LDAP に登録した認証情報を使ってログインはできるようになったが、このままではセキュリティ上の問題がある。

LDAP でユーザ情報を管理用するための DN を作成して、その他はアクセス権を制限する。

管理用 DN の作成。openldap authentication on netbsd を参考に、次の DN を作成する。

dn: cn=nss,dc=example,dc=co,dc=jp
objectClass: top
objectClass: inetOrgPerson
cn: nss
sn: manager

システムにログインするユーザではないので、objectClass に posixAccount は含まれていない。エントリが置かれる場所も ou=People,dc=exacple,dc=co,dc=jp の下ではなく、dc=example,dc=co,dc=jp の直下だ。

今回は LDAP Admin で追加する。

まずは、ツリーのトップエントリ dc=example,dc=co,dc=jp を選択した状態で、メニューバーの [Edit] – [New] – [Entry…] を選ぶ。

左下ペインの Objectclass に top と inetOrgPerson を追加。inetOrgPerson を追加すると右下のペインに Attribute が現れるので、cn に nss、sn に manager を入力する。入力すると、中段の Rdn で cn=nss と sn=manager が選べるようになるので cn=nss を選ぶ。これが今作成しているエントリの DN の一部になる。

ここまで入力したら、New Entry ウィンドウのメニューバーの [File] – [Save and close] を選択してエントリを登録する。

下のようにトップの直下に cn=nss が作成される。

パスワードも設定しておく。