04/06/06 17:02
何かを入れるobjectclass。
例えばou=People。
427:名無しさん@お腹いっぱい。
04/06/17 22:37
OpenLDAP 2.2.13 で --enable-phonetic を有効にしてコンパイル
しても、cn;lang-ja;phonetic とかが使えないみたいです。
確認したのは Fedora Core 2 です。
adding new entry "uid=hoge,ou=People,dc=2ch,dc=net"
ldapadd: update failed: uid=hoge,ou=People,dc=2ch,dc=net
ldap_add: Undefined attribute type (17)
additional info: cn;lang-ja;phonetic: unrecognized option
どうにかして使えるようにはならないんでしょうか?
おながいします。
428:名無しさん@お腹いっぱい。
04/06/18 07:26
slapd.conf(5)のattributeoptions の所は読んだ?
それから2.2.13は古いねえ。
source取得して$(OPENLDAP)/tests/data/lang-out.ldifでテストしてね。
429:427
04/06/18 18:59
>>428
レスありがとうございます。
slapd.confのattributeoptionsにlang- phoneticを
指定したら、正常に登録とか検索ができますた。
430:名無しさん@お腹いっぱい。
04/06/20 18:17
Samba 3をメンバサーバで運用する場合、add userスクリプトを使って
ローカルにUNIXアカウントを作成しなくとも、DCのLDAPをFreeBSDから覗いて
動作可能だったりするのでしょうか?
認証にDCのLDAPとKerberosを使うのはいいけどローカルにUNIXアカウントも作る
ってのが不細工じゃないかなと思ってるわけで。
431:430
04/06/20 18:19
ちなみにDCは2000 Serverです。
432:名無しさん@お腹いっぱい。
04/06/20 23:11
>>430
URLリンク(www.samba.org)
は読みましたか?
それからDCはちゃんとWindowsのドメインコントローラって書いてね。
433:名無しさん@お腹いっぱい。
04/06/21 07:20
>>432
ありがとうございます。
ドキュメント > Google ってことがよくわかりました。
434:名無しさん@お腹いっぱい。
04/07/13 19:47
LDAP(OpenLDAP + RHELv2.1)にて、ユーザーアカウントを
ロックすることは可能ですか?
# passwd -l UserAccount
って crypt ハッシュの頭に '!' をくっ付け実現しているっぽい
んですが、LDAPだとこれが無視されてログイン可能なんです
435:名無しさん@お腹いっぱい。
04/07/14 20:51
Red Hat Enterpriseなら、
shadowの有効期限の方でコントロール可能です。
man 5 ldapしてみてください。
もちろん、LDAPで管理可能です。
nis.schemaのshadowAccount objectclassです。
436:名無しさん@お腹いっぱい。
04/07/15 00:03
>>435
なるほどshadowAccountを使えば良いんですね、助かりました~
437:名無しさん@お腹いっぱい。
04/07/18 13:25
ldapsearch しても作ったエントリが全然見えません。
例えば、
dn: dc=pakahoge,dc=co,dc=jp
dc: pakahoge
objectClass: dcObject
と記した test.ldif というファイルを作ります。その後
ldapadd -x -D "cn=root,dc=pakahoge,dc=co,dc=jp" -w password -f top.ldif
としてエントリを追加し、
ldapsearch -x -b "dc=pakahoge,dc=co,dc=jp" "objectclass=*"
としても、
version: 2
#
# filter: objectclass=*
# requesting: ALL
#
# search result
search: 2
result: 0 Success
# numResponses: 1
という結果になるだけです。どうしたんでしょう?
438:名無しさん@お腹いっぱい。
04/07/18 14:41
バックエンドパーミッション
439:名無しさん@お腹いっぱい。
04/07/18 14:49
>>438
ありがとうございます。
とりあえずslapd.confのaccess行をとっぱらったら見えました。
まだ訳がわからないのですが勉強します。
440:一応修正
04/07/19 01:16
>>435
> man 5 ldapしてみてください。
man 5 shadowの間違いでした。
441:名無しさん@お腹いっぱい。
04/07/30 00:12
Solaris9でさ、
PADLのpam_ldapをコンパイルしようとしたら、
warningばっかりで、コンパイルできないんだけど。
誰か知ってる人いる?
442:名無しさん@お腹いっぱい。
04/07/30 03:45
>>441
普通にコンパイルできて問題なく利用できている。
443:名無しさん@お腹いっぱい。
04/07/30 19:58
warning ばっかりで error が無いならコンパイルできてそうに思えるが
444:名無しさん@お腹いっぱい。
04/08/10 02:28
>395
激しく亀レス。
URLリンク(www.muquit.com)
にあった。
WBEL3.0 respin1 でかるーく動作確認した
445:ななし
04/10/04 00:45:51
openldap使用時に、idletimeoutの設定をかけるのは基本なのでしょうか。
デフォルトではidletimeoutしないようですが・・・。
446:名無しさん@お腹いっぱい。
04/10/12 18:10:02
WindowsのOutlookで使われてるアドレス帳のLDAP検索結果表示のスキーマを、OpenLDAPサーバで設定することはできますか?
Mozilla/Thunderbirdのアドレス帳用のスキーマはこちら↓を参考に取り込むことはできて、
URLリンク(www.mozilla.org)
URLリンク(www.netpress.com)
同様に、Outlook用の*.schemaデータがあるとうれしいんですが。
ちなみにActiveDirectoryの user attributeの情報を見つけましたが、
URLリンク(www.kouti.com)
これから作ることも可能ですかね?
447:名無しさん@お腹いっぱい。
04/10/12 23:37:09
>>445
用途による。
システム全般のldap.conf以外に、
NSS, PAM用のldap.confがあるのはそのため。
# debianだとlibnss-ldap.conf, pam_ldap.conf
>>446
攻めるならaddressBookContainer辺りからなんじゃないのかな?
URLリンク(msdn.microsoft.com)
448:446
04/10/14 11:17:52
openldapのcvsにmicrosoft.schemaがありました
URLリンク(www.openldap.org)
が、参考程度で利用できる状態ではないみたいです。
URLリンク(www.unav.es)
この辺↑も参考に、ごにょごにょいじって試してます。
449:447
04/10/14 22:53:46
>>448
Mac OS X 10.4はそのscheme + OpenLDAPで頑張って、
Windowsのプライマリ・ドメイン・コントローラを目指しているみたい。
450:名無しさん@お腹いっぱい。
04/10/19 01:00:30
現状ActiveDirectoryが立ってる状態で
UNIXの認証をpam_ldap等用いてADのLDAPで統一することは可能でしょうか?
451:名無しさん@お腹いっぱい。
04/10/19 01:09:34
自己レスですが
UNIX認証方法のいろいろってスレみたらだいたいのことは書いてありました
142以降
スレ汚しスマ
452:名無しさん@お腹いっぱい。
04/10/19 01:52:20
あそこに書かなかったのは、
・Inside Active Directory
URLリンク(www.kouti.com)
・UNIX側でそれが許されれば、
kerberos認証で統一の方が簡単かも知れないこと。
くらい。
453:名無しさん@お腹いっぱい。
04/10/27 01:44:32
LDAPでmp3を管理しているという事を聞きますが、
具体的にはどういうシステムを構築しているのでしょうか?
単にmp3の情報を管理しているのか、それともWEBベース
でmp3ジュークボックスソフトを構築しているのか、
興味がありますのでお教え願います。
454:名無しさん@お腹いっぱい。
04/10/28 20:04:58
>>453
こんな感じか?
URLリンク(www.mizzy.org)
455:445
04/10/31 06:10:28
>>447
サーバ、クライアントともにRed Hat(RHEL3)で認証サーバとして
使っています。
PAM用の設定(ldap.conf)でidle_timelimitを短め(10秒)に
設定してはいるんですが、うまい事切れてはくれませんでした・・・。
uid引く様なプロセスが全てslapdに接続して接続しっぱなしに
なるので、今使っているopenldap(OS付属のrpm)だと同時接続数が
1024を超えると以後の接続が切られるので結構痛い状況なのです。
idletimeoutでサーバ側から切る、openldapの同時接続数(FD_SIZESET)
増やしてしのぐ、負荷分散する等色々考えられるとは思うのですが
どう思われますか?
456:名無しさん@お腹いっぱい。
04/10/31 07:17:26
>>445
447 じゃないけど、それなら idletimeout 設定すればいいんじゃない?
それで何か不都合あれば別だけど。
あと FD_SIZESET って FD の最大値を決めてるんだよね?
1024 程度はまだまだ余裕なんでもっと増やしてもよいかも。
457:445
04/10/31 09:20:52
寝ぼけてました。
FD_SETSIZEの間違いです。orz
>>456
FD_SETSIZEの値がselect()で扱うFDの最大値として実装されているので、
とりあえずFD_SETSIZEを65535にして、実際の上限はulimitで2048に
して様子を見ています。
# _SC_OPEN_MAXでFD_SETSIZE以下の上限が制御できる様です
同じ用途で使われている方達も同じ様な状況になっているのでは
ないかと思い、どうされているのか気になって質問してみました。
ユーザ認証にldapを使う場合、DNSと同程度(以上?)に重要な位置付け
になるんだなぁ・・・と痛感しています。
458:名無しさん@お腹いっぱい。
04/10/31 10:57:43
>>455
PAMとNSSを区別できていますか?
まあ状況から考えると、slapd.confでの設定が適切だと思いますが。
459:名無しさん@お腹いっぱい。
04/10/31 10:58:27
それから、nscdを使うのも効果があります。
460:445
04/10/31 16:13:06
>>458
> PAMとNSSを区別できていますか?
区別がついているかかなり怪しいのですが、
PAMは、実際のユーザ認証を提供するプロセス(login,su等)向け
NSSは、glibc経由でldapを使うプロセス(getpwnam,gwtpwuid等を
呼ぶプロセス全般)向けという理解でいます。
>>459
nscdは、NSS経由でldapを使うプロセスに対してキャッシュ機能を
提供するのでnscdを起動しておけばslapdへ逐一接続する事もなくなり
効果あり。といお話ですよね?
うちは、PAM経由のデーモンが沢山起動しているのでidletimeout
について検討していました。
とここまで考えた時点でふと思ったのですが、
・・・うちが特殊なだけか。orz
461:458
04/10/31 22:20:52
>>460
なるほど。
多数の接続の要因になるのは自前のデーモンなんですね?
>>455を読んで、ごく一般的な利用かと思っていました。
idletimeoutで何とかなると思いますが、
それでも駄目なら、saslauthd経由に変更してはどうですか?
462:名無しさん@お腹いっぱい。
04/11/19 22:54:33
ldapのアカウント情報データベースをfingerで引こうとしたのですが、うまくできません
。
例えばユーザAxxyyz1を検索するとき
%ldapseach -h 192.168.1.2 -x -b 'dc=2ch,dc=university,dc=ac,dc=jp' 'uid=Axxyyz1'
は検索に引っかかり結果が正常に出力されます。
しかし、
%finger Axxyyz1
を実行するとslapdはdc=Axxyyz1...とそれっぽいパケットを吐くようですが
finger: Axxyyz1: no such userと出力されます。
関係しそうなソフト(ports)、OSは以下です。
nss_ldap-1.204_5
openldap-client-2.2.18
openldap-server-2.2.18
pam_ldap-1.7.6
FreeBSD-5.3Release-p1/i386
アカウント情報のldifは大学のデータベースをldapsearchで抜き取り、
ldapaddで加えました。抜いたldifの情報は以下のような情報です。
(たくさん略してます)
# extended LDIF
#
# LDAPv3
# base <dc=2ch,dc=university,dc=ac,dc=jp> with scope sub
# filter: (objectclass=*)
# requesting: *
#
463:名無しさん@お腹いっぱい。
04/11/19 22:56:02
dn: dc=university,dc=ac, dc=jp
objectClass: dcObject
objectClass: organization
dc: university
o: university
# 2ch.university.ac.jp
dn: dc=2ch,dc=university,dc=ac,dc=jp
objectClass: dcObject
objectClass: organization
o: 2ch University
dc: 2ch
# users, 2ch.university.ac.jp
dn: ou=users,dc=2ch,dc=university,dc=ac,dc=jp
objectClass: top
objectClass: organizationalUnit
ou: users
# groups, 2ch.university.ac.jp
dn: ou=groups,dc=2ch,dc=university,dc=ac,dc=jp
objectClass: top
objectClass: organizationalUnit
ou: groups
464:名無しさん@お腹いっぱい。
04/11/19 22:56:54
# students, groups, 2ch.university.ac.jp
dn: cn=students,ou=groups,dc=2ch,dc=university,dc=ac,dc=jp
objectClass: posixGroup
objectClass: top
cn: students
gidNumber: 10000
(略)
# Axxyyz1, users, 2ch.university.ac.jp
dn: uid=Axxyyzz,ou=users,dc=2ch,dc=university,dc=ac,dc=jp
uid: Axxyyz1
cn: nana shi
objectClass: account
objectClass: posixAccount
objectClass: top
uidNumber: 16011
gidNumber: 10000
gecos: nana shi
homeDirectory: /home/students/Axxyyz1
loginShell: /bin/csh
# Axxyyz2, users, 2ch.university.ac.jp
(以下略)
465:名無しさん@お腹いっぱい。
04/11/19 22:57:53
設定したコンフィグファイルと内容は以下です。
/usr/local/etc/openldap/slapd.conf*********
include /usr/local/etc/openldap/schema/core.schema
include /usr/local/etc/openldap/schema/corba.schema
include /usr/local/etc/openldap/schema/cosine.schema
include /usr/local/etc/openldap/schema/inetorgperson.schema
include /usr/local/etc/openldap/schema/misc.schema
include /usr/local/etc/openldap/schema/nis.schema
include /usr/local/etc/openldap/schema/openldap.schema
pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args
sizelimit 5000
dbcachesize 50000000
database ldbm
suffix "dc=university, dc=ac, dc=jp"
rootdn "cn=Manager,dc=university, dc=ac, dc=jp"
rootpw {MD5}*
directory /var/db/openldap-data
index objectClass eq
/etc/nsswitch.conf************************
group: ldap files
hosts: files dns
networks: files dns
passwd: ldap files
466:名無しさん@お腹いっぱい。
04/11/19 22:59:14
/usr/local/etc/nss_ldap.conf(ln -s nss_ldap.conf ldap.conf)*****
host 192.168.1.2
base dc=2ch,dc=university,dc=ac,dc=jp
uri ldap://192.168.1.2/
ldap_version 3
port 389
nss_base_passwd ou=users,dc=2ch,dc=university,dc=ac,dc=jp?one
nss_base_group ou=groups,dc=2ch,dc=university,dc=ac,dc=jp?one
nss_map_attribute uidNumber uid
nss_map_attribute gidNumber gid
ssl off
timelimit 30
bind_timelimit 5
idle_timelimit 5
vipwで"+:::::::::"を追加しました。エディタで/etc/groupに"+::0:"を追加しました。
#slapd -u ldap -g ldap -d -1でslapdを起動させました。
どなたか是非語教授ください。よろしくお願いします。長文失礼しました。
467:名無しさん@お腹いっぱい。
04/11/20 01:06:24
長くて読む気しない。とりあえず、
$ getent passwd Axxyyz1
して、ltraceやtethereal -V追い掛けてみて。
468:462-466
04/11/22 02:10:45
>>467
遅くなって申し訳ありません。レスありがとうございます。
fingerとgetpwentのソースを追いました。
途中で以下のような関数を呼び、
__nss_compat_getpwent_r(void *retval, void *mdata, va_list ap)
そいつがldapの関数を呼んで(関数ポインタにまかれて何の関数かわかりませんでした)
struct passwd構造体にアカウント情報を入れるようです。
大学ので行うときちんと格納される以下のように格納
__nss_compat_getpwent_r:USER=Axxyyz1
__nss_compat_getpwent_r:PASS=x
__nss_compat_getpwent_r:UID=16011
__nss_compat_getpwent_r:GID=10000
__nss_compat_getpwent_r:CHANG=(null)
__nss_compat_getpwent_r:CLASS=
__nss_compat_getpwent_r:GECOS=nana shi
__nss_compat_getpwent_r:HOMEDIR=/home/students/Axxyyz1
__nss_compat_getpwent_r:SHELL=/bin/csh
__nss_compat_getpwent_r:EXPIRE=(null)
__nss_compat_getpwent_r:FIELDS=(null)
で、成功を返します。
家から大学、家から自前のLDAPの場合は以下です。(値が入ってないところは略しました)
__nss_compat_getpwent_r:USER=Axxyyzz (データベースに格納されている最後のユーザー)
__nss_compat_getpwent_r:PASS=x
で、失敗を返します。
469:462-466
04/11/22 02:14:18
このことより、
データベースが腐っててstruct passwdに必要な値を格納することができずに
エラーを返しているか、アクセス制御か何かやその他設定が悪くてうまく値を
得ることができなかったのかなと思うのですが原因はまだわかりません。
470:462-466
04/11/22 02:18:17
あとは、パケットを見たところ
自前のLDAPサーバーは一応ホームディレクトリなどの情報も送っているようでした。
が、実際表示させると>>468のように入っていないようでした。
471:名無しさん@お腹いっぱい。
04/11/22 14:22:12
取得してからのmappingがおかしそうだから、
nss_ldap-1.204_5用のldap.confで、
#nss_map_attribute uidNumber uid
の辺りがどうなっているか調べてみれば?
# Debianだと/etc/libnss-ldap.confにあるね。
472:462-466
04/11/24 11:42:45
>>471
レスありがとうございます。
その項目をコメントアウトすると、なにごともなかったかのように
きちんと読むようになりました。
ありがとうございました。
473:467=471
04/11/25 00:59:05
ああ、直ったんだ。
最初「長くて読む気しない」って書いちゃったけど、
細かくて正確な調査報告があると問題点も分かりやすいね(w
474:hehehe
04/11/26 21:38:43
330での、dhcpd.confのデータをldapに格納する件。
draft-ietf-dhc-ldap-schemaがベースだと思うけど
RFCにならずdeleteされてますよね。
その後の動向どなたか知りませんか?
最新のisc-dhcpに対するldap対応パッチってないのかな。
475:467=471
04/11/26 23:07:05
URLリンク(home.ntelos.net)
のpatchでどうよ? (使ったこと無いけどね)
476:hehehe
04/11/27 00:16:25
おぉ! 情報ありがとうございます。
週明けに職場の検証環境で試してみます。
477:名無しさん@お腹いっぱい。
04/11/27 05:09:30
URLリンク(www.asahi.com)
続報でたよ。
大手商社伊藤忠商事のIT関連子会社
「伊藤忠テクノサイエンス」(東京)が約160億円分、
インターネット関連企業「ライブドア」(同)が
約17億円分の取引に関与し、
テクノ社は計約13億円、
ライブドアは計約5000万円の手数料を得ていたという。
478:名無しさん@お腹いっぱい。
04/12/05 22:04:07
nsswitchとLDAPでNISはいらなくなりますか?
479:名無しさん@お腹いっぱい。
04/12/05 23:29:41
はい。さらにpamを付け足せばね。
480:名無しさん@お腹いっぱい。
04/12/22 01:33:41
ずっと気になってること。「LDIF」てなんて発音する?
「えるでぃふ」?そのまま「えるでぃーあいえふ」?
481:名無しさん@お腹いっぱい。
04/12/22 09:51:45
えるでぃふ
482:名無しさん@お腹いっぱい。
04/12/22 16:30:40
OpenLDAPのコードの汚さにうんざりしてるんですが、
オープンソースで、これから育ちそうな競合はないものか?
483:名無しさん@お腹いっぱい。
04/12/22 17:19:01
OpenBSDの人達にOpenOpenLDAPでも作ってもらいますか。
(SASLなんとかしてほしい...)
484:名無しさん@お腹いっぱい。
04/12/22 21:10:46
>>482
mutex_lockとthreadpoolなんて、動いてるのが奇跡に近いコードになってるよな
1.2系の最初の頃はシンプルなコードだったのにな。。
485:名無しさん@お腹いっぱい。
04/12/22 21:22:54
LDAPってよくわかんねっす
なにができるのでしょうか??
兄貴な方々おしえてくらさい
486:名無しさん@お腹いっぱい。
04/12/23 01:47:57
>>481
でもLDIFの読み方のってるHPとかないよねー。
影薄い(/・∀・)/
487:名無しさん@お腹いっぱい。
04/12/23 02:19:29
>>485
簡易データベースです。
ネットワーク基本サービスの一部として働きます。
例えばアカウント情報、ブックマークレポジトリ。
488:名無しさん@お腹いっぱい。
04/12/23 02:44:38
>>482
正直、現状ではない。
>>483
OpenBSDではLDAPは思い切り軽視されていて、userlandには当然OpenLDAPは入って
いないし、pamにすら対応していないし、それどころか man -k ldap しても
何も出てこないぐらいだから…
489:名無しさん@お腹いっぱい。
04/12/23 23:47:17
>>487 あにきー ありがとです。 PostgresqlなどとはちがうDBなんすね
ラディウスのかわりになるですか?
490:名無しさん@お腹いっぱい。
04/12/24 00:37:48
>>489
> ラディウスのかわりになるですか?
ええ、LDAPもAAA(Authetication, Authorization and Accounting)やりますよ。
↓freeradiusのLDAP plugin
Radius authentication using LDAP
URLリンク(www.tldp.org)
最近は直接LDAPさーばに投げられるものも多いし。
491:名無しさん@お腹いっぱい。
04/12/30 17:26:41
OpenLDAPって数値を検索できる?
例えばuidNumberが1000以上2000以下なエントリーを抜き出したいです
492:名無しさん@お腹いっぱい。
04/12/30 17:59:22
integerMatchで、greaterOrEqual, lessOrEqual
493:名無しさん@お腹いっぱい。
05/01/06 15:36:24
LDAPに登録されているアカウントにsuしようとすると、segmentation faultしてしまいます。
どこで落ちているのかstrace -o trace su - hogeで、
open("/usr/lib/libcrypto.so.0.9.7", O_RDONLY) = 3
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0\20E<\000"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0555, st_size=1161935, ...}) = 0
old_mmap(NULL, 990776, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xf69bc000
old_mmap(0xf6a99000, 73728, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0xdd000) = 0xf6a99000
old_mmap(0xf6aab000, 11832, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0xf6aab000
--- SIGSEGV (Segmentation fault) @ 0 (0) ---
+++ killed by SIGSEGV +++
となりました。
/etc/passwdにあるユーザにsuしたとき同じ部分を見てみると、
old_mmap(NULL, 990776, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 4, 0) = 0xf6998000
old_mmap(0xf6a75000, 73728, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 4, 0xdd000) = 0xf6a75000
old_mmap(0xf6a87000, 11832, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0xf6a87000
mprotect(0xf6ff9000, 3788, PROT_READ|PROT_WRITE) = 0
mprotect(0xf6ff9000, 3788, PROT_READ) = 0
mprotect(0xfee9f000, 4096, PROT_READ|PROT_WRITE|PROT_EXEC|PROT_GROWSDOWN) = 0
close(4) = 0
であることから、mprotectで問題がおきているだろうってのは解ったんですが。。。
そこからどうしたらいいのかわかりませんでした。
open-ldap-2.2.20
nss_ldap-277
pam_ldap-176
bdb-4.3.27
ldapsearchなどではちゃんと引けています。
アドバイスをよろしくおねがいします。
494:名無しさん@お腹いっぱい。
05/01/07 05:13:10
>>493
自己解決。
openldapのconfigureで、--enbale-cryptをしていました。それをはずしたらうまく動きました。
495:名無しさん@お腹いっぱい。
05/01/07 11:44:34
つーか、/usr/lib/libcrypto.so.0.9.7をどうにかしないと…
496:名無しさん@お腹いっぱい。
05/01/07 13:38:18
うみゅ。とりえあずOpenSSLのライブラリを入れなおすべきですな。
497:名無しさん@お腹いっぱい。
05/01/11 17:32:54
LDAPのAPIですが、
Filter設定してsearchとかやりますが、
SQLを指定してやる方法もあるのですか?
JAVAや.Netから使いたいんですが・・・
498:名無しさん@お腹いっぱい。
05/01/11 18:23:07
>>497
SQLを指定ってあまりにも意味不明なんだけど
499:名無しさん@お腹いっぱい。
05/01/11 19:46:23
>>498
例えば
Select 属性 from 'LDAP://DC=xxx,・・・' where ・・・
とかのことなんですが。
RDBアクセスなんかでは、SQL文指定でStatementオブジェクト作成⇒
executeQuery()してResultSetを処理ってやるけど、
そんな風にできるんでしょうか?
500:名無しさん@お腹いっぱい。
05/01/11 22:29:05
>>499
JavaならJNDI使え。知らないなら調べろ。
.netはよー知らんが、ActiveDirectoryとかにアクセスできるインターフェースがあるでしょ?
もしくは、OpenLDAPのバックエンドをRDBに(ぉ
501:名無しさん@お腹いっぱい。
05/01/12 00:01:54
Sun One System Directory 5.2 を使ってます。
こんなエラーが出てログインできなくなってしまってしまったんですが、
このページのとおりやってみてもinvalid format になって解決できません。
URLリンク(swforum.sun.com)
ldapsearch の結果を元にldapmodifyを実行しても line2の
「cn=admin-serv-servername, cn=Administration Server, cn=Server Group,」
がinvalid format となってしまう。
同じようなエラーを経験した方いませんか?
502:名無しさん@お腹減った。
05/01/12 00:32:48
>>499
Novell から LDAP JDBC Driver ってのが出てるが。
登録すれば無償で取って来られたはず。
URLリンク(developer.novell.com)
503:名無しさん@お腹いっぱい。
05/01/12 04:26:28
>>501
dn: cn=admin-serv-edog, cn=Netscape Administration Server, cn=Server Group, cn=edog.labnet.east.sun.com, ou=labnet.east.sun.com, o=NetscapeRoot
で一行であることは理解してますよね?
理解できてないとすると、(失敗した時に手に負えないという意味で)
かなり危険なことに手を出そうとしていることを念頭においてください。
504:名無しさん@お腹いっぱい。
05/01/12 10:07:13
>>500
今、JAVAではJNDI、.Netでは.NetのDirectoryアクセスクラスを
使ってやてるけど、SQL形式のインタフェースじゃないから
そういうのが無いかなぁっていうことでした。
>>502
なるほど、やはりJDBC経由になるってことですか。
それが自然ですね。
どうもです。
505:名無しさん@お腹いっぱい。
05/01/12 21:25:07
URLリンク(japan.internet.com)
これってどうなの?→使ったことある人
506:名無しさん@お腹いっぱい。
05/01/12 21:55:57
iPlanetがあぼ~んして以来、完全に忘れていたproductだなぁ。
507:名無しさん@お腹いっぱい。
05/01/13 11:38:14
>>505
5年以上前はよかったよ。
今はどうかしらないけど、OpenLDAPの競合くらいにはすぐになると思うよ。
iPlanet(Sun)位になるには時間がかかると思う。
508:名無しさん@お腹減った。
05/01/13 11:54:13
こんなところで聞くのもなんだが、ldap-jp ml って終わったの?
サーバが止まってるみたいで、メール送っても、
途中でエラーになって帰ってくるのだが。
509:名無しさん@お腹いっぱい。
05/01/13 16:05:33
皆さんが考える、ユーザ認証システムをRDBMSではなく、
ディレクトリサービスを用いる決定的な理由を教えてください。
検索性能に特化していると言われてるけど、
DBと比べて性能差があるのでしょうか?
510:名無しさん@お腹いっぱい。
05/01/13 16:06:58
>>509
ねえ、ボク。APIって言葉知ってる?
511:名無しさん@お腹いっぱい。
05/01/13 16:30:35
はい、薄々ながらですが。
512:名無しさん@お腹いっぱい。
05/01/13 17:18:40
509は実装とインターフェースとの違いがまったく理解できてないんだろうな。
LDAP serverのbackendにRDBMS使う例だってあるというのに。
513:509
05/01/13 17:54:40
>>510、512
レスありがとうございます。
バックエンドでRDBMSも使えることは知っております。
OpenLDAPにしても、Berkeley DBをバックエンドで使うんですよね?
にも関わらず、一般的な記事ではディレクトリサービスとRDBMSは
比較対照になっていて、しかも「ディレクトリサービスは検索に特化されている」
とされています。
"特化=DBに比べて早い"or"特化=更新に比べて検索が得意"のどっちなのかを
教えて頂きたかったのです。
また、"特化=DBに比べて早い"とした場合、どうして性能差が出るのでしょうか?
「もっと勉強して出直して来い」なのかもしれませんが、
ご教授願います。
514:名無しさん@お腹いっぱい。
05/01/13 18:38:57
そもそも、RDBMSを用いた認証って一般的なプロトコルが存在しないでそ。
各アプリがそれぞれのRDBMSに合わせた手法で独自にアクセスし、各アプリの独自の
形式で収納している。
LDAPを使う場合は、各アプリはLDAPプロトコルに則ってアクセスすればいいのだし、
スキーマも認証系ではだいたい決っているので、それにのっとれば各アプリが共通した
認証情報を使える。これはLDAPサーバのバックエンドになにが使われているだとか
速度がどうだとかはまったく関係ないインターフェース/プロトコルレベルの話。
そして、SQL系RDBMSよりもBerkeleyDBのほうがLDAPで用いるような単純な検索では
規模によっては速度的に有利だとかメンテも遥かに楽とかいうのはあるけど、
509はこのこととLDAPプロトコルの利点とを混同している。
余談。MySQLのバックエンドにBerkeleyDBを使いトランザクションを実現していた
時期もあったなぁ。いまはMySQLでトランザクションといえばInnoDBだから
最近の人には信じられないことだろうけど。
515:509
05/01/13 19:22:14
>>514
レスありがとうございます。
> 509はこのこととLDAPプロトコルの利点とを混同している。
なるほど。結局はバックグラウンドの格納先の問題であって、
ディレクトリサービスがどうとかLDAPだからとかそう言う問題ではないのですね。
もし、SQL系RDBMSでディクレクトリサービスを管理するとなると
テーブル構成はどの様になるのでしょうか?
> LDAPサーバのバックエンドになにが使われているだとか
> 速度がどうだとかはまったく関係ないインターフェース/プロトコルレベルの話。
この部分に関してはうっすらではありますが、理解しておりました。
ただ、これだけだとLDAPに決定する理由にしてはもう一パンチ欲しいなぁと
思ってたんです。
でも、まだぼんやりではありますが、ご説明いただいた事を
考えると結構大きなパンチになりそうです。
もう少し、しっかり勉強してみます。
本当にありがとうございました。
516:名無しさん@お腹いっぱい。
05/01/13 19:49:10
>>515
> もし、SQL系RDBMSでディクレクトリサービスを管理するとなると
> テーブル構成はどの様になるのでしょうか?
OpenLDAPのバックエンドにRDMBSが使えることは知っているのだから、
OpenLDAPのservers/slapd/back-sql/rdbms_depend/*/backsql_create.sqlを
参考にすればいいのに…
517:501
05/01/13 23:15:42
>>503
ありがとう。動きました。
2chアク禁環境にいたのでレス遅れて申し訳ないです。
おかげで翌朝に解決できました。
仰るとおり理解してませんでした。。
自社に戻って技術文書もって帰りました。。勉強します。。
518:名無しさん@お腹いっぱい。
05/01/14 02:10:36
>>509
> 皆さんが考える、ユーザ認証システムをRDBMSではなく、
> ディレクトリサービスを用いる決定的な理由を教えてください。
RDBMSじゃなくて、RDBの間違いだと思うが、
・ネットワークワイドな分散認証レポジトリの構築が容易。
・LDAPを中間層として構築すれば、レポジトリのRDB以降も行いやすい。
つまりLDAPプロトコルが実装透明性を担う。
LDAPを介したシステム組み合わせも容易。
・SASLを使うことができるので、LDAPプロトコルに閉じたまま、
Kerberosを選ぶことができる。RDBではKerberosを扱う事はできない。
・認証の主体となることが多く、認証に関係することが多い、
ユーザのレポジトリはLDAPの専門分野である。
・認証RelemのレポジトリとしてもLDAPは優れている。
schemeが既に多くつくられ、多くの場所で運用されている。
など。
519:名無しさん@お腹いっぱい。
05/01/14 02:12:24
>>513
> にも関わらず、一般的な記事ではディレクトリサービスとRDBMSは
> 比較対照になっていて、しかも「ディレクトリサービスは検索に特化されている」
> とされています。
記者が馬鹿だから。
520:名無しさん@お腹いっぱい。
05/01/14 08:27:20
>>513
たとえばどの記事よ。
521:509
05/01/14 10:17:53
>>516
調べてみました。
ありがとうございました。
>>518
やっぱり、プロトコルやスキーマが標準化されている事って
かなり大きいんですね。
Kerberosですか。新たなメリットです!
調べてみます。
ありがとうございました。
>>519
RDBをバックエンドに使えるはずなのに、
検索に特化されているとかトランザクション機能が無いとか
書いてあるので、なんか仕掛けがあるのかと思ってました。
そもそもトランザクション機能がよくわかってないんですけど。。
>>520
とりあえず、これです。
URLリンク(www.atmarkit.co.jp)
URLリンク(japan.cnet.com)
522:名無しさん@お腹いっぱい。
05/01/14 15:29:18
>>518
schemaのtypo.した。
523:名無しさん@お腹いっぱい。
05/01/14 15:41:48
>>521
トランザクション機能は全くないわけではありません。それに、
>>509
> ユーザ認証システム
として考えた場合は十分です。
ユーザ認証レポジトリとして考えてみると、
例えばdigital IDの生成の時には、若干トランザクション処理をする必要がありますが、
LDAPプロトコルとしてサポートしないだけで、
LDAPサーバを用いたユーザ認証レポジトリシステム、
しかもRDBと比較する程度の規模のもので、(iPlanet, Active Directory)
ちゃんとやってないもの方が少ないです。
そもそも(RDBでなく)RDBMSという「システム」と比べるべきなのは、
(RDBMSには認証機構やODBCなども入っていますから)
Sun Java System Directory Serverのような、
Directoryシステムであって、LDAPプロトコルでも、
>>509
> ディレクトリサービス
でもないですよね。RDBMSだってRDB部分だけ見ればほとんど何もないです。
524:名無しさん@お腹いっぱい。
05/01/14 15:43:58
>>521
> とりあえず、これです。
読む記事が短かすぎます。
この記事を見るだけで出来ることは、この記事をまとめることくらいです。
それだってきっと見当違いになるでしょう。表面をなぞったものを読んだだけなので。
525:509
05/01/14 17:53:53
>>523,524
レスありがとうございます。
知識がうすっぺらなんで、勘違いや混乱を起こしてしまうんですよね。
ディレクトリサービスとディレクトリシステム、
RDBとRDBMSをごっちゃにして考えてました。
最初の発言の『ユーザ認証システム』って言葉もユーザを認証する仕組み程度に
何気なく使っていました。
ので、『ユーザ認証レポジトリシステム』との区別がついておりません。。
『ユーザ認証レポジトリシステム』調べてきます。
526:名無しさん@お腹いっぱい。
05/01/14 18:03:01
SunOne Directory ServerってもともとはNetscape Directory Serverだよね?
RedHatがNetscape Directory Serverをフリーにするってことは、昔の
SunOne Directory Serverと似たようなものが出てくるのかな? もっとも、
NetscapeはCommunicatorのソースがあの調子でMozillaでは結局一から作りなおす
ハメになったわけで、出てくるソースについてあんまり期待しちゃいけないのかも
しれないけど。とはいえ、さすがにOpenLDAPよりは奇麗だと期待したい。
527:名無しさん@お腹いっぱい。
05/01/19 19:43:46
phpでLDAPにエントリを追加したいけど全然できません。
コマンドラインでは入るし、
ldap_add()に渡すデータ配列が間違っているだけのようなんだけど・・・。
Warning: ldap_add(): Unknown attribute in the data
と
Warning: ldap_add(): Add: Undefined attribute type
どっちが正解に近いエラーですか・・・。on_
528:名無しさん@お腹いっぱい。
05/01/19 23:42:31
>>527
PHPはよく知らないので、外しているかも知れないけど、
> Warning: ldap_add(): Unknown attribute in the data
データに不明な属性が含まれています。
例えば, posixAccountオブジェクトクラスのオブジェクトに、
jpegPhoto属性が含めてしまっているような場合。
下に比べると、属性としては正しいものなんでしょう。
> Warning: ldap_add(): Add: Undefined attribute type
定義されてない属性がある。
例えば、gifPhoto属性なんてどこにもないよー、など。
LDAPのerror codeそのまんまの解釈をしてみました。
529:528
05/01/20 00:15:08
> 528
ありがとうございます。
そう言われて、今ちょっと間違っていそうなところに気が付きました。
明日やって見ます。
530:527
05/01/20 10:14:27
やっぱり出来なかった。
Warning: ldap_add(): Add: Object class violation
これはもっと正解に近い?
オブジェクトクラス違反
近そうとは思うけど、どうしたら・・・。
531:名無しさん@お腹いっぱい。
05/01/21 00:25:37
>>530
> Warning: ldap_add(): Add: Object class violation
オブジェクトクラスそのものに関するエラーが起きたんだよ。
>>528の前者はオブジェクトクラスにはない属性を指定した場合。
こっちは、
・オブジェクトクラスの指定が全くない。
・存在しないオブジェクトクラスを指定した。
・複数のstructualオブジェクトクラスに属している。
などです。
532:名無しさん@お腹いっぱい。
05/01/25 11:19:29
URLリンク(incubator.apache.org)
これは期待していいのか?
533:名無しさん@お腹いっぱい。
05/01/30 13:29:14
OpenLDAPって数千件ほどのデータ更新をしようとすると10分くらいかかるんですが
こんなもんなんですか?
マシンは
Dell Power Edge 750
RHEL3 (smp)
P4 2.8Ghz (HT)
DDR 512MB
SATA 80GB * 2 RAID1
です。
534:名無しさん@お腹いっぱい。
05/01/30 20:21:30
OpenLDAP2 ってバグだらけだよな
オープンソースがうまくいかなかったときの悲惨さを見た
535:名無しさん@お腹いっぱい。
05/01/30 23:10:44
emacsでdviファイルをtexファイルに変換できるのでしょうか?できるのなら方法を教えて下さい。texファイルを消してしまいました!助けて下さい。。。お願いします。
536:名無しさん@お腹いっぱい。
05/01/31 10:46:59
>>533
本当に更新に時間かかっているの?
更新ごとにやるindexのないattributeでの検索に時間かかっているって事はない?
537:名無しさん@お腹いっぱい。
05/02/01 22:50:21
>>534
OpenLDAPの採用を検討しているので気になりました。
バグで苦労した点を教えてくれないでしょうか。
538:名無しさん@お腹いっぱい。
05/02/02 00:16:16
>>534 の脳がバグってるんだろ
539:名無しさん@お腹いっぱい。
05/02/02 04:47:49
>>533
もし berkeley db を使ってるなら ldbm を試してみた方がいい。
並列に高い負荷がかかると、berkeley db と OpenLDAP の組み合わせ
はメチャメチャ遅くなることがある。
逆に負荷が軽ければ berkeley db を選んだ方がずっと速いことも
ある。あと、パラメータのチューニングでかなり性能は変わる。
ちなみに berkeley db と、とあるバージョンの OpenLDAP の
組み合わせで大量の更新を行なうと、データベースが壊れて
ldapsearch もできなくなったことがあった。(再現性あり)
ldbm にして回避したが。
上記の事情は、OpenLDAP のバージョンによってもコロコロ変わる。
更新が少なくて参照ばかりなら、そんなに問題はでないと思うけど、
大量の更新を行なう用途に OpenLDAP を使うのはやめた方が安全。
苦労すればなんとか解決はできるが。
540:名無しさん@お腹いっぱい。
05/02/03 00:48:24
>>539
データ更新が頻発するシステムでOpenLDAPを置き換えるならどういう
選択肢があるんだろう。
541:名無しさん@お腹いっぱい。
05/02/03 02:27:12
素直にRDB使うとか?
542:名無しさん@お腹いっぱい。
05/02/04 08:02:02
backendにRDBMS使うとか
543:名無しさん@お腹いっぱい。
05/02/10 13:03:25
ldapのBDCへの複製をしたいと思ってるのですがうまくBDCへ伝播されません。。お知恵をお貸しくださいm(_ _)m
gentooをホストにPDCを構成し、認証にldap(2.1.30-r2)を使っています。BDC(debian slapd2.1.30-3)への複製を行いたいと思っています。
URLリンク(tsuttayo.sytes.net) URLリンク(tsuttayo.sytes.net)
上記2ページを参考に設定を行い、BDC側にはreplicaのbinddnでldapbrowserを使って接続し、値の書き換えなどができることを確認。
PDC側は、/var/lib/openldap-slurp/replica/slurpd.replogにmodifyのログが生成されているようでしたが、BDC側に変更が伝播していないようです。
ちなみにデバッグ(slurpd slapd.conf -d 255)で実行したログの後半(ここで停止。killしてもslurpdをとめられない…)最後にlocalhostに行ってるのが怪しいですがどうしていいものか…
Config: ** successfully added replica "hoge.localdomain:389"
Config: ** configuration file successfully read and parsed
begin replication thread for hoge.localdomain:389
Initializing session to ldap://hoge.localdomain
ldap_create
ldap_url_parse_ext(ldap://hoge.localdomain)
bind to hoge.localdomain:389 as uid=replica,ou=Users,dc=localdomain (simple)
ldap_simple_bind_s
ldap_sasl_bind_s
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection
ldap_int_open_connection
ldap_connect_to_host: TCP hoge.localdomain:389
ldap_create
ldap_simple_bind
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection
ldap_int_open_connection
ldap_connect_to_host: TCP 127.0.0.1:389
544:名無しさん@お腹いっぱい。
05/02/10 17:55:07
localにslapdは立ち上がっているのか?
545:543
05/02/10 18:45:07
>>544さん
PDC, BDCの両方で立ち上がってます。ldapsearch -x -h ホスト名 するとお互いにやってもずらーっと出るので大丈夫と思います。
>>543のログはPDCでのもので、hoge.localdomainがBDC側にあたります。
546:名無しさん@お腹いっぱい。
05/02/24 11:24:46
>>539
うちでもBarkeleyDBよくぶっ壊れると思ってたんだけど、やっぱりか・・・
BackendにRDB使えるって聞くけど、あまり導入したという資料見ないし、
実績がどの程度とか、そのへんで二の足踏んでる。
547:名無しさん@お腹いっぱい。
05/02/27 15:34:10
OpenLDAP以外にフリー&商用可のLDAPサーバって何があるの?
548:名無しさん@お腹いっぱい。
05/02/27 16:21:23
>>505
549:名無しさん@お腹いっぱい。
05/03/17 14:26:09
下記のようにpam_ldap を makeすると、エラーになりますが、 make install していいものでしょうか?
pam_ldap.c:3320: warning: dereferencing type-punned pointer will break strict-aliasing rules
pam_ldap.c:3357: warning: dereferencing type-punned pointer will break strict-aliasing rules
pam_ldap.c:3462: warning: dereferencing type-punned pointer will break strict-aliasing rules
pam_ldap.c:3477: warning: dereferencing type-punned pointer will break strict-aliasing rules
pam_ldap.c: In function `pam_sm_acct_mgmt':
pam_ldap.c:3694: warning: dereferencing type-punned pointer will break strict-aliasing rules
pam_ldap.c:3703: warning: dereferencing type-punned pointer will break strict-aliasing rules
gcc -DHAVE_CONFIG_H -DLDAP_REFERRALS -DLDAP_DEPRECATED -D_REENTRANT -g -O2 -Wall -fPIC -c md5.c
/usr/ccs/bin/ld -o pam_ldap.so -B dynamic -M ./exports.solaris -G -B group -lc pam_ldap.o md5.o -lldap -llber -lnsl -lcrypt -lresolv -lpam -ldl
ld: 重大なエラー: ライブラリ -llber: 見つかりません。
ld: 重大なエラー: ファイル処理エラー。pam_ldap.so へ書き込まれる出力がありません。
make: *** [pam_ldap.so] Error 1
550:名無しさん@お腹いっぱい。
05/03/17 23:24:20
>>549
make install以前にリンク失敗してるじゃない
551:名無しさん@お腹いっぱい。
05/03/18 13:21:47
FC3 で slapd をデバックモードで起動すると、
2.5.13.1 (distinguishedNameMatch): matchingRu
leUse: ( 2.5.13.1 NAME 'distinguishedNameMatch' AP
PLIES ( dITRedirect $ associatedName $ secretary $
documentAuthor $ manager $ seeAlso $ roleOccupant
$ owner $ member $ distinguishedName $ aliasedObj
ectName $ namingContexts $ subschemaSubentry $ mod
ifiersName $ creatorsName ) )
2.5.13.0 (objectIdentifierMatch): matchingRul
eUse: ( 2.5.13.0 NAME 'objectIdentifierMatch' APPL
IES ( supportedApplicationContext $ supportedFeatu
res $ supportedExtension $ supportedControl ) )
slapd startup: initiated.
bdb_db_open: dbenv_open(/var/lib/ldap)
bdb(dc=my-domain,dc=com): Program version 4.2 doe
sn't match environment version
bdb_db_open: dbenv_open failed: Invalid argument
(22)
backend_startup: bi_db_open(0) failed! (22)
slapd shutdown: initiated
====> bdb_cache_release_all
slapd shutdown: freeing system resources.
bdb(dc=my-domain,dc=com): txn_checkpoint interfac
e requires an environment configured for the trans
action subsystem
bdb_db_destroy: txn_checkpoint failed: Invalid ar
gument (22)
slapd stopped.
connections_destroy: nothing to destroy.
とエラーになります原因教えて下さい
552:名無しさん@お腹いっぱい。
05/03/18 13:28:25
デバッグモードでなければ動くの?
553:名無しさん@お腹いっぱい。
05/03/18 13:49:27
>>551
database fileが壊れてます。
554:名無しさん@お腹いっぱい。
05/03/18 14:00:02
>>553
Thanks
database fileを直して正常に動作させるにはどうすればいいでしょうか?
555:名無しさん@お腹いっぱい。
05/03/18 14:23:15
壊れたdatabase fileは破棄してください。
556:名無しさん@お腹いっぱい。
05/03/18 14:26:27
それから>>539。
557:名無しさん@お腹いっぱい。
05/03/18 15:02:01
>>556
lapd startup: initiated.
slapd starting
Thanks
558:名無しさん@お腹いっぱい。
05/03/18 17:00:35
Solaris版のOpenLDAPは、
openldap/migration/migrate_common.ph
のような、マイグレートする、パールスクリプトがありません。
どこかで手に入りますか?
559:名無しさん@お腹いっぱい。
05/03/18 20:09:17
>>558
Solarisでは、iPlanet使えよ。
560:名無しさん@お腹いっぱい。
05/03/18 20:10:27
で、登録はldapaddent(1M)な。
561:名無しさん@お腹いっぱい。
05/03/18 22:37:11
iPlanetって有料でしょ?
562:名無しさん@お腹いっぱい。
05/03/18 23:29:26
Solaris 9から付属です。
563:名無しさん@お腹いっぱい。
05/03/26 01:26:47
>>559
iplanet は資料が少ないよ。
それにPAMに関しても非常に少ない。
どうしていますか?
564:名無しさん@お腹いっぱい。
05/03/30 21:09:00
マニュアルを読む。キホソ
565:名無しさん@お腹いっぱい。
05/03/30 23:10:19
>>563
英語駄目な人?
ドキュメント凄く多いと思うんだけど。
PAMは何が知りたいの?
このスレでもずいぶんと書いているけども。
566:名無しさん@お腹いっぱい。
UNIX時間(+0900)35年,2005/04/02(土) 20:30:30
OpenLDAPダメポ,こんなにDB(ldbm)破損が発生するとは思いもしなかった・・・
壊れないバージョンってありますか(現在2.0.22)
567:名無しさん@お腹いっぱい。
UNIX時間(+0900)35年,2005/04/03(日) 01:40:03
ldbmってOpenLDAP自前のdbm libraryだよね。
2.0.Xって古すぎ。正直その頃のldbmってタコ。2.1.Xも駄目。
stableが2.2.24なんだから、もっと新しいの使ってよ。
URLリンク(www.openldap.org)
568:566
UNIX時間(+0900)35年,2005/04/03(日) 04:09:02
バックエンドはbdbで安定してますかね>>551辺り見ると不安
Debian3.0はnscdもslapdも腐ってる参りましたわ・・・
stableを手ビルドして様子みます
569:名無しさん@お腹いっぱい。
UNIX時間(+0900)35年,2005/04/03(日) 05:07:18
URLリンク(packages.debian.org)
>>567で言ったのは、「古い」ldbmは糞、ということ。
Berkley DBは、色々イヤらしいので勧めません。
Debianなら各バージョン揃っていると思いますが。
570:566
UNIX時間(+0900)35年,2005/04/03(日) 06:02:05
なるほど最近のldbmはマシになってると言うことですか
現状woodyからunstableに上げることは厳しいので
packportせざるをえないのです・・・
1年近く運用し本格的に負荷がかかってこの有様
早く見極めるべきでしたね
571:名無しさん@お腹いっぱい。
UNIX時間(+0900)35年,2005/04/03(日) 13:15:14
Debianなんか選んだのがそもそもの間違い
572:名無しさん@お腹いっぱい。
05/04/04 17:43:09
Red Hatはdirectory server(旧netscape)をまだ公開せんのかな?
573:名無しさん@お腹いっぱい。
05/04/04 22:56:42
LDAPサーバに対してID・パスワードでの認証をVBで作ろうとしてます。
しかしuserPasswordが取得できないように設定してあります。
認証を実現するにはどのような方法がありますか??
574:名無しさん@お腹いっぱい。
05/04/04 23:57:09
bindオペレーション
>>573
> userPasswordが取得
邪道
575:名無しさん@お腹いっぱい。
05/04/05 03:27:29
こんな人間が認証系作るってあぶねーなー
576:名無しさん@お腹いっぱい。
05/04/07 11:01:49
devfsとかprocfsとかみたいにldapfsがあればいいのに。
577:名無しさん@お腹いっぱい。
05/04/08 00:58:54
>>573
LDAPのBIND時に簡易認証しろよタコ
578:名無しさん@お腹いっぱい。
05/04/08 23:17:10
本人がいないタイミングでそんなレスしても、
読んでるひとの気分を害するだけ。
574以上の情報があるわけでもなし。
579:名無しさん@お腹いっぱい。
05/04/15 22:45:44
>>577
釣られてんじゃねーよアホ
580:名無しさん@お腹いっぱい。
05/04/16 07:35:33
ldapって通信に暗号使うの?なりすまし対策は?
581:名無しさん@お腹いっぱい。
05/04/16 08:54:56
LDAPS
582:名無しさん@お腹いっぱい。
05/04/17 17:57:43
ldapsじゃなければユーザーやパスワードやじゃじゃ漏れってこと?
583:名無しさん@お腹いっぱい。
05/04/17 20:48:53
そうじゃじゃ
584:名無しさん@お腹いっぱい。
05/04/17 20:50:37
STARTTLS!
585:名無しさん@お腹いっぱい。
05/04/18 01:05:54
>>582
うーん、LDAPに閉じた話で言えばそういうことになるけど…
使っているスイッチにもよるよね。
スイッチでも間にタッピングされると覗かれるけど、
うちはポートのリンクアップ/ダウンで管理者にメール来るから…
まあ使っているのはldapsなんですけど…
586:名無しさん@お腹いっぱい。
05/04/18 21:16:51
ログインの認証とかldapのサーチとか
当たり前のようにsslなしだった
もうダメポ
587:名無しさん@お腹いっぱい。
05/04/18 21:42:28
用途に即してれば、SSLなしでもOKだとおもうけど。
588:名無しさん@お腹減った。
05/04/18 23:09:15
ねえねえ、LDAP認証にSASLってあんまり使われてないの?
589:名無しさん@お腹いっぱい。
05/04/19 00:52:37
パスワード認証じゃなくて、
1. Kerberosとか公開鍵で認証して、
2. その権限でディレクトリのACLを働かせたい、
そういう時以外、SASLって特別いいことないし。
simple bind認証で十分でしょう。
逆に、2なしでKerberos認証したければ、単にKerberos使えばいい。
590:名無しさん@お腹いっぱい。
05/04/19 09:48:30
NISスレがないのにLDAPスレがある不思議
591:名無しさん@お腹減った。
05/04/19 10:26:11
いやいや、SSLなしじゃ、パスワードが…とかいうから、
SASL で DIGEST-MD5 とかでやらないの?って話なの。
592:名無しさん@お腹いっぱい。
05/04/19 23:58:16
SSLで十分。
593:名無しさん@お腹減った。
05/04/20 00:54:31
SSLって証明書とかどうしてんの?
594:名無しさん@お腹いっぱい。
05/04/20 01:01:08
SSLのスレで聞け。
595:名無しさん@お腹いっぱい。
05/04/20 03:14:55
オレオレ証明書
596:名無しさん@お腹いっぱい。
05/04/20 07:14:45
openssl req -new -x509 -keyout server.crt -out server.crt
597:名無しさん@お腹いっぱい。
05/04/21 06:21:29
openssl req -new -batch -x509 -rand /var/log/maillog:/var/log/httpd/access.log -nodes -newkey rsa:8192 -sha1 -days 365 -text -keyout server.crt -out server.crt -subj /C=JP/ST=ECHIGO/O=CHIRIMEN\ DON\'YA
598:名無しさん@お腹減った。
05/04/21 13:03:01
はいはい、クライアントからサーバまでの経路の暗号化がされてれば、十分ってことね。
SSLじゃなくても、ssh で port forwarding とか IPSecとかのVPNでもいい、と。
599:名無しさん@お腹いっぱい。
05/04/22 00:59:13
スレ違いなんで、それ以上突っ込んだ話をして欲しければ、SSL/TLSスレで。
600:名無しさん@お腹いっぱい。
05/04/22 02:39:17
LDAPのプロキシー?変換サーバ?見たいなのってありますか?
やりたい事は、
Client <--> LDAP変換proxy <--> 実LDAPサーバ
といった感じで、
・実LDAPサーバはいじりたくない。
・でも新たなアトリビュート等を加えたい
じゃ、間に変換Proxyを挟んで変えてやりゃ良いかなと。
それとも、そういう考え方が邪道?
601:名無しさん@お腹いっぱい。
05/04/22 02:55:54
Solaris10ってLDAPサーバ付いてるの?iPlanet?
602:名無しさん@お腹いっぱい。
05/04/22 10:44:21
>>600
製品ならSunが出してる。FreeやOpenSourceはないと思う。
名前ころころ変り中なんで代理店に聞いて。
>>601
うん。iPlanet → Sun ONE → Javaと名前だけが変っているけど。
603:名無しさん@お腹いっぱい。
05/04/22 15:53:22
URLリンク(www.iconimaging.net)
この設定通りやった場合、ユーザー認証は、
/etc/passwd を見に行くのでしょうか?
それと、ldap をみにいくのでしょうか?
また、上の手順では、pam等いれていないのですが、
問題無いのでしょうか?
604:名無しさん@お腹いっぱい。
05/04/22 17:43:26
それユーザ認証なんてやってないんですけど
605:名無しさん@お腹いっぱい。
05/04/22 19:42:12
>>600
stone
606:605
05/04/22 19:44:06
ごめ早とちりした,実LDAPで限定変更化のユーザーACL設定して
レプリカ設定するってのはどうだ?あんまりメリットなさそうだけど
607:名無しさん@お腹いっぱい。
05/04/22 20:53:06
不必要に複雑化してわけのわからない問題が次から次へと起きるだけだ。
608:602
05/04/23 01:22:45
>>600
具体的にどういうのをやりたいの?
OpenLDAPなら、man 5 slapd-metaにあるような事できるけど、
何でもできるわけじゃないよ。半分遊びのつもりでやってみたことあるけど疲れます…
609:名無しさん@お腹いっぱい。
05/04/23 21:52:10
solaris 9 で、Open LDAP を使って、/etc/passwd ではなく、LDAP でユーザーを管理したいと考えています。
その際は、pamを使います。
pam には、最初からSolarisに入っている、pam と、PADL があります。どちらを使えばいいでしょうか?
また、うまくLDAPでユーザー管理できている方いらっしゃいますか?
610:nanasi
05/04/24 03:47:04
>>609
根拠はないが、PADLの方が楽な気がする。
611:名無しさん@お腹いっぱい。
05/04/24 14:27:11
>>609
昔あったPAMスレに書いたけど、落ちているのでもう一回。
Solaris付属のpam-ldapは、userPassword属性を取得して、
Solaris側でdecryptすることによって認証する。よって、
1. Solarisの対応しているcrypting schemeに利用が限られる。
2. bindするDNでuserPassword属性が読めないと駄目。(security上大きな制約)
一方、PADLのpam-ldapは、simple bindを使って認証を行うので、
1. crypting schemeの問題はLDAPに閉じ込めることができる。
認証する側はbind op.に対して単にDNとsecretを提供すればいい。
ADT抽象度が高い。
2. userPasswordは外部に出さない事が可能。
(iPlanetではcn=Directory Managerで読めてしまいますが)
ただし、現時点でSolaris 10では未検証。
612:名無しさん@お腹いっぱい。
05/04/24 14:28:40
>>610
>>611に書いたSolaris版の仕様が気にならないなら、
Solaris付属のpamでやった方が楽だと思いますよ。
仕様が問題であるなら、もう「楽」かどうかという問題ではなくなっていますし。
613:名無しさん@お腹いっぱい。
05/04/26 19:45:09
sendmail 8.13 とOpenLDAPについて質問
solaris に OpenLDAP をいれます。slapd を起動して、ユーザー情報を
取り込みます。
LDAP に登録されているユーザーから、メールを送受信したいと思います。
その際、sendmail にいろいろ、設定しないといけないと思います。
つまり、メールを受けた場合は、/etc/passwd では無く、LDAP のユーザーに格納するといった設定です。
この設定の方法を教えて下さい。
また、メールボックスは、LDAPユーザーの場合どこにできるのでしょうか?
(状況として、pamの設定は行っておりません)
アドバイスお願いします。
614:名無しさん@お腹いっぱい。
05/04/27 00:15:04
nss-ldapの設定。
615:名無しさん@お腹いっぱい。
05/04/27 16:44:37
>>613
> また、メールボックスは、LDAPユーザーの場合どこにできるのでしょうか?
MTAの設定の問題。
616:名無しさん@お腹いっぱい。
05/04/28 15:00:45
すいません。
LDAPでouを追加しようと以下のようになるんのですが
なんでなのでしょうか?
基本的なことで申し訳ないのですが
お教えいただけるとありがたいです。
[root@test _test]# ldapadd -x -D "cn=Manager,dc=hogehoge,dc=com" -w himitsu
dn: ou=sm,ou=Project,dc=hogehoge,dc=com
add: objectClass
objectClass: Project
adding new entry "ou=sm,ou=Project,dc=hogehoge,dc=com"
ldap_add: Undefined attribute type
additional info: add: attribute type undefined
ldif_record() = 17
617:名無しさん@お腹いっぱい。
05/04/28 15:04:29
>>616
dn: ou=Project,dc=hogehoge,dc=com
objectClass: organizationalunit
ou: Project
dn: ou=sm,ou=Project,dc=hogehoge,dc=com
objectClass: organizationalunit
ou: sm
618:名無しさん@お腹いっぱい。
05/04/29 02:39:12
英文ちゃんと読めよ。
> add: attribute type undefined
rfc2849.txtもな。
619:名無しさん@お腹いっぱい。
05/05/21 12:51:06
CentOS4 でOpenLDAP サーバをインストールしたんですが
下記のエラーが出て起動できません。
slapd[2966]: slapd startup: initiated.
slapd[2966]: bdb_db_open: dc=hogehoge,dc=test,dc=jp
slapd[2966]: bdb_db_open: dbenv_open(/var/lib/ldap)
slapd[2966]: bdb(dc=hogehoge,dc=test,dc=jp): Berkeley DB library configured to support only DB_PRIVATE environments
slapd[2966]: bdb_db_open: dbenv_open failed: Invalid argument (22)
slapd[2966]: backend_startup: bi_db_open(0) failed! (22)
slapd[2966]: slapd shutdown: initiated
slapd[2966]: ====> bdb_cache_release_all
slapd[2966]: slapd shutdown: freeing system resources.
slapd[2966]: bdb(dc=hogehoge,dc=test,dc=jp): txn_checkpoint interface requires an environment configured for the transaction subsystem
slapd[2966]: bdb_db_destroy: txn_checkpoint failed: Invalid argument (22)
slapd[2966]: slapd stopped.
slapd[2966]: connections_destroy: nothing to destroy.
インストールしたパッケージは
db4-utils-4.2.52-7.1
db4-4.2.52-7.1
openldap-2.2.13-2
nss_ldap-226-1
openldap-clients-2.2.13-2
php-ldap-4.3.9-3.6
openldap-servers-2.2.13-2
です。
620:619
05/05/21 12:51:51
/etc/ldap.con の内容
host hogehoge.test.jp
idle_timelimit 30
pam_min_uid 500
pam_password SSHA1
nss_base_passwd dc=hogehoge,dc=test,dc=jp?sub
nss_base_shadow dc=hogehoge,dc=test,dc=jp?sub
nss_base_group ou=Groups,dc=hogehoge,dc=test,dc=jp?one
ssl no
621:619
05/05/21 12:53:20
/etc/openldap/ldap.conf の内容
HOST hogehoge.test.jp
BASE dc=hogehoge,dc=test,dc=jp
ssl no
pam_password SSHA
/etc/openldap/slapd.conf の内容
include/etc/openldap/schema/core.schema
include/etc/openldap/schema/cosine.schema
include/etc/openldap/schema/inetorgperson.schema
include/etc/openldap/schema/nis.schema
password-hash{SSHA}
pidfile/var/run/slapd.pid
argsfile/var/run/slapd.args
databasebdb
suffix"dc=hogehoge,dc=test,dc=jp"
rootdn"cn=Manager,dc=hogehoge,dc=test,dc=jp"
rootpw{SSHA}パスワード
directory/var/lib/ldap
index objectClass eq,pres
index ou,cn,mail,surname,givenname eq,pres,sub
index uidNumber,gidNumber,loginShell eq,pres
index uid,memberUid eq,pres,sub
index nisMapName,nisMapEntry eq,pres,sub
622:名無しさん@お腹いっぱい。
05/05/21 13:59:31
>>619
エラー内容からするとdb4が適合してないようなので、
修正がでるまではopenldapを適宜ビルドして回避するとか。
623:619
05/05/21 15:00:00
再構築_| ̄|●
Linux 経験約3週間ではハードルが高いです。
VMWare上のSL4 では下記のパッケージで動いてるのに・・・。
db4-utils-4.2.52-7.1
db4-4.2.52-7.1
nss_ldap-226-1
openldap-servers-2.2.13-2
openldap-clients-2.2.13-2
openldap-2.2.13-2
SL4は実機にはインストーで出来なかったんで CentOS4
(実機:Pentium MMX 166 MEM:80MB DISK:6GB)
を入れてるんですけど
db4-devel-4.2.52-7.1
openldap-devel-2.2.13-2
のパッケージは関係ないですよね。
あと、/var/lib/ldap の所有者とグループは ldap になってます。
他に情報があれば教えて下さい。
624:名無しさん@お腹いっぱい。
05/05/23 08:27:07
>>623
つーか、
> Berkeley DB library configured to support only DB_PRIVATE environments
をどうにかしろ!
A. db4をsrpmからコンパイルしなよ。
CentOS part 2 【RHEL Clone】
スレリンク(linux板)
B. bdbじゃなくてldbmを使う。man slapd.conf
625:名無しさん@お腹いっぱい。
05/05/23 12:44:45
>624
ありがとう。
bdb を ldbm にしたら起動出来るようになりました。
でも、ログをみたらBerkeley DB を使用してるんですね。
プロセスも3個も起動してるし…。
CentOS4 とSL4ではコンパイル条件が違うみたい。
626:名無しさん@お腹いっぱい。
05/05/27 16:23:59
>>611
Sunスレの方で、話が出てるけど
スレリンク(unix板:202-番)
Sun版にしても、PADL版にしても、simple bind を使った
認証って、LDAP over SSL で使わないと、パスワードが
平文で流れるわけでセキュリティ的にチョー危ないんだね。
over SSL は当然って場合はスマソ
627:611
05/05/27 16:50:34
simple bindじゃなくて、SASL bindだって、
平文で投げるschemeだと危ないから、SSLでやるのがいいね。
628:626
05/05/27 17:01:18
やはりSSL大前提ですかあ。
どうも。
629:611
05/05/27 17:05:28
あっちのスレでは、SSLは負荷高いなんて言っている人いるけど、
正直データベース本体の所が一番負荷高いです。
stunnel+LDAPサーバで比較してCPU利用率確かめたんで確かです。
OpenLDAPやiPlanetね。
630:611
05/05/27 17:08:21
それから大前提って事はない。
平文じゃなければいいんだから。
ただPAM使うなら適当なPAMモジュールがないね。作らないと。
631:名無しさん@お腹いっぱい。
05/05/27 17:22:27
>>629
あっちのスレで話が出てる、SSL と、共有鍵ベースの IPsec の
比較はしました? IPsec の方が軽いというのはありそうな
話だと思うんだけど。
SSL にしても IPsec にしても、データベース本体への CPU 負荷
は増えるので気になるところです。
632:ディレクトリ統合したい
05/05/31 22:36:19
メタディレクトリもここで語っていいでしょうか?
このジャンル書籍も少なくて。。。
どなたか運用されている方いらっしゃいます?
633:名無しさん@お腹いっぱい。
05/06/01 00:22:16
メタディレクトリでオープンソースってある?
DirXMLみたいなのだったら
XSLT + LDAPクライアントライブラリ で作れそうな気がする。
634:名無しさん@お腹いっぱい。
05/06/01 14:24:51
>>632
Sunのやつならドキュメントがしっかりしているでしょう?
試したことはあるけど、運用はしてない。
結局、アカウント作成アプリで双方に作成、LDAPでの認証でパスワード共有という運用。
統合グループ管理は諦めました。(ACLの仕組みが全然違うし)
Mac OS 10.4がGUIDベースになってきたから、
この辺はどんどん進んでくるんでしょうね。
>>633
そもそもschemaをどう使っているか、Microsoftが公開してないから。
SunとAppleは業務提携したから、情報が出てくるけど。
635:ディレクトリ統合したい
05/06/01 23:43:25
>>633
>>634
レスさんくす
Sun の Identity Managerで
でRDBをデータソースとして
ActiveDirectory、OpenLDAPのディレクトリ統合
できるかなと考えてました。
ただ値段が高いのね。3000ユーザライセンス1000万。
データ連携+パスワード同期となるとIdentity Managerしかないかな。
URLリンク(jp.sun.com)
あと、MSのMIISもきになる。
636:名無しさん@お腹いっぱい。
05/06/02 00:18:25
Red Hat Directory Serverリリース。
合わせてフリー版のFedora Directory Serverも出た。
URLリンク(directory.fedora.redhat.com)
ソース、Linuxバイナリの他、Solarisバイナリもあり。
637:名無しさん@お腹いっぱい。
05/06/02 12:34:05
>>636
OpenLDAPはどうなるんだろうか?
638:名無しさん@お腹いっぱい。
05/06/02 12:45:20
>>636
Netscapeから買ったのだから当たり前と言えば当たり前だが、
Sun Java System Directory Serverとほとんど同じだな。
驚いたのはマニュアル類。これ、Sunからパクッただけじゃないの。
それとも、SunがNetscapeからマニュアルも引き継いだだけなのか。
639:名無しさん@お腹いっぱい。
05/06/03 11:52:45
>>635
Identity Managerの動くSunがあるなら、OpenLDAPはいらない。
LDAPサーバはSolarisに(NIS/NIS+の代わりとして)付いてくるから。
640:名無しさん@お腹いっぱい。
05/06/03 11:53:54
>>638
まあ、forkしたんで、*BSD同士みたいな関係。
641:名無しさん@お腹いっぱい。
05/06/09 10:22:45
NISの代わりにLDAP使いたいんですけど
どこの設定を変えたらいいですか?
NISからの以降ではなくLDAPを単独でインストールして
NISと同じように同じユーザ名、同じパスワードでログインしたいです。
OSはdebianです。
642:名無しさん@お腹いっぱい。
05/06/09 10:27:06
>>641
Red Hat系にしとけば簡単だったのに誰に騙されたのかなぁ
643:名無しさん@お腹いっぱい。
05/06/09 10:36:29
>>641
libpam-ldap
これかな?
644:名無しさん@お腹いっぱい。
05/06/09 11:08:07
>>641
えーと、
・debianでLDAPサーバを立ち上げる
・debianのアカウント情報をLDAPサーバで管理する
の両方って事ですか?
まあ前者のHOWTOはLinux板のdebianスレで聞いて貰うとして、
LDAPサーバに何を選ぶかは過去レスを参考に。
後者は、libnss-ldapとlibpam-ldapをinstallして、/etc/nsswitch.confを編集です。
nssはアカウント情報、pamは認証という分担です。(パケージ名以外Linux共通)
645:名無しさん@お腹いっぱい。
05/06/09 11:23:23
Debian スレで聞いた方がよくね?
646:名無しさん@お腹いっぱい。
05/06/17 18:07:53
ここでもループしてる。。
ldapで環境がDebianだと→Debianに池→Debianでldap→ldapに池
647:名無しさん@お腹いっぱい。
05/06/17 18:27:31
Debian使うのやめればループから脱出出来るよ
648:名無しさん@お腹いっぱい。
05/06/17 18:35:31
それがDebクオリティ
649:名無しさん@お腹いっぱい。
05/06/17 19:41:50
UNIX認証方式いろいろ
スレリンク(unix板)
こちらもどうぞ
650:644
05/06/17 22:33:09
>>646
あっちに答えといたから。
Debianはパッケージ名が独自なのはもちろん/etc/*ldap.confのファイル名も独自だから。
651:名無しさん@お腹いっぱい。
05/06/19 06:41:43
>650さん
641です。ありがとうございます!!
652:名無しさん@お腹いっぱい。
05/07/05 16:16:03
使用しているLDAPサーバはiPlanetで、クライアントは
VS.NETのC#で作成しています。
ちょっと板違いだと思うのですが、
LDAPについてやり取りがあるのをここしか
見つけられなかったので質問させてください。
LDAPの接続でpathだけを指定した場合は成功するのですが、
username/passwordも指定すると、
「要求された認証方法はサーバがサポートしていません」
といわれます。
使用している関数はDirectoryEntry()です。
サーバにSSLを設定していないせいなのかなぁとも
考えたのですが、ここでのやり取りをみていると、
SSLがなくてもLDAPでユーザ認証ができそうに見えます。
SSLがなくてもLDAPでのユーザ認証は出来るものなのでしょうか?
653:名無しさん@お腹いっぱい。
05/07/05 22:24:46
SSL有無(SSLのclient/server認証を含んで)は、
LDAPのオペレーションの可否と完全に直交です。
ところでLDAPの認証というとbindオペレーションであることは理解していますか?
また、bindオペレーションは様々な認証方法をサポートしていることをご存じですか?
このスレは最初から読みましたか?
654:名無しさん@お腹いっぱい。
05/07/06 00:13:39
OpenLDAPでback-sqlにしてると、BD側の定義めんどくさすぎません?
3点セット(posixAccount,shadowAccout,posixGroup)のDBでの設定、どっかに無いですかね?
655:名無しさん@お腹いっぱい。
05/07/06 08:49:36
>>653
ありがとうございます。
SSLがなくてもLDAPでのユーザ認証は出来るということですよね?
> ところでLDAPの認証というとbindオペレーションであることは理解していますか?
このスレを見つけるまでは、
「要求された認証方法はサーバがサポートしていません」
とエラーになるのはSSLのせいかな?と考えていました。
しかし、このスレを最初から読んで【bindオペレーション】がキーで
あるような所までは理解できました。
そこで念のため確認をさせて頂いた次第です。
VS.NETのDirectoryEntryクラスではbindというメソッドは存在せず、
どのように置き換えて考えれば良いのか考えている所です。
SSLは関係が無いということで少しすっきりできました。
ありがとうございます。
656:名無しさん@お腹いっぱい。
05/07/06 09:22:04
>>655
置き換えるちゅーか、中で何をやっているのか理解しないと。
それからドキュメントのコンストラクタの所くらい読んだ方がいいぞ。
URLリンク(msdn.microsoft.com)
URLリンク(msdn.microsoft.com)
URLリンク(msdn.microsoft.com)
後は相手がActive Directoryだと仮定した初期設定になっているのが注意かな。
(schemaやACLが)
AuthenticationTypes Enumerationのそれぞれが、
LDAP上だとどんなオペレーションになっているかはこのスレでいいと思うけど、
APIの使い方はWindows板だな。
657:名無しさん@お腹いっぱい。
05/07/06 09:22:30
ADSIを直接叩くって手もあるけど、LDAPの勉強が必要だなー
658:名無しさん@お腹いっぱい。
05/07/06 10:46:49
>>654
OpenLDAP-POSTGRESQL HOWTOが一番詳しいんじゃないかな。
完全な設定はないけどね。
659:名無しさん@お腹いっぱい。
05/07/06 18:53:03
DirectoryEntry()の使い方について教えてください。
pathだけを指定した場合は成功するのですが、
username/passwordも指定すると、
「要求された認証方法はサーバがサポートしていません」
とエラーになります。
何か解決策はあるのでしょうか?
660:名無しさん@お腹いっぱい。
05/07/06 21:26:11
取り合えずマニュアルを読んで、
AuthenticationTypes Enumeration
を理解しな。ただ使いたいだけならWindows板にでも行って。
661:名無しさん@お腹いっぱい。
05/07/08 11:25:38
ldapsearch(1)、
TLS_CACERTDIR /usr/share/ssl/certs/
を指定するととたんに遅くなるなあ。(たくさんCA certificateを抱えているため)
opensslみたいに/usr/share/ssl/certs/以下にあるhashを使って、
certificateを探すんじゃなくて、全てのファイルを読んでみるようだ…
$(OPENLDAP)/libraries/libldap/tls.cのget_ca_list()で、
SSL_load_client_CA_file()やってるなあ。
662:名無しさん@お腹いっぱい。
05/07/15 20:49:59
OpenLDAP の Backend を Mysql にしたら安定するかな?
速度とかはどうなんでしょうか?
使われている方はいらっしゃいますか?
663:名無しさん@お腹いっぱい。
05/07/28 06:45:29
Cisco Secure ACS と OpenLDAP を組み合わせて使っているかたは
いらっしゃいます?
664:名無しさん@お腹いっぱい。
05/08/09 22:49:21
ActiveDirectoryはLDAPを話せるという認識だったのですが
それは誤りなんでしょうか?
(ADもopenLDAPも外からみたら同じようにできると思ってました。)
わざわざADとLDAPを同期させるためのソフトもありますし。。
665:名無しさん@お腹いっぱい。
05/08/10 02:23:22
そうです。どちらもLDAP v3プロトコルです。
ただし、OSの利用しているLDAP schemaが違うのです。
つまり、各OSのユーザ、グループ、認証エンティティのデータ構造が違うのです。
UNIX群とWindowsが違うのはもちろん、Mac OS Xも違います。
ただし全般的にWindowsに歩み寄りをみせる方向のようです。
666:名無しさん@お腹いっぱい。
05/08/10 03:13:53
>>657
どうもありがとう御座います。
何でこんなことを質問したかと言うと、統合認証基盤としてLDAPサーバの導入を検討してるの
ですが、業者がSunOneDirectoryとADを導入してそれぞれをSUNのソフトで同期させるという
構成を提案してきたからなんです。
ADもLDAPを話せるのであれば、ADだけ導入してSunOneDirectoryは必要ないのではと
思ったのですが、何か事情があるのでしょうか?業者に聞いたところ、ADだけだとうまく外部と
連携ができない場合がある(具体的にはNISの統合だったかな??)と言ってました。
ちょっと疑問を持つような回答だったのでここで質問させて頂きました。
ま、きちんとした提案書はまだなので、それをもらった段階で細かく確認するつもりですが。
667:名無しさん@お腹いっぱい。
05/08/10 08:22:36
>>666
> 何か事情があるのでしょうか?
>>665に書いたでしょ。
> 業者がSunOneDirectoryとADを導入してそれぞれをSUNのソフトで同期させるという
> 構成を提案してきたからなんです。
たぶん技術的にも信頼できる業者だと思います。
その構成以外にソリューションはないはずだし、そもそも運用できるところが少ないから。
668:名無しさん@お腹いっぱい。
05/08/12 02:51:43
>>667
うーん。自分、良くわかってないかも知れません。
スキーマが違くても外からうまく聞けば良いだけかと思ってました。
なのでLDAPプロトコルが話せればADでもなんとかなるのかなぁと。
>UNIX群とWindowsが違うのはもちろん、Mac OS Xも違います。
こうなのであれば、ADとSunOneDirectoryだけでは対応できない
(openLDAP on OSXが必要な)場面もあるのでしょうか?
さらにそれらを同期して・・・。なんか難しいですね。
ADだけでLDAPサーバを賄えない事情があるんですね。もう少し勉強してみます。
669:名無しさん@お腹いっぱい。
05/08/12 10:08:19
はい、かなり知識不足だから、
もっとレイヤーの高いところで、何がやりてくて、何ができるのかということを、
業者の方に教えを乞いながら、詰めていった方がいいと思います。
LDAPプロトコルとかschemaとか、理解してないことをあれこれ云って、
背伸びしてもろくなことはないですよ。
670:名無しさん@お腹いっぱい。
05/08/12 13:55:31
>>669
> LDAPプロトコル
背伸びは(・A・)イクナイ!!
671:668
05/08/12 17:04:19
WEBページを色々みてみました。
URLリンク(www.atmarkit.co.jp)
このページの下の方に
> これらのデメリットにあげたような互換性の問題を解決する決定的な
>策はまだありません。対策としては、LDAPを利用するアプリケーションが
>LDAPを操作する時のオブジェクトクラスの指定や属性の指定を変更で
>きるように実装していくしかないでしょう。
とありますが、現段階では変更できないアプリが結構あるのでしょうか?
>スキーマが違くても外からうまく聞けば良いだけかと思ってました。
前にこう書いた時は、アプリ側で当たり前の様に変更できると思ってました。
アプリ側でサーバのLDAPスキーマに対応している必要があるということであってますか?
だとしたら現在アプリ側が対応しているLDAPスキーマで一番多いものは何なのでしょう?
672:名無しさん@お腹いっぱい。
05/08/12 18:17:58
あなたの場合、統合認証ということなので、
アプリだけの問題じゃなくて、OSの問題も含まれ、
そっちの方が大きいはずです。OSは書き換えられないですよね。
673:名無しさん@お腹いっぱい。
05/08/12 18:52:56
>>670の馬鹿っぷりに泣けた
674:名無しさん@お腹いっぱい。
05/08/16 23:36:04
openldap のサーバに名刺のデータを溜め込んで、マックの「アドレスブック」で
検索して利用している方、おられませんか?
マックの「アドレスブック」で検索をかけると;
Aug 16 23:18:01 gw slapd[23104]: conn=66 op=1 SRCH
attr=givenName sn cn mail telephoneNumber facsimileTelephoneNumber
o title ou buildingName street l st postalCode c jpegPhoto mobile co pager
destinationIndicator labeledURI IMHandle
とサーバのログにでるので、こんだけの種類のアトリビュートを
「アドレスブック」は表示可能なんだとおもうんですが、これらの名刺データを
ldapadd する方法がわかりません。
inetOrgPerson に含まれるアトリビュートを ldapadd することは出来るのですが、
例えば、buildingName を mail と同じ DN にぶっ込む方法がわかりません。。
なんか根本的にわかってないのかとも思ってますが。。。
何かヒントをくださいませんでしょうか。
675:名無しさん@お腹いっぱい。
05/08/17 15:55:33
> 674
RFC1274
676:名無しさん@お腹いっぱい。
05/08/17 19:18:31
>675
ヒントありがとうございます。
がんばってみますw
677:名無しさん@お腹いっぱい。
05/08/18 06:55:15
OpenLDAP2.3 ってどうなんでしょう?
2.2の方が安定しているのでしょうか?
678:名無しさん@お腹いっぱい。
05/08/18 10:14:25
>>674
buildingNameがどのObjectClassの属性か把握しておられるでしょうか?
また当該DNはそのObjectClassのオブジェクトでしょうか?
679:名無しさん@お腹いっぱい。
05/08/18 10:15:20
>>674
それからやってみて失敗したのだろうから、エラーメッセージを書いた方がいいのでは?
> inetOrgPerson に含まれるアトリビュートを ldapadd することは出来るのですが、
> 例えば、buildingName を mail と同じ DN にぶっ込む方法がわかりません。。
680:名無しさん@お腹いっぱい。
05/08/19 08:29:44
Directory Administrator を使ってる人はいますか?
使ってる人がいたら、どうやって設定すればいいか教えて下さい。
まず、ldapsearch -D "cn=Manager,dc=example,dc=com" -H ldaps://ldap.example.com -W では、まったく問題なくアクセスできています。しかし、以下の Profile Settings だと Can't contact LDAP server と言われて何もできません。
Server address: ldap.example.com:636
Security: Enable TLS on this connection をチェック
Search root: dc=example,dc=com
DN/User ID: cn=Manager,dc=example,dc=com
Password: *******
DN には cn=Manager とか Manager も試しましたが同じ結果でした。
サーバ側のログには
slapd[13821]: conn=2544 fd=23 ACCEPT from IP=w.x.y.z:41191 (IP=0.0.0.0:636)
slapd[13821]: conn=2544 fd=23 closed
とあって、アクセス自体はしているようですが、それ以上のことはしてないようです。
681:名無しさん@お腹いっぱい。
05/08/19 08:55:43
>>680
> Can't contact LDAP server
だと、TCPレベル、TLSレベルでの問題ですから、
> DN には cn=Manager とか Manager も試しましたが同じ結果でした。
は関係ないです。(ここが問題なら別のエラーになる)
etherealで調べてみては? etherealならある程度TLSも追えますから。
682:674
05/08/27 04:25:34
ちょっと前に質問させていただいてからじたばたしていたのですが、
openldapのschema ディレクトリに勝手なファイルを置いたり、
そいつをslapd.confでincludeしてやったりすると、「問われているものへの答え」
が用意できるポイ感じを何となく把握しつつあります。
thunderbirdのアドレス帳(LDAPサーバが参照できます)で全部の欄に返事を
返せるように細工しようとしているんですが、
Aug 27 04:07:45 gw slapd[7326]: conn=1 op=1 SRCH attr=modifytimestamp
xmozillausehtmlmail description notes custom4 custom3 custom2 custom1
birthyear homeurl workurl nscpaimscreenname countryname company o
departmentnumber department orgunit ou title countryname zip postalcode
region st locality l streetaddress postofficebox carphone cellphone mobile
pagerphone pager facsimiletelephonenumber fax homephone
telephonenumber xmozillasecondemail mail xmozillanickname displayname
commonname cn surname sn givenname
てのをよく見ていただくと、countrynameてのが2つあります。
アドレス帳での項目としては、勤務先住所としての国名と自宅の国名と2つ
あるにはあるんですが、同じ属性名で問いかけるというのはやっぱこれは
thunderbird の不具合ですか?
それとも「順番」って概念があるのかな?
683:名無しさん@お腹いっぱい。
05/08/27 07:16:43
LDAPのobjectの属性空間はフラットです。
ちなみにthunderbirdのアドレス帳には、
勤務先/自宅のスイッチがありませんか? (つまり排他的)
684:674
05/08/27 23:39:12
ちなみに、thunderbirdのアドレス帳には、
勤務先/自宅のスイッチはありません。
只で手に入るので、よければご自分でご確認くださいw
685:名無しさん@お腹いっぱい。
05/08/28 05:28:00
お前もソースくらい読め。
nsAbLDAPProperties.cppでcountrynameが二回出ているからだろ?
bStoreLocAsHomeは未だ実装途中らしいし、
そもそもHome関係は今だPropertyすら定義されてないな。
homeurl, homephoneなどを除いて。
686:674
05/08/31 00:19:45
>>685
ほー そうでござったかw
ありがトン
687:名無しさん@お腹いっぱい。
05/09/13 00:36:52
スレ違いだったらご容赦ください。
(PHP4でLDAPで情報を取ってくるプログラムなのですが)
階層は、
DC--root
|--CN=Admin
|--OU=Fruits
|----+-CN=orange
|----+-CN=apple
|----+-CN=banana
|--OU=Animal
|----+-CN=cat
|----+-CN=dog
|----+-CN=bird
このようになっています。
まず、LDAP接続は一応うまくいっています。($dsはコネクトID)
ldap_bind($ds, "CN=Admin,DC=root,DC=local", $password)
次に検索です。
$dn = "OU=Fruits,DC=root,DC=local";
$filter = "(CN=*)";
$sr=ldap_search($ds, $dn, $filter);
これだと、リストで「orange,apple,banana」が取れます。問題ありません。
しかし、
$dn = "DC=root,DC=local";
$filter = "(OU=*)";
$sr=ldap_search($ds, $dn, $filter);
これだと「 Can't contact LDAP server」というようなエラーになってしまいます。
期待するリストは「Fruits,Animal」です。
何が原因かわかりません。DC直下は検索できないのでしょうか?ユーザの権限のせいでしょうか?
長くなってしまい恐縮ですがアドバイス頂けたら幸いです。
688:名無しさん@お腹いっぱい。
05/09/13 01:17:17
>>687
> これだと「 Can't contact LDAP server」というようなエラーになってしまいます。
「というような」じゃなくて、ldap_error()の返す文字列を正確に。
689:名無しさん@お腹いっぱい。
05/09/13 01:36:04
202.184.38.107
690:687
05/09/13 18:02:01
LDAP-Errno: 81
LDAP-Error: Can't contact LDAP server
こんな感じです。
691:名無しさん@お腹いっぱい。
05/09/13 18:47:59
LDAPサーバ側のログは見た?
できればログレベルを上げて
692:名無しさん@お腹いっぱい。
05/09/13 21:20:57
そんなのあるんですか。知りませんでした。
Windows Server2003です。
確かにあってもおかしくないですね。調べてみます。
693:名無しさん@お腹いっぱい。
05/09/14 00:51:35
>>690
「というような」じゃなくて、そのままだったわけか。
このエラーが出る時は、bindまでいっていません。
SSL handshakeも含めた接続の失敗。
もちろんまだ検索もしてないので、
> DC直下は検索できないのでしょうか?ユーザの権限のせいでしょうか?
ではありません。
サーバのログ観ても分からなければ、etherealでpacket captureすることをお勧めします。
694:名無しさん@お腹いっぱい。
05/09/14 00:56:18
そういやPHP4動いているマシンでldapsearchで試してみなよ。
695:名無しさん@お腹いっぱい。
05/09/14 00:57:23
Windowsなら板違いじゃね?
696:名無しさん@お腹いっぱい。
05/09/14 01:26:05
キニシナイ(AA略
697:名無しさん@お腹いっぱい。
05/09/16 08:09:44
PHPのLDAP関数では、Windows認証ってできますか?
DNを指定するのではなく…。
698:名無しさん@お腹いっぱい。
05/09/16 09:50:26
Windows認証って何やねん! (w
699:名無しさん@お腹いっぱい。
05/09/16 10:17:35
URLリンク(www.atmarkit.co.jp)
700:名無しさん@お腹いっぱい。
05/09/16 10:57:19
LDAP って「えるだっぷ」ってよむ?「えるでぃーえーぴぃ」?
701:名無しさん@お腹いっぱい。
05/09/16 14:29:48
えるだっぷでDNをしていしないってなんだよ
すれちがいいたちがいだろ
702:名無しさん@お腹いっぱい。
05/09/16 23:14:32
レベルの低い人は来ないでください
703:名無しさん@お腹いっぱい。
05/09/16 23:19:55
>>699
このスレで>>698の反応は正しい。
LDAP、左端の | にすら引っかからん。
URLリンク(www.microsoft.com)
704:名無しさん@お腹いっぱい。
05/09/17 02:52:15
>>702
ここはゆにっくす板のえるだっぷスレ(w
705:名無しさん@お腹いっぱい。
05/09/22 20:04:15
Openldapで相互証明証明書使って暗号通信する
サンプルサイトとかないのかな
706:名無しさん@お腹いっぱい。
05/09/23 09:11:34
URLリンク(www.openldap.org)
707:名無しさん@お腹いっぱい。
05/09/24 21:01:57
すみません。
master :
replogfile /usr/local/openldap/var/slapd.replog
replica host=rep.test.net:389
binddn="cn=Replicator, ou=People, dc=somedomain, dc=net"
bindmethod=simple credentials=xxxxxx
slave :
updatedn "cn=Replicator, ou=People, dc=somedomain, dc=net"
updateref ldap://master.test.net
と設定して、
slurpd -f slapd.conf -d -1
として、起動したところ、うまくいきません。
Replica rep.test.net:389, skip repl record for xxxxxx (not mine)
原因は、slapd.replog にreplica:行が書き込まれていないことがわかりました。
replica:行を手で書いて、slurpdを起動するとうまくいきました。
どうすればreplica:行が書き込まれるのかお分かりの方お教え願います。
openldap-2.0.25です。
708:名無しさん@お腹いっぱい。
05/09/30 07:02:26
sambaのパスワードとsshログイン用のパスワードを
同じものを使うにはsmbldap-passwdを使うと思うのですが
Windowsクライアントから簡単にできる方法はありますか?
709:名無しさん@お腹いっぱい。
05/09/30 13:07:31
> Windowsクライアントから
PuttyやTeraTermでsshログインしてsmb.confとOpenLDAPの設定をする。
710:名無しさん@お腹いっぱい。
05/10/12 01:51:37
openldap で、コーユーことが出来るんじゃないかと思うんですが、
アホな上に知らんことが多すぎて苦戦中です。
「それ無理」か「ちゃんとやれば出来る」か、どっちか知ってる人
教えてくだされ。
【基本】
メールクライアントで使うアドレス帳サーバを作る。
但し、アドレス帳サーバを利用可能なパスワード(とID)ってものがある。
アドレス帳サーバの利用者は自分のパスワードをバラしたら殺されるという
ルールがあってこのルールは成立していると見なしてよい。
【だいたいの感じ】
LDAP参照できる大概のメールクライアントは、LDAPサーバの指定を
する欄に「バインド識別名」とかいうのがあるんで、こいつがIDに相当
すると思われる。
手元のサンダーバードで試した限りだと、バインド識別名を指定しておくと
確かにパスワードを聞いてくる。
【ここら辺が具合悪い】
アドレスサーバが提供するデータ(メルアドとか)は、
ou=data,dc=hoge みたいなところに格納して、
アドレスサーバが利用可能なユーザのマスタは
ou=user,dc=hoge みたいなところに格納して、
検索ベースは ou=data,dc=hoge
バインド識別子は cn=user01,ou=user,dc=hoge
とかにすりゃあええんじゃと思うんですが、、、
正解でしょうか?
そもそも無理な話なんだったら早々にあきらめたいとおもって。。。
711:名無しさん@お腹いっぱい。
05/10/13 14:50:07
inetOrgPerson、posixAccount オブジェクトクラスを使って
cn=user01,ou=user,dc=hoge
にメルアドとパスワードを持たせる。
で、どうよ?
712:名無しさん@お腹いっぱい。
05/10/13 23:56:38
いや、そういう話ではなくて、
「電話帳に載ってる人の集合」 と 「電話帳をみる権利のある人の集合」
を別々にしたいんです。
電話帳に載ってるけど自分では電話帳見れない人 とか
電話帳に載ってて、自分もその電話帳見れる人 とか
電話帳に自分は載ってないけど、電話帳みることは出来る人 とか。。。
713:名無しさん@お腹いっぱい。
05/10/14 00:00:57
普通に出来るが、早々と諦めてはどうか?
714:名無しさん@お腹いっぱい。
05/10/14 01:29:23
>712
おたく、コーユー仕事に向いてないと思うよ。
早々にあきらめたほがいいと思うよ。
715:名無しさん@お腹いっぱい。
05/10/14 01:56:39
別にお金貰ってやってる訳じゃないんですがw
色々やってみて、
ou=data,dc=hoge,dc=hoge
の下に cn=yamada とか cn=tanaka
とか作って、こいつらにはパスワードを持たせないで、
ou=user,dc=hoge,dc=hoge
の下に cn=taro とか cn=jiro
とか作って、こいつらにパスワード持たせると、
思ったよーになるんだけど、
やっぱ本当は slapd.conf に access <what> by <who> <access> を
さくっと定義したいんだけど。。。どーやってもうまく行かん。
かね貰ってやってる奴、50万やるからここに答え書いてみろw
716:名無しさん@お腹いっぱい。
05/10/14 02:23:33
>715
君ならやれるよ。
ガンバ!
717:名無しさん@お腹いっぱい。
05/10/14 02:24:16
/etc/shadow に書いてあるような
$1$foo$bar
ってのを
{MD5}hogehoge
に変換する方法はありますか?
718:名無しさん@お腹いっぱい。
05/10/14 10:03:27
{MD5}foobarで終了なんじゃないの?
719:715
05/10/17 12:10:53
.∧、スチャ ∧_∧ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
/⌒ヽ\ ( ゚,_ゝ゚) < お前はもう用なしだ
|( ● )| i\/ \\__________
\_ノ ^i | ./\ / ̄\
|_|,-''iつl ̄ ̄\ / ヽ \_
∧_∧ [__|_|/〉 ̄ ̄ ̄ ̄ ̄ ̄ \__)、
/(´Д` )ヽ → [ニニ〉 \ \
mn´(_(_nm └―i'|\|| ̄ ̄ ̄ ̄ ̄ ̄ ̄|| ̄
 ̄ ̄ ̄ /\  ̄ ̄ || || ̄ ̄ ̄ ̄ ̄ ̄ ̄||
/ ̄ ̄ ̄  ̄ ̄ ̄ ̄ ̄ ̄\ .|| .||
| ○○お願いします | ××後
Before After
720:715(ほんもの)
05/10/17 19:56:09
URLリンク(sapiens.wustl.edu)
読んだらわかった。さくっとできたYO!
これで50万は高いなw 500円くらいか?
721:名無しさん@お腹いっぱい。
05/10/17 19:59:47
715は sapiens.wustl.edu/~sysmain に50万支払うように。
722:名無しさん@お腹いっぱい。
05/10/17 23:29:53
>715
LDAPスキルあげる前に、ヒューマンスキルあげるのが先のようだなw
いや、マジで
723:名無しさん@お腹いっぱい。
05/10/18 01:20:50
とりあえず、
$ id test
uid=18000(test) gid=18000(test) groups=18000(test)
まで、できた、眠い、寝る
724:名無しさん@お腹いっぱい。
05/11/10 00:48:25
どうもです。
openldapやredhat directory serverには、active directoryの「権限委譲」みたいな機能ってあるのでしょうか?
たとえばある特定のouはそのouに所属するユーザーアカウントで追加も削除もできるとか、
そういう意味での「管理負荷の分散」が可能でしょうか?
725:名無しさん@お腹いっぱい。
05/11/10 01:17:51
>>724
どのDNによるアクセスにも、(つまりどのDNでbindしていても)
他の全てのDNに対する権限を設定できます。
非常に自由度が高いです。
URLリンク(www.redhat.com)
> ある特定のouは、
というのは以下の意味でしょうか?
uid=*,ou=People,dc=sub,dc=sample,dc=com という形でのワイルドカード指定が可能です。
主体の方(userdn=)も客体の方(target=)もです。
ちなみにOpenLDAPより、iPlanet起源のRed Hat~がお勧めです。
Fedora~ってのは無保証版なんでしょうかね?
URLリンク(directory.fedora.redhat.com)
726:名無しさん@お腹いっぱい。
05/11/10 01:20:19
>>725
> 非常に自由度が高いです。
ただアクセスコントロールモデルなので、
one-time rightのようなタイプの委譲は出来ませんが。
(Machのportにあるような)
727:名無しさん@お腹いっぱい。
05/11/10 23:58:33
ありがとうございます。
>>725
> > ある特定のouは、
>
> というのは以下の意味でしょうか?
> uid=*,ou=People,dc=sub,dc=sample,dc=com という形でのワイルドカード指定が可能です。
> 主体の方(userdn=)も客体の方(target=)もです。
とすると、そのouの「管理者」なるものを任命して、
そのouに関する管理は押し付けることもできてしまいます?
そうすると上級の管理者にとって負担が減るので、とても助かるんです。
> ちなみにOpenLDAPより、iPlanet起源のRed Hat~がお勧めです。
> Fedora~ってのは無保証版なんでしょうかね?
> URLリンク(directory.fedora.redhat.com)
これは実績あるのでしょうか?
ま、iPlanetという出自がすでに実績なのかもしれませんが、
SunJavaとはどういう関係なんでしょうね...
728:名無しさん@お腹いっぱい。
05/11/11 07:03:36
>>727
そのための階層構造、アクセスコントロールです。> 分散管理
Sun Javaは、iPlanet Directory Server→Sun ~→Sun Java ~という名前の変遷です。
iPlanetのLDAPサーバの分岐の一つです。Java ~のLinux版もあります。
URLリンク(www.sun.com)
それぞれのドキュメントを眺めて貰うと分かりますが、iPlanet系は殆んど同じです。
Red HatのはNetscape Dir~として実績のあるものです。