2. クィックスタートガイド

これは、スタンドアローン LDAP デーモン slapd(8) をはじめとする OpenLDAP ソフトウェア 2.3 のクィックスタートガイドです。

これは、OpenLDAP ソフトウェアのインストールと設定の基本手順を示すことを意図しています。必要に応じて、この文書の他の章、マニュアルページ、配布物に提供されている他のファイル(INSTALL 文書など)、OpenLDAP web サイト(特に OpenLDAP Software FAQ)を参照してください。

正式に OpenLDAP ソフトウェアを運用するつもりなのであれば、ソフトウェアをインストールする前にこの文書のすべてに目をとおしておいたほうがよいでしょう。


注記:このクィックスタートガイドでは、強固な認証を使っていませんし、完全性と機密性を保護するサービスも使っていません。これらのサービスについては、OpenLDAP 管理者ガイドの他の章で扱われています。

  1. ソフトウェアの入手
    OpenLDAP ダウンロードページ (http://www.openldap.org/software/download/) の指示にしたがうことによりソフトウェアのコピーを入手できます。初めてインストールする場合には、(最新の)リリース版(release) を入手することを勧めます。
     
  2. 配布物の展開
    入手したソースを置くディレクトリを決めて、そこにカレント作業ディレクトリを移し、次のようにして配布物を展開してください。
      gunzip -c openldap-VERSION.tgz | tar xvfB -

    展開した配布物のディレクトリにカレント作業ディレクトリを移します。
      cd openldap-VERSION

    実際には、ここで VERSION とあるところを実際に入手したソースのバージョン番号で置き換えなければなりません。
     
  3. 文書の確認
    配布物に付いてくる文書 COPYRIGHT, LICENSE, README, INSTALL に目をとおしてください。文書 COPYRIGHTLICENSE は OpenLDAP ソフトウェアの利用条件、著作権、保証の制限についての情報を載せています。
     
    この文書の他の章も調べておくとよいでしょう。特にこの文書の OpenLDAP ソフトウェアの構築とインストールの章は、あらかじめ必要なソフトウェアとインストール方法についての詳しい情報を載せています。
     
  4. configure の実行
    目的のシステムで構築できるように、提供されている configure スクリプトを配布物に対して実行する必要があります。この configure スクリプトにはオプションのソフトウェア機能を有効/無効にする多くのコマンドラインオプションがあります。普通はデフォルトのままで OK ですが、それを変更したいこともあるかもしれません。configure が受け付けるオプションの一覧を見るには、 --help オプションを使います。
      ./configure --help

    しかし、このガイドでは何が最善であるかを configure に決定させるので十分だと判断したことにします。
      ./configure

    configure がシステムを嫌わなければソフトウェアの構築を継続できます。configure が不平を言ったならば、 FAQ (http://www.openldap.org/faq/)のインストールの節を参照したり、この文書のOpenLDAP ソフトウェアの構築とインストール の章を実際に読む必要があるでしょう。
     
  5. ソフトウェアの構築
    次のステップはソフトウェアの構築です。このステップには二つの作業があります。まず依存関係を構築して、その後にソフトウェアをコンパイルします。
      make depend
      make

    両方の make ともエラーなく完了することになっています。
     
  6. 構築したもののテスト
    正しく構築されたかを確認するために、テストスィートを実行しておくべきです(数分かかるだけです)。
      make test

    configure の結果に応じたテストが行われ合格することになっています。複製のテストなどいくつかのテストはスキップされるかもしれません。
     
  7. ソフトウェアのインストール
    ソフトウェアをインストールします。インストールにはたいてい スーパユーザ権限が必要です。
      su root -c 'make install'

    これですべてが /usr/local (あるいは configure で指定したインストール prefix) 配下にインストールされます。
     
  8. 設定ファイルの編集
    適当なエディタを使って、提供されている slapd.conf(5) のサンプル(普通 /usr/local/etc/openldap/slapd.conf にインストールされます)を編集します。次のような形式の BDB データベース定義を入れます。
      database bdb
      suffix "dc=<MY-DOMAIN>,dc=<COM>"
      rootdn "cn=Manager,dc=<MY-DOMAIN>,dc=<COM>"
      rootpw secret
      directory /usr/local/var/openldap-data

    ここで <MY-DOMAIN><COM> は、利用環境のドメイン名のドメインコンポーネントに合わせて適当に書き換えてください。たとえばドメイン名が example.com だとすると次のようになります。
      database bdb
      suffix "dc=example,dc=com"
      rootdn "cn=Manager,dc=example,dc=com"
      rootpw secret
      directory /usr/local/var/openldap-data

    ドメインが eng.uni.edu.eu のように、コンポーネントがもっとあるような場合には次のようになります。
      database bdb
      suffix "dc=eng,dc=uni,dc=edu,dc=eu"
      rootdn "cn=Manager,dc=eng,dc=uni,dc=edu,dc=eu"
      rootpw secret
      directory /usr/local/var/openldap-data

    slapd(8) の設定について詳しくは slapd.conf(5) マニュアルページとこの文書のslapd の設定ファイル の章を参照してください。指定したディレクトリは slapd(8) を起動する前に存在しなければなりません。
     
  9. SLAPD の起動
    次のコマンドを実行してスタンドアローン slapd(8) を起動します。
      su root -c /usr/local/libexec/slapd

    サーバが設定どおりに動作しているかを確認するために ldapsearch(1) で検索してみることができます。デフォルトで ldapsearch は /usr/local/bin/ldapsearch にインストールされます。
      ldapsearch -x -b '' -s base '(objectclass=*)' namingContexts

    特殊文字がシェルに解釈されてしまわないようにコマンドパラメータを単一引用符で囲んでください。このコマンドの実行結果は次のようになります。
      dn:
      namingContexts: dc=example,dc=com

    slapd(8) の実行について詳しくは slapd(8) マニュアルページとこの文書のslapd の実行 の章を参照してください。
     
  10. 初期エントリのディレクトリへの追加
    LDAP ディレクトリにエントリを追加するのには ldapadd(1) が使えます。 ldapadd は LDIF 形式の入力を要求します。エントリの追加に二つの作業を行います。
    1. LDIF ファイルを作成
    2. ldapadd を実行

    適当なエディタを使って、次の内容を記述した LDIF ファイルを作成してください。
      dn: dc=<MY-DOMAIN>,dc=<COM>
      objectclass: dcObject
      objectclass: organization
      o: <MY ORGANIZATION>
      dc: <MY-DOMAIN>

      dn: cn=Manager,dc=<MY-DOMAIN>,dc=<COM>
      objectclass: organizationalRole
      cn: Manager

    ここで <MY-DOMAIN><COM> は、利用環境のドメイン名のドメインコンポーネントに合わせて適当に書き換えてください。<MY ORGANIZATION> は組織の名前に合わせて適当に書き換えてください。次の例をカット&ペーストして使う場合には行の前にある空白と後に付いている空白を取り除いてください。
      dn: dc=example,dc=com
      objectclass: dcObject
      objectclass: organization
      o: Example Company
      dc: example

      dn: cn=Manager,dc=example,dc=com
      objectclass: organizationalRole
      cn: Manager

    ldapadd(1) を実行してエントリをディレクトリに挿入しましょう。
      ldapadd -x -D "cn=Manager,dc=<MY-DOMAIN>,dc=<COM>" -W -f example.ldif

    ここで <MY-DOMAIN><COM> は、利用環境のドメイン名のドメインコンポーネントに合わせて適当に書き換えてください。実行するとパスワードの要求があるので slapd.conf に指定した secret を入力してください。ドメインが example.com とすると、次のように実行します。
      ldapadd -x -D "cn=Manager,dc=example,dc=com" -W -f example.ldif

    ここで example.ldif は前で作成したファイルです。

    ディレクトリの作成についてのさらなる情報は、この文書の データベース作成/管理ツールの章にあります。
     
  11. 動作の確認
    追加したエントリがディレクトリ中にあるかを確認してみましょう。なんらかの LDAP クライアントがあれば確認できますが、ここでは ldapsearch(1) ツールを使うことにします。次の例の dc=example,dc=com のところは運用するサイトに合わせて適切な値に書き換えてください。
      ldapsearch -x -b 'dc=example,dc=com' '(objectclass=*)'

    このコマンドはデータベース中のあらゆるエントリを検索して取り出します。

後は ldapadd(1) や他の LDAP クライアントでさらにエントリを追加してみたり、いろいろな設定ディレクティブを試してみたり、バックエンドを調整してみたりしてみてください。

デフォルトで slapd(8) データベースは スーパユーザ(rootdn 設定ディレクティブで指定したもの)を除いたみなに read アクセス権を与えます。実際の運用では、認可されたユーザに対してアクセスを制限するように制御しておくことを強く勧めます。アクセス制御についてはslapd 設定ファイルの章の アクセス制御の節で説明します。また、セキュリティの考慮SASL の使用法TLS の使用法 も読んでください。

以降の章には、slapd(8) の構築、インストール、実行についてより詳しい情報があります。