プロジェクト

全般

プロフィール

SympaでLDAP(LDAPS)認証連携する場合

SympaでLDAP(LDAPS)を利用するには、次のファイルを設定します。

/etc/sympa/仮想ドメイン名/auth.conf 
または
/etc/sympa/auth.conf 

設定ファイル内容

  • 認証設定デフォルトでは次の内容となっています。
    user_table
            regexp                 .*
    
  • まずこれをコメントアウトします。
    #user_table
    #        regexp                 .*
    
  • 次にLDAP設定を追加します。
    ldap
            host                            ホスト名 or IPアドレス:ポート番号(LDAPなら389、LDAPSなら636)
            timeout                         20
            suffix                          ou=Members,……  対象とするグループ
            get_dn_by_uid_filter            (uid=[sender])  UIDとする属性フィルタ
            get_dn_by_email_filter          (mail=[sender])  mailとする属性フィルタ
            email_attribute                 mail       sympaのemail属性とする属性
            scope                           sub        サブディレクトリを辿るか
            bind_dn                         cn=Manager    アクセス用のbind_dn
            bind_password                   パスワード    上記のパスワード
    
  • LDAPSの場合は次の設定も追加します。
        use_tls                     ldaps    LDAPSを使う宣言
        ssl_version                 tlsv1    SSLバージョン指定
        ssl_ciphers                 MEDIUM:HIGH 暗号化スイートの強度範囲
        ca_verify                       none   自己署名証明書を検証しない
    
  • SympaでLDAPSを使用するには次のperlモジュールも必要になります。
    # yum install perl-LDAP
    
    ※LDAPSを使う場合
    # yum install perl-IO-Socket-SSL
    
  • 適用し終わったらsympa、wwsympaをリロードする
    # systemctl restart sympa wwsympa
    

動作確認

  • SympaのWebUIにログインできること
  • 「log_level 2」以上でsympa.logで上記の際の次のようなログを確認
    Sympa::DatabaseDriver::LDAP::_connect
    
    この一連のログでldaps://LDAPサーバ名のアクセスが成功していること