予定 †
実機確認 †
基本構成を組む †
- 実機のコンフィグでslapdを起動する。まずは片系のみ。
- 検索
- slapcatでデータが確認できること。OK
- ldapsearchでデータが確認できること。設定データなどは見えないこと。OK
基本機能を確認する †
- 追加・変更・削除
- 要素追加ができること。OK
- 要素変更ができること。OK
- 要素削除ができること。OK
- データ(エントリごと)追加ができること。OK
- データ(エントリごと)削除ができること。OK
- 権限
- 権限のないdnでは検索できないこと。OK
- 権限のないdnでは追加できないこと。OK
- 権限のないdnでは変更できないこと。OK
- 権限のないdnでは削除できないこと。OK
- ログイン認証
- そのLDAPを利用して、ログイン認証できるようにする。OK
- 正しく設定できていればgetent passwd(各種キーワード)でLDAPから情報が取得できるはず。OK
- nas0(端末)から、srv0(LDAPサーバ自身)へsshログインする。OK
- nas0(端末)から、srv1(LDAPサーバでない)へsshログインする。OK
- 二重化
- srv0をプロバイダ、srv1をコンシューマに設定し、同期されることを確認する。OK
- srv0で追加したデータが、コンシューマにコピーされる事を確認する。OK
- srv1で追加しようとするとエラーになる事を確認する。OK
- プロバイダとの同期不可(通信障害)の状態で確認する。
- やはりsrv1でデータ追加しようとしてもエラーになることを確認する。OK
- この状態でLDAPユーザに対してpasswdコマンドを投入したらどうなるか。齟齬が出るのか。OK
- srv0で追加したデータが、通信回復後にコンシューマにコピーされることを確認する。
- プロバイダとの同期不可(プロセス障害)の状態で確認する。
- srv1でデータ追加しようとしてもエラーになることを確認する。OK
- srv0のプロセス再起動後に、再同期されるか確認する。OK
- nsswitch.confの挙動を確認する。
- LDAP優先設定時、プロバイダとの通信が出来ない状態でログイン認証すると、タイムアウトしてコンシューマとの認証に移るのか。OK(即時に次のLDAPサーバに振り返られた。プロセス刺さったときのタイムアウト時間だと思われる)
- files優先設定時、LDAPサーバに無用な問い合わせをしない挙動か確認。OK
メモ †
- /etc/nsswitch.confはfiles ldapの順で正しい。逆順だとrootのときにlsするだけでLDAP検索が走ってしまう。両方に問い合わせてしまって問題なのは、ローカルとLDAPの両方に同名ユーザがいる場合。これをしなければよい。
- 二重化しても何もなければ何の問い合わせも飛ばない。
- /etc/ldap.confと/etc/openldap.confの違いに注意すること。pamやnsは/etc/ldap.confを見ている。ldap系コマンドだけが/etc/openldap/ldap.confを見る。
拡張機能を確認する †
TLS暗号化通信を確認する †
- サーバ証明書を作成する。
- LDAP通信にTLSを利用するよう設定する。
- ローカルクライアントとの通信の暗号化を確認。
- ネットワーククライアントとの通信の暗号化を確認。
- コンシューマLDAPサーバとの同期通信の暗号化を確認。
- データを追加して、コンシューマに伝播するパケットをキャプチャする。
拡張認証機能を確認する †
- ppolicyスキーマを導入する。
- ログイン認証の再確認
- nas0(端末)から、srv0(LDAPサーバ自身)へsshログインする。
- nas0(端末)から、srv1(LDAPサーバでない)へsshログインする。
- 拡張機能の確認
- ログイン失敗回数超過で一定時間ロックされるか。
- 期限超過で警告が出るか。
- 猶予期間超過でもロックされない様にできるか。
- ログイン失敗でパスワード再設定を強制することができるか。
- ユーザ操作の確認
- パスワード変更が可能か(LDAPサーバ内から)
- パスワード変更が可能か(LDAPサーバ外から)
- パスワード文字数制限が有効になっているか。
- passwdコマンドはやはりppolicyと連携できないのか。
- ローカルアカウントへの影響
- LDAP登録していないアカウントにはppolicyが適用されず普通にログインできること。
- ローカルアカウントの追加で、LDAPにデータ追加されないこと。
- 無用にLDAPに問い合わせを行わないこと。
連携機能を確認する †
- ホームdirの自動作成の設定を行う。
- 追加したアカウントで初ログインする際に、自動的にホームdirが作成されること。
- オートマウントの設定を行う。
- /export/home配下にNFSv3で、ログインユーザ毎のホームdirがオートマウントされること。
- 一定時間経過後(ログアウト後)にumountされること。
- 複数アカウントでログインし、それぞれのホームdirがマウントされること。
その他の問題の検証 †
- スラブメモリ増大問題
- オートマウント設定状態で、ログイン(オートマウント)ログアウトして、スラブメモリが増えるか確認する。
- 連続ログイン・ログアウトを設定し、スラブメモリが増えるか確認する。
- 増え続ける場合、最終的にハングアップまで行くか、挙動を確認する。
- 増大する場合、一定周期にフラッシュすればハングアップしないか確認する。
- NFSv4だと問題が発生しないか確認する。
- その場合、オートマント設定の方法を調べなおし、再確認する。
コメント †
- note_ldap.txtをアップロード -- 俺
メモ †
(
訪問者数: 131,
本日: 1,
昨日: 0
)