03/01/10 13:14
うん、といっても、昨日オブジェクトクラス'book'を
作ったばっかり。ぼちぼち本を登録していこうと思ってる。
このサービスのWebフロントエンドを作って、携帯電話から
簡単に問い合わせできたら、同じ本を2冊買うこともなくなるかな、
と思って。
113:名無しさん@お腹いっぱい。
03/01/10 13:26
>>110
LDAPでアクセスして嬉しいことって何だろう?
114:110
03/01/10 14:19
>>113
本質からは外れるけど、データベースに問い合わせを行うのに
特別なクライアントが必要ないことも嬉しいね。Netscapeの
アドレス帳からでも問い合わせができるし。
もっとも、もともとアドレス帳はアドレス帳なので、表示される
属性は限定されるけど。
115:名無しさん@お腹いっぱい。
03/01/11 12:19
>>114
うむ。ネットワーク越しに使える client が非常に充実しているのは大きいかも。
116:名無しさん@お腹いっぱい。
03/01/12 22:35
>>112,114
その辺りは、imc.orgなんかも取り組んでいて、期待したいところですな。
しかし、LDAPと比べるなら、X.500シリーズやODBC/JDBCだと思うのだが…
プロトコルとシステムカテゴリ比べてどうする?
117:名無しさん@お腹いっぱい。
03/01/13 10:08
>>116
LDAP サーバーに JDBC 経由でアクセスできると思うのだが…
プロトコルと API を比べてどうする?
118:名無しさん@お腹いっぱい。
03/01/13 15:25
>>116
>>11-14 を見ろ。っていうか、お前、論破されて逃げ出した11か?
119:困惑者
03/01/13 21:30
freeradius + openldapに対して各利用者に
papとchapの両方可能にすることってできるのでしょうか?
また同じ用に、vpopmail + openldapで
popとapopを可能にすることはできるでしょうか?
いろいろな書き込みやFAQなどで調べているのですが
決定的な情報がなくて・・・。
どなたか情報をお持ちでしたら是非教えてください!
120:名無しさん@お腹いっぱい。
03/01/15 12:04
Servletを利用したLDAPサーバの検索を行うクライアントの作成をしたいと思います。
どこか参考になるHPや手法等教えていただけないでしょうか。
LDAPにアクセスするためのクラスすら見つけれず、悪戦苦闘しています。
121:名無しさん@お腹いっぱい。
03/01/15 12:22
>>120
JNDIがキーワードだ。
122:名無しさん@お腹いっぱい。
03/01/15 12:48
JNDIで検索したらほしい情報が載ってそうなサイトがたくさん引っかかりました。
Servletの勉強中に見かけたんですが思いっきり忘れてました。
かなり道が開けたような気がします。ありがとうございました!
123:山崎渉
03/01/15 12:52
(^^)
124:名無しさん@お腹いっぱい。
03/01/20 10:10
唯一スレなんでage
125:あぼーん
あぼーん
あぼーん
126:名無しさん@お腹いっぱい。
03/01/20 18:18
大量の属性(80項目)をLDAPMod構造体にセットするには
どうしたらよいでしょうか?
ちまちま領域確保してやっていますが
めちゃめちゃソースが長くなります。
127:名無しさん@お腹いっぱい。
03/01/27 08:43
age 沈みやすいなぁ、ここ
128:あぼーん
あぼーん
あぼーん
129:名無しさん@お腹いっぱい。
03/01/27 11:45
>>127
ネタないの?
130:名無しさん@お腹いっぱい。
03/01/30 14:08
RedHat7.3 + OpenLDAP2.1.12 + BDB4.1.24 です。
インストール後、
ldapadd -x -D "cn=admin, dc=." -w パス
とし、
dn: dc=.
objectClass: dcObject
dc: .
だと登録不可で、
dn: dc=.
objectClass: domain
dc: .
だと登録可能です。
RPMでOpenLDAPをインストールしたときは、dcObject で出来たのですが、
何か変更があったのでしょうか?
ちなみにエラーは、
adding new entry "dc=."
ldapadd: update failed: dc=.
ldap_add: Object class violation (65)
additional info: no structural object class provided
といわれます。
131:名無しさん@お腹いっぱい。
03/01/30 14:08
age忘れ。
132:名無しさん@お腹いっぱい。
03/01/31 00:52
スキーマをインクルードしてないとかはないよね?
133:130
03/02/01 01:05
長文なので分割します。
スキーマはインクルードしてあります。
スキーマ見て分かったのですが、
objectclass ( 1.3.6.1.4.1.1466.344 NAME 'dcObject'
DESC 'RFC2247: domain component object'
SUP top AUXILIARY MUST dc )
と書いてあり、
どうも AUXILIARY というタイプは単体で objectClass を指定できないみたいですね。
134:130
03/02/01 01:06
objectclass ( 2.5.6.4 NAME 'organization'
DESC 'RFC2256: an organization'
SUP top STRUCTURAL
MUST o
(略)
のような、STRUCTURAL というタイプと一緒に登録するとできました。
下記は登録可です。
dn: dc=.
objectClass: dcObject
objectClass: organization
dc: .
o: hogehoge
バージョン 2.0.27 だと、
dn: dc=.
objectClass: dcObject
dc: .
のみで登録できたのですが。
なんか仕様が変わったのですね。
おさわがせしました。
135:名無しさん@お腹いっぱい。
03/02/17 13:22
保守 sage
136:名無しさん@お腹いっぱい。
03/02/22 04:37
どこかに、vpopmailでのLDAPの利用を日本語で解説しているページないですかねぇ。
137:名無しさん@お腹いっぱい。
03/02/23 01:38
LDAPプロキシってないですか?
HTTPプロキシと同じ機能のLDAP板的なもの。
探したのですが、見つかりませんでした・・
138:名無しさん@お腹いっぱい。
03/02/23 01:59
>>137
delegate
139:名無しさん@お腹いっぱい。
03/02/25 02:21
>137
別に tis fwtk の plug-gw で構わんと思うが?
fwtk じゃなくても汎用の tcp relay プログラムなら
ぐぐってみればたくさん引っかかるぞ。
140:名無しさん@Emacs
03/03/09 14:00
LDAPに参加させるマシンはグループIDなんかは貼りなおしですか?
141:名無しさん@お腹いっぱい。
03/03/12 16:43
LDAPでファイル権限も操作できます?
LDAPで認証したユーザに対して、このファイルは見れるがこっちのファイルは見れない、とか。
142:名無しさん@お腹いっぱい。
03/03/12 19:08
>>141
OSによるとしかいいようがないけど。
143:名無しさん@お腹いっぱい。
03/03/12 21:44
>>142
申し訳ない。UNIX系です。たぶんそらりす。
144:名無しさん@お腹いっぱい。
03/03/13 00:37
>>141 の書きっぷり(謎)を見ると、OSによらずできると思うが、
まぁ、そらりすなら、尚更できるんでないの?
145:名無しさん@お腹いっぱい。
03/03/13 01:33
>>143
とりあえず、これでも読んでSolarisのACLについてお勉強
URLリンク(docs.sun.com)
146:山崎渉
03/03/13 16:30
(^^)
147:名無しさん@ギブアップ
03/03/17 13:18
メタディレクトリを構築するのに参考になる本や Web ページ何か無いでしょうか?
148:名無しさん@お腹いっぱい。
03/03/18 10:59
LDIFのGUI編集が行えるツールなどはないでしょうか?
例えば500人分追加でデータを格納する時にLDIFを直接編集するのは正直辛いので・・・。
ツールでなくとも「こういう手法なら楽になるよ」などの意見があれば是非教えていただきたいです。
もしくは既存DBやCSV形式の変換などでもありがたいです。
よろしくお願いします。
149:名無しさん@お腹いっぱい。
03/03/19 13:52
>>148
こんなんでいいのかな?
LDAP Browser/Editor
URLリンク(www.iit.edu)
150:
03/03/31 21:14
いまから LDAP で遊びます。
逐次報告します。
151:名無しさん@お腹いっぱい。
03/04/01 00:49
期待 age
152:あぼーん
あぼーん
あぼーん
153:名無しさん@お腹いっぱい。
03/04/16 17:33
FreeBSD 上で OpenLDAP 2.0.25 を使って、ちょっとした LDAP クライアント
を書いています。LDAP サーバとの通信に SSL を利用したいのですが、
具体的に、どの API を使えば良いのでしょう?
ldap_init() した後に ldap_set_option() で LDAP_OPT_X_TLS をセット
(値は LDAP_OPT_X_TLS_HARD) すれば良いのかなぁ? と思ってやってみた
のですが、ldap_simple_bind_s() でエラーになってしまいます。
ldap_perror() で確認すると
additional info: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure
というメッセージが出力されます。
これ自体はOpenSSL のエラーメッセージのようなので、何か SSL の設定
のようなものが必要なのでしょうか?
154:名無しさん@お腹いっぱい。
03/04/17 01:36
>>153
サーバは SSL 対応してるの?サーバのログは?
155:153
03/04/17 11:05
>>154
debug レベルで syslog を取ると
Apr 17 11:00:48 XXXXXX slapd[9936]: connection_read(10): TLS accept error error=-1 id=1, closing
って出てます。SSL を全然理解してないんですが、
サーバ側で SSL を使うための設定をしないといけない
んですよね。その辺から勉強してきます。
156:山崎渉
03/04/17 11:45
(^^)
157:名無しさん@お腹いっぱい。
03/04/17 21:06
>>155
サーバの設定から見直すのであれば、自分で書いたクライアントの前に、
ldapsearch などのツールの TLS オプションで確認するといいかもしれない。
158:名無しさん@お腹いっぱい。
03/04/19 01:56
age
159:あぼーん
あぼーん
あぼーん
160:名無しさん@お腹いっぱい。
03/05/01 10:51
PostgreSQL勉強して(゚д゚)ウマー
だたんだけど
LDAP勉強したら(゚д゚)ウマー
になりますか?
161:名無しさん@お腹いっぱい。
03/05/01 13:00
>>160
まずは、まるで用途が違うってことをお勉強しましょう。
162:名無しさん@お腹いっぱい。
03/05/01 21:33
はーい
163:名無しさん@お腹いっぱい。
03/05/08 04:59
もりage
164:あぼーん
あぼーん
あぼーん
165:名無しさん@お腹いっぱい。
03/05/08 11:57
>>160
最近、openldapdは、backendにPostgreSQL使えるけど、あれどうなんだろうな?
166:名無しさん@お腹いっぱい。
03/05/08 12:25
>>165
RDBで特有のデータ構造のためだけじゃなくて、
トランザクション管理をまかせるためにも使えるんだから
別にいいんでないの?
167:名無しさん@お腹いっぱい。
03/05/08 12:29
>>166
うん、調子いいのかなと
168:名無しさん@お腹いっぱい。
03/05/08 15:10
>>165
OpenLDAP で back-sql 使ってバックエンドに RDBMS 使えるのは、別に最近の
ことじゃないですが…
んで、バックエンドに RDMBS 使うのは帯にも襷にも長すぎるっていうのは確かでせう。
169:名無しさん@お腹いっぱい。
03/05/13 21:58
windows用のクライアントってないの?
170:名無しさん@お腹いっぱい。
03/05/13 23:03
>>169
いっぱいあるよ。スレ違いだから教えないけど。
171:名無しさん@お腹いっぱい。
03/05/14 22:08
LDAPサーバから検索してその結果をcsvに落としたい。
複数回サーバには問い合わせます。
なんかいいプログラム等ないですか?
172:名無しさん@お腹いっぱい。
03/05/14 22:14
>>171
そりくらい自分で書け!
Cが無理ならPHPだ。
あ、ってかシェルスクリプト駆使するだけでもできる罠
173:名無しさん@お腹いっぱい。
03/05/14 22:15
>>171
ldapsearch
174:名無しさん@お腹いっぱい。
03/05/14 22:34
BASE64でデコード+UTF-8変換も結構めんどい。
既存ではないの?
175:あぼーん
あぼーん
あぼーん
176:名無しさん@お腹いっぱい。
03/05/14 22:49
>>174
PHPならコード変換を含めこれくらいでできるよね?
$host="ldapserver";
$port="389";
$dn="dc=hoge,dc=jp";
$filter="*";
$ds=ldap_connect($host,$port);
$r=ldap_bind($ds);
$sr=ldap_search($ds,$dn,$filter);
$entries=ldap_get_entries($ds,$sr);
for ($i=0;$i<$entries["count"];$i++) {
$sn=$entries[$i]["sn"][0];
$givenName=$entries[$i]["givenName"][0];
echo mb_convert_encoding("$sn,$givenName\n","SJIS","UTF-8");
}
ldap_close($ds);
177:172
03/05/14 23:40
>>176
$filterは"objectclass=*"とかでない?
178:176
03/05/15 00:18
「これくらい」と書いている通り、そこいらへん適当だよ!
179:177
03/05/15 00:28
>>178
>適当
それだと動かないYO(w
でもとりあえず>>174は176のサンプルに感謝するように。
あとはphp.netのサンプルやマニュアルで勉強だな。
180:176
03/05/15 00:40
適当でスマソ!
でも、>>171 位のプログラムなら、このスレッドの中でも適当(wに作れそうじゃ
ん。とりあえず>>171 は自分の欲しい仕様をダラダラ書いたら?
レスに収まらなくなってきたら、どこかのWikiサーバに一時間借りして、ソー
スや仕様書、コメント等を書かせてもらっても良いだろうし。
如何~
181:171
03/05/15 23:10
日本語の姓名をKEYにしてLDAPサーバにKEYごとに問い合わせを行う。
filterはmail=xxx@xxxx.com
この結果をCSVに落とす。
もちろん、EUCもしくはSJISで。
182:名無しさん@お腹いっぱい。
03/05/15 23:29
>>171
おいおい、「filter」の意味わかってる?
もうちょっと LDAP の勉強した方がいいんじゃない?
ところで、最近の国内の LDAP 周辺の事情に疎いんだけど、
LDAP 情報ポータルサイトみたいなんってあるのかな?
>>180 で思ったんだけど、
LDAP 初心者でもとっつきやすそうな Wiki サイトとかあると良いのかな、なんて。
183:171
03/05/16 22:59
ホントだ。ないっているだろう。いってきます
184:あぼーん
あぼーん
あぼーん
185:名無しさん@お腹いっぱい。
03/06/03 20:51
最新のOpenLDAPについて勉強出来る日本語サイト、おしえて!
186:名無しさん@お腹いっぱい。
03/06/04 22:13
>185
無い(いやマジで)。
書籍ならば UNIX USER 2002/1 の特集とか先月と今月の Software Design
とか。o'reilly の「LDAP system Administraion」(洋書)を買うとか。
↑ OpenLDAP の事しか書いてないぞ、これ。。。
まだ見てないけど 5/2 に出たばかりの
「Understanding and Deploying LDAP Directory Services 2nd Edition」
に期待大(こいつも洋書だ)。
でも 936 ページもあるらしいので人一人死なすには十分。
187:名無しさん@お腹いっぱい。
03/06/07 17:58
と言う訳で「Understanding and Deploying LDAP Directory Services 2nd Edition」
が届いた。何なの、この辞書のような装いは...。
188:名無しさん@Emacs
03/06/07 18:48
RDBの概念から実際のソフトウェアの扱いまでを一冊に
納めようとしたら、それぐらいの分量になりそうだけど
そんな感じの本なの?
189:名無しさん@Emacs
03/06/07 22:45
>188
日本の LDAP ML で和訳が進行していたらしい(そして頓挫?)本の 2nd Edition な
んでそれなりの本じゃないかな。
出版元(ADDISON-WESLEY)の紹介ページで Table of Contents 見てもよー分からん。
URLリンク(www.awprofessional.com)
190:名無しさん@お腹いっぱい。
03/06/12 10:27
ディレクトリに人のエントリを格納し、この人は a, b, c のアプリを利用で
き、この人は b, c, d のアプリが利用できるといった制御をするためにはサー
バ側での実現方法、アプリ側での認証方法はどのようにしたら良いでしょう
か?
191:名無しさん@お腹いっぱい。
03/06/12 10:40
アプリを動かすplatformは?
192:名無しさん@お腹いっぱい。
03/06/12 10:53
scheme/schema
スレリンク(math板)
193:名無しさん@お腹いっぱい。
03/06/12 11:07
>191
アプリは Windows, UNIX 上での Perl, PHP, Java, VB 等様々です。
ユーザ認証を行うには uid, password で bind して成功/失敗をチェックすれば
良いのではと考えてます。
その後ユーザが利用出来るアプリを制限するところがピンときません。
194:名無しさん@お腹いっぱい。
03/06/12 11:35
>>193
アプリが全部自作なら、
アプリ自身が実行しているユーザが利用可能であるか、directory情報を見て、
自分で制御すればいいと思います。終了するなど。
自作じゃないなら、local systemのauthorization systemを使って、
実行可能/不可能を制御すればいいです。
グループをdirectoryで管理して、グループに対するアクセス許可を行なう。
Authentication systemとauthorization systemの区別が
はっきりしてないからピンと来ないということはないですか?
LDAPはauthenticationしかやってくれないので、
authorizationは別途実現してやる必要があります。
上の2例の場合、authenticationはログオン/イン時に行なわれます。
アノニマスログオン/インが許可されている環境で、
authenticationも絡めて行ないたい場合は、
(つまりlocal systemのauthenticationを信頼しない場合)
アプリごとにou=アプリ名を作って、
その中にcn=ユーザ名を作成、(パスワードはCoSで共有する)
アプリで認証する時のbaseDNをこのouを指定する、などの方法があります。
cn=ユーザ名があるユーザが利用可能なユーザ。
195:名無しさん@お腹いっぱい。
03/06/12 11:39
ちなみに、
> この人は a, b, c のアプリを利用でき、
> この人は b, c, d のアプリが利用できるといった制御
は、authorization(=アクセス制御)です。
196:名無しさん@お腹いっぱい。
03/06/12 13:33
>194
なんとなく見えてきました。
authorization を行う為の手段は明確には定められていない。
それは各アプリが任意の方法を用いて各自で判断しなさいと。
>アプリごとにou=アプリ名を作って、
>その中にcn=ユーザ名を作成、(パスワードはCoSで共有する)
>アプリで認証する時のbaseDNをこのouを指定する、などの方法があります。
この方法の場合、各アプリで個別に必要になる属性を
ou=アプリ 1, ou=アプリ 2, ou=アプリ 3 に格納し、パスワードのような共通属性は
Cos で ou=人 のようなエントリ以下とひも付けすると言う事ですね。
ユーザ A がアプリ 1 を利用しようとした場合、
アプリ 1 は ou=アプリ 1 を baseDN として cn, password で bind してみる。
→ 成功/失敗をチェック!
従ってユーザ A はアプリ1, 2, 3 を、ユーザ B は アプリ 2 を、ユーザ C は
アプリ 2, 3 を利用出来るようにしたいなら
ou=人には ... cn=ユーザ A, cn=ユーザ B, cn=ユーザ C (共通属性を格納)
ou=アプリ 1 には ... cn=ユーザ A (固有の属性を格納)
ou=アプリ 2 には ... cn=ユーザ A, cn=ユーザ B, cn=ユーザ C (固有の属性を格納)
ou=アプリ 3 には ... cn=ユーザ A, cn=ユーザ C (固有の属性を格納)
の各エントリを作ってあげれば authentication & authorization が行なえ
ると言う事でよいでしょうか?
197:名無しさん@お腹いっぱい。
03/06/12 15:40
>>189
鵜飼さんの日記にも出てた。
Understanding and Deploying LDAP Directory Services , Second Edition
198:名無しさん@お腹いっぱい。
03/06/12 16:33
>>196
> authorization を行う為の手段は明確には定められていない。
明確に定められてないどころか関知しません。
LDAPはauthentication serviceとdirectory serviceを提供するだけです。
DITに対するaccessのauthorizationについては、
serverごとに実装されていて、またいろいろな標準提案もありますが。
> (ずばっと省略)
そんな感じでいいんじゃないでしょうか。
もちろんこれはひとつの方法に過ぎませんが。
199:名無しさん@お腹いっぱい。
03/06/13 15:35
最近 SunONE Directory Server に興味津々なんですが、製品を購入した際に付いてくる
マニュアルは URLリンク(docs.sun.com) にあるもの以外何かありますでしょうか?
あれだけではとても利用(運用)は無理と思いまして。。。
Solaris9 に付いてくるのはひょっとしてソフトだけでマニュアル無しとか?
200:名無しさん@お腹いっぱい。
03/06/13 18:08
CD-ROMだけだから、(今時紙のマニュアルはない)
URLリンク(docs.sun.com)にあるのと同じだよ。
URLリンク(wwws.sun.com)
にtrial版があるからdownloadしてみなよ。
LDAPさえ分かれば運用は簡単だよ。
201:<sage>
03/06/13 19:04
>200
ところで今米国Sunのサイト見に行ったらいつの間にやら 5.2 が出てますね。
URLリンク(wwws.sun.com)
4.xであったWindowsNTとの連携が復活しているようで。
ActiveDirectoryとの連携はMeta-Directoryを使えと言う事かな。
Roleを使った際、バーチャル属性のフィルタでの使用はサポートになってい
るんでしょうか?
202:あぼーん
あぼーん
あぼーん
203:あぼーん
あぼーん
あぼーん
204:SPARC
03/06/14 01:17
DTCって会社がSolaris互換のCPU出してるみたいだけど、
実際どうなのかなぁ?知ってる人いたら教えて。。。
速いの?
205:名無しさん@お腹いっぱい。
03/06/14 01:28
>>204
で、それのどこがLDAPと関係があるの?
206:名無しさん@お腹いっぱい。
03/06/14 18:36
> 200
パッケージを買うと紙のマニュアルがついてますよ。
ウェブにあるものと同じことには変わりないけど。
> 201
まだ5.2はモノが出ていないですよ。最新は5.1SP2。
また、NT/Actiove Dorectoryとの同期は、もともと
5.2に含まれる予定でしたが、別プロダクトとして
出てくるらしいです。
URLリンク(wwws.sun.com)
207:名無しさん@お腹いっぱい。
03/06/15 22:46
OpenLDAPって結構不安定だなぁ・・・
208:名無しさん@お腹いっぱい。
03/06/15 23:45
・・・と、使わないうちから妄想しています。
209:novell
03/06/16 21:25
eDirectory あげ
210:名無しさん@お腹いっぱい。
03/06/16 22:30
コーディングのお供に
URLリンク(mypage.odn.ne.jp)
211:あぼーん
あぼーん
あぼーん
212:あぼーん
あぼーん
あぼーん
213:あぼーん
あぼーん
あぼーん
214:あぼーん
あぼーん
あぼーん
215:名無しさん@お腹いっぱい。
03/08/03 15:48
職場でldapでいろいろなユーザの認証を管理しようとしてテストしているのですが、
暗号化パスワードが作成できないんです、
$ slappasswd -h "{CRYPT}" -s passwd -c "%s"
としても
Password generation failed.
と怒られてしまいます。
$ slappasswd -h "{MD5}" -s passwd
などはちゃんとできるのですが、原因がわかりません。
どなたか原因を知っている方、同じような現象になった方はいらっしゃらないでしょうか?
環境は
openldap-2.1.21
FreeBSD 4.7-RELEASE
です
216:名無しさん@お腹いっぱい。
03/08/05 02:01
ソルトはどうしたよ?
slapd.confのpassword-crypt-salt-formatのところ読んでみなよ。
217:215
03/08/05 11:38
>>216
slapd.confには
password-crypt-salt-format "%.2s"
や
password-crypt-salt-format "$1$%.8s"
などと書いてはみたのですが、うまくいかないんです。
slpapasswd の -c で salt のフォーマットを指示しても slapd.conf の
この指定って関係するんでしょうか?
218:名無しさん@お腹いっぱい。
03/08/05 12:32
>>217
じゃ、-DSLAPD_CRYPTなしでcompileされたんでしょ?
get_scheme()に失敗してるんだよ。
Bind認証時にdecryptするのはserver側だから、
crypt(3)がMD5のFreeBSDでは、(のはず)
DESは使えなくても構わないと思うけど。
しかしどうして{DES}ってのがないんだろう…
{CRYPT}/crypt(3)はシステムごとに違うのに…
219:215
03/08/05 18:22
>>218
コンパイルしたのが私じゃないので確認しなきゃいけないんですが、
おそらくコンパイル時に --enable-crypt していないんじゃないかと思い始めています。
(slapd.conf に password-hash {CRYPT} と書いたら
password scheme "{CRYPT}" not available と怒られたのがきっかけ)
FreeBSDはcryptが(ディフォルトでは)MD5ってことも今日やっと理解しました。
{MD5}と{CRYPT}があったんでてっきり{CRYPT}はDESだと思い込んでいたんです。
ということで「{MD5}でやればいい」としたいところなんですが、
LDAPで管理しようと思っている現在NISで流れているpasswdがDESなんですよ。
うーん、login.confを書き換えちゃおうかなぁ。
220:名無しさん@お腹いっぱい。
03/08/05 21:03
うん、slapdはちゃんとしたerror messageだすんだけど、
slappasswdは、Password generation failed.とPassword verification failed.だけだから。
> LDAPで管理しようと思っている現在NISで流れているpasswdがDESなんですよ。
> うーん、login.confを書き換えちゃおうかなぁ。
というか、bind認証を使うつもりなら、
slapdでDESが喋れるようにしないと今のパスワード移行できないわな。
nss_ldap的な利用しかしないんならいいけど。(LDAPの価値半減)
普通はauth_ldap, pam_ldap的な使い方したいわな。
つまりコンパイルし直しが必要。しかも-DSLAPD_CRYPTでcompileすると
MD5なFreeBSDのcrypt(3)じゃなくて、DESなcrypt(3)使うようにしないと。
大昔のFreeBSDは差し換えlibraryがあってそれ入れ替えるだけだったけど、今はしらん。
LDAPつーかcrypt(3)の話だな(w
221:名無しさん@お腹いっぱい。
03/08/05 21:56
>>220
FreeBSD の crypt(3) は salt の種類に応じてよしなに DES と MD5 を処理しわけてくれるような。
222:215
03/08/05 22:51
>>220
同意
>>221
おぉ。
ということはslapdでcryptを使えるようにさえしておけば
DESとMD5の両方を混在できるってことなんですか!?(←質問ではなく感動を表す疑問形です ^^;)
それならユーザの負荷なしにDESなパスワードファイルからMD5にこっそり移行、
というのもできそうですね。(それが嬉しいかって聞かれると…そうでもないかな)
明日、早速ためしてみます。
あ、業務が終わってからの作業ですので、ここでの報告は明日の今くらいの時間になります。
(知ってることだから報告しなくていいってのはご勘弁を)
223:名無しさん@お腹いっぱい。
03/08/06 08:19
>>222
> ということはslapdでcryptを使えるようにさえしておけば
> DESとMD5の両方を混在できるってことなんですか!?(←質問ではなく感動を表す疑問形です ^^;)
いや、{CRYPT}だけじゃまずい。password-crypt-salt-formatは固定だから、
>>221
> FreeBSD の crypt(3) は salt の種類に応じてよしなに DES と MD5 を処理しわけてくれるような。
こういうわけにはイカンでしょ。{MD5}「も」利用可能にしておかないと。
224:215
03/08/06 22:40
>>223
ご忠告いただいたのですが、イチかバチかやってみたところ
うまく行っちゃいました。
password-crypt-salt-format がなんであれ(たとえ設定していなくても)、
MD5なパスワードでもDESなパスワードでも認証できました。
ってことはpassword-crypt-salt-formatってのは何のとき使うんだろ?
ldappasswordでパスワードを変更したときなのかな?
時間があれば明日の昼休みにでも確認しておきます。
(なんで今日やっとかなかったんだろ、反省。)
とりあえず「うまくいきそう」です(^^)。
225:215
03/08/06 23:02
×ldappassword
○ldappasswd
226:名無しさん@お腹いっぱい。
03/08/07 03:01
>>224
なぬ~!
つーか、お前それ、-DSLAPD_CRYPTありでcompileされてるじゃん…
lutils_passwd_schemeが{CRYPT}でもOKなんだから。
# slappasswdだけ-DSLAPD_CRYPTなしでcompileされたのかな…
> ldappasswdでパスワードを変更したときなのかな?
しかもpassword modify extended operation使われた時だけな。
Modify operationだと、client側でcryptするから。
227:あぼーん
あぼーん
あぼーん
228:あぼーん
あぼーん
あぼーん
229:あぼーん
あぼーん
あぼーん
230:あぼーん
あぼーん
あぼーん
231:215
03/08/07 07:19
>>226
cryptなしでコンパイルしたことを確認して、昨日コンパイルしなおしたんです。
すみません、書いてませんでした。
232:くまだ
03/08/08 11:10
RH8+openldap 2.1.22 を使っています。
LDAP サービスが起動していないとローカルユーザ(root 含む)が
ssh、su でログインできなくなってしまいます。なぜでしょうか?
/etc/nsswitch.conf は
passwd: files nisplus ldap
shadow: files nisplus ldap
group: files nisplus ldap
/etc/pamd.d/system-auth は
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required /lib/security/pam_env.so
auth sufficient /lib/security/pam_unix.so likeauth nullok
auth sufficient /lib/security/pam_ldap.so use_first_pass
auth required /lib/security/pam_deny.so
account required /lib/security/pam_unix.so
account [default=bad success=ok user_unknown=ignore service_err=ignore syste
m_err=ignore] /lib/security/pam_ldap.so
password required /lib/security/pam_cracklib.so retry=3 type=
password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shadow
password sufficient /lib/security/pam_ldap.so use_authtok
password required /lib/security/pam_deny.so
session required /lib/security/pam_limits.so
session required /lib/security/pam_unix.so
session optional /lib/security/pam_ldap.so
ldap.conf は
host LDAPServerIP
base dc=hoge,dc=co,dc=jp
pam_password md5
ssl no
です。
233:くまだ
03/08/08 11:11
すいません。くまだです。
あと、pam.d フォルダは
/usr/share/doc/nss_ldap-198/pam.d
にもありますが、/etc/pam.d とどちらが生かされるのでしょうか?
また、ldap.conf ファイルが
/etc/openldap/ldap.conf
にもありますが、/etc/ldap.conf とどちらが有効なのでしょうか?
234:ショーン
03/08/08 13:11
始めて投稿します。いろいろと調べたのですが解りませんでしたので宜しくお願いします。
CSVについてですがOS:soralis8 cvsのバージョン:cvs-jp-1.11.1p1-3tar.gzを解凍しインストール
したのですがmakeを実行した時に下記のエラーが出てしまいました。
gcc -DHAVE_CONFIG_H -I. -I. -I.. -I. -I../lib -I../diff -I../zlib -Iyes/include -g -O2
-c `test -f server.c || echo './'`server.c
server.c:31: krb5.h: ファイルもディレクトリもありません。
*** Error code 1
make: Fatal error: Command failed for target `server.o'
Current working directory /opt/src/cvs-1.11.1p1/src
*** Error code 1
make: Fatal error: Command failed for target `all'
Current working directory /opt/src/cvs-1.11.1p1/src
*** Error code 1
make: Fatal error: Command failed for target `all-recursive'
Current working directory /opt/src/cvs-1.11.1p1
*** Error code 1
make: Fatal error: Command failed for target `all'
対処方法が解らないのですが対処ご伝授お願いします。
235:ショーン
03/08/08 14:29
申し訳ございません。記述するコーナーを間違えました。
本当にすいませんです。
236:ショーン
03/08/08 14:30
上記のないようですが誠に申し訳ございません。記述するコーナーを間違えました。
本当にすいませんです。
237:名無しさん@お腹いっぱい。
03/08/08 14:44
>>232
とりあえず、getent passwd usrnameで、
LDAP only, /etc/passwd onlyのentryを調べてみんさい。
> /usr/share/doc/nss_ldap-198/pam.d
これはdocの下だから単なるサンプル。
> また、ldap.conf ファイルが/etc/openldap/ldap.confにもありますが、
> /etc/ldap.conf とどちらが有効なのでしょうか?
Pam/nssでは後者。前者はOpenLDAPのclient関係だけで有効。
PADLのPam/nss moduleが、LDAP libraryはOpenLDAPのを使って、
ってのがRed Hat Linux 9のLDAP module関係。(8もたぶん同じ)
/usr/lib/libldap.so.2→/etc/openldap/ldap.conf
/lib/security/pam_ldap.so→/etc/ldap.conf
pam_ldapはlibldap呼び出しているけど、/etc/ldap.confの設定をoverrideする。
ところでauthconfig使ってますか?
238:名無しさん@お腹いっぱい。
03/08/08 14:45
>>231
> cryptなしでコンパイルしたことを確認して、昨日コンパイルしなおしたんです。
なぬ~(w
239:くまだ
03/08/08 16:38
>>232
ご回答ありがとうございます。
> とりあえず、getent passwd usrnameで、
> LDAP only, /etc/passwd onlyのentryを調べてみんさい。
slapd 起動中にでは
# getnet passwd LDAP_only_user
LDAP_only_user:x:5000:250:LDAP_only_user:/home/LDAP_only_user:/bin/csh
# getnet passwd passwd_only_user
passwd_only_user:x:500:500:passwd_only_user:/home/passwd_only_user:/bin/bash
起動していないと、
# getnet passwd LDAP_only_user
#出力なし。
# getnet passwd passwd_only_user
passwd_only_user:x:500:500:passwd_only_user:/home/passwd_only_user:/bin/bash
ちなみに、slapd を起動していないと、
# su - passwd_only_user
su: incorrect password
で、ログインできないです。
> pam_ldapはlibldap呼び出しているけど、/etc/ldap.confの設定をoverrideする。
> ところでauthconfig使ってますか?
はい、使っています。
詳細なクライアントの設定をするならば、/etc/ldap.conf に設定すればよいのですね。
240:名無しさん@お腹いっぱい。
03/08/08 17:40
初めまして。どうしてもわからないことがありましたので投稿させて頂きます。現在、RedHat8.0、OpenLDAP-2.1.22を使用し、以下のような構成でLDAPサーバを3台構築しております。
ldap1.aaa.hoge.co.jp、ldap1.bbb.hoge.co.jp、ldap1.ccc.hoge.co.jp
この3台で以下のような関係でリファラル機能を実現したいのですが、そこで手こずっています。以下に各LDAPサーバへのreferralの設定を示します。
1.ldap1.aaa.hoge.co.jpのリファラルの設定
上位参照サーバ:ldap1.bbb.hoge.co.jp
下位参照サーバ:ldap1.ccc.hoge.co.jp
2.ldap1.bbb.hoge.co.jpのリファラルの設定
上位参照設定:ldap1.ccc.hoge.co.jp
下位参照設定:ldap1.aaa.hoge.co.jp
3.ldap1.ccc.hoge.co.jp
上位参照設定:ldap1.aaa.hoge.co.jp
下位参照設定:ldap1.bbb.hoge.co.jp
しかしこの下位参照設定エントリを追加した直後、LDAPユーザやローカルユーザへのsuやログイン等ができなくなってしまいます。
ちなみにsuしたときに"Segmentation fault"というメッセージが表示されれます。
何か対策がありましたらご教授ください。
241:くまだ
03/08/10 01:16
>>237
> > LDAP only, /etc/passwd onlyのentryを調べてみんさい。
> slapd 起動中では
> # getnet passwd LDAP_only_user
> LDAP_only_user:x:5000:250:LDAP_only_user:/home/LDAP_only_user:/bin/csh
> # getnet passwd passwd_only_user
> passwd_only_user:x:500:500:passwd_only_user:/home/passwd_only_user:/bin/bash
>
> 起動していないと、
> # getnet passwd LDAP_only_user
> #出力なし。
> # getnet passwd passwd_only_user
> passwd_only_user:x:500:500:passwd_only_user:/home/passwd_only_user:/bin/bash
>
> ちなみに、slapd を起動していないと、
> # su - passwd_only_user
> su: incorrect password
> で、ログインできないです。
pam の設定が問題なのでしょうか?
su の場合、pam の su と login ファイルに問題があるのでしょうか?
ldap.conf でしょうか?
242:名無しさん@お腹いっぱい。
03/08/10 21:53
>>241
PAMの設定でしょ。間違いなく。
pam_stack使ってるだろーから/etc/pam.d/suとかはsystem-auth呼ぶようになっていれば問題ない。
accountのとこみたいな[ ]をauthとかにも書かないといけないんじゃないかな? と思う。
「LDAPが落ちてるときはpam_ldapを無視する」としたいのに
現象としては「LDAPが落ちてるときは認証に失敗する」になっちゃってるんだから。
service_err=ignoreとsystem_err=ignoreがなんかそれっぽいし。
多分accountと同じ書き方で良いと思うけど、問題あるのかもしれない。
うーむ。PAMって良く分からん。
243:名無しさん@お腹いっぱい。
03/08/11 14:51
>>242
> accountのとこみたいな[ ]をauthとかにも書かないといけないんじゃないかな? と思う。
> 「LDAPが落ちてるときはpam_ldapを無視する」としたいのに
> 現象としては「LDAPが落ちてるときは認証に失敗する」になっちゃってるんだから。
> service_err=ignoreとsystem_err=ignoreがなんかそれっぽいし。
>
> 多分accountと同じ書き方で良いと思うけど、問題あるのかもしれない。
もしそうだとするとLDAPの落ちている時は、getent失敗するはずだけど…
>>240
とりあえず、core dumpさせるか、ltrace/straceでもして、
"Segementation Fault"の原因調べなよ。LDAPの設定はその後でしょ。
244:名無しさん@お腹いっぱい。
03/08/11 15:49
>>243
> もしそうだとするとLDAPの落ちている時は、getent失敗するはずだけど…
getentは、nsswitch.confだから関係ないや…
245:名無しさん@お腹いっぱい。
03/08/14 09:58
URLリンク(www.fivesight.com)
ここにあるOpenLDAP for Windowsをリポジトリにしたいのだけれど。。。
ldifが無いのはどうすれば良いんだろう?
246:名無しさん@お腹いっぱい。
03/08/14 11:07
>>245
URLリンク(java.sun.com)
ここにしたがって、schemaおよび必須entryのsetupしたら?
schemaの追加はOpenLDAPの場合は、(↑に書いてないけど)
/etc/(open)ldap/schemaに置いてrestartね。
247:あぼーん
あぼーん
あぼーん
248:あぼーん
あぼーん
あぼーん
249:名無しさん@お腹いっぱい。
03/09/15 02:36
シングルサインオン機能付きのポータル画面を作っています。
認証&シングルサインオン先のユーザ管理にOpenLDAPを使おうと
思っているのですが、既存のスキーマで実現するのは難しいでしょうか。
実現したい内容は
○ 他人のパスワードが見えないこと。
○ 複数のユーザID/パスワードが格納出来ること。
この2点です。
ObjectClassの作成も試みたのですが
ObjectIDの付与の仕方も分かりませんでした。
【環境】
OS Redhat7.3
LDAP openldap-2.0.27-2.7.3(RPM版)
解決の糸口だけでも教えて頂ければ幸いです。
250:名無しさん@お腹いっぱい。
03/09/15 16:44
あげ。
251:名無しさん@お腹いっぱい。
03/09/16 00:22
>>249
漏れも知りたい。
教えてエロい人。
252:名無しさん@お腹いっぱい。
03/09/16 11:04
>>249
シングルサインオンを実現するのはLDAPの役割じゃないです。
CGIでcookieを自前管理するか、Jakarta Tomcat, Strutsを使いなさい。
> ○ 他人のパスワードが見えないこと。
これはservlet側の行なうbindに合わせた
userPasswordのaccess controlで。(これはLDAP側のみの設計)
> ○ 複数のユーザID/パスワードが格納出来ること。
Strutsだったら、LDAP realmとroleの組合わせで。
253:名無しさん@お腹いっぱい。
03/09/16 20:16
>>252
PHPじゃダメでせうか?
254:名無しさん@お腹いっぱい。
03/09/16 21:17
>>252
レスありがとうございます。
また説明不足ですみません。
ポータル画面についてはjavaで実装しております。
偶然ですがStrutsも。。。
今はとりあえずと言うことでuidに
services1:userid/passwd
services2:userid/passwd
と書いているのですが、いかんせんパスワードが
丸見えなのでなんとかしたいと思ってました。
またuidに格納すること自体適当ではないと考えてます。
ちょうどよいObjectClassでもあればと思ってるのですが
標準でそれっぽいのが見あたりませんでした。
(分かってないだけかもしれませんが。。。)
あとuserPasswordの復号化した物を取り出す事って可能なのでしょうか。
教えてくんですみませんが、よろしくです。
255:名無しさん@お腹いっぱい。
03/09/17 08:44
>>254
> ちょうどよいObjectClassでもあればと思ってるのですが
> 標準でそれっぽいのが見あたりませんでした。
> (分かってないだけかもしれませんが。。。)
userPassword属性持つobjectclassならなんでもいいよ。
topとextensibleObjectだけでもいい。
後はpersonとか、topとsimpleSecurityObjectとか。
UNIXなら、posixAccountにでもしておけば?
posixAccountならLDIF作成ツールがたくさん転がっているし。
> あとuserPasswordの復号化した物を取り出す事って可能なのでしょうか。
> 教えてくんですみませんが、よろしくです。
その必要はない。
bind operationを使って認証しなさい。(これは命令w)
URLリンク(httpd.apache.org)
でも参考にして。searchしないでいきなりbindすればいいけどね。
> 偶然ですがStrutsも。。。
というか、LDAP realm使えよ…マニュアル読め
256:名無しさん@お腹いっぱい。
03/09/24 13:49
ldapサーバーを移行しようと思って、/var/lib/ldap/*
を移行元のマシンから移行先のマシンにコピーしました。
で、slapdを起動して ldapsearch -x とやると
result: 32 No such object
って出ます。移行って他にも作業が必要なんでしょうか?
slapd.conf, ldap.conf もぼちぼち書き換えたのですが。
移行元:Red Hat 7.3, openldap-2.0.27-2.7.3
移行先:Red Hat 9, openldap-2.0.27-8
257:あぼーん
あぼーん
あぼーん
258:256
03/09/24 23:54
自己解決しちった。
移行元のファイルは拡張子がgdbmで、移行先はdbbじゃないとダメらしい。
これってどっかで設定できるの?
まぁ結局ldifに出力してslapaddで移行したから関係ないんだけど。
259:名無しさん@お腹いっぱい。
03/09/25 00:24
>>258
/etc/openldap/slapd.confで、
database gdbm
な。あとbdb(Berkley DB)な。
ま、そのためのLDIFだしね。> slapadd
dbのbinary copyはdbの内部formatに互換性がないといけないし。
260:256
03/09/25 00:59
>>259
レスども。両方とも slapd.conf は
database ldbm
なんですよ。でも、作られるファイルの拡張子が違うんだよね。
ま、ちょっと調べた限りではldifにして移行するのがいいっぽいね。
ほかに方法ってあるのかな?
261:名無しさん@お腹いっぱい。
03/09/25 02:46
>>260
すまん。まちがえた。
コンパイル時に、ldbm → bdb or gdbmを選ぶんだった。
rpmbuildし直しだな。それもdb libraryの内部formatのversionあわせんとイカン。
262:名無しさん@お腹いっぱい。
03/10/03 16:54
シェアウェアの売り込み@LDAP-JP キタ━━━(゚∀゚)━━━ !!!!!
263:名無しさん@お腹いっぱい。
03/10/05 00:28
sambaのアカウントもLDAPで面倒見ちゃおうとsamba.schemaを使って
sambaAccountにあるridのエントリはすでにあるposixAccountのuidと同じにしちゃうつもりなんですが、
ridの内容を新たに作らずにuidNumberの値を参照させるってことできるんでしょうか。
同じ値を入れちゃえばいいだけなんだけど、それじゃ芸がないかなぁなんて思ってるんです。
264:263
03/10/05 00:28
あ、openldapです。
265:名無しさん@お腹いっぱい。
03/10/05 18:58
オレが聞きたいくらいだよ
266:名無しさん@お腹いっぱい。
03/10/05 22:06
>>263
自分はiPlanet使いだからOpenLDAPはわからん。
iPlanetは属性値の共有が出来るとだけ言っておこう。
ただ、sambaの方は、challenge&responseだから、
password-storage-schemeをclearにしとかないといけない。
OpenLDAPにはないんじゃない?
267:263
03/10/05 23:00
>>266
検索しててひっかかったaliasってやつでしょうか。
ま、共有できないんならそれはそれでも何とかなるんですが。
password-storage-schemeってなんすか?
もしかしてこのままやってみてもうまくいかないのかな?
チト不安を感じつつやっていってみます。
「やればわかるさー」ってね。
268:名無しさん@お腹いっぱい。
03/10/06 00:09
>>267
えーと、APOPみたいなchallenge&responseをやるためには、
server/client双方で生パスワードを持っていないといけないです。
sambaもそうです。
ところが、通常のUNIX系認証では、
server側はcrypt(3)でひねられた文字列しか格納してません。
このスタイルのuserPassword属性値はchallenge&responseに使えないです。
"clear"は生パスワードのまま保存しろって設定です。
slapd.confだと、{CLEARTEXT}です。
269:
03/10/07 14:05
Debian GNU/Linux の migrationtools パッケージは古いです。
ユーザ名を UTF8 に変換する部分に問題があり、
ASCII ですらちゃんと変換してくれません。
unstable の Version 44-6 でも問題は解決されていませんので、
本家 www.padl.com から MigrationTools.tgz の Version 45 を
ダウンロードしたほうがいいでしょう。
270:
03/10/07 14:15
URLリンク(www.padl.com)
自分のメモのために…
271:名無しさん@お腹いっぱい。
03/10/07 23:42
dn: cn=aho, dc=baka, dc=shine
というエントリは、必ず cn=aho という属性&属性値を持っていないとダメ?
272:RFC2251
03/10/07 23:48
Entries have names: one or more attribute values
from the entry form its relative distinguished name (RDN), which MUST
be unique among all its siblings. The concatenation of the relative
distinguished names of the sequence of entries from a particular
entry to an immediate subordinate of the root of the tree forms that
entry's Distinguished Name (DN), which is unique in the tree.
RFC2251 にはこのように書いてあります。
どんな属性=属性値のペアであっても、
DN の一部になることができるのでしょうか?
273:名無しさん@お腹いっぱい。
03/10/08 23:34
>>271
はい。LDIF的には、cn: aho。
>>272
はい。
ただし、どの(複数の)objectclassに属しているかによって、どの属性を持てるかが決まります。
必要な属性を持つobjectclassを加えてしまえばいいですが、
STRUCTURAL classはただ一つだけです。他はAUXILIARY classじゃないと駄目です。
どんな属性でも突っ込める特殊なclassがあってextesibleclassですが、
serverのcheckに引っ掛からなくなるから、あんまり勧められませんね。
274:263
03/10/09 08:26
みなさんにいろいろ教えていただいたんですが、未だちゃんとできていません。
sambaがldapサーバに話し掛けていないようで、
パスワードがどうとかエントリがどうとかいうLDAP以前の問題なんです。
ということでこれからsamba板にいってきまーす。
275:名無しさん@Meadow
03/10/09 17:57
OpenLDAPのpam_mkhomedir.soに相当するような
ユーザホームディレクトリ自動作成をiplanetでやるには
どうしたらいいんでしょうか?
276:名無しさん@お腹いっぱい。
03/10/10 01:09
>>275
そりゃ、OpenLDAPじゃなくて、PAMでしょ。
277:
03/10/10 18:07
つまり、pam_ldap と pam_mkhomedir を使え、と。
278:slapd のユーザ
03/10/14 20:00
みなさん、slapd をどんな権限で動かしていますか?
ユーザとグループは root:root ですか?
man slapd によると、次のような問題があるそうですが…
「特権ユーザでないユーザでslapdを実行した場合、
passwd back-endsが暗号化されたパスワードに
アクセスすることが出来なくなるようなシステムが存在すること、
またいかなるシェル back-endsも指定されたその特権ユーザでない
ユーザで実行されることに注意すべきです。」
279:名無しさん@お腹いっぱい。
03/10/14 20:56
>>278
DES認証モードなYPをbackendにしている時も、rootじゃないと辛いわね。
本題についてはrootでしようがないわね。
shadow passwordをroot以外でも読めるよりましだわね。
280:名無しさん@お腹いっぱい。
03/10/14 20:58
あ、backendをsaslauthdみたいなのに独立して実行させて、
それでroot以外のユーザでslapd動かすという手はあるかも。
ただ、backend作らないとね(w
281:slapd のユーザ
03/10/14 21:07
バックエンドを SQL にしてみるか…
ODBC/PostgreSQL とかで試してみるかな。
282:名無しさん@お腹いっぱい。
03/10/14 22:11
>>281
SQLサーバの認証は?
userPassword属性をODBCで読まれるとまずいわけだが。
283:slapd のユーザ
03/10/14 22:20
>>282 IDENT でいいかと…
284:名無しさん@お腹いっぱい。
03/10/14 23:42
ああ、local onlyだからidentで十分か。
SO_PEERCREDでユーザ特定できるもんね。
285:名無しさん@お腹いっぱい。
03/12/03 17:39
おつかれさんです。
VAリナックス、OpenLDAPにおける同期レプリケーション機能等を公開
URLリンク(japan.linux.com)
286:名無しさん@お腹いっぱい。
03/12/06 14:35
これかな。
High-Available OpenLDAP
URLリンク(openldap-ha.sourceforge.net)
信頼性の高いLDAPシステムを構築する
URLリンク(openldap-ha.sourceforge.net)
287:名無しさん@お腹いっぱい。
03/12/12 00:22
>>277
FreeBSDで、pam_mkhomedir.soに変わるものってあるんですか?
288:名無しさん@お腹いっぱい。
03/12/19 05:08
ユーザアカウントの一元管理としてNISを使うのと、
PAM+LDAPの組み合わせはどちらがいいと思いますか?
やっぱりこれからは認証の枠組みを超えて、
データの統合化を見据えて、無理やりにでもLDAPや
RDBを用いるべきなんですかね。
UNIXの構築運用を任されて、いま勉強しているところ
なんですが、判断に迷います。
289:名無しさん@お腹いっぱい。
03/12/19 06:10
>>288
アカウントになにを含めるかが重要。単にUNIXでパスワードの認証だけを
すればいいのなら、今から構築するのでもNISでもOKじゃないの?
将来的にさまざまなユーザデータも入れたいとか、マルチOSになるとか
いう可能性があるのならLDAPにしたほうがいいけど。
それに、無理やりにでもという意味が不明。何で無理やりなの? どこが無理やりなの?
単にお前の知能が足りないだけじゃないの?
290:名無しさん@お腹いっぱい。
03/12/19 07:15
>>289
UNIXの運用に関しては素人ですが、
ある組織のサーバー管理を任されました。
管理するアカウント数は130程度ですが、これが今後どう
変わっていくかは現時点では予測できません。
またユーザデータが将来どう使われるかも分りません。
現時点でのアカウント数から考えればNISを使ってシンプルな
構成にするのがよさそうですが、後からユーザー情報の一元管理が
求められた時に移行の手間がかかるのはやっかいかと思います。
そういう意味で「無理やり」にでも最初からデータ管理用の何かを
入れるべきなのかなと思っていました。
ディレクトリサービスはRDBとはまた違った概念なので、
それで何が出来るのか勉強しなくてはならないことは承知のうえです。
プロの方がどのようなケースでLDAPの採用を決めるのか
参考にさせて頂きたい、なと。
291:名無しさん@お腹いっぱい。
03/12/19 07:39
>>290
NISのサーバは何にするの?
> SunはNISを将来サポートしなくなると思うが大丈夫か? (というか一時ハズレた)
組織の各subnetはどのくらい離れているの?
> NISはreplica serverへの同期はmap全体のみ。大丈夫か?
NISが喋れないclientはないか?
> Microsoftは、Service for UNIXをいつまでreleaseするのか?
> これからLDAPのmeta serverに移行していくことはないか?
> UNIX以外にLDAP clientが増える可能性があるか?
securityはどう考えるのか? snoopingはどうか?
> NIS+のDES認証modeは手軽でsecure。
> LDAPはちゃんと設計する必要がある。NISはmap単位のsecurity。
などを考えないといけませんな。
正直LDAPをsupportしてない古いclientがなければ、LDAPの方が簡単。
292:名無しさん@お腹いっぱい。
03/12/19 09:04
>>291
丁寧なレスをありがとうございます。
URLリンク(docs.sun.com)
ここなどを読んで分ったような気になっていたので、教えて頂いたことが
とても難しく感じられます。時間的に少し余裕があるので、
OpenLDAPとSambaについて勉強するところから始めたいと思います。
293:>>292
03/12/19 10:24
samba?
そのsubnetにWindowsはいるの? PDCは誰?
WindowsがいるとLDAPは難易度がかなり増す。
英語のドキュメント必読。
Service for UNIX使えばWindowsもNIS clientに出来る。
これは簡単。ホームのNFS mountもOK。
ただ95系はダメだわな。Service for UNIXないもん。
294:名無しさん@お腹いっぱい。
03/12/19 10:34
>>291
NISとNIS+混同してる部分が多くないか、それ?
295:>>292
03/12/20 07:39
>>294
たとえばどれ?
NISは"replica"って用語じゃなかったかな?
296:名無しさん@お腹いっぱい。
03/12/22 00:14
>>290
FreeBSD+LDAPで、ユーザ管理をさせたかったのでいろいろ挑戦してみたが
以下の理由であきらめた
・adduserで簡単にユーザ追加ができない
・LDAPに直接ユーザを追加した場合のUIDとGIDの扱いが難しい
・ホームディレクトリの作成がされない
・FreeBSD5.1で、すでに問題が発生している
上記の問題は、OpenLDAPとSambaで対応できるが
まだ、試していないが問題が出そう・・・
297:名無しさん@お腹いっぱい。
03/12/22 00:18
>>296
FreeBSDってNSSあるんですか?
この辺り笑えるくらい遅れてないですか?
298:名無しさん@お腹いっぱい。
03/12/22 10:20
>>297
5系列にはあるよ。
まあ、今5系に手を出すのはLinuxの2.6系に手を出すのと同じくらい怖いけど。
ま、遅れてるところが気になったら移植よろしく。
299:名無しさん@お腹いっぱい。
03/12/23 16:26
OracleのユーザをOpenLDAPで管理(認証)することは可能?
300:名無しさん@お腹いっぱい
03/12/23 22:52
>299
可能
301:名無しさん@お腹いっぱい。
03/12/24 09:32
>300
ホントですか?!
いろいろ調べたんですがどこにも載ってなくて・・
何か参考になる所があったら教えていただけませんか?
302:300
03/12/24 16:57
>301
それはともかく、Oracle->LDAP認証にする意味は?
将来的にOracleを破棄する予定でしょうか?
そうでないなら、LDAP->Oracle連携でもいいような気がするけど。
->back SQLで
303:名無しさん@お腹いっぱい。
03/12/24 17:21
>302
やっぱりOracle->LDAPで認証はあまり意味がないのでしょうか??
これにする理由は特にないのですが、可能なら試して見たいと
ただそれだけで・・・
304:300
03/12/24 18:27
>303
なるほど、好奇心ということですね。
いや、普通に考えれば、ユーザ情報は、既存のDBに登録されているなら
それをLDAPから利用とかってことになるでしょ。(統合の際)
だから、そう思ったの。
305:名無しさん@お腹いっぱい。
03/12/24 20:31
>304
色々ありがとうございます。
OpenLDAPを勉強するにあたって参考にしたHPとかあるんですか?
306:300
03/12/25 01:28
>305
基本は、ソース添付のドキュメントです。
いくつかのHPを見ましたが、その内容で動作しないものが多くて
結局ソースを追っかけながら確認。
おかげで、samba付属のスキーマのバグなどにも気づいて
対処できました。
この板だったかsamba板だかで、雑誌記事の誤りについて
触れられてからの追っかけなんで偉そうなことは言えませんが。
307:名無しさん@お腹いっぱい。
03/12/25 08:25
<306
何から何まですみません。。
どーいう場合にOpenLDAPを使えば一番有効に活用できるのでしょうか?
308:名無しさん@お腹いっぱい。
03/12/25 08:50
金がないのにLDAPサーバを立ち上げたい時。
OpenLDAPにしか実装されてない機能を使いたい時。
309:300
03/12/25 09:57
>307
>308さんに書かれている理由が1つ。
あとは、1メーカの戦略に振り回されたく無いというのが一番大きい理由かな。
そうそう全入れ替えなんてできないからねぇ。
困ってないのに、サポートが受けられないから、バージョンアップしないと
いけないというのが一番腹立たしいもの。。
だから、OpenLDAPで統合した際に、BackSQLにはPostgreSQL使ったり
しています。(データ規模によって、標準のもの使ったりしますが)
Schemaも、各社の設定の矛盾調整で悩む羽目になったりするから、
OID取得しておくと便利。
310:名無しさん@お腹いっぱい。
03/12/25 17:37
OpenLDAPはセキュリティの強化に何か役立つ事がありますか?
311:名無しさん@お腹いっぱい。
03/12/25 18:24
例えば、NIS→(Open)LDAPならば、
きめ細かいaccess controlが可能、などと答えることもできるが、
単独一般論でsecurity強化ってことはない。どんなsystemでもね。
312:名無しさん@お腹いっぱい。
03/12/25 18:33
URLリンク(yokaichi.com)
↑すごいよw
313:名無しさん@お腹いっぱい。
03/12/25 23:18
もともとOpenLDAPは何をするためのものなのだろう・・・
314:名無しさん@お腹いっぱい。
04/01/16 00:18
>>313
変なこと言うから、スレの流れとまっちゃったじゃねーか!
315:名無しさん@お腹いっぱい。
04/01/19 15:54
質問させて下さい。
ldapsearchコマンドでOr結合の複数条件で検索を行う時、存在しない属性、
索引が付いていない属性があるとエラーで検索できないのですが、これを
「存在しない属性、索引が付いていない属性への検索は無視する」方法で
検索する事はできないでしょうか?
LDAPサーバの設定、又はコマンドの書き方が悪いのでしょうか?
例:存在しない属性とのOr検索
ldapsearch -h XXXXX -b "c=jp" "(|(mail=test*)(email=test*))" dn
# search result
search: 2
result: 19 Constraint violation
例:索引が付いていない属性とのOr検索
ldapsearch -h XXXXX -b "c=jp" "(|(telephonenumber=03*)(homePhone=03*))" dn
# search result
search: 2
result: 53 DSA is unwilling to perform
316:名無しさん@お腹いっぱい。
04/01/19 23:56
>>315
> ldapsearch -h XXXXX -b "c=jp" "(|(mail=test*)(email=test*))" dn
> result: 19 Constraint violation
*の利用が認められてない属性なんじゃないの?
> ldapsearch -h XXXXX -b "c=jp" "(|(telephonenumber=03*)(homePhone=03*))" dn
> result: 53 DSA is unwilling to perform
limitに達しちゃってんでしょ。増やしなよ。
nsLookthroughLimitじゃない?
ちゃんと/var/ds5/*/logs/errorsみてね。
エラーメッセージもどういう意味かちゃんとドキュメント読めーッ!書いてあるぞ。
317:こどちゃ♪ ●
04/01/25 23:04
オライリーのLDAP本(LDAP -設定・管理・プログラミング-)
って本を買った。なかなか必要事項がまとまってて,マジお勧め。
URLリンク(www.ldapbrowser.com)
ところで,Softerra LDAP Browserにはアトリビュート追加・編集機能
がついてないんだな。日本語化されてるならAdministratorを買っても
いいんだが,英語版のソフトを$145で買うのもなぁ。
318:名無しさん@お腹いっぱい。
04/01/25 23:23
>>149
ところでそのLDAP Browser/Editorだけど,まともに動いた?
漏れのところではJavaがなかなか言う事を聞いてくれなくて
断念した。2.81も2.82b2も試行錯誤したが,同じ結果だった。
実装のスマートさは>>317のが一番なんだけどね。日本語…。
UTF-8対応はしてるんで,メニュー表示が英語なのを我慢して
使うしかないのかなぁ。
319:名無しさん@お腹いっぱい。
04/01/25 23:39
「実装のスマートさ」ってソースコード出してないじゃん。
320:こどちゃ♪ ●
04/01/25 23:45
で,LDAP Clientの話だが,PHPベースで結構おもろい
ものを見つけた。
LDAPNavigatorというやつ。
URLリンク(sourceforge.net)
1年ほど新バージョンが出てないんだが,設定してみたら
案外すんなりと動いた。機能も最低限という感じでLDIF大量
流し込みとかには向かなさそうだが,それはそれでいいかと。
>>319
漏れが言ったのは,ソフトを作る上での考え方の話。
つまらん突込みをする位なら何か調べて情報提供ぐらいしろよ。
321:149(たぶん)
04/01/25 23:52
>>318
漏れのところ(MacOS X 10.3)では、2.82b2問題なく動きました。
たぶん10.2でも動いていたと思う。
こっちの方が、よさげ?
URLリンク(pegacat.com)
322:名無しさん@お腹いっぱい。
04/01/25 23:57
>>320
> 漏れが言ったのは,ソフトを作る上での考え方の話。
そりゃ設計。
323:名無しさん@お腹いっぱい。
04/01/26 06:24
>>322 > /dev/null
324:名無しさん@お腹いっぱい。
04/01/28 17:56
>>322-323 ワロタ
325:名無しさん@お腹いっぱい。
04/01/29 11:53
誰か、dhcpd.confの
host XXXX{
hardware ethernet xx:xx:xx:xx:xx:xx;
fixed-address 192.169.0.1;
}
の部分を、dhcpd.confに直接書き込むのではなく、LDAPに
持たせることをやったことある人って、いる?
326:名無しさん@お腹いっぱい。
04/01/29 12:12
>>325
URLリンク(www.kbs.twi.tudelft.nl)
これ?
327:名無しさん@お腹いっぱい。
04/01/31 00:06
>>326
さんくす。
でもよくよく見てみたら、LDAPにdnを追加したり、dnを
書き換えたりするたびに、dhcpd.conf自体をその都度書き
換えてしまうから、ホスト数が数十くらいならOKかもしれ
ないけど、数百単位のホストで、しかもMacアドレスの改
廃が頻繁に行われるには、ちょっと向いていないかも。。
328:名無しさん@お腹いっぱい。
04/01/31 00:27
Solaris使えば?
Mac OS X Serverはどうだったかな? entryはあってbootpには使ってんだけど。
329:326
04/01/31 02:47
>>325
dhcpHWAddress: ethernet xx:xx:xx:xx:xx:xx;
dhcpStatements: fixed-address 192.169.0.1;
これでいけるかな?
330:名無しさん@お腹いっぱい。
04/01/31 09:48
DHCP鯖はここで
URLリンク(www.isc.org)
LDAP用のパッチはここ
URLリンク(www.lunytune.net)
dhcpd-conf-to-ldap.pl
をいじってコンパイル、インストール
/etc/dhcpd.conf は
ldap-server "192.168.1.100";
ldap-port 389;
ldap-username "cn=xx,dc=xx,dc=xx";
ldap-password "";
ldap-base-dn "dc=xx,dc=xx";
ldap-method dynamic;
はこんな感じですね。
そんでもってdhcpServerが含まれるエントリは作成するのですが、
DHCP鯖は無条件にホスト名をcnとするので注意して下さい。
あとdhcpServiceが含まれたエントリを作成して鯖の動作を定義します。
最後にdhcpServer配下に個別のサービスを指定したエントリを追加
すれば完了です。
331:名無しさん@お腹いっぱい。
04/02/02 23:09
>>329,330
ありがとうございます!
ただ、会社で使っているのがfedora coreのため、パッチがある
dhcp-3.0.1rc11だと、makeが完了せず、エラー1でストップし
てしまいます。(rc12だと、問題なくmake installまでできるが、
その代わり、パッチが当てられない・・・)
で現在、rc12とrc11の差分を調べていて、どんどんドツボには
まっている状態です。。。
でも、patchのtarの中にあったReadmeなどのおかげで、dhcp用
のschemaを作ることができて、dhcpHostなどのobjectClassを
追加できるようにはなりました。。。
332:名無しさん@お腹いっぱい。
04/02/03 15:02
NTLM のサポートはしてるけど。。
URLリンク(www.polarhome.com:793)
>Q: Is NTLM supported?
>A: The NTLM mechanism is a non-standard, undocumented mechanism developed by
> Microsoft. It's included in the SASL distribution purely for sites that need it to interoperate
>with Microsoft clients (ie, Outlook) and/or servers (ie, Exchange); we don't support it.
> Don't enable it unless you know you need it.
333:名無しさん@お腹いっぱい。
04/02/03 15:10
>>331
DHCP 3.0pl2はやってみましたか?
>で現在、rc12とrc11の差分を調べていて、どんどんドツボには
>まっている状態です。。。
調べてみたけどヘッダの差分が問題になっている気がする。
あくまで気がするというレベルだけどね。ニーズがあれば修正はすぐ
できるレベルだけど3.0pl2じゃだめかなぁ。
334:331
04/02/03 16:12
うっかりしてまして、README.ldap の中に、
Makefile add -lldap to the LIBS= line
と書いてありました。。スミマセン・・一応、Make installまで
できましたが、現在、dhcpd.confと、LDAPのエントリ作成で
はまっています。
つまり。。。
dhcpd.confには、
ldap-server "192.168.1.100";
ldap-port 389;
ldap-username "cn=xx,dc=xx,dc=xx";
ldap-password "";
ldap-base-dn "dc=xx,dc=xx";
ldap-method dynamic;
だけを記述して、subnetやnetmask、option routerやrangeなどは、
dhcpServiceとか、dhcpSubnetとかに記述する・・・ってことなんでし
ょうかね・・・?
335:名無しさん@お腹いっぱい。
04/02/03 17:37
>>334
README.ldapを参考に一通りやってみたら?
それとも参考にしてもできなかった?
336:331
04/02/03 21:57
うまくいかなかった謎がちょっと解けました。
原因① dhcpServiceの記述のケアレスミスがあった・・・
原因② 326で紹介していただいた、
URLリンク(www.kbs.twi.tudelft.nl)
を先に当てると、/etc/init.dのdhcpのスクリプトを、
pythonを利用する版に書き換えてしまっていて、それを
引きずってしまっていた。。。
ので、明日、fedoraの再インストールから、きれいさっぱり
やり直してみようと思います。。。
337:331
04/02/05 22:16
何回か、Fedora再インストールから繰り返し、何とか、きちんと動作する
手順を見つけました。最終的に、pl2を使いました。
①LDAPのインストール(rpmで)
②pl2.tar.gz の展開
③patchを当てる (-p0付きで)
④contrib/dhcpd-conf-to-ldap.plのbaseDNを書き換え
※ただし、なぜかpatchをしても、~.plができないので、
とりあえず失敗したときにできたものをcp
⑤Makefile.confの、LIB= に、「-llber -lldap」を書き込み
⑥./configure -> make -> make install
⑦以下のファイルを適切に書き換える
slapd.conf,ldap.conf,dhcpd.conf
⑧LDAPにエントリを追加
⑨touch /ver/state/dhcp/dhcpd.leases
※dhcpd.confにsubnetの定義が無いと、LDAPに
dhcpOptionsでエントリを追加していてもdhcpd
起動時にno declarationで怒られる。
⑩/etc/init.d にScriptが無いので、適当に持ってきてcp
⑪ldapとdhcpdを起動
ってな感じでした。とりあえず何とか・・。
ありがとうございました。
338:名無しさん@お腹いっぱい。
04/02/05 23:16
ところでIPアドレス<->MACアドレスをLDAP上に置く目的は?
339:今日のへぇ~
04/02/08 18:03
LDAP is pronounced "えるだっ( ´,_ゝ`)プッ"
340:名無しさん@お腹いっぱい。
04/02/08 23:00
>>338
Macアドレスでの、DHCP Client管理をやりたいんだけど、
追加や変更の頻度が高いので、直接dhcpd.confに書き
込んでしまうと、その都度dhcpdの再起動をしなければ
ならなくなるので、もし記載ミスで起動しなかった場合
の影響を考えると、LDAPに持たせるほうがいいかなぁ。。。
と。
341:名無しさん@お腹いっぱい。
04/02/09 15:37
LDAPサーバが動いてないと機能しないシステムって
どうなんでしょうかね。
342:名無しさん@お腹いっぱい。
04/02/09 15:56
>>341
そりゃ不安定要因が増すことになるけど、いまやNIS/NIS+の代わりにLDAP使う
時代だというのに、問題になるのか?
343:名無しさん@お腹いっぱい。
04/02/09 16:34
>>342
LDAPがダウンしたらクライアントが巻き添えになる事が問題って
ことですよね。340さん
344:名無しさん@お腹いっぱい。
04/02/09 16:34
341さんだったw
345:名無しさん@お腹いっぱい。
04/02/09 17:10
Oracle Internet Directoryでldapsearchを使った検索時の
条件式の書き方について質問があります。
「田中某さん、又はABC会社所属」を検索したい時は
'(|(cn=Tanaka*)(o=ABC*))' で検索できるのですが、
上記の逆「田中某さんではなく、ABC会社所属でもない」を
検索するのに '(!(|(cn=Tanaka*)(o=ABC*)))' と指定すると
エラーになってしまいます。
'(&(!(cn=Tanaka*))(!(o=ABC*)))' とすると検索できます。
not演算子の書ける位置は決まりがあるのでしょうか?
346:名無しさん@お腹いっぱい。
04/02/09 23:05
>>345
エラーメッセージはぁ?
それはともかく、LDAP的にはfilterに制限はない。
しかし、serverの方では実装ごとに制限や設定項目がある。
制限しないと、複雑なfilterでsearchするというDoSアタックを受けてしまう。
というわけでserver側にいろいろ設定するところがあるから、
その辺りをいじればなんとかなるかも。
Oracleのは触ったことがないから、こんなところで。(つづく)
347:名無しさん@お腹いっぱい。
04/02/09 23:18
>>345
賢いfilter compilerでpre-compileしてない場合、
> '(&(!(cn=Tanaka*))(!(o=ABC*)))' とすると検索できます。
こっちは、疑似コードで書くと、
foreach (@entrys) {
if ($_.cn !~ /Tanaka*/) {
if ($_.cn !~ /ABC*/) {
push(@result, $_);
}
}
}
とショートカット論理積で効率良く実行出来る。
> 検索するのに '(!(|(cn=Tanaka*)(o=ABC*)))' と指定すると
こっちは、(|(cn=Tanaka*)(o=ABC*))に該当する集合を作ってから、
その補集合をとる必要があって、結構な手間が。scopeがsubだと悲惨。
348:名無しさん@お腹いっぱい。
04/02/09 23:20
で、さっきの話に戻るけど、
後者はOracleのサーバで設定された上限に引っ掛かるんだと思う。
349:名無しさん@お腹いっぱい。
04/02/10 00:34
>>346
> 制限しないと、複雑なfilterでsearchするというDoSアタックを受けてしまう。
Oracle Internet Directoryでanonymous提供してるとこってある
かな~。
350:345
04/02/10 14:42
>>346
'(!(|(cn=Tanaka*)(o=ABC*)))'を指定した場合、
oracleのbinにあるldapsearchを使うと下の答えを返してきます。
ldap_search: 制約違反です。
/usr/bin/ldapsearch を使うと下の答えを返してきました。
result: 19 Constraint violation
'(&(!(cn=Tanaka*))(!(o=ABC*)))'を指定した場合は
どちらのldapsearchも該当する答えを返してきました。
351:名無しさん@お腹いっぱい。
04/02/10 14:49
RFC 2251「Lightweight Directory Access Protocol (v3)」より
constraintViolation (19),
後はOracleのdocument調べなよ。
>>347に書いた理由から、iPlanetのserverだと nsslapd-lookthroughlimitに引っ掛かる。
352:名無しさん@お腹いっぱい。
04/02/12 22:16
質問させてください。
OpenLDAPの2.1.26をRedhat Linux8.0にインストールしようとしています。
/usr/libに、regex.hがあるのに、configureで
configure: error: POSIX regex.h requiredと言われてしまいます。
googleで探してみたりしましたが、一向に解決しなくてずっと足踏みです。
何か解決の糸口だけでもいいので、教えていただけませんでしょうか?
一度、Linux板で聞いてみましたが、聞き方が悪かったのか、スルーされてしまい、
こちらに流れ着いてきました。
OS依存の質問かもしれないので、板違いとおっしゃられるかもしれませんが、
何としてでも解決したいのです。
技術評論社のOpenLDAP入門という本を買って、バージョンもほぼ本の通りに
そろえてます。(BerkeleyDB4.1.25 OpenLDAP2.1.26など saslやkerberosは入れてない)
上記 よろしくお願いします。
353:名無しさん@お腹いっぱい。
04/02/12 22:27
${OPENLDAP}/include/ac/regex.hより、
#ifndef HAVE_REGEX_H
/* NO POSIX REGEX!!
you'll need to install a POSIX compatible REGEX library.
Either Henry Spencer's or GNU regex will do.
For NT: URLリンク(people.delphi.com)
*/
#error "No POSIX REGEX available."
というわけでGNU regexをinstallすれ。後はくだ質 or Red Hatスレで。
354:352
04/02/12 22:34
>>353
ありがとうございます。installしてみます。
355:名無しさん@お腹いっぱい。
04/02/13 14:29
NISサーバで出来てLDAPで出来ないことってなに?
356:名無しさん@お腹いっぱい。
04/02/13 15:47
NISにしか対応していないクライアントの面倒をみること。
357:名無しさん@お腹いっぱい。
04/02/14 18:08
>>356
最近のUNIXシステムならPAMのような機構が入ってるから,
困ることは少なそうね。LDAPモジュールを用意する手間はあるけど。
358:名無しさん@お腹いっぱい。
04/02/14 18:14
PAM LDAPモジュールも今時のシステムには完備だけど、
なければURLリンク(www.padl.com)の奴が使える。NSS LDAPモジュールも込み。
359:名無しさん@お腹いっぱい。
04/02/15 17:34
このスレってどっちかというとデータベース板の方がいいよな。
スキーマ定義の話までいけば、RDBの使い方に関する難しさと
何も変わらんでしょ。
360:名無しさん@お腹いっぱい。
04/02/15 19:29
OpenLDAPで、基本?のアドレス帳を作ってます。
Windows側から検索もできるようになりました。
ひとつ質問なんですが、cn;Lang-ja:名前 などとして、iconv経由で
ldifを読み込ませて、LDAPBrowserとかでは日本語表示されますが、
OutLook expressとかで表示名を日本語にするにはどうすればいいんでしょ?
MozillaだとdisplayNameをに日本語にするといいらしいんですけど、
OEだとdisplayName;Lang-ja:として日本語の名前をつけても英語表示の
ままなんです。日本語表示にはどうすればいいの?
この質問は板違いですかね?
361:名無しさん@お腹いっぱい。
04/02/16 03:51
>>359
ディレクトリシステム(データベースの一種)として
LDAPを考えるならデーターベース板扱いになるね。
けど,その段階に到達できない管理者も多くいるわけで。
また,認証システムとしてのLDAPなら,この板で
やるのが一番ましなのかな。Windowsでも使えるけど,
おまけ的扱いだしUNIXでの利用が一番多いかと。
362:名無しさん@お腹いっぱい。
04/02/16 14:21
LDAPでパスワード無しのユーザを認証をしている方いますか?
パスワード無しだとでたらめなユーザIDでも認証されません?
ネットでLDAP認証のサンプルソース(JAVA)を見るとLDAP認証前に
ユーザプログラムではじいてるようなのですが。。。
LDAP Browserもパースワード無しだと認証前にエラーとなります。
パスワード無しは無理なんですかね~
それともWin2003SvrのLDAPが駄目なんですかね?
363:名無しさん@お腹いっぱい。
04/02/17 09:31
>>362
> パスワード無しだとでたらめなユーザIDでも認証されません?
この文の意味がわからん。(ので全体的な主旨が掴めない)
>>359
あなたの言っていること(リレイションベースのdirectory=RDB)は問題外。
364:名無しさん@お腹いっぱい。
04/02/17 09:32
>>362
> LDAPでパスワード無しのユーザを認証をしている方いますか?
これが可能かどうかは、ldapsearchで簡単に調べられるでしょ。
365:名無しさん@お腹いっぱい。
04/02/17 12:06
>>363
URLリンク(www.geocities.co.jp)
↑ここに書いてあるLDAP認証を参考にLDAP接続処理を作ったところ
ユーザIDとパスワードに1文字以上設定されていればLDAPに存在しない
ユーザ情報だと認証されないが
ユーザIDもしくはパスワードが空白だと無条件で認証されてしまう。
というかユーザIDとパスワードを指定しなくても認証できる。
サーバのセキュリティはこれでもかってぐらいガチガチに固めて終いには
管理者もログイン出来なくなり再インストールを余儀なくされました。。。
>>364
LDAPに一度繋いでからLDAP内を検索する方法ですか。。。
ワンクッションおかずにダイレクトに認証出来ると最高なのですが
でもありがとうございますldapsearchの方法も最終手段として検討してみます。
かれこれ1週間近く調べてますがLDAP認証を行っているプログラムで
パスワード無しを認めている処理が見当たりません。
駄目なんですかね~
セキュリティ的にはもちろん駄目ですけど。。。
366:名無しさん@お腹いっぱい。
04/02/17 12:10
>>365
> ユーザIDもしくはパスワードが空白だと無条件で認証されてしまう。
「両方空」は"anonymous bind"でしょ。
禁止したければ、サーバ側のACLの設定で。
あなたは個人認証とbindがごっちゃになってる。
> >>364
> LDAPに一度繋いでからLDAP内を検索する方法ですか。。。
そうじゃなくて、
> LDAPでパスワード無しのユーザを認証をしている方いますか?
の真偽は、ldapsearchで簡単に調べられると言うこと。
367:名無しさん@お腹いっぱい。
04/02/17 12:11
それから、LDAPの知識が足りないようだから、
LDAPのレベルで語ろうとせずに、何がやりたいかを語った方がいいと思う。
質問の意図や状況が良く分からない。
368:名無しさん@お腹いっぱい。
04/02/17 13:21
>>367
素人の質問に何度も答えて頂きありがとうございます。
ldapsearchについては私の早とちりだったみたいですいません。
調べ直します。
状況としては
現在Linux上で動いているシステムのログインに必要なIDとパスワードを
Win2003Svrで管理する為LDAPを使用していたのですが、
パスワードが空白だと登録されていないIDでも無条件に
ログインできる障害がありまして急遽対策していました。
時間が無いので暫定としてパスワード無しは認めないように対策しました。
将来的にパスワード無しのユーザも認証したいので
LDAP認証について引き続き調べてました。
LDAPもWin2003Svrも今回の障害対策で
初めて触ったのでわからないことだらけて行き詰ってました。
ldapsearchとACL
貴重なキーワードありがとうございます。
これを手がかりに自分で調べ直して見ます。
時間があれば基礎から勉強したほうがよさそうですね。。。
369:名無しさん@お腹いっぱい。
04/02/18 07:28
>>368
> 現在Linux上で動いているシステムのログインに必要なIDとパスワードを
> Win2003Svrで管理する為LDAPを使用していたのですが、
これはどう認証しているの? PAM? 自前のprogram?
それがはっきりしないとLinux(LDAP client)側の問題か、
Windows 2003 server(LDAP server)側の問題かはっきりしないよね?
そもそも認証にbind operation使っているかどうかも定かじゃないわけだし。
> パスワードが空白だと登録されていないIDでも無条件に
> ログインできる障害がありまして急遽対策していました。
LDAP server側に問題があるなら、それはldapsearchで確認できる。
# 十中八九client側が自前のプログラムでそこに問題があるんだと思うが。
> 時間が無いので暫定としてパスワード無しは認めないように対策しました。
それはどうやって? LDAPとは関係なくその手前の段階の自前プログラムで?
> 将来的にパスワード無しのユーザも認証したいので
> LDAP認証について引き続き調べてました。
これは独立の問題なのね。こっちは問題ないと思うよ。
370:名無しさん@お腹いっぱい。
04/02/20 09:06
>>369
ご返信が遅くなり申し訳ございません。
別作業が忙しくなりLDAPの調査は中断しております。
ちなみに認証は自前のJAVAプログラムでJNDIを使っております。
パスワード無しは自前のプログラム内でLDAP認証前にはじくようにしました。
JNDIを使ってLDAP認証を行っているJAVAのソースをネットで検索すると
認証前にパスワード無しははじいているので
もしかするとJAVAのJNDIはパスワード無し駄目なのかな~
とも思ったりしますが
JAVAについても始めて日が浅いので検討違いかもしれません。。。
構築したActiveDirectoryにWindowsからログインする分には
パスワード無しのユーザもパスワード有りのユーザも
ちゃんと認証はされます。
しばらく別作業が忙しくLDAPについて調べる時間が無いので
時間が出来たら教えて頂いた情報を元にいろいろが角度から
原因を調べてみたいと思います。
どうもありがとうございました。
371:名無しさん@お腹いっぱい。
04/02/20 11:19
>>370
> JNDIを使ってLDAP認証を行っているJAVAのソースをネットで検索すると
> 認証前にパスワード無しははじいているので
> もしかするとJAVAのJNDIはパスワード無し駄目なのかな~
> とも思ったりしますが
アプリのロジック、セキュリティポリシーとしては、パスワードなしのユーザを認めたくない。
しかし、JNDI+LDAPではパスワードなしのユーザを認証してしまう。
だから、事前に弾いている、と考えるのが自然では?
372:名無しさん@お腹いっぱい。
04/02/21 00:22
ActiveDirectoryからLDAPで引っ張ってユーザ認証(具体的にはsquid)させたい
んですがうまくいきません。
ActiveDirectoryインストールして、OU作ってその下にユーザを登録したんですが
他に何か作業が必要ですか?そもそもなんてDNで問い合わせれば良いかも確信が持てません・・・。
LDAPに関しては初心者なのでチンプンカンプンな事を言ってるかも知れませんが、
どなたかアドバイスを頂けませんか?
373:名無しさん@お腹いっぱい。
04/02/21 00:27
>>372
> ActiveDirectoryインストールして、OU作ってその下にユーザを登録したんですが
どこに作ったの? Base DN分からなければ、
> 他に何か作業が必要ですか?そもそもなんてDNで問い合わせれば良いかも確信が持てません・・・。
DN分からないよね。DN分かったら、とりあえずldapsearchで認証してみれ
374:名無しさん@お腹いっぱい。
04/02/21 00:43
>>373
ありがとうございます。
BaseDNは example.comで登録しました。ホスト名はADです。
その下にtestってOU作ったんですが、問い合わせの際のDNは
OU=test,O=example,C=com ですか?(汗
OU=test,DC=example,DC=com ですか?(汗
あー恥ずかしい、勉強しますんで誰か良いURL教えてください。。。
375:名無しさん@お腹いっぱい。
04/02/21 01:14
ou=test,dc=example,dc=comでしょ
URLリンク(www.wlug.org.nz)
376:372
04/02/21 01:53
ドメインは実際には”ホゲ.co.jp”としてあります。
openldapではconfにBaseDNを記述するみたいですが、
ActiveDirectoryでBaseDNを確認する方法ってありますか?
377:名無しさん@お腹いっぱい。
04/02/21 02:18
そりゃ、板違い。
URLリンク(www.microsoft.com)
378:名無しさん@お腹いっぱい。
04/02/23 17:27
>>371
何度もご意見ありがとうございます。
>アプリのロジック、セキュリティポリシーとしては、パスワードなしのユーザを認めたくない。
私も初めはそうかと思ったのですがサンプルソースからパスワードの未入力チェックを
外すと例のパスワード無しだと無条件で認証されてしまう現象が再現したので
どうなのかな~という状況です。
時間が出来たらいろいろ試して結論を出したいと思います。
結論が出たらご報告します。(4月以降になりそうですが。。。)
379:初めてのLDAP
04/02/24 00:21
どうもこんにちは。
今度、初めてLDAPを触ることになったものです。iPlanetを使っています。
教えて頂きたいのですが、Administratorなどの管理者用ユーザーでLDAP接続を
行った場合、他のユーザーのパスワードを取得することは可能でしょうか?
パスワードは「*****」みたいになっていて、パスワードを取得しても値が読め
ないのではないかと心配しています。(当方、作業環境が整っておらず、実際に実行
して調べることができないのです。(涙))
取得できるか、と取得した値が文字変換されていたりするのであれば、その変換方法
を教えてください。
超初心者なので的外れなことを言っていたらすいません。
何卒よろしくお願い致します。
380:名無しさん@お腹いっぱい。
04/02/24 09:07
>>378
プログラム晒せや
>>379
password-storage-schemeがclearの場合用意。
それ以外の場合困難。
SSL使ってないならタッピング攻撃しただけでbindオペレーションのパスワードスルスル。
381:名無しさん@お腹いっぱい。
04/02/24 17:52
>>380
サンプルソースは365
382:名無しさん@お腹いっぱい。
04/02/29 00:13
ホームディレクトリが、
Solarisは/export/home/hiroyuki
Linuxは/home/hiroyuki
なんかの場合、LDAPにどのような形で格納するとよいですか?
383:名無しさん@お腹いっぱい。
04/02/29 01:09
同じパス名にしなさい。
384:382
04/02/29 15:30
>>383
そういたします。リンクでも張っておきます。
もう一つ質問です。
LDAPサーバが落ちているときに別のサーバに問い合わせをするには
どうしたらいいでしょうか。
クライアント側の設定になると思いますが、
opensslのldap.confやsmb.confなどに設定を見つけられなくて。
385:名無しさん@お腹いっぱい。
04/02/29 16:02
ldap.confのURIかHOSTのところに複数記述しておきなさい。
> 設定を見つけられなくて。
ちゃんとマニュアルを読みなさい。
386:382
04/02/29 18:25
man ldap.confにしかと書いてありましたね。
これは失礼いたしました。
sambaの方も3.0なら
passdb backend = ldapsam:"ldap://master ldap://slave"
のような書き方ができるようです。
387:名無しさん@お腹いっぱい。
04/03/01 10:09
名前解決にLDAP鯖を使おうとしてますが、
LDAPサーバーが動くホストのnsswitch.confとは
どんな感じになるでしょうか?見せていただけませんか?
388:名無しさん@お腹いっぱい。
04/03/01 10:47
使っているプラットフォームの板/スレに行った方がいいと思います。
389:名無しさん@お腹いっぱい。
04/03/05 01:41
各サーバでログインシェルを変えたいときはどうやってんの?
390:名無しさん@お腹いっぱい。
04/03/05 01:55
同じパス名にしなさい。
391:名無しさん@お腹いっぱい。
04/03/07 00:36
統一した情報を LDAP に持たせるのが本来の目的なので
サーバ固有の情報を持たせようと考えるのは間違いなんですね、先生
392:初心者です
04/03/17 14:14
別のPCのldapからslapcatでデータを取ってきて、
slapaddで追加したデータをldapsearchで検索できるのですか?
どうもうまくいかないのですが、
ちなみにこの2つのldapの環境は同じものです。
初歩的な質問で申し訳ないのですが、どなたか教えてください。
参考になるHPがありましたら、それもお願いします。
393:名無しさん@お腹いっぱい。
04/03/17 22:15
>>392
> 初心者です
> どうもうまくいかないのですが、
どうやると、どううまくいかないんだい?
394:名無しさん@お腹いっぱい。
04/03/19 14:28
どなたか、netmeeting用ILSサーバとして
openldapを稼動させている方、いませんか?
395:名無しさん@お腹いっぱい。
04/03/20 02:04
現在
httpd-devel-2.0.48-1.2
httpd-2.0.48-1.2
httpd-manual-2.0.48-1.2
を、rpmでインストールしているんですが、このApache-2.0に
対応した、auth_ldapのありかをご存知の方いませんか???
auth_ldap-1.6.0をソースからインストールしても、make時に
怒られまくりで。。。。
396:名無しさん@お腹いっぱい。
04/03/20 02:59
mod_authz_ldap
URLリンク(authzldap.othello.ch)
397:名無しさん@お腹いっぱい。
04/03/20 17:35
>>396
ありがとうございます。でもやっぱりMakeで怒られまくり。。。
fedoraの標準のApacheでやっているんですけど、いろいろ調べて
みたら、fedoraの場合は、ディレクトリ構造の問題か何かで、
小細工をする必要があるようで、
#./configure --with-apxs2=/usr/sbin/apxs --with-apr-include=/usr/include/apr-0
としてみたんですけど、やっぱりダメでした。。出直します。。
398:名無しさん@お腹いっぱい。
04/03/23 22:07
age
399:名無しさん@お腹いっぱい。
04/03/25 21:58
既出の質問かもしれませんが、どなたか情報をいただけませんでしょうか。
OpenLDAP と Windows Server 2003 の Active Directory の間でアカウントの
同期 (パスワードを含む) を行う方法はありますでしょうか。SUN なり富士通なり
NEC なりの商用 LDAP 製品と付属ソフト等を使えば出来る、という事はわかる
のですが、金銭的な余裕が無いため、OpenLDAP でなんとかならないか、と
考えております。Windows Server 2003 では InetOrgPerson がサポートされた
とかなんとか聞きましたので、もしかして何とかならないかな、とか考えています。
完全自動ではなくとも、運用でカバー出来るのであれば、それでも良いと考えています。
最低限、ユーザからみたらひとつのパスワード変更で両方のパスワードが変更
されるとうれしいです。
400:名無しさん@お腹いっぱい。
04/03/25 22:17
>>399
最低限のところは、
Active Directoryの認証機能をUNIXenで利用する、ってお題でいいかな?
Active Directory側でKerberosを動かして、
PAMでpam_kerberos.so使うのが簡単じゃない?
pam_ldap.so使う手もあるけど、まあkerberosの方が簡単。
アカウント同期もやめておいた方がいい。
両方、理由はschemaが(ya
401:名無しさん@お腹いっぱい。
04/03/26 09:25
>>399 URLリンク(www.amazon.co.jp) でも嫁。
ADと pam_ldap でどーするかは書いている。もっとも、漏れも>>400に
同意見で、LDAPでアカウント動悸なんて(藁)って感じだが
402:名無し
04/03/27 02:02
MAC OSXもOpenLDAPで認証をかけたいと考えているのですが
OSX 10.2以降は大丈夫っぽいけど、10.1以前は
やっぱりOSX ServerをいれてNetInfo -> LDAP中継させる
必要がありますか?
403:名無しさん@お腹いっぱい。
04/03/27 02:18
OpenLDAP用のNetInfo backendはread onlyですよ。
それから、10.1はLDAPあるけどbuggy。
10.2以降で出てるfixがmergeされているかどうかは知らない。
知る方法がない。Windows並のインチキリリースノート。
404:402
04/03/27 02:46
>403
回答ありがとうございます。
NetInfo Backendがread onlyって、、
LDAPにユーザ情報があれば、(登録もLDAP上で行うこと前提で)
MAC OSX -> OSX Server -> OpenLDAPという形で認証可能ということでしょうか?
それとも、逆に
OSX Serverをメイン認証サーバにして、そのLDAPに、
Windows/Unixからの認証をさせる形になるのでしょうか?
(さすがにOSX Serverが動いているマシンが手元にないものですから)
405:名無しさん@お腹いっぱい。
04/03/27 03:37
>>404
前段:
というかMac OS X Serverは必要ない。
で、Mac OS Xの古いLDAP Agentがbuggy。
後段:
というか君は>>399か?
まず、古いMac OS XにはPAMがない。古いFreeBSDにも。
だから、>>400の方法はダメ。
構成を書いてくれ。
406:404
04/03/27 04:36
>405
>>399ではないです。
なるほど。じゃあ、古いMAC OSXはバージョンアップするのが一番ということですね。
MAC OSX Server云々は、OSX ServerがLDAP統合サービスサポートとあったので
MAC OSXクライアント認証をサーバのNetInfoで行い、このNetInfoサーバが
実体はLDAP参照ができるのかなと思ったせいです。
イメージとしては、NIS -> LDAP的な感じで。
FreeBSDのPAMサポートは、5.xからでしたよね。
MAC OSXクライアントのバージョンアップを無しで、というのは
やはり無理なのでしょうか?(1000台オーバあるもので)
407:名無しさん@お腹いっぱい。
04/03/27 09:29
>>406
> MAC OSX Server云々は、OSX ServerがLDAP統合サービスサポートとあったので
Mac OS XとMac OS X Serverで、Open Directory関係に違いはない。
> MAC OSXクライアント認証をサーバのNetInfoで行い、このNetInfoサーバが
> 実体はLDAP参照ができるのかなと思ったせいです。
逆。NetInfoのdb fileを参照するOpenLDAP backendをAppleが提供。
メインがNetInfoで、LDAPの方がNetInfoを参照。
> MAC OSXクライアントのバージョンアップを無しで、というのは
> やはり無理なのでしょうか?(1000台オーバあるもので)
無理じゃない。ただAppleのリリースノート見ている限りでは、
bugがどうなっているのかさっぱり分からない。
408:名無しさん@お腹いっぱい。
04/03/27 09:32
>>406
OpenLDAPで、LDAPサービスを立ち上げる。
これはMac OS X上でも、他のsystemでもいいが、
Mac OS Xの奴は、NetInfoのbackendを参照する設定になっているので、
これを辞めない限り、read onlyのまま。
各UNIXでNSS/PAMを設定する。Mac OS XはDirectory Accessで。
以上。
409:399
04/03/27 18:52
お返事が遅くなりすみません。
>>400
AD の認証機能を利用するってのではダメで、別途 LDAP サーバを立てる必要があります。
PAM の Kerberos とか存在しないクライアントから LDAP サーバに認証かけることもありますので。
理由は、schema が、、、の続きはなんでしょうか?
>>401
書籍の情報、ありがとうございます。
他に調べて見ますと、acctsync (URLリンク(acctsync.sourceforge.net)) というものがありました。
どなたか、これを使ったことありますか?
# 今試してるんだけど、passwdHk-config をインストール時に、passwd.pl なるスクリプトが見つからない。
410:名無しさん@お腹いっぱい。
04/03/31 14:33
すいません。
LDAP Browser\Editor v2.8.1を使用しているのですが
Valueが日本語場合正常に表示されません。
j2reのバージョンは1.4.2_03です。
何か情報をお持ちな方がいらっしゃいましたら
ご教授いただけるとありがたいです。
411:名無しさん@お腹いっぱい。
04/03/31 22:01
>>409
パスワードのLDAPを使った共有がsambaのMLにサーベイされてます。
schemaって言って分からないと基礎的なところから勉強した方がいいです。
アカウント情報共有は一筋縄でいかないので。>>401の本がいい。
412:名無しさん@お腹いっぱい。
04/03/31 22:02
>>410
ValueはちゃんとUnicodeになっていますか?
413:名無しさん@お腹いっぱい。
04/04/01 15:46
>412さん
はい。
UNICODEにはなっています。データを入れる時にUTF8に変換しているので。
先輩のPCのLDAPBrowserではちゃんと表示されていますが
特に何も設定していないと言われたので困っている状態です。
414:410
04/04/01 15:59
あ、、、↑は410の発言です。
415:名無しさん@お腹いっぱい。
04/04/01 16:31
>>413
じゃあ、Javaのfontの設定の問題じゃない?
この板だからUNIX上で実行してるんだよね。
それなら、そのUNIX専用のスレで質問する方が手っ取り早いと思われ
Javaの日本語環境も完璧なやつから、
自分でfonts.propertiesいじらなければならないのまで多種多様だから。
416:名無しさん@お腹いっぱい。
04/04/01 16:32
それから、
> 先輩のPCのLDAPBrowserではちゃんと表示されていますが
こういう情報は最初に書いてね。
417:名無しさん@お腹いっぱい。
04/04/09 00:26
Solaris9のldapclientで-a "defaultServerList=HostA HostB"
という感じで2つのサーバのIPアドレスを指定していますが
HostAが死んでる場合にHostBを見に行ってくれません。
何か他に設定ポイントがあるでしょうか。
418:名無しさん@お腹いっぱい。
04/04/17 09:59
すんません、質問させてください。
solaris と linux の間でのアカウントをLDAPに移行する場合、
事前にそれぞれのUID,GIDを統一する必要があるってことでOKですか?
419:名無しさん@お腹いっぱい。
04/04/17 10:33
>>418
LDAP移行の問題じゃなくて、
アカウント情報統合の問題だから、当然。
420:名無しさん@お腹いっぱい。
04/04/17 10:37
>>417
bindTimeLimitは幾つになってるの?
とりあえず、本当にsnoopでpacket飛んでないか調べたら?
421:名無しさん@お腹いっぱい。
04/04/17 10:44
LDAPって読みは
「らだっぷ」でいいんですか?
422:名無しさん@お腹いっぱい。
04/04/17 10:53
○えるだっぷ
△えるでぃーえーぴー
423:名無しさん@お腹いっぱい。
04/04/17 10:56
>>422
ありがとうございます。
1年ぐらいラダップって言ってました。
でも誰にも突っ込まれなかったです..
424:418
04/04/17 11:04
>>419
ありがとうございますた。
425:名無しさん@お腹いっぱい。
04/06/06 12:50
基本的なことですが教えてください。
コンテナってなんですか?
426:名無しさん@お腹いっぱい。
04/06/06 17:02
何かを入れるobjectclass。
例えばou=People。