LDAP認証の設定を終えて
2つのDistributionでは、そのデフォルト設定などが違うために、同じコードを使っていても、その設定方法やポリシーには違いがあります。Ubuntuでは”auth-client-config"コマンド、CentOSでは"authconfig"コマンドを使って、nsswitch.confやpam.d/以下のファイル群を操作します。
Ubuntuでは/etc/ldap.confは$ sudo dpkg-reconfigure ldap-auth-configで再設定はできて、"nss_base_passwd"などの手動で設定した項目はそのまま残っています。
CentOSでも/etc/ldap.confの状況は同じで、"authconfig"コマンドで設定できます。 authinfo.pyの中では条件にあった行だけを書き換えていて、手動で設定が必要な部分についてはやはり残す仕組みになっています。
何のためのツール群か
こういう管理ツールは必要なのか、時々疑問に思う事があります。 サポートのコストを軽減させたり、ファイルを直接編集する事で関係ないところまで無意識に書き換えてしまうといったケアレスミスの軽減に役に立つ場面はあると思います。
しかし実際には、その場しのぎのツールが生み出されて、そのバリエーションは多義に渡ります。 この分野ではUNIX系システムの特徴である”パイプ”や一つの処理を一つのコマンドに行なわせる簡潔さは継承されていないようです。
システム管理の自動化について考えると、AIXが持っている"ls*","mk*","ch*"系コマンドの一貫性はsmitの体系中で良く動いていると思います。 複雑なデバイスの管理になると崩れていく部分はありますが、それと比較してUbuntuやCentOSの持つ管理系コマンドの仕組みはpythonで書かれていたりして現代的で格好いいかもしれませんが、UNIX系の雰囲気は持っていません。
今後の予定
まだ認証の仕組みにSSLを使っていないので、現実的な応用を考えればLDAP認証やらレプリケーションやらにSSLまで設定をしてようやく最低限なのかなと思っています。
LPICの試験対策としては、まぁ必要ないところなので試験が終ってから、OpenLDAPを自宅LANに導入していこうと思います。まぁどんなOSを使ってもパッケージがhttpdグループやらを作ってくれるので、あらかじめUID, GIDを統一して準備しておく必要性は感じないですけどね。
ひょっとすると将来の仕事でLAN環境を作らなきゃかもしれないし、LDAPを使った応用については勉強しておこうと思っています。まぁ前の前の会社で散々やっていたけれど…。
0 件のコメント:
コメントを投稿