http://blog.mizzy.org/articles/2006/12/29/openssh_with_ldap en-us 40 <p> <a class="ext-link" href="http://www.opendarwin.org/en/projects/openssh-lpk/"><span class="icon"></span>OpenSSH LDAP Public key patch</a> を試してみたのでメモ。（略して lpk patch とか言うらしい。） </p> <p> SSH で公開鍵認証を行う場合、通常はホームディレクトリの .ssh/authorized_keys を参照しますが、このパッチを適用すると、authrized_keys の代わりに LDAP データベース内のユーザエントリが持つ sshPublicKey 属性を参照して、アクセスを許可するかどうかを判断する、という動作になります。 </p> <p> 以下、試した手順です。 </p> <h3 id="インストール">インストール</h3> <p> <a class="ext-link" href="http://www.openssh.com/ja/portable.html#ftp"><span class="icon"></span>OpenSSH ダウンロードサイト</a> から OpenSSH 本体を入手し、<a class="ext-link" href="http://www.opendarwin.org/en/projects/openssh-lpk/"><span class="icon"></span>lpk サイト</a> から lpk patch を入手しておきます。 </p> <p> <a class="ext-link" href="http://www.opendarwin.org/en/projects/openssh-lpk/files/openssh-lpk-4.3p1-0.3.7.patch"><span class="icon"></span>4.3p1-0.3.7 patch</a> が最新のようなので、本体は 4.3p1 をダウンロードしておきます。 </p> <p> 入手したら、以下のような感じでインストールします。 </p> <pre class="wiki"> $ cd openssh-4.3p1 $ patch < ../openssh-lpk-4.3p1-0.3.7.patch $ ./configure --with-ldap $ make $ sudo make install </pre> <h3 id="sshdの設定">sshd の設定</h3> <p> /usr/loca/etc/sshd_config に以下のような設定をして、sshd を再起動します。 </p> <pre class="wiki"> UseLPK yes LpkServers ldap://myhost.mydomain.com LpkUserDN ou=People,dc=mydomain,dc=com </pre> <h3 id="LDAPスキーマの設定">LDAP スキーマの設定</h3> <p> lpk patch をあてると、 ソースディレクトリに以下のような内容の openssh-lpk.schema がつくられます。 </p> <pre class="wiki"> # # $Id: openssh-lpk-4.3p1-0.3.7.patch,v 1.3 2006/04/18 15:29:09 eau Exp $ # # LDAP Public Key Patch schema for use with openssh-ldappubkey # Author: Eric AUGE <eau@phear.org> # # Based on the proposal of : Mark Ruijter # # octetString SYNTAX attributetype ( 1.3.6.1.4.1.22054.500.1.1.1.13 NAME 'sshPublicKey' DESC 'MANDATORY: OpenSSH Public key' EQUALITY octetStringMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.40 ) # printableString SYNTAX yes|no objectclass ( 1.3.6.1.4.1.22054.500.1.1.2.0 NAME 'ldapPublicKey' SUP top AUXILIARY DESC 'MANDATORY: OpenSSH LPK objectclass' MUST ( sshPublicKey $ uid ) ) </pre> <p> OpenLDAP であればこいつを /etc/openldap/schema の下にでも置いて、slapd.conf で include してやれば OK でしょう。 </p> <p> Sun のやつであれば config/schema/99user.ldif あたりに以下の記述を追加すれば OK。 </p> <pre class="wiki"> objectclasses: ( 1.3.6.1.4.1.22054.500.1.1.2.0 NAME 'ldapPublicKey' SUP top AUXILIARY DESC 'MANDATORY: OpenSSH LPK objectclass' MUST ( sshPublicKey $ uid ) ) attributetypes: ( 1.3.6.1.4.1.22054.500.1.1.1.13 NAME 'sshPublicKey' DESC 'MANDATORY: OpenSSH Public key' EQUALITY octetStringMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.40 ) </pre> <h3 id="LDAPユーザエントリへの公開鍵追加">LDAP ユーザエントリへの公開鍵追加</h3> <p> 最後に LDAP のユーザエントリへ公開鍵を登録します。以下のような LDIF をつくって ldapmodify で反映させてやれば OK。 </p> <pre class="wiki"> dn: uid=xxx, ou=people, o=southpark changetype: modify add: objectclass objectclass: ldapPublicKey - add: sshPublicKey sshPublicKey: ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAIB3dsrwqXqD7E4zYYrxwdDKBUQxKMioXy9pxFVai64kAPxjU9KS qIo7QfkjslfsjflksjfldfkjsldfjLX/5zkzRmT28I5piGzunPv17S89z8XwSsuAoR1t86t+5dlI 7eZE/gVbn2UQkQq7+kdDTS2yXV6VnC52N/kKLG3ciBkBAw== General Purpose RSA Key </pre> <p> これで公開鍵認証ができるようになります。 </p> <p> lpk patch をあてるとソースディレクトリに以下のドキュメントがつくられますので、詳細はこれらを読むと良いんではないでしょうか。 </p> <ul><li>README.lpk</li> <li>lpk-user-example.txt</li></ul> Fri, 29 Dec 2006 00:49:08 +0900 urn:uuid:7935B840-FB43-11DB-B19E-9689BF6E4193 Gosuke Miyashita http://blog.mizzy.org/articles/2006/12/29/openssh_with_ldap linux http://blog.mizzy.org/articles/trackback/367