth
        by self write
        by * none
access to dn.base="" by * read
access to *
        by * read

ldap-utilの設定。

/etc/ldap/ldap.conf

BASE    dc=waterblue,dc=net
HOST    127.0.0.1

次にnsswitch.confでLDAPを参照出きるようにするためだけのようなlibnss-ldapの設定。

# grep ^[^#] /etc/libnss-ldap.conf
host 127.0.0.1
base dc=waterblue,dc=net
ldap_version 3
rootbinddn cn=admin,dc=waterblue,dc=net

/etc/nsswitch.confでldapを参照するように設定を変える。

passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap

libpam-ldapの設定。

# grep ^[^#] /etc/pam_ldap.conf
host 127.0.0.1
base dc=waterblue,dc=net
ldap_version 3
rootbinddn cn=admin,dc=waterblue,dc=net

あとはpamの設定でLDAPを使うように/etc/pam.d/以下を編集することになる。

/etc/pam.d以下のcommon系ファイルを書き換える。

common-account

account sufficient      pam_ldap.so
account required        pam_unix.so try_first_pass

common-auth

auth    sufficient      pam_ldap.so
auth    required        pam_unix.so nullok_secure use_first_pass

common-password

password   sufficient pam_ldap.so
password   required   pam_unix.so nullok obscure md5 use_first_pass

これで認証でldapが利用される。

個人的メモ用

1. ntp
2. xen-linux-system-2.6.26-2-xen-amd64
3. ssh
4. lm-sensors
5. slapd
6. ldap-utils
7. migrationtools
8. samba
9. smbldap-tools
10. bind9

前回の続き。

前回まででLVM上にDomain0, DomainUの構築が終わったので、次はLVMのミラーリングを行う。
ディスクはフルミラーするので、根っこからミラーリングしちゃう。
mdadmを使ってRAID1の設定をすることにする。

More »

Xenで準仮想化してサーバがようやく稼働再開したわけだけども、時刻がおかしいことにきがついた。
今18:08。
それにたいしてサーバ。

# date
2009年  6月  8日 月曜日 03:08:00 JST

ドメインUの時刻はドメイン0が提供する。
で、ドメイン0の時刻は正しい。
UTCとJSTの差は9時間。

あ、はい。
把握。

# vi /etc/default/rcS

UTC=yes
を
UTC=no
に変更

# /etc/init.d/rcS restart

ダメだな。
なおらない。
じゃあ、サーバ側を変えてみる。
UTC=noになっていたのでyesに。
当然未来になった。
んーと。
じゃあそもそもサーバが提供してる時間がまずいのかな。
とりあえずntpで時刻をあわせようとしたら、入ってなかった。
そいやドメイン0はxenとssh以外はベースシステムしかいれてない。
ので、入れる。

# date
2009年  6月  7日 日曜日 18:17:09 JST

正しくなった。
が、Xenがおかしい。
時刻が行ったり来たりしてたせいだなきっと。
再起動したら直った。
ドメインUもばっちり。

結論
Xenのドメイン0はUTCで時刻設定しましょう。
時刻設定をするときはドメインUを停止してxendも止めましょう。

とりあえず、既存の環境からドメインUにすることに成功したので、本格的にシステムレイアウトを変更することに。
以下のような感じ。

ドメイン0を新規に立ち上げ、今までのwaterblue.netのサーバをドメインUに。
また、HVMゲストとしてWindows XPを動かす。
ドメイン0はXenのホストドメインであるとともに、認証サーバとして機能する。
ファイルシステムはLVMを用い、各ドメインはLVMの論理ボリュームをファイルシステムとして用いる。
また、ディスクのミラーリングも行う。

More »