CentOS 6 での LDAP の設定方法についてまとめるつもりだったがまとめない。

目標

• LDAPサーバを立ててクライアントから認証できるようにする
• CentOS 6系から必須になったTLSでの認証を（簡単に）可能にする
  • 正式な証明書ではなく、ダミーの証明書を使う
• sudo が使えるようにする

まじめにまとめようと思ったけど面倒になったのでポイントだけ

• authconfigしたときに、sssdがインストールされていると、/etc/nsswitch.confにsssが指定される
• sssはsssdによって認証されるが、TLSを要求するため、TLS接続できないとLDAPが引けなくなる。自己署名だとここで引っかかる。
• sssdの設定を変更してTLS_REQCERTをallowとかにすると自己署名の証明書でもOKになる。実は自分で証明書を作る必要すらなく、openldapに同梱されているスクリプトで生成可能。
• ldapsとstart_tlsは全くの別物。使うポートも違うということを理解する。
  • ちなみにldapsよりもstart_tlsのほうが推奨だそうな。
• 他にも幾つかldap関連の設定ファイルがあるのでそれらを根こそぎ証明書のチェック結果を無視する設定に変更する