05/01/14 10:17:53
>>516
調べてみました。
ありがとうございました。
>>518
やっぱり、プロトコルやスキーマが標準化されている事って
かなり大きいんですね。
Kerberosですか。新たなメリットです!
調べてみます。
ありがとうございました。
>>519
RDBをバックエンドに使えるはずなのに、
検索に特化されているとかトランザクション機能が無いとか
書いてあるので、なんか仕掛けがあるのかと思ってました。
そもそもトランザクション機能がよくわかってないんですけど。。
>>520
とりあえず、これです。
URLリンク(www.atmarkit.co.jp)
URLリンク(japan.cnet.com)
522:名無しさん@お腹いっぱい。
05/01/14 15:29:18
>>518
schemaのtypo.した。
523:名無しさん@お腹いっぱい。
05/01/14 15:41:48
>>521
トランザクション機能は全くないわけではありません。それに、
>>509
> ユーザ認証システム
として考えた場合は十分です。
ユーザ認証レポジトリとして考えてみると、
例えばdigital IDの生成の時には、若干トランザクション処理をする必要がありますが、
LDAPプロトコルとしてサポートしないだけで、
LDAPサーバを用いたユーザ認証レポジトリシステム、
しかもRDBと比較する程度の規模のもので、(iPlanet, Active Directory)
ちゃんとやってないもの方が少ないです。
そもそも(RDBでなく)RDBMSという「システム」と比べるべきなのは、
(RDBMSには認証機構やODBCなども入っていますから)
Sun Java System Directory Serverのような、
Directoryシステムであって、LDAPプロトコルでも、
>>509
> ディレクトリサービス
でもないですよね。RDBMSだってRDB部分だけ見ればほとんど何もないです。
524:名無しさん@お腹いっぱい。
05/01/14 15:43:58
>>521
> とりあえず、これです。
読む記事が短かすぎます。
この記事を見るだけで出来ることは、この記事をまとめることくらいです。
それだってきっと見当違いになるでしょう。表面をなぞったものを読んだだけなので。
525:509
05/01/14 17:53:53
>>523,524
レスありがとうございます。
知識がうすっぺらなんで、勘違いや混乱を起こしてしまうんですよね。
ディレクトリサービスとディレクトリシステム、
RDBとRDBMSをごっちゃにして考えてました。
最初の発言の『ユーザ認証システム』って言葉もユーザを認証する仕組み程度に
何気なく使っていました。
ので、『ユーザ認証レポジトリシステム』との区別がついておりません。。
『ユーザ認証レポジトリシステム』調べてきます。
526:名無しさん@お腹いっぱい。
05/01/14 18:03:01
SunOne Directory ServerってもともとはNetscape Directory Serverだよね?
RedHatがNetscape Directory Serverをフリーにするってことは、昔の
SunOne Directory Serverと似たようなものが出てくるのかな? もっとも、
NetscapeはCommunicatorのソースがあの調子でMozillaでは結局一から作りなおす
ハメになったわけで、出てくるソースについてあんまり期待しちゃいけないのかも
しれないけど。とはいえ、さすがにOpenLDAPよりは奇麗だと期待したい。
527:名無しさん@お腹いっぱい。
05/01/19 19:43:46
phpでLDAPにエントリを追加したいけど全然できません。
コマンドラインでは入るし、
ldap_add()に渡すデータ配列が間違っているだけのようなんだけど・・・。
Warning: ldap_add(): Unknown attribute in the data
と
Warning: ldap_add(): Add: Undefined attribute type
どっちが正解に近いエラーですか・・・。on_
528:名無しさん@お腹いっぱい。
05/01/19 23:42:31
>>527
PHPはよく知らないので、外しているかも知れないけど、
> Warning: ldap_add(): Unknown attribute in the data
データに不明な属性が含まれています。
例えば, posixAccountオブジェクトクラスのオブジェクトに、
jpegPhoto属性が含めてしまっているような場合。
下に比べると、属性としては正しいものなんでしょう。
> Warning: ldap_add(): Add: Undefined attribute type
定義されてない属性がある。
例えば、gifPhoto属性なんてどこにもないよー、など。
LDAPのerror codeそのまんまの解釈をしてみました。
529:528
05/01/20 00:15:08
> 528
ありがとうございます。
そう言われて、今ちょっと間違っていそうなところに気が付きました。
明日やって見ます。
530:527
05/01/20 10:14:27
やっぱり出来なかった。
Warning: ldap_add(): Add: Object class violation
これはもっと正解に近い?
オブジェクトクラス違反
近そうとは思うけど、どうしたら・・・。
531:名無しさん@お腹いっぱい。
05/01/21 00:25:37
>>530
> Warning: ldap_add(): Add: Object class violation
オブジェクトクラスそのものに関するエラーが起きたんだよ。
>>528の前者はオブジェクトクラスにはない属性を指定した場合。
こっちは、
・オブジェクトクラスの指定が全くない。
・存在しないオブジェクトクラスを指定した。
・複数のstructualオブジェクトクラスに属している。
などです。
532:名無しさん@お腹いっぱい。
05/01/25 11:19:29
URLリンク(incubator.apache.org)
これは期待していいのか?
533:名無しさん@お腹いっぱい。
05/01/30 13:29:14
OpenLDAPって数千件ほどのデータ更新をしようとすると10分くらいかかるんですが
こんなもんなんですか?
マシンは
Dell Power Edge 750
RHEL3 (smp)
P4 2.8Ghz (HT)
DDR 512MB
SATA 80GB * 2 RAID1
です。
534:名無しさん@お腹いっぱい。
05/01/30 20:21:30
OpenLDAP2 ってバグだらけだよな
オープンソースがうまくいかなかったときの悲惨さを見た
535:名無しさん@お腹いっぱい。
05/01/30 23:10:44
emacsでdviファイルをtexファイルに変換できるのでしょうか?できるのなら方法を教えて下さい。texファイルを消してしまいました!助けて下さい。。。お願いします。
536:名無しさん@お腹いっぱい。
05/01/31 10:46:59
>>533
本当に更新に時間かかっているの?
更新ごとにやるindexのないattributeでの検索に時間かかっているって事はない?
537:名無しさん@お腹いっぱい。
05/02/01 22:50:21
>>534
OpenLDAPの採用を検討しているので気になりました。
バグで苦労した点を教えてくれないでしょうか。
538:名無しさん@お腹いっぱい。
05/02/02 00:16:16
>>534 の脳がバグってるんだろ
539:名無しさん@お腹いっぱい。
05/02/02 04:47:49
>>533
もし berkeley db を使ってるなら ldbm を試してみた方がいい。
並列に高い負荷がかかると、berkeley db と OpenLDAP の組み合わせ
はメチャメチャ遅くなることがある。
逆に負荷が軽ければ berkeley db を選んだ方がずっと速いことも
ある。あと、パラメータのチューニングでかなり性能は変わる。
ちなみに berkeley db と、とあるバージョンの OpenLDAP の
組み合わせで大量の更新を行なうと、データベースが壊れて
ldapsearch もできなくなったことがあった。(再現性あり)
ldbm にして回避したが。
上記の事情は、OpenLDAP のバージョンによってもコロコロ変わる。
更新が少なくて参照ばかりなら、そんなに問題はでないと思うけど、
大量の更新を行なう用途に OpenLDAP を使うのはやめた方が安全。
苦労すればなんとか解決はできるが。
540:名無しさん@お腹いっぱい。
05/02/03 00:48:24
>>539
データ更新が頻発するシステムでOpenLDAPを置き換えるならどういう
選択肢があるんだろう。
541:名無しさん@お腹いっぱい。
05/02/03 02:27:12
素直にRDB使うとか?
542:名無しさん@お腹いっぱい。
05/02/04 08:02:02
backendにRDBMS使うとか
543:名無しさん@お腹いっぱい。
05/02/10 13:03:25
ldapのBDCへの複製をしたいと思ってるのですがうまくBDCへ伝播されません。。お知恵をお貸しくださいm(_ _)m
gentooをホストにPDCを構成し、認証にldap(2.1.30-r2)を使っています。BDC(debian slapd2.1.30-3)への複製を行いたいと思っています。
URLリンク(tsuttayo.sytes.net) URLリンク(tsuttayo.sytes.net)
上記2ページを参考に設定を行い、BDC側にはreplicaのbinddnでldapbrowserを使って接続し、値の書き換えなどができることを確認。
PDC側は、/var/lib/openldap-slurp/replica/slurpd.replogにmodifyのログが生成されているようでしたが、BDC側に変更が伝播していないようです。
ちなみにデバッグ(slurpd slapd.conf -d 255)で実行したログの後半(ここで停止。killしてもslurpdをとめられない…)最後にlocalhostに行ってるのが怪しいですがどうしていいものか…
Config: ** successfully added replica "hoge.localdomain:389"
Config: ** configuration file successfully read and parsed
begin replication thread for hoge.localdomain:389
Initializing session to ldap://hoge.localdomain
ldap_create
ldap_url_parse_ext(ldap://hoge.localdomain)
bind to hoge.localdomain:389 as uid=replica,ou=Users,dc=localdomain (simple)
ldap_simple_bind_s
ldap_sasl_bind_s
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection
ldap_int_open_connection
ldap_connect_to_host: TCP hoge.localdomain:389
ldap_create
ldap_simple_bind
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection
ldap_int_open_connection
ldap_connect_to_host: TCP 127.0.0.1:389
544:名無しさん@お腹いっぱい。
05/02/10 17:55:07
localにslapdは立ち上がっているのか?
545:543
05/02/10 18:45:07
>>544さん
PDC, BDCの両方で立ち上がってます。ldapsearch -x -h ホスト名 するとお互いにやってもずらーっと出るので大丈夫と思います。
>>543のログはPDCでのもので、hoge.localdomainがBDC側にあたります。
546:名無しさん@お腹いっぱい。
05/02/24 11:24:46
>>539
うちでもBarkeleyDBよくぶっ壊れると思ってたんだけど、やっぱりか・・・
BackendにRDB使えるって聞くけど、あまり導入したという資料見ないし、
実績がどの程度とか、そのへんで二の足踏んでる。
547:名無しさん@お腹いっぱい。
05/02/27 15:34:10
OpenLDAP以外にフリー&商用可のLDAPサーバって何があるの?
548:名無しさん@お腹いっぱい。
05/02/27 16:21:23
>>505
549:名無しさん@お腹いっぱい。
05/03/17 14:26:09
下記のようにpam_ldap を makeすると、エラーになりますが、 make install していいものでしょうか?
pam_ldap.c:3320: warning: dereferencing type-punned pointer will break strict-aliasing rules
pam_ldap.c:3357: warning: dereferencing type-punned pointer will break strict-aliasing rules
pam_ldap.c:3462: warning: dereferencing type-punned pointer will break strict-aliasing rules
pam_ldap.c:3477: warning: dereferencing type-punned pointer will break strict-aliasing rules
pam_ldap.c: In function `pam_sm_acct_mgmt':
pam_ldap.c:3694: warning: dereferencing type-punned pointer will break strict-aliasing rules
pam_ldap.c:3703: warning: dereferencing type-punned pointer will break strict-aliasing rules
gcc -DHAVE_CONFIG_H -DLDAP_REFERRALS -DLDAP_DEPRECATED -D_REENTRANT -g -O2 -Wall -fPIC -c md5.c
/usr/ccs/bin/ld -o pam_ldap.so -B dynamic -M ./exports.solaris -G -B group -lc pam_ldap.o md5.o -lldap -llber -lnsl -lcrypt -lresolv -lpam -ldl
ld: 重大なエラー: ライブラリ -llber: 見つかりません。
ld: 重大なエラー: ファイル処理エラー。pam_ldap.so へ書き込まれる出力がありません。
make: *** [pam_ldap.so] Error 1
550:名無しさん@お腹いっぱい。
05/03/17 23:24:20
>>549
make install以前にリンク失敗してるじゃない
551:名無しさん@お腹いっぱい。
05/03/18 13:21:47
FC3 で slapd をデバックモードで起動すると、
2.5.13.1 (distinguishedNameMatch): matchingRu
leUse: ( 2.5.13.1 NAME 'distinguishedNameMatch' AP
PLIES ( dITRedirect $ associatedName $ secretary $
documentAuthor $ manager $ seeAlso $ roleOccupant
$ owner $ member $ distinguishedName $ aliasedObj
ectName $ namingContexts $ subschemaSubentry $ mod
ifiersName $ creatorsName ) )
2.5.13.0 (objectIdentifierMatch): matchingRul
eUse: ( 2.5.13.0 NAME 'objectIdentifierMatch' APPL
IES ( supportedApplicationContext $ supportedFeatu
res $ supportedExtension $ supportedControl ) )
slapd startup: initiated.
bdb_db_open: dbenv_open(/var/lib/ldap)
bdb(dc=my-domain,dc=com): Program version 4.2 doe
sn't match environment version
bdb_db_open: dbenv_open failed: Invalid argument
(22)
backend_startup: bi_db_open(0) failed! (22)
slapd shutdown: initiated
====> bdb_cache_release_all
slapd shutdown: freeing system resources.
bdb(dc=my-domain,dc=com): txn_checkpoint interfac
e requires an environment configured for the trans
action subsystem
bdb_db_destroy: txn_checkpoint failed: Invalid ar
gument (22)
slapd stopped.
connections_destroy: nothing to destroy.
とエラーになります原因教えて下さい
552:名無しさん@お腹いっぱい。
05/03/18 13:28:25
デバッグモードでなければ動くの?
553:名無しさん@お腹いっぱい。
05/03/18 13:49:27
>>551
database fileが壊れてます。
554:名無しさん@お腹いっぱい。
05/03/18 14:00:02
>>553
Thanks
database fileを直して正常に動作させるにはどうすればいいでしょうか?
555:名無しさん@お腹いっぱい。
05/03/18 14:23:15
壊れたdatabase fileは破棄してください。
556:名無しさん@お腹いっぱい。
05/03/18 14:26:27
それから>>539。
557:名無しさん@お腹いっぱい。
05/03/18 15:02:01
>>556
lapd startup: initiated.
slapd starting
Thanks
558:名無しさん@お腹いっぱい。
05/03/18 17:00:35
Solaris版のOpenLDAPは、
openldap/migration/migrate_common.ph
のような、マイグレートする、パールスクリプトがありません。
どこかで手に入りますか?
559:名無しさん@お腹いっぱい。
05/03/18 20:09:17
>>558
Solarisでは、iPlanet使えよ。
560:名無しさん@お腹いっぱい。
05/03/18 20:10:27
で、登録はldapaddent(1M)な。
561:名無しさん@お腹いっぱい。
05/03/18 22:37:11
iPlanetって有料でしょ?
562:名無しさん@お腹いっぱい。
05/03/18 23:29:26
Solaris 9から付属です。
563:名無しさん@お腹いっぱい。
05/03/26 01:26:47
>>559
iplanet は資料が少ないよ。
それにPAMに関しても非常に少ない。
どうしていますか?
564:名無しさん@お腹いっぱい。
05/03/30 21:09:00
マニュアルを読む。キホソ
565:名無しさん@お腹いっぱい。
05/03/30 23:10:19
>>563
英語駄目な人?
ドキュメント凄く多いと思うんだけど。
PAMは何が知りたいの?
このスレでもずいぶんと書いているけども。
566:名無しさん@お腹いっぱい。
UNIX時間(+0900)35年,2005/04/02(土) 20:30:30
OpenLDAPダメポ,こんなにDB(ldbm)破損が発生するとは思いもしなかった・・・
壊れないバージョンってありますか(現在2.0.22)
567:名無しさん@お腹いっぱい。
UNIX時間(+0900)35年,2005/04/03(日) 01:40:03
ldbmってOpenLDAP自前のdbm libraryだよね。
2.0.Xって古すぎ。正直その頃のldbmってタコ。2.1.Xも駄目。
stableが2.2.24なんだから、もっと新しいの使ってよ。
URLリンク(www.openldap.org)
568:566
UNIX時間(+0900)35年,2005/04/03(日) 04:09:02
バックエンドはbdbで安定してますかね>>551辺り見ると不安
Debian3.0はnscdもslapdも腐ってる参りましたわ・・・
stableを手ビルドして様子みます
569:名無しさん@お腹いっぱい。
UNIX時間(+0900)35年,2005/04/03(日) 05:07:18
URLリンク(packages.debian.org)
>>567で言ったのは、「古い」ldbmは糞、ということ。
Berkley DBは、色々イヤらしいので勧めません。
Debianなら各バージョン揃っていると思いますが。
570:566
UNIX時間(+0900)35年,2005/04/03(日) 06:02:05
なるほど最近のldbmはマシになってると言うことですか
現状woodyからunstableに上げることは厳しいので
packportせざるをえないのです・・・
1年近く運用し本格的に負荷がかかってこの有様
早く見極めるべきでしたね
571:名無しさん@お腹いっぱい。
UNIX時間(+0900)35年,2005/04/03(日) 13:15:14
Debianなんか選んだのがそもそもの間違い
572:名無しさん@お腹いっぱい。
05/04/04 17:43:09
Red Hatはdirectory server(旧netscape)をまだ公開せんのかな?
573:名無しさん@お腹いっぱい。
05/04/04 22:56:42
LDAPサーバに対してID・パスワードでの認証をVBで作ろうとしてます。
しかしuserPasswordが取得できないように設定してあります。
認証を実現するにはどのような方法がありますか??
574:名無しさん@お腹いっぱい。
05/04/04 23:57:09
bindオペレーション
>>573
> userPasswordが取得
邪道
575:名無しさん@お腹いっぱい。
05/04/05 03:27:29
こんな人間が認証系作るってあぶねーなー
576:名無しさん@お腹いっぱい。
05/04/07 11:01:49
devfsとかprocfsとかみたいにldapfsがあればいいのに。
577:名無しさん@お腹いっぱい。
05/04/08 00:58:54
>>573
LDAPのBIND時に簡易認証しろよタコ
578:名無しさん@お腹いっぱい。
05/04/08 23:17:10
本人がいないタイミングでそんなレスしても、
読んでるひとの気分を害するだけ。
574以上の情報があるわけでもなし。
579:名無しさん@お腹いっぱい。
05/04/15 22:45:44
>>577
釣られてんじゃねーよアホ
580:名無しさん@お腹いっぱい。
05/04/16 07:35:33
ldapって通信に暗号使うの?なりすまし対策は?
581:名無しさん@お腹いっぱい。
05/04/16 08:54:56
LDAPS
582:名無しさん@お腹いっぱい。
05/04/17 17:57:43
ldapsじゃなければユーザーやパスワードやじゃじゃ漏れってこと?
583:名無しさん@お腹いっぱい。
05/04/17 20:48:53
そうじゃじゃ
584:名無しさん@お腹いっぱい。
05/04/17 20:50:37
STARTTLS!
585:名無しさん@お腹いっぱい。
05/04/18 01:05:54
>>582
うーん、LDAPに閉じた話で言えばそういうことになるけど…
使っているスイッチにもよるよね。
スイッチでも間にタッピングされると覗かれるけど、
うちはポートのリンクアップ/ダウンで管理者にメール来るから…
まあ使っているのはldapsなんですけど…
586:名無しさん@お腹いっぱい。
05/04/18 21:16:51
ログインの認証とかldapのサーチとか
当たり前のようにsslなしだった
もうダメポ
587:名無しさん@お腹いっぱい。
05/04/18 21:42:28
用途に即してれば、SSLなしでもOKだとおもうけど。
588:名無しさん@お腹減った。
05/04/18 23:09:15
ねえねえ、LDAP認証にSASLってあんまり使われてないの?
589:名無しさん@お腹いっぱい。
05/04/19 00:52:37
パスワード認証じゃなくて、
1. Kerberosとか公開鍵で認証して、
2. その権限でディレクトリのACLを働かせたい、
そういう時以外、SASLって特別いいことないし。
simple bind認証で十分でしょう。
逆に、2なしでKerberos認証したければ、単にKerberos使えばいい。
590:名無しさん@お腹いっぱい。
05/04/19 09:48:30
NISスレがないのにLDAPスレがある不思議
591:名無しさん@お腹減った。
05/04/19 10:26:11
いやいや、SSLなしじゃ、パスワードが…とかいうから、
SASL で DIGEST-MD5 とかでやらないの?って話なの。
592:名無しさん@お腹いっぱい。
05/04/19 23:58:16
SSLで十分。
593:名無しさん@お腹減った。
05/04/20 00:54:31
SSLって証明書とかどうしてんの?
594:名無しさん@お腹いっぱい。
05/04/20 01:01:08
SSLのスレで聞け。
595:名無しさん@お腹いっぱい。
05/04/20 03:14:55
オレオレ証明書
596:名無しさん@お腹いっぱい。
05/04/20 07:14:45
openssl req -new -x509 -keyout server.crt -out server.crt
597:名無しさん@お腹いっぱい。
05/04/21 06:21:29
openssl req -new -batch -x509 -rand /var/log/maillog:/var/log/httpd/access.log -nodes -newkey rsa:8192 -sha1 -days 365 -text -keyout server.crt -out server.crt -subj /C=JP/ST=ECHIGO/O=CHIRIMEN\ DON\'YA
598:名無しさん@お腹減った。
05/04/21 13:03:01
はいはい、クライアントからサーバまでの経路の暗号化がされてれば、十分ってことね。
SSLじゃなくても、ssh で port forwarding とか IPSecとかのVPNでもいい、と。
599:名無しさん@お腹いっぱい。
05/04/22 00:59:13
スレ違いなんで、それ以上突っ込んだ話をして欲しければ、SSL/TLSスレで。
600:名無しさん@お腹いっぱい。
05/04/22 02:39:17
LDAPのプロキシー?変換サーバ?見たいなのってありますか?
やりたい事は、
Client <--> LDAP変換proxy <--> 実LDAPサーバ
といった感じで、
・実LDAPサーバはいじりたくない。
・でも新たなアトリビュート等を加えたい
じゃ、間に変換Proxyを挟んで変えてやりゃ良いかなと。
それとも、そういう考え方が邪道?
601:名無しさん@お腹いっぱい。
05/04/22 02:55:54
Solaris10ってLDAPサーバ付いてるの?iPlanet?
602:名無しさん@お腹いっぱい。
05/04/22 10:44:21
>>600
製品ならSunが出してる。FreeやOpenSourceはないと思う。
名前ころころ変り中なんで代理店に聞いて。
>>601
うん。iPlanet → Sun ONE → Javaと名前だけが変っているけど。
603:名無しさん@お腹いっぱい。
05/04/22 15:53:22
URLリンク(www.iconimaging.net)
この設定通りやった場合、ユーザー認証は、
/etc/passwd を見に行くのでしょうか?
それと、ldap をみにいくのでしょうか?
また、上の手順では、pam等いれていないのですが、
問題無いのでしょうか?
604:名無しさん@お腹いっぱい。
05/04/22 17:43:26
それユーザ認証なんてやってないんですけど
605:名無しさん@お腹いっぱい。
05/04/22 19:42:12
>>600
stone
606:605
05/04/22 19:44:06
ごめ早とちりした,実LDAPで限定変更化のユーザーACL設定して
レプリカ設定するってのはどうだ?あんまりメリットなさそうだけど
607:名無しさん@お腹いっぱい。
05/04/22 20:53:06
不必要に複雑化してわけのわからない問題が次から次へと起きるだけだ。
608:602
05/04/23 01:22:45
>>600
具体的にどういうのをやりたいの?
OpenLDAPなら、man 5 slapd-metaにあるような事できるけど、
何でもできるわけじゃないよ。半分遊びのつもりでやってみたことあるけど疲れます…
609:名無しさん@お腹いっぱい。
05/04/23 21:52:10
solaris 9 で、Open LDAP を使って、/etc/passwd ではなく、LDAP でユーザーを管理したいと考えています。
その際は、pamを使います。
pam には、最初からSolarisに入っている、pam と、PADL があります。どちらを使えばいいでしょうか?
また、うまくLDAPでユーザー管理できている方いらっしゃいますか?
610:nanasi
05/04/24 03:47:04
>>609
根拠はないが、PADLの方が楽な気がする。
611:名無しさん@お腹いっぱい。
05/04/24 14:27:11
>>609
昔あったPAMスレに書いたけど、落ちているのでもう一回。
Solaris付属のpam-ldapは、userPassword属性を取得して、
Solaris側でdecryptすることによって認証する。よって、
1. Solarisの対応しているcrypting schemeに利用が限られる。
2. bindするDNでuserPassword属性が読めないと駄目。(security上大きな制約)
一方、PADLのpam-ldapは、simple bindを使って認証を行うので、
1. crypting schemeの問題はLDAPに閉じ込めることができる。
認証する側はbind op.に対して単にDNとsecretを提供すればいい。
ADT抽象度が高い。
2. userPasswordは外部に出さない事が可能。
(iPlanetではcn=Directory Managerで読めてしまいますが)
ただし、現時点でSolaris 10では未検証。
612:名無しさん@お腹いっぱい。
05/04/24 14:28:40
>>610
>>611に書いたSolaris版の仕様が気にならないなら、
Solaris付属のpamでやった方が楽だと思いますよ。
仕様が問題であるなら、もう「楽」かどうかという問題ではなくなっていますし。
613:名無しさん@お腹いっぱい。
05/04/26 19:45:09
sendmail 8.13 とOpenLDAPについて質問
solaris に OpenLDAP をいれます。slapd を起動して、ユーザー情報を
取り込みます。
LDAP に登録されているユーザーから、メールを送受信したいと思います。
その際、sendmail にいろいろ、設定しないといけないと思います。
つまり、メールを受けた場合は、/etc/passwd では無く、LDAP のユーザーに格納するといった設定です。
この設定の方法を教えて下さい。
また、メールボックスは、LDAPユーザーの場合どこにできるのでしょうか?
(状況として、pamの設定は行っておりません)
アドバイスお願いします。
614:名無しさん@お腹いっぱい。
05/04/27 00:15:04
nss-ldapの設定。
615:名無しさん@お腹いっぱい。
05/04/27 16:44:37
>>613
> また、メールボックスは、LDAPユーザーの場合どこにできるのでしょうか?
MTAの設定の問題。
616:名無しさん@お腹いっぱい。
05/04/28 15:00:45
すいません。
LDAPでouを追加しようと以下のようになるんのですが
なんでなのでしょうか?
基本的なことで申し訳ないのですが
お教えいただけるとありがたいです。
[root@test _test]# ldapadd -x -D "cn=Manager,dc=hogehoge,dc=com" -w himitsu
dn: ou=sm,ou=Project,dc=hogehoge,dc=com
add: objectClass
objectClass: Project
adding new entry "ou=sm,ou=Project,dc=hogehoge,dc=com"
ldap_add: Undefined attribute type
additional info: add: attribute type undefined
ldif_record() = 17
617:名無しさん@お腹いっぱい。
05/04/28 15:04:29
>>616
dn: ou=Project,dc=hogehoge,dc=com
objectClass: organizationalunit
ou: Project
dn: ou=sm,ou=Project,dc=hogehoge,dc=com
objectClass: organizationalunit
ou: sm
618:名無しさん@お腹いっぱい。
05/04/29 02:39:12
英文ちゃんと読めよ。
> add: attribute type undefined
rfc2849.txtもな。
619:名無しさん@お腹いっぱい。
05/05/21 12:51:06
CentOS4 でOpenLDAP サーバをインストールしたんですが
下記のエラーが出て起動できません。
slapd[2966]: slapd startup: initiated.
slapd[2966]: bdb_db_open: dc=hogehoge,dc=test,dc=jp
slapd[2966]: bdb_db_open: dbenv_open(/var/lib/ldap)
slapd[2966]: bdb(dc=hogehoge,dc=test,dc=jp): Berkeley DB library configured to support only DB_PRIVATE environments
slapd[2966]: bdb_db_open: dbenv_open failed: Invalid argument (22)
slapd[2966]: backend_startup: bi_db_open(0) failed! (22)
slapd[2966]: slapd shutdown: initiated
slapd[2966]: ====> bdb_cache_release_all
slapd[2966]: slapd shutdown: freeing system resources.
slapd[2966]: bdb(dc=hogehoge,dc=test,dc=jp): txn_checkpoint interface requires an environment configured for the transaction subsystem
slapd[2966]: bdb_db_destroy: txn_checkpoint failed: Invalid argument (22)
slapd[2966]: slapd stopped.
slapd[2966]: connections_destroy: nothing to destroy.
インストールしたパッケージは
db4-utils-4.2.52-7.1
db4-4.2.52-7.1
openldap-2.2.13-2
nss_ldap-226-1
openldap-clients-2.2.13-2
php-ldap-4.3.9-3.6
openldap-servers-2.2.13-2
です。
620:619
05/05/21 12:51:51
/etc/ldap.con の内容
host hogehoge.test.jp
idle_timelimit 30
pam_min_uid 500
pam_password SSHA1
nss_base_passwd dc=hogehoge,dc=test,dc=jp?sub
nss_base_shadow dc=hogehoge,dc=test,dc=jp?sub
nss_base_group ou=Groups,dc=hogehoge,dc=test,dc=jp?one
ssl no
621:619
05/05/21 12:53:20
/etc/openldap/ldap.conf の内容
HOST hogehoge.test.jp
BASE dc=hogehoge,dc=test,dc=jp
ssl no
pam_password SSHA
/etc/openldap/slapd.conf の内容
include/etc/openldap/schema/core.schema
include/etc/openldap/schema/cosine.schema
include/etc/openldap/schema/inetorgperson.schema
include/etc/openldap/schema/nis.schema
password-hash{SSHA}
pidfile/var/run/slapd.pid
argsfile/var/run/slapd.args
databasebdb
suffix"dc=hogehoge,dc=test,dc=jp"
rootdn"cn=Manager,dc=hogehoge,dc=test,dc=jp"
rootpw{SSHA}パスワード
directory/var/lib/ldap
index objectClass eq,pres
index ou,cn,mail,surname,givenname eq,pres,sub
index uidNumber,gidNumber,loginShell eq,pres
index uid,memberUid eq,pres,sub
index nisMapName,nisMapEntry eq,pres,sub
622:名無しさん@お腹いっぱい。
05/05/21 13:59:31
>>619
エラー内容からするとdb4が適合してないようなので、
修正がでるまではopenldapを適宜ビルドして回避するとか。
623:619
05/05/21 15:00:00
再構築_| ̄|●
Linux 経験約3週間ではハードルが高いです。
VMWare上のSL4 では下記のパッケージで動いてるのに・・・。
db4-utils-4.2.52-7.1
db4-4.2.52-7.1
nss_ldap-226-1
openldap-servers-2.2.13-2
openldap-clients-2.2.13-2
openldap-2.2.13-2
SL4は実機にはインストーで出来なかったんで CentOS4
(実機:Pentium MMX 166 MEM:80MB DISK:6GB)
を入れてるんですけど
db4-devel-4.2.52-7.1
openldap-devel-2.2.13-2
のパッケージは関係ないですよね。
あと、/var/lib/ldap の所有者とグループは ldap になってます。
他に情報があれば教えて下さい。
624:名無しさん@お腹いっぱい。
05/05/23 08:27:07
>>623
つーか、
> Berkeley DB library configured to support only DB_PRIVATE environments
をどうにかしろ!
A. db4をsrpmからコンパイルしなよ。
CentOS part 2 【RHEL Clone】
スレリンク(linux板)
B. bdbじゃなくてldbmを使う。man slapd.conf
625:名無しさん@お腹いっぱい。
05/05/23 12:44:45
>624
ありがとう。
bdb を ldbm にしたら起動出来るようになりました。
でも、ログをみたらBerkeley DB を使用してるんですね。
プロセスも3個も起動してるし…。
CentOS4 とSL4ではコンパイル条件が違うみたい。
626:名無しさん@お腹いっぱい。
05/05/27 16:23:59
>>611
Sunスレの方で、話が出てるけど
スレリンク(unix板:202-番)
Sun版にしても、PADL版にしても、simple bind を使った
認証って、LDAP over SSL で使わないと、パスワードが
平文で流れるわけでセキュリティ的にチョー危ないんだね。
over SSL は当然って場合はスマソ
627:611
05/05/27 16:50:34
simple bindじゃなくて、SASL bindだって、
平文で投げるschemeだと危ないから、SSLでやるのがいいね。
628:626
05/05/27 17:01:18
やはりSSL大前提ですかあ。
どうも。
629:611
05/05/27 17:05:28
あっちのスレでは、SSLは負荷高いなんて言っている人いるけど、
正直データベース本体の所が一番負荷高いです。
stunnel+LDAPサーバで比較してCPU利用率確かめたんで確かです。
OpenLDAPやiPlanetね。
630:611
05/05/27 17:08:21
それから大前提って事はない。
平文じゃなければいいんだから。
ただPAM使うなら適当なPAMモジュールがないね。作らないと。
631:名無しさん@お腹いっぱい。
05/05/27 17:22:27
>>629
あっちのスレで話が出てる、SSL と、共有鍵ベースの IPsec の
比較はしました? IPsec の方が軽いというのはありそうな
話だと思うんだけど。
SSL にしても IPsec にしても、データベース本体への CPU 負荷
は増えるので気になるところです。
632:ディレクトリ統合したい
05/05/31 22:36:19
メタディレクトリもここで語っていいでしょうか?
このジャンル書籍も少なくて。。。
どなたか運用されている方いらっしゃいます?
633:名無しさん@お腹いっぱい。
05/06/01 00:22:16
メタディレクトリでオープンソースってある?
DirXMLみたいなのだったら
XSLT + LDAPクライアントライブラリ で作れそうな気がする。
634:名無しさん@お腹いっぱい。
05/06/01 14:24:51
>>632
Sunのやつならドキュメントがしっかりしているでしょう?
試したことはあるけど、運用はしてない。
結局、アカウント作成アプリで双方に作成、LDAPでの認証でパスワード共有という運用。
統合グループ管理は諦めました。(ACLの仕組みが全然違うし)
Mac OS 10.4がGUIDベースになってきたから、
この辺はどんどん進んでくるんでしょうね。
>>633
そもそもschemaをどう使っているか、Microsoftが公開してないから。
SunとAppleは業務提携したから、情報が出てくるけど。
635:ディレクトリ統合したい
05/06/01 23:43:25
>>633
>>634
レスさんくす
Sun の Identity Managerで
でRDBをデータソースとして
ActiveDirectory、OpenLDAPのディレクトリ統合
できるかなと考えてました。
ただ値段が高いのね。3000ユーザライセンス1000万。
データ連携+パスワード同期となるとIdentity Managerしかないかな。
URLリンク(jp.sun.com)
あと、MSのMIISもきになる。
636:名無しさん@お腹いっぱい。
05/06/02 00:18:25
Red Hat Directory Serverリリース。
合わせてフリー版のFedora Directory Serverも出た。
URLリンク(directory.fedora.redhat.com)
ソース、Linuxバイナリの他、Solarisバイナリもあり。
637:名無しさん@お腹いっぱい。
05/06/02 12:34:05
>>636
OpenLDAPはどうなるんだろうか?
638:名無しさん@お腹いっぱい。
05/06/02 12:45:20
>>636
Netscapeから買ったのだから当たり前と言えば当たり前だが、
Sun Java System Directory Serverとほとんど同じだな。
驚いたのはマニュアル類。これ、Sunからパクッただけじゃないの。
それとも、SunがNetscapeからマニュアルも引き継いだだけなのか。
639:名無しさん@お腹いっぱい。
05/06/03 11:52:45
>>635
Identity Managerの動くSunがあるなら、OpenLDAPはいらない。
LDAPサーバはSolarisに(NIS/NIS+の代わりとして)付いてくるから。
640:名無しさん@お腹いっぱい。
05/06/03 11:53:54
>>638
まあ、forkしたんで、*BSD同士みたいな関係。
641:名無しさん@お腹いっぱい。
05/06/09 10:22:45
NISの代わりにLDAP使いたいんですけど
どこの設定を変えたらいいですか?
NISからの以降ではなくLDAPを単独でインストールして
NISと同じように同じユーザ名、同じパスワードでログインしたいです。
OSはdebianです。
642:名無しさん@お腹いっぱい。
05/06/09 10:27:06
>>641
Red Hat系にしとけば簡単だったのに誰に騙されたのかなぁ
643:名無しさん@お腹いっぱい。
05/06/09 10:36:29
>>641
libpam-ldap
これかな?
644:名無しさん@お腹いっぱい。
05/06/09 11:08:07
>>641
えーと、
・debianでLDAPサーバを立ち上げる
・debianのアカウント情報をLDAPサーバで管理する
の両方って事ですか?
まあ前者のHOWTOはLinux板のdebianスレで聞いて貰うとして、
LDAPサーバに何を選ぶかは過去レスを参考に。
後者は、libnss-ldapとlibpam-ldapをinstallして、/etc/nsswitch.confを編集です。
nssはアカウント情報、pamは認証という分担です。(パケージ名以外Linux共通)
645:名無しさん@お腹いっぱい。
05/06/09 11:23:23
Debian スレで聞いた方がよくね?
646:名無しさん@お腹いっぱい。
05/06/17 18:07:53
ここでもループしてる。。
ldapで環境がDebianだと→Debianに池→Debianでldap→ldapに池
647:名無しさん@お腹いっぱい。
05/06/17 18:27:31
Debian使うのやめればループから脱出出来るよ
648:名無しさん@お腹いっぱい。
05/06/17 18:35:31
それがDebクオリティ
649:名無しさん@お腹いっぱい。
05/06/17 19:41:50
UNIX認証方式いろいろ
スレリンク(unix板)
こちらもどうぞ
650:644
05/06/17 22:33:09
>>646
あっちに答えといたから。
Debianはパッケージ名が独自なのはもちろん/etc/*ldap.confのファイル名も独自だから。
651:名無しさん@お腹いっぱい。
05/06/19 06:41:43
>650さん
641です。ありがとうございます!!
652:名無しさん@お腹いっぱい。
05/07/05 16:16:03
使用しているLDAPサーバはiPlanetで、クライアントは
VS.NETのC#で作成しています。
ちょっと板違いだと思うのですが、
LDAPについてやり取りがあるのをここしか
見つけられなかったので質問させてください。
LDAPの接続でpathだけを指定した場合は成功するのですが、
username/passwordも指定すると、
「要求された認証方法はサーバがサポートしていません」
といわれます。
使用している関数はDirectoryEntry()です。
サーバにSSLを設定していないせいなのかなぁとも
考えたのですが、ここでのやり取りをみていると、
SSLがなくてもLDAPでユーザ認証ができそうに見えます。
SSLがなくてもLDAPでのユーザ認証は出来るものなのでしょうか?
653:名無しさん@お腹いっぱい。
05/07/05 22:24:46
SSL有無(SSLのclient/server認証を含んで)は、
LDAPのオペレーションの可否と完全に直交です。
ところでLDAPの認証というとbindオペレーションであることは理解していますか?
また、bindオペレーションは様々な認証方法をサポートしていることをご存じですか?
このスレは最初から読みましたか?
654:名無しさん@お腹いっぱい。
05/07/06 00:13:39
OpenLDAPでback-sqlにしてると、BD側の定義めんどくさすぎません?
3点セット(posixAccount,shadowAccout,posixGroup)のDBでの設定、どっかに無いですかね?
655:名無しさん@お腹いっぱい。
05/07/06 08:49:36
>>653
ありがとうございます。
SSLがなくてもLDAPでのユーザ認証は出来るということですよね?
> ところでLDAPの認証というとbindオペレーションであることは理解していますか?
このスレを見つけるまでは、
「要求された認証方法はサーバがサポートしていません」
とエラーになるのはSSLのせいかな?と考えていました。
しかし、このスレを最初から読んで【bindオペレーション】がキーで
あるような所までは理解できました。
そこで念のため確認をさせて頂いた次第です。
VS.NETのDirectoryEntryクラスではbindというメソッドは存在せず、
どのように置き換えて考えれば良いのか考えている所です。
SSLは関係が無いということで少しすっきりできました。
ありがとうございます。
656:名無しさん@お腹いっぱい。
05/07/06 09:22:04
>>655
置き換えるちゅーか、中で何をやっているのか理解しないと。
それからドキュメントのコンストラクタの所くらい読んだ方がいいぞ。
URLリンク(msdn.microsoft.com)
URLリンク(msdn.microsoft.com)
URLリンク(msdn.microsoft.com)
後は相手がActive Directoryだと仮定した初期設定になっているのが注意かな。
(schemaやACLが)
AuthenticationTypes Enumerationのそれぞれが、
LDAP上だとどんなオペレーションになっているかはこのスレでいいと思うけど、
APIの使い方はWindows板だな。
657:名無しさん@お腹いっぱい。
05/07/06 09:22:30
ADSIを直接叩くって手もあるけど、LDAPの勉強が必要だなー
658:名無しさん@お腹いっぱい。
05/07/06 10:46:49
>>654
OpenLDAP-POSTGRESQL HOWTOが一番詳しいんじゃないかな。
完全な設定はないけどね。
659:名無しさん@お腹いっぱい。
05/07/06 18:53:03
DirectoryEntry()の使い方について教えてください。
pathだけを指定した場合は成功するのですが、
username/passwordも指定すると、
「要求された認証方法はサーバがサポートしていません」
とエラーになります。
何か解決策はあるのでしょうか?
660:名無しさん@お腹いっぱい。
05/07/06 21:26:11
取り合えずマニュアルを読んで、
AuthenticationTypes Enumeration
を理解しな。ただ使いたいだけならWindows板にでも行って。
661:名無しさん@お腹いっぱい。
05/07/08 11:25:38
ldapsearch(1)、
TLS_CACERTDIR /usr/share/ssl/certs/
を指定するととたんに遅くなるなあ。(たくさんCA certificateを抱えているため)
opensslみたいに/usr/share/ssl/certs/以下にあるhashを使って、
certificateを探すんじゃなくて、全てのファイルを読んでみるようだ…
$(OPENLDAP)/libraries/libldap/tls.cのget_ca_list()で、
SSL_load_client_CA_file()やってるなあ。
662:名無しさん@お腹いっぱい。
05/07/15 20:49:59
OpenLDAP の Backend を Mysql にしたら安定するかな?
速度とかはどうなんでしょうか?
使われている方はいらっしゃいますか?
663:名無しさん@お腹いっぱい。
05/07/28 06:45:29
Cisco Secure ACS と OpenLDAP を組み合わせて使っているかたは
いらっしゃいます?
664:名無しさん@お腹いっぱい。
05/08/09 22:49:21
ActiveDirectoryはLDAPを話せるという認識だったのですが
それは誤りなんでしょうか?
(ADもopenLDAPも外からみたら同じようにできると思ってました。)
わざわざADとLDAPを同期させるためのソフトもありますし。。
665:名無しさん@お腹いっぱい。
05/08/10 02:23:22
そうです。どちらもLDAP v3プロトコルです。
ただし、OSの利用しているLDAP schemaが違うのです。
つまり、各OSのユーザ、グループ、認証エンティティのデータ構造が違うのです。
UNIX群とWindowsが違うのはもちろん、Mac OS Xも違います。
ただし全般的にWindowsに歩み寄りをみせる方向のようです。
666:名無しさん@お腹いっぱい。
05/08/10 03:13:53
>>657
どうもありがとう御座います。
何でこんなことを質問したかと言うと、統合認証基盤としてLDAPサーバの導入を検討してるの
ですが、業者がSunOneDirectoryとADを導入してそれぞれをSUNのソフトで同期させるという
構成を提案してきたからなんです。
ADもLDAPを話せるのであれば、ADだけ導入してSunOneDirectoryは必要ないのではと
思ったのですが、何か事情があるのでしょうか?業者に聞いたところ、ADだけだとうまく外部と
連携ができない場合がある(具体的にはNISの統合だったかな??)と言ってました。
ちょっと疑問を持つような回答だったのでここで質問させて頂きました。
ま、きちんとした提案書はまだなので、それをもらった段階で細かく確認するつもりですが。
667:名無しさん@お腹いっぱい。
05/08/10 08:22:36
>>666
> 何か事情があるのでしょうか?
>>665に書いたでしょ。
> 業者がSunOneDirectoryとADを導入してそれぞれをSUNのソフトで同期させるという
> 構成を提案してきたからなんです。
たぶん技術的にも信頼できる業者だと思います。
その構成以外にソリューションはないはずだし、そもそも運用できるところが少ないから。
668:名無しさん@お腹いっぱい。
05/08/12 02:51:43
>>667
うーん。自分、良くわかってないかも知れません。
スキーマが違くても外からうまく聞けば良いだけかと思ってました。
なのでLDAPプロトコルが話せればADでもなんとかなるのかなぁと。
>UNIX群とWindowsが違うのはもちろん、Mac OS Xも違います。
こうなのであれば、ADとSunOneDirectoryだけでは対応できない
(openLDAP on OSXが必要な)場面もあるのでしょうか?
さらにそれらを同期して・・・。なんか難しいですね。
ADだけでLDAPサーバを賄えない事情があるんですね。もう少し勉強してみます。
669:名無しさん@お腹いっぱい。
05/08/12 10:08:19
はい、かなり知識不足だから、
もっとレイヤーの高いところで、何がやりてくて、何ができるのかということを、
業者の方に教えを乞いながら、詰めていった方がいいと思います。
LDAPプロトコルとかschemaとか、理解してないことをあれこれ云って、
背伸びしてもろくなことはないですよ。
670:名無しさん@お腹いっぱい。
05/08/12 13:55:31
>>669
> LDAPプロトコル
背伸びは(・A・)イクナイ!!
671:668
05/08/12 17:04:19
WEBページを色々みてみました。
URLリンク(www.atmarkit.co.jp)
このページの下の方に
> これらのデメリットにあげたような互換性の問題を解決する決定的な
>策はまだありません。対策としては、LDAPを利用するアプリケーションが
>LDAPを操作する時のオブジェクトクラスの指定や属性の指定を変更で
>きるように実装していくしかないでしょう。
とありますが、現段階では変更できないアプリが結構あるのでしょうか?
>スキーマが違くても外からうまく聞けば良いだけかと思ってました。
前にこう書いた時は、アプリ側で当たり前の様に変更できると思ってました。
アプリ側でサーバのLDAPスキーマに対応している必要があるということであってますか?
だとしたら現在アプリ側が対応しているLDAPスキーマで一番多いものは何なのでしょう?
672:名無しさん@お腹いっぱい。
05/08/12 18:17:58
あなたの場合、統合認証ということなので、
アプリだけの問題じゃなくて、OSの問題も含まれ、
そっちの方が大きいはずです。OSは書き換えられないですよね。
673:名無しさん@お腹いっぱい。
05/08/12 18:52:56
>>670の馬鹿っぷりに泣けた
674:名無しさん@お腹いっぱい。
05/08/16 23:36:04
openldap のサーバに名刺のデータを溜め込んで、マックの「アドレスブック」で
検索して利用している方、おられませんか?
マックの「アドレスブック」で検索をかけると;
Aug 16 23:18:01 gw slapd[23104]: conn=66 op=1 SRCH
attr=givenName sn cn mail telephoneNumber facsimileTelephoneNumber
o title ou buildingName street l st postalCode c jpegPhoto mobile co pager
destinationIndicator labeledURI IMHandle
とサーバのログにでるので、こんだけの種類のアトリビュートを
「アドレスブック」は表示可能なんだとおもうんですが、これらの名刺データを
ldapadd する方法がわかりません。
inetOrgPerson に含まれるアトリビュートを ldapadd することは出来るのですが、
例えば、buildingName を mail と同じ DN にぶっ込む方法がわかりません。。
なんか根本的にわかってないのかとも思ってますが。。。
何かヒントをくださいませんでしょうか。
675:名無しさん@お腹いっぱい。
05/08/17 15:55:33
> 674
RFC1274
676:名無しさん@お腹いっぱい。
05/08/17 19:18:31
>675
ヒントありがとうございます。
がんばってみますw
677:名無しさん@お腹いっぱい。
05/08/18 06:55:15
OpenLDAP2.3 ってどうなんでしょう?
2.2の方が安定しているのでしょうか?
678:名無しさん@お腹いっぱい。
05/08/18 10:14:25
>>674
buildingNameがどのObjectClassの属性か把握しておられるでしょうか?
また当該DNはそのObjectClassのオブジェクトでしょうか?
679:名無しさん@お腹いっぱい。
05/08/18 10:15:20
>>674
それからやってみて失敗したのだろうから、エラーメッセージを書いた方がいいのでは?
> inetOrgPerson に含まれるアトリビュートを ldapadd することは出来るのですが、
> 例えば、buildingName を mail と同じ DN にぶっ込む方法がわかりません。。
680:名無しさん@お腹いっぱい。
05/08/19 08:29:44
Directory Administrator を使ってる人はいますか?
使ってる人がいたら、どうやって設定すればいいか教えて下さい。
まず、ldapsearch -D "cn=Manager,dc=example,dc=com" -H ldaps://ldap.example.com -W では、まったく問題なくアクセスできています。しかし、以下の Profile Settings だと Can't contact LDAP server と言われて何もできません。
Server address: ldap.example.com:636
Security: Enable TLS on this connection をチェック
Search root: dc=example,dc=com
DN/User ID: cn=Manager,dc=example,dc=com
Password: *******
DN には cn=Manager とか Manager も試しましたが同じ結果でした。
サーバ側のログには
slapd[13821]: conn=2544 fd=23 ACCEPT from IP=w.x.y.z:41191 (IP=0.0.0.0:636)
slapd[13821]: conn=2544 fd=23 closed
とあって、アクセス自体はしているようですが、それ以上のことはしてないようです。
681:名無しさん@お腹いっぱい。
05/08/19 08:55:43
>>680
> Can't contact LDAP server
だと、TCPレベル、TLSレベルでの問題ですから、
> DN には cn=Manager とか Manager も試しましたが同じ結果でした。
は関係ないです。(ここが問題なら別のエラーになる)
etherealで調べてみては? etherealならある程度TLSも追えますから。
682:674
05/08/27 04:25:34
ちょっと前に質問させていただいてからじたばたしていたのですが、
openldapのschema ディレクトリに勝手なファイルを置いたり、
そいつをslapd.confでincludeしてやったりすると、「問われているものへの答え」
が用意できるポイ感じを何となく把握しつつあります。
thunderbirdのアドレス帳(LDAPサーバが参照できます)で全部の欄に返事を
返せるように細工しようとしているんですが、
Aug 27 04:07:45 gw slapd[7326]: conn=1 op=1 SRCH attr=modifytimestamp
xmozillausehtmlmail description notes custom4 custom3 custom2 custom1
birthyear homeurl workurl nscpaimscreenname countryname company o
departmentnumber department orgunit ou title countryname zip postalcode
region st locality l streetaddress postofficebox carphone cellphone mobile
pagerphone pager facsimiletelephonenumber fax homephone
telephonenumber xmozillasecondemail mail xmozillanickname displayname
commonname cn surname sn givenname
てのをよく見ていただくと、countrynameてのが2つあります。
アドレス帳での項目としては、勤務先住所としての国名と自宅の国名と2つ
あるにはあるんですが、同じ属性名で問いかけるというのはやっぱこれは
thunderbird の不具合ですか?
それとも「順番」って概念があるのかな?
683:名無しさん@お腹いっぱい。
05/08/27 07:16:43
LDAPのobjectの属性空間はフラットです。
ちなみにthunderbirdのアドレス帳には、
勤務先/自宅のスイッチがありませんか? (つまり排他的)
684:674
05/08/27 23:39:12
ちなみに、thunderbirdのアドレス帳には、
勤務先/自宅のスイッチはありません。
只で手に入るので、よければご自分でご確認くださいw
685:名無しさん@お腹いっぱい。
05/08/28 05:28:00
お前もソースくらい読め。
nsAbLDAPProperties.cppでcountrynameが二回出ているからだろ?
bStoreLocAsHomeは未だ実装途中らしいし、
そもそもHome関係は今だPropertyすら定義されてないな。
homeurl, homephoneなどを除いて。
686:674
05/08/31 00:19:45
>>685
ほー そうでござったかw
ありがトン
687:名無しさん@お腹いっぱい。
05/09/13 00:36:52
スレ違いだったらご容赦ください。
(PHP4でLDAPで情報を取ってくるプログラムなのですが)
階層は、
DC--root
|--CN=Admin
|--OU=Fruits
|----+-CN=orange
|----+-CN=apple
|----+-CN=banana
|--OU=Animal
|----+-CN=cat
|----+-CN=dog
|----+-CN=bird
このようになっています。
まず、LDAP接続は一応うまくいっています。($dsはコネクトID)
ldap_bind($ds, "CN=Admin,DC=root,DC=local", $password)
次に検索です。
$dn = "OU=Fruits,DC=root,DC=local";
$filter = "(CN=*)";
$sr=ldap_search($ds, $dn, $filter);
これだと、リストで「orange,apple,banana」が取れます。問題ありません。
しかし、
$dn = "DC=root,DC=local";
$filter = "(OU=*)";
$sr=ldap_search($ds, $dn, $filter);
これだと「 Can't contact LDAP server」というようなエラーになってしまいます。
期待するリストは「Fruits,Animal」です。
何が原因かわかりません。DC直下は検索できないのでしょうか?ユーザの権限のせいでしょうか?
長くなってしまい恐縮ですがアドバイス頂けたら幸いです。
688:名無しさん@お腹いっぱい。
05/09/13 01:17:17
>>687
> これだと「 Can't contact LDAP server」というようなエラーになってしまいます。
「というような」じゃなくて、ldap_error()の返す文字列を正確に。
689:名無しさん@お腹いっぱい。
05/09/13 01:36:04
202.184.38.107
690:687
05/09/13 18:02:01
LDAP-Errno: 81
LDAP-Error: Can't contact LDAP server
こんな感じです。
691:名無しさん@お腹いっぱい。
05/09/13 18:47:59
LDAPサーバ側のログは見た?
できればログレベルを上げて
692:名無しさん@お腹いっぱい。
05/09/13 21:20:57
そんなのあるんですか。知りませんでした。
Windows Server2003です。
確かにあってもおかしくないですね。調べてみます。
693:名無しさん@お腹いっぱい。
05/09/14 00:51:35
>>690
「というような」じゃなくて、そのままだったわけか。
このエラーが出る時は、bindまでいっていません。
SSL handshakeも含めた接続の失敗。
もちろんまだ検索もしてないので、
> DC直下は検索できないのでしょうか?ユーザの権限のせいでしょうか?
ではありません。
サーバのログ観ても分からなければ、etherealでpacket captureすることをお勧めします。
694:名無しさん@お腹いっぱい。
05/09/14 00:56:18
そういやPHP4動いているマシンでldapsearchで試してみなよ。
695:名無しさん@お腹いっぱい。
05/09/14 00:57:23
Windowsなら板違いじゃね?
696:名無しさん@お腹いっぱい。
05/09/14 01:26:05
キニシナイ(AA略
697:名無しさん@お腹いっぱい。
05/09/16 08:09:44
PHPのLDAP関数では、Windows認証ってできますか?
DNを指定するのではなく…。
698:名無しさん@お腹いっぱい。
05/09/16 09:50:26
Windows認証って何やねん! (w
699:名無しさん@お腹いっぱい。
05/09/16 10:17:35
URLリンク(www.atmarkit.co.jp)
700:名無しさん@お腹いっぱい。
05/09/16 10:57:19
LDAP って「えるだっぷ」ってよむ?「えるでぃーえーぴぃ」?
701:名無しさん@お腹いっぱい。
05/09/16 14:29:48
えるだっぷでDNをしていしないってなんだよ
すれちがいいたちがいだろ
702:名無しさん@お腹いっぱい。
05/09/16 23:14:32
レベルの低い人は来ないでください
703:名無しさん@お腹いっぱい。
05/09/16 23:19:55
>>699
このスレで>>698の反応は正しい。
LDAP、左端の | にすら引っかからん。
URLリンク(www.microsoft.com)
704:名無しさん@お腹いっぱい。
05/09/17 02:52:15
>>702
ここはゆにっくす板のえるだっぷスレ(w
705:名無しさん@お腹いっぱい。
05/09/22 20:04:15
Openldapで相互証明証明書使って暗号通信する
サンプルサイトとかないのかな
706:名無しさん@お腹いっぱい。
05/09/23 09:11:34
URLリンク(www.openldap.org)
707:名無しさん@お腹いっぱい。
05/09/24 21:01:57
すみません。
master :
replogfile /usr/local/openldap/var/slapd.replog
replica host=rep.test.net:389
binddn="cn=Replicator, ou=People, dc=somedomain, dc=net"
bindmethod=simple credentials=xxxxxx
slave :
updatedn "cn=Replicator, ou=People, dc=somedomain, dc=net"
updateref ldap://master.test.net
と設定して、
slurpd -f slapd.conf -d -1
として、起動したところ、うまくいきません。
Replica rep.test.net:389, skip repl record for xxxxxx (not mine)
原因は、slapd.replog にreplica:行が書き込まれていないことがわかりました。
replica:行を手で書いて、slurpdを起動するとうまくいきました。
どうすればreplica:行が書き込まれるのかお分かりの方お教え願います。
openldap-2.0.25です。
708:名無しさん@お腹いっぱい。
05/09/30 07:02:26
sambaのパスワードとsshログイン用のパスワードを
同じものを使うにはsmbldap-passwdを使うと思うのですが
Windowsクライアントから簡単にできる方法はありますか?
709:名無しさん@お腹いっぱい。
05/09/30 13:07:31
> Windowsクライアントから
PuttyやTeraTermでsshログインしてsmb.confとOpenLDAPの設定をする。
710:名無しさん@お腹いっぱい。
05/10/12 01:51:37
openldap で、コーユーことが出来るんじゃないかと思うんですが、
アホな上に知らんことが多すぎて苦戦中です。
「それ無理」か「ちゃんとやれば出来る」か、どっちか知ってる人
教えてくだされ。
【基本】
メールクライアントで使うアドレス帳サーバを作る。
但し、アドレス帳サーバを利用可能なパスワード(とID)ってものがある。
アドレス帳サーバの利用者は自分のパスワードをバラしたら殺されるという
ルールがあってこのルールは成立していると見なしてよい。
【だいたいの感じ】
LDAP参照できる大概のメールクライアントは、LDAPサーバの指定を
する欄に「バインド識別名」とかいうのがあるんで、こいつがIDに相当
すると思われる。
手元のサンダーバードで試した限りだと、バインド識別名を指定しておくと
確かにパスワードを聞いてくる。
【ここら辺が具合悪い】
アドレスサーバが提供するデータ(メルアドとか)は、
ou=data,dc=hoge みたいなところに格納して、
アドレスサーバが利用可能なユーザのマスタは
ou=user,dc=hoge みたいなところに格納して、
検索ベースは ou=data,dc=hoge
バインド識別子は cn=user01,ou=user,dc=hoge
とかにすりゃあええんじゃと思うんですが、、、
正解でしょうか?
そもそも無理な話なんだったら早々にあきらめたいとおもって。。。
711:名無しさん@お腹いっぱい。
05/10/13 14:50:07
inetOrgPerson、posixAccount オブジェクトクラスを使って
cn=user01,ou=user,dc=hoge
にメルアドとパスワードを持たせる。
で、どうよ?
712:名無しさん@お腹いっぱい。
05/10/13 23:56:38
いや、そういう話ではなくて、
「電話帳に載ってる人の集合」 と 「電話帳をみる権利のある人の集合」
を別々にしたいんです。
電話帳に載ってるけど自分では電話帳見れない人 とか
電話帳に載ってて、自分もその電話帳見れる人 とか
電話帳に自分は載ってないけど、電話帳みることは出来る人 とか。。。
713:名無しさん@お腹いっぱい。
05/10/14 00:00:57
普通に出来るが、早々と諦めてはどうか?
714:名無しさん@お腹いっぱい。
05/10/14 01:29:23
>712
おたく、コーユー仕事に向いてないと思うよ。
早々にあきらめたほがいいと思うよ。
715:名無しさん@お腹いっぱい。
05/10/14 01:56:39
別にお金貰ってやってる訳じゃないんですがw
色々やってみて、
ou=data,dc=hoge,dc=hoge
の下に cn=yamada とか cn=tanaka
とか作って、こいつらにはパスワードを持たせないで、
ou=user,dc=hoge,dc=hoge
の下に cn=taro とか cn=jiro
とか作って、こいつらにパスワード持たせると、
思ったよーになるんだけど、
やっぱ本当は slapd.conf に access <what> by <who> <access> を
さくっと定義したいんだけど。。。どーやってもうまく行かん。
かね貰ってやってる奴、50万やるからここに答え書いてみろw
716:名無しさん@お腹いっぱい。
05/10/14 02:23:33
>715
君ならやれるよ。
ガンバ!
717:名無しさん@お腹いっぱい。
05/10/14 02:24:16
/etc/shadow に書いてあるような
$1$foo$bar
ってのを
{MD5}hogehoge
に変換する方法はありますか?
718:名無しさん@お腹いっぱい。
05/10/14 10:03:27
{MD5}foobarで終了なんじゃないの?
719:715
05/10/17 12:10:53
.∧、スチャ ∧_∧ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
/⌒ヽ\ ( ゚,_ゝ゚) < お前はもう用なしだ
|( ● )| i\/ \\__________
\_ノ ^i | ./\ / ̄\
|_|,-''iつl ̄ ̄\ / ヽ \_
∧_∧ [__|_|/〉 ̄ ̄ ̄ ̄ ̄ ̄ \__)、
/(´Д` )ヽ → [ニニ〉 \ \
mn´(_(_nm └―i'|\|| ̄ ̄ ̄ ̄ ̄ ̄ ̄|| ̄
 ̄ ̄ ̄ /\  ̄ ̄ || || ̄ ̄ ̄ ̄ ̄ ̄ ̄||
/ ̄ ̄ ̄  ̄ ̄ ̄ ̄ ̄ ̄\ .|| .||
| ○○お願いします | ××後
Before After
720:715(ほんもの)
05/10/17 19:56:09
URLリンク(sapiens.wustl.edu)
読んだらわかった。さくっとできたYO!
これで50万は高いなw 500円くらいか?
721:名無しさん@お腹いっぱい。
05/10/17 19:59:47
715は sapiens.wustl.edu/~sysmain に50万支払うように。
722:名無しさん@お腹いっぱい。
05/10/17 23:29:53
>715
LDAPスキルあげる前に、ヒューマンスキルあげるのが先のようだなw
いや、マジで
723:名無しさん@お腹いっぱい。
05/10/18 01:20:50
とりあえず、
$ id test
uid=18000(test) gid=18000(test) groups=18000(test)
まで、できた、眠い、寝る
724:名無しさん@お腹いっぱい。
05/11/10 00:48:25
どうもです。
openldapやredhat directory serverには、active directoryの「権限委譲」みたいな機能ってあるのでしょうか?
たとえばある特定のouはそのouに所属するユーザーアカウントで追加も削除もできるとか、
そういう意味での「管理負荷の分散」が可能でしょうか?
725:名無しさん@お腹いっぱい。
05/11/10 01:17:51
>>724
どのDNによるアクセスにも、(つまりどのDNでbindしていても)
他の全てのDNに対する権限を設定できます。
非常に自由度が高いです。
URLリンク(www.redhat.com)
> ある特定のouは、
というのは以下の意味でしょうか?
uid=*,ou=People,dc=sub,dc=sample,dc=com という形でのワイルドカード指定が可能です。
主体の方(userdn=)も客体の方(target=)もです。
ちなみにOpenLDAPより、iPlanet起源のRed Hat~がお勧めです。
Fedora~ってのは無保証版なんでしょうかね?
URLリンク(directory.fedora.redhat.com)
726:名無しさん@お腹いっぱい。
05/11/10 01:20:19
>>725
> 非常に自由度が高いです。
ただアクセスコントロールモデルなので、
one-time rightのようなタイプの委譲は出来ませんが。
(Machのportにあるような)
727:名無しさん@お腹いっぱい。
05/11/10 23:58:33
ありがとうございます。
>>725
> > ある特定のouは、
>
> というのは以下の意味でしょうか?
> uid=*,ou=People,dc=sub,dc=sample,dc=com という形でのワイルドカード指定が可能です。
> 主体の方(userdn=)も客体の方(target=)もです。
とすると、そのouの「管理者」なるものを任命して、
そのouに関する管理は押し付けることもできてしまいます?
そうすると上級の管理者にとって負担が減るので、とても助かるんです。
> ちなみにOpenLDAPより、iPlanet起源のRed Hat~がお勧めです。
> Fedora~ってのは無保証版なんでしょうかね?
> URLリンク(directory.fedora.redhat.com)
これは実績あるのでしょうか?
ま、iPlanetという出自がすでに実績なのかもしれませんが、
SunJavaとはどういう関係なんでしょうね...
728:名無しさん@お腹いっぱい。
05/11/11 07:03:36
>>727
そのための階層構造、アクセスコントロールです。> 分散管理
Sun Javaは、iPlanet Directory Server→Sun ~→Sun Java ~という名前の変遷です。
iPlanetのLDAPサーバの分岐の一つです。Java ~のLinux版もあります。
URLリンク(www.sun.com)
それぞれのドキュメントを眺めて貰うと分かりますが、iPlanet系は殆んど同じです。
Red HatのはNetscape Dir~として実績のあるものです。
729:名無しさん@お腹いっぱい。
05/11/11 07:08:52
ちなみにアクセスコントロールしたい場合は、
アクセスコントロールルールの設定方法をよく検討して導入した方がいいです。
ルールを直接editするのが平気な人はなんでもいいと思うけれど、
GUIでやりたい人はちゃんとお金を出した製品を選びましょう。
私はLDIF編集/生成, Net::LDAP叩き派なのでその辺の製品情報は分かりません。
# iPlanetではルールを記述したaci属性を対象エントリに付ける。
730:724/727
05/11/11 07:51:18
>>728
>>729
なるほどです。
参考にさせていただきます。
ありがとうございます。
731:名無しさん@お腹いっぱい。
05/11/17 08:46:05
Sun ONE Directory Server 5.1のSP4って、
SP3と違って、patch形式になってないなあ。
/usr/iplanet/ds5を指定すると、上書きだよ…
IPLT*なpackageの立場は一体?
732:名無しさん@お腹いっぱい。
05/11/18 10:42:24
docs.sun.comのマニュアルに
「LDAPサーバーをそのクライアントとして使用することはできない」
って書いてあるのですが、これってSolarisだけじゃなくて
一般的にそうなのでしょうか。
733:名無しさん@お腹いっぱい。
05/11/18 10:48:35
LDAPのクライアントにはなれるよ。
NSSを設定すると、鶏と卵問題が出てきて駄目。
ただし、マスターサーバ以外はマスタサーバを利用すれば問題なし。
一般的ではない。
734:名無しさん@お腹いっぱい。
05/11/18 12:50:09
NIS+ もそうだったね。移行しようとがんばったのずいぶん昔だなぁ...
735:732
05/11/18 13:29:48
>>733
NSSでLDAPを使ってユーザとグループを一括管理しようと
思っていたのだけど、起動に必要なものはすべてfilesに
書いておいて、エンドユーザのユーザとグループだけ
LDAPに入れるのでもだめ?
736:733
05/11/18 15:34:36
/etc/rc2.d/S71ldap.client
/etc/rc2.d/S72directory
なんで、この辺もいじる必要がありますよ。
S71, S72のrcの依存関係に注意する必要があります。
patchあてたり、色々面倒なんで、自分のところはLDAPサーバは専用に。
737:732
05/11/18 16:14:15
>>736
thx。
結構いろいろ絡んでくるんですね。
専用LDAPサーバにします。
# 実はSolarisじゃなくてNetBSDなのです。
738:733
05/11/19 01:25:04
>>737
え!? じゃあOpenLDAPなの?
NetBSDはまともにいじったことないけど楽勝だと思うよ。
iPlanetやSun Javaでも、Linuxだと問題ないし。
Solarisのクライアントサイドでのポリシーの問題だから。
739:732
05/11/19 02:24:47
>>738
情報小出しでごめんなさい。
NetBSD + OpenLDAP + nss_ldap + pam_ldapなのです。
でもやっぱり専用LDAPサーバにします。
740:名無しさん@お腹いっぱい。
05/11/19 08:52:49
OpenLDAP、あんまり安定してないから気をつけてね。
NetBSDじゃ他に選択肢ないだろうから仕方ないけど。
データを毎日LDIFでバックアップ取っておいた方がいい。
741:732
05/11/19 11:21:16
>>740 了解。
742:名無しさん@お腹いっぱい。
05/11/19 11:26:38
運用するなら>>551前後を読んどいた方がいいと思う。
743:名無しさん@お腹いっぱい。
05/11/19 11:27:26
LinuxエミュレータでiPlanetやRed Hatって選択肢はないのかね? > NetBSD
744:732
05/11/19 17:54:01
「実はユーザが自分と妻の2人だけ」
とかいまさら言えない。
745:名無しさん@お腹いっぱい。
05/11/19 20:57:28
ああ、Enterprise用途ならば(ry
746:名無しさん@お腹いっぱい。
05/11/20 05:39:08
Tochan and Kachan Enterprise
747:名無しさん@お腹いっぱい。
05/11/24 21:42:43
現在LDAPサーバ構築に向けて現在勉強中です。
まだ完全に理解し切れていない点が有るのですが、一つ質問させて下さい。
サーバAとサーバBが有って、両方とも同じLDAPサーバを参照し、
objectClass: posixAccount を使い、認証を行っているとします。
その中にhogeとfugaのuid(アカウント)があるとします。
この時、サーバAにはhogeとfuga。サーバBにはhogeだけを認証させたい…
そんな場合、何処でアクセス制限(認証制限)をかける事になるのでしょうか?
まさかサーバ毎に
access to dn.base="uid=hoge,ou=Users,dc=exsample,dc=com"
by peername="192.168.1.1" read
by peername="192.168.1.2" read
access to dn.base="uid=fuga,ou=Users,dc=exsample,dc=com"
by peername="192.168.1.1" read
のように一つ一つ記述して行く必要が有るのでしょうか?
そもそも考え方が間違っている場合は参考になるサイトなどを
教えていただければ幸いです。よろしくお願い致します。
748:名無しさん@お腹いっぱい。
05/11/25 11:49:42
かなり異常な要求だから、列挙するしかないでしょ?
セキュリティ上、サーバ側で拒否する必要はなくて、
クライアント側で制限できればいいのなら、
NSS/PAMのldap.confでfilter書けばいいけども。
749:名無しさん@お腹いっぱい。
05/11/25 12:00:31
filterにかけるための属性を定義して、
サーバ側でアクセスコントロールのルールに使えばいい。
というか、↓はちゃんと読んでいるの?
URLリンク(www.openldap.org)
750:ななし
05/11/26 06:13:23
>>747
hostAttribute書いてサーバ側でフィルタするだけでも
良い気がするけど。
751:名無しさん@お腹いっぱい。
05/11/28 11:10:18
>>748-750
レスありがとうございました。
三つをそれぞれ詳しく調べてどれが最善かしっかりと考えてみようと思います。
また詰まった際はご教授いただけると幸いです。
752:名無しさん@お腹いっぱい。
05/11/28 11:23:16
>751
結果を発表していただけると幸いです。
753:名無しさん@お腹いっぱい。
05/12/01 16:48:55
dn:< file:///tmp/xxx
といったURIスキームによる値を持つ属性を持ったエントリを追加しようとすると,
ldapmodify: invalid format (line x) entry: "......"
と言われてしまいます.
代わりに
dn: test
という値を持たせると問題ありませんでした.
また,別のマシンに同様のフォーマットによるエントリを追加したところ,
これも,問題ありませんでした.
もちろん /tmp/xxx は存在しています.
検索エンジンに「file:///」と入力しても「file」としてしか扱ってもらえず,
ヒントの探しようがなくて困っています.
何か考えられる原因はありますでしょうか.
よろしくお願いいたします.
754:名無しさん@お腹いっぱい。
05/12/01 16:56:18
どこのldapmodifyなのか、バージョンくらい書けばあ?
755:名無しさん@お腹いっぱい。
05/12/02 01:11:02
URLリンク(directory.fedora.redhat.com)
756:名無しさん@お腹いっぱい。
05/12/02 11:41:29
失礼しました.
OpenLDAP 2.3.11 のldapmodifyです.
757:名無しさん@お腹いっぱい。
05/12/02 22:33:22
OpenLDAPね。
>>753
dnは駄目。
attr: <file://パス名というformatで。空白は厳密に。
758:名無しさん@お腹いっぱい。
05/12/03 13:14:46
ネットワークセキュリティ Expert 3って雑誌にLDAPの話題がたくさん載ってた。
どこらへんがセキュリティなのかわからんけど。
759:753
05/12/07 10:48:05
レス遅れまして,申し訳ありません.
>>757
レスありがとうございます.
formatをそのようにしたところ,ちゃんと読み込んでくれました.
手持ちの文献には, "dc:< file:///" と書かれており,
また,別のPCでは,そのformatで読み込んでくれたので,
全く気づきませんでした.
同じOpenLDAPなのに,違う動作をしたのが解せないのですが,
動いたからいいや,という感じです.
本当にありがとうございました.
あと dn: ではなく dc: でした.
760:753
05/12/07 11:33:25
attr: <file://path にすると,
"<file://path" という文字列をbase64エンコーディングしたものが
値になってしまうんですけど……
761:753
05/12/08 16:17:05
追加です.
attr:< file:///tmp/xxx
は,前述の通りで,未だエラーが返ってきます.
しかし, (current is /<dir>)
attr:< file://./../tmp/xxx
とすると,読み込んでくれました.
ちなみに
attr:< file://../tmp/xxx
では読み込んでくれませんでした.
762:名無しさん@お腹いっぱい。
05/12/10 00:50:37
>>758
Radiusやら、PKIやらに応用すれば、ネットワークセキュリティ話になるな。
さらにそれを応用した話にも繋がるし。
それを前提にした、LDAP話を持ち出しても、別におかしくはあるまい。
このスレの主流となるOpenLDAPとは、関連が薄そうなヨカーン
763:758
05/12/10 21:38:35
>>762
RadiusやらPKIの話はないけど、OpenLDAPでUNIXアカウントとメールアカウント(qmail-ldap)
とOpenSSHの公開鍵とautofsのマップ定義管理してたよ。というか買った。
最後までLDIFを1回も書かないところが良かった。他にもSambaとかApacheとかとも
連携してるって書いたあったのでその話も気になった。
あと、証明書関連ってことで自己認証局の作り方も載っててちょっと得した気分。
でも、他の記事に比べると浮きまくりw。SSLやTLSを使ってるから有りなのか?
そんなわけでこのスレと一応関連するんでないかな。見かけたら見てみると良いよ。
764:名無しさん@お腹いっぱい。
05/12/13 12:07:04
先日の IW でも Security Day で
LDAP のセミナーがあったね。
URLリンク(internetweek.jp)
最近は NEC が samba 絡みでなんかやってるけど、
流行ってるんだろうかなあ?
765:名無しさん@お腹いっぱい。
05/12/13 12:40:41
NECは独自のLDAP製品持って、
マルチプラットフォーム連携やっている。
東大もMac OS Xに、NECのファイルサーバ、LDAPサーバじゃなかったかな。
前はWindows TSEも動かしていたし。
766:名無しさん@お腹いっぱい。
05/12/14 04:40:26
ちょうど同じようなネタが @IT に
URLリンク(www.atmarkit.co.jp)
肝心の LDAP の設定が殆どなんも書いてないや…
767:名無しさん@お腹いっぱい。
05/12/14 07:30:41
> ここでは本文に先行してLDAPのインストールまで行います。ただし、今回はイ
> ンストールを行うだけであり、設定については次回に解説します。
768:名無しさん@お腹いっぱい。
05/12/22 22:07:23
LDAPでLinuxマシンのユーザ認証を行わせる所まで出来ました。
次にldapに登録されているユーザでrootになれるユーザ(su 出来るユーザ)
を限定しようと考えているのですが、pamのwheelを使う方法で
上手く行きません。何か良いアドバイスを頂けませんでしょうか?
/etc/pam.d/su
+auth required /lib/security/pam_wheel.so group=wheel
/etc/login.defs
+SU_WHEEL_ONLY yes
/etc/group
+wheel:x:10:root,user1
変更点は以上の通りです。
769:名無しさん@お腹いっぱい。
05/12/23 08:39:45
sudoにしろ。
それからwheelグループをLDAP上に置かないならスレ違い。
770:名無しさん@お腹いっぱい。
05/12/29 01:40:01
WindowsとLinuxのクライアントが混在した環境でログイン認証を統一したいと
思っているんですが、LDAPで可能でしょうか? 現在はWinではAcriveDirectory、
Linuxは各マシンごとにpasswdでやってます。
ネット上で探したところDCをWindowsでなくSambaでつくってやればできそうなのは
なんとなくわかりましたが、WindowsのDCでやらせるのは無理でしょうか?
771:名無しさん@お腹いっぱい。
05/12/29 01:53:20
無理じゃないが面倒くさい。たぶんおまえの手にはおえない。
772:名無しさん@お腹いっぱい。
05/12/29 15:23:19
URLリンク(www.google.co.jp)
ググったらめちゃひっかかるやん。がんばれ
773:名無しさん@お腹いっぱい。
05/12/29 15:57:56
winbindでがんばる
774:名無しさん@お腹いっぱい。
06/01/01 00:19:50
くだ質っぽいが質問させてください。
環境はFreeBSD6.0、portsからopenldap-sasl-server-2.3.11を入れました
いつの間にかslapdの起動にやたらと時間がかかるようになってしまいました
デバッグ情報を表示させてみたら
ldap_create
ldap_url_parse_ext(ldap://127.0.0.1)
ldap_create
ldap_url_parse_ext(ldap://127.0.0.1)
ldap_simple_bind
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP 127.0.0.1:389
ldap_new_socket: 9
ldap_prepare_socket: 9
ldap_connect_to_host: Trying 127.0.0.1:389
ldap_connect_timeout: fd: 9 tm: 30 async: 0
ldap_ndelay_on: 9
ldap_connect_timeout: timed out
ldap_close_socket: 9
ldap_unbind
とタイムアウトしてるようなんですが
何故タイムアウトしているのかよくわかりません
775:名無しさん@お腹いっぱい。
06/01/03 19:49:59
$ telnet 127.0.0.1 389
776:774
06/01/09 01:43:08
nsswitch.confからldapを消したらタイムアウトしなくなった
slapdがlistenする前にnssを見に行ってるのだろうか
でも設定をいじった記憶も無いしなにがなんだか
777:名無しさん@お腹いっぱい。
06/01/09 10:13:44
hosts: files ldap
として、filesの方に最低限のhost記述がないから、
slapdが立ち上げ時に必要としているホスト名解決ができないんでしょ。
鶏卵問題ですな。(passwd, group, shadowかもしれませんが)
778:初心者
06/01/16 20:25:02
NISからOpenLDAPに移行しようとしているのですが、
現在、UNIXにあるデータをLDAPと連携させるには
何を使えばいいですか?
ちなみにFreeBSD5.3を使っています。
やはり、nss_ldapとpam_ldapでしょうか?
779:名無しさん@お腹いっぱい。
06/01/16 20:41:55
>>778
> NISからOpenLDAPに移行しようとしているのですが、
は
> やはり、nss_ldapとpam_ldapでしょうか?
でいいとして、
> 現在、UNIXにあるデータをLDAPと連携させるには
というのは何? 何のデータ?
780:初心者
06/01/16 21:23:58
レスありがとうございます。
データはUNIXユーザの情報です。
認証がかかったときに
そこに見に行くようにしたいのですが。
781:名無しさん@お腹いっぱい。
06/01/16 21:29:08
NISとの連携なのか、NISからの移行なのかはっきりして。
LDAPだけでいいなら、つまり完全移行なら、
NISからテキストデータベースを持ってきて、
migrationtoolでLDAPサーバに登録して。
782:名無しさん@お腹いっぱい。
06/01/17 00:06:35
filterの書式で、
(|(attr=a*)(attr=b*)(attr=c*)...(attr=z*)(attr=A*)...(attr=Z*))
このfilterはもっと短くできますか?
短くしたfilterを教えてください。
783:名無しさん@お腹いっぱい。
06/01/17 00:59:19
extensibleMatchに使える特殊なマッチルールを持っているサーバで、
attr型のSYNTAXがそのマッチでない限り、駄目です。
attrの定義でSYNTAX, EQUALITY, SUBSTRを調べてください。
まあ十中八九駄目ですが。
784:名無しさん@お腹いっぱい。
06/01/17 15:19:18
初カキコですいません。
ちょっと質問です。
FreeBSD5.3RELESEでOpenLDAPを使って
RADIUS認証をやりたいんですが、
RADIUS鯖でユーザ認証させても
radtest ... ... localhost 0 ...
とテストコマンドを使っても
access reject packet from host 127.0.0.1:1812
って出るですが、
いろんなサイトの設定を試してもできません。
LDAPにRADIUS用の特殊なオブジェクトクラスとかあるんでしょうか?
何か原因があればぜひ教えていただきたいです。
ちなみに、
OpenLDAP-sasl-server2.2.17、FreeRADIUS1.0.1を使用しています。
785:名無しさん@お腹いっぱい。
06/01/17 15:42:04
とりあえずな、freeradiusのusersファイルにローカルユーザ登録して試しな。
で、次にFreeRADIUSのLDAP RLMモジュールの設定な。
それから"access reject" packetってのは、
radiusプロトコルでの応答パケットの種類な。
アクセス拒否、つまり認証失敗ってこった。
786:名無しさん@お腹いっぱい。
06/01/17 16:01:47
レスありがとうございます。
ローカルユーザは認証成功しました。
>次にFreeRADIUSのLDAP RLMモジュールの設定な
についてですが、それはradius.confにあるmodulesの
ところのやつですか?
787:784
06/01/17 17:02:23
すいません、違いますね。
調べてわかりました。
しかし、そのLDAP RLMモジュールの設定をどこですればいいのか
がわからないです。
788:名無しさん@お腹いっぱい。
06/01/17 17:07:08
そう。全部話していると切りがないから、
${FREERADIUS}/doc/rlm_ldap
${FREERADIUS}/doc/ldap_howto.txt
読んで分からないところを聞いて。
789:名無しさん@お腹いっぱい。
06/01/17 17:07:59
>>787
radius"d".confだって。
${FREERADIUS}/doc/rlm_ldapをちゃんと読め。
790:784
06/01/17 19:27:41
>>789
すいません、radiusd.confでした。
>>788
どのファイルも英語でわからないとこだらけですが、
rlm_ldapとradiusd.confの設定内容で
例えば、basednやaccess_attrなんかは
同じ内容にしなきゃだめですよね?
portをとりあえず636から389にしたんですが
結局だめでした。
791:名無しさん@お腹いっぱい。
06/01/17 19:33:28
rlm_ldapが設定ファイルだと思っている?
もう一回良く読み直して。翻訳サイトで翻訳できるでしょ。
英語ドキュメント駄目そうなら、明日朝一で、
LDAP -設定・管理・プログラミング
URLリンク(www.amazon.co.jp)
を購入。
792:784
06/01/17 22:48:43
またしても勘違いしてました・・・。
書いてあることはわかるんですが、
実際どうすればいいかがわかんないですね・・・^^;
default_profileには、何を指定してやればいいんですか?
radiusprofileっていうオブジェクトクラスを使ってるエントリでは
ないんですか??
793:名無しさん@お腹いっぱい。
06/01/18 01:34:37
default_profileがLDAP上に必要なの?
usersに書くんじゃダメなの?
794:784
06/01/18 16:55:49
usersに書くんですか?
むぅ・・・よくわからんですね。
一応昨日はいろいろ設定して、認証通ったんですが
今日PC起動したらまた認証失敗するようになりましたorz
本買ったほうがいいですかね・・・。
795:名無しさん@お腹いっぱい。
06/02/02 04:14:53
FreeBSDでLDAPやってるのですが、
nss_ldapで作られるはずの/lib/libnss_ldap.soが見当たりません。
nss_ldap内にあるnss_ldap.soとはまた違うものですよね?
796:795
06/02/02 04:15:56
sage
797:名無しさん@お腹いっぱい。
06/02/02 08:57:02
>>795
> nss_ldapで作られるはずの
> nss_ldap内にある
意味が分かりません。
798:795
06/02/02 19:35:36
>797
説明がへたで申し訳ないです。
nss_ldapをコンパイルすると、
libnss_ldap.soが作られるようなのですが。
それに値するものがほかにあるかと思いまして。
799:名無しさん@お腹いっぱい。
06/02/02 20:03:51
謝る必要はないです(w
FreeBSDは新しくないと、name service switchがよろしくないです。
例えば、5.xの最新など。4は利用出来ません。5.1辺りも怪しい。
URLリンク(www.freebsd.org) ←こういう段階。
6はどうか知りませんが(調べてません)、5.xは{nss,pam}_ldapは入ってません。
URLリンク(www.abk.nu)
あたりを参考にしてはどうですか?
FreeBSDはこの辺が遅れていると思います。
CVS先端のgetaddrinfoもnssに基づいてないし。
800:795
06/02/02 21:30:38
>>799
そうなのですか・・
この間、6を入れたばかりだったんです。
新しい方がいいってわけでもないのですね。
もうちょっと、勉強してみます。
ありがとうございました☆
801:名無しさん@お腹いっぱい。
06/02/02 21:53:47
getaddrinfoについてはCVS先端「でも」nssじゃないという話をしたつもりで、
新しい「方が」ダメだと言ったつもりはない。
get*by*()系は5.xからnssになっているはずです。
FreeBSDの詳しいことはFreeBSDスレできいてねん。
802:名無しさん@お腹いっぱい。
06/02/03 09:51:01
LinuxサーバをLDAP対応にしたんだけど、useraddでローカルに
アカウントを追加しないので、全てのサーバの/home配下に一から
それぞれのユーザのホームディレクトリを作らないといけない…。
凄く怠いんだけど、何か対処法とか良い案有りますか?
ログイン時に/home配下にホームディレクトリが有るかどうかを
確認して、無ければ作る…と言う処理をさせるのが一番無難?
803:名無しさん@お腹いっぱい。
06/02/03 10:32:56
>>802
> useraddでローカルにアカウントを追加しないので、全てのサーバの/home配下
> に一からそれぞれのユーザのホームディレクトリを作らないといけない…。
よくわからん。
ホームは、各ホストでそれぞれ別のローカルディスク上に作りたい、ってこと?
pam_mkhomedirってのがあるから、各ホストの/etc/pam.dのloginやsshに書いて。
# つーかこれLDAP関係ないじゃん。
NFSでホームを共有するなら、LDAPにautomountのtable持ちなよ。
804:名無しさん@お腹いっぱい。
06/02/03 11:13:03
>>803
レスありがとう。
そうか…普通それぞれのユーザのホームディレクトリって
NFSとかで共有するのが普通なんだね…。
俺はご指摘の通りそれぞれのローカルディスクにホームディレクトリ
を作りたいとって事でした。pam_mkhomedirで対処します。
NFS導入も後々考えてみます。
確かにLDAPと関係ないね…。なのに親切にありがとう。
805:名無しさん@お腹いっぱい。
06/02/04 15:37:18
Postfixでバーチャルドメイン、アカウントと認証はLDAPで管理したいのですが、どのようにやればよいのでしょうか?
806:名無しさん@お腹いっぱい。
06/02/04 15:49:28
URLリンク(www.kobitosan.net)
URLリンク(www.kobitosan.net)
認証ってのはどういうことですか? SMTP AUTHですか?
807:名無しさん@お腹いっぱい。
06/03/06 04:45:04
/etc/openldap/slapd.conf
と
/etc/openldap/lapd.conf
の違いを教えてください
808:名無しさん@お腹いっぱい。
06/03/06 06:14:18
slapd.conf: サーバの設定
ldap.conf: クライアントの設定
lapd.conf: しらね
809:名無しさん@お腹いっぱい。
06/03/18 13:55:32
samba と ldap を連携させる時って、 ldap に入っている
あらゆるアカウントが samba が動いているマシンでシステム認証できないといけないの?
810:809
06/03/18 20:05:37
>>809 のようなことはないようです。では。
811:名無しさん@お腹いっぱい。
06/03/24 12:54:44
LDAPをユーザアカウント管理に使うようにすると、
サーバ名があちこちの設定ファイル(~/.ldaprcも含む)に埋め込みになるから、
サーバ名変える事態が起きると死ねない?
NISだとカーネル内にドメイン名を持ってて、
ドメイン名から勝手にサーバ探してくれるけど、
LDAPでうまくサーバ探してくれる方法ってないだろうか?
812:名無しさん@お腹いっぱい。
06/03/24 13:38:52
>>811
どうやったらそういうことになるのか分からん。
以下ぐらいしか設定する箇所無いと思うんだけど…。
/etc/openldap/
/etc/ldap.conf
/etc/nsswitch.conf
/etc/pam.d/system-auth
/etc/libuser.conf
813:名無しさん@お腹いっぱい。
06/03/24 14:11:21
原則的にはそうだけど、
メールのルーティングにLDAP見てたとか、courierで見てたとか、
apacheで見てたとか、
LDAPに情報を集積すればするほど、
サーバ名を書く例外的な設定ファイルが増えて、
サーバ名変わることなんとまずないし、
そのうち忘れられて、更新漏れ、引き継ぎ漏れが心配なのよ。
心配しすぎ?
814:名無しさん@お腹いっぱい。
06/03/24 14:15:47
DNSを変えて解決、という訳にはいかないのか…?
815:名無しさん@お腹いっぱい。
06/03/24 15:07:00
組織改変とかがあるとDNS的にサーバ名が変わるわけで
816:名無しさん@お腹いっぱい。
06/03/24 15:47:30
openldapの基本的な設定や、データの入力の仕方など、初めての人にわかりやすく解説している
サイトを教えてください
817:名無しさん@お腹いっぱい。
06/03/24 16:19:27
, イ)ィ -─ ─- 、ミヽ
ノ /,.-‐'"´ `ヾj ii / Λ
,イ// ^ヽj(二フ'"´ ̄`ヾ、ノイ{
ノ/,/ミ三ニヲ´ ゙、ノi!
{V /ミ三二,イ , /, ,\ Yソ
レ'/三二彡イ .:ィこラ ;:こラ j{
V;;;::. ;ヲヾ!V ー '′ i ー ' ソ
Vニミ( 入 、 r j ,′
ヾミ、`ゝ ` ー--‐'ゞニ<‐-イ
ヽ ヽ -''ニニ‐ /
| `、 ⌒ ,/
| >┻━┻'r‐'´
ヽ_ |
ヽ _ _ 」
ググレカス [ Gugurecus ]
( 2006 ~ 没年不明 )
818:名無しさん@お腹いっぱい。
06/03/24 18:32:32
>>813
dnのドメイン名は、DNSのドメイン名と一致しなくてもいいから、
別にLDAPのdnはそのままでいいんじゃない?
あとはフルdn(dc=mydomain,dc=jp)をldap.confに書いておけば、
以下のように省略してldapsearchとかが出来るって知ってる?
ldapsearch -x -b cn=testuser
>>816
LDAPはそう簡単じゃないし、最近は分かりやすい解説書が出てるから、
解説書買って読むのがいいと思われ。
819:名無しさん@お腹いっぱい。
06/03/24 22:42:28
お前は次に「お薦めの解説書ってどれ?」と言う。
820:名無しさん@お腹いっぱい。
06/03/25 01:36:12
まあ最初はこれでしょ。
LDAP -設定・管理・プログラミング
URLリンク(www.amazon.co.jp)
821:名無しさん@お腹いっぱい。
06/03/25 01:46:42
>>813
それぞれのサーバの振る舞いを理解して、適切なドキュメンテーションをしてください。
たとえばapacheのauth_ldapやpostfixも別個にサーバ記述できますしね。
>>811
ホストのドメイン名をNISのドメイン名に使うのはshell scriptのお仕事。
822:名無しさん@お腹いっぱい。
06/03/27 10:45:14
おそくなったがレスいろいろありがと。
基本は楽観と、ドキュメントしっかりやるという方向でなんとかしやす。
823:名無しさん@お腹いっぱい。
06/04/09 22:25:51
LDAPでTelnetでのLogonユーザ認証をさせたいのですが、この場合、
LDAP管理者の権限は必要になるのでしょうか?
Apacheでの認証の場合は下記URLに従うと管理者のID、パスワードは必要なかったので、
Telnetでも同様に認証できないかと思っています。
URLリンク(www.atmarkit.co.jp)
LDAPサーバの管理は別のところで、聞きにくいですがパスワードは一本化したいのです。
このような構成を構築した方、おられませんでしょうか?
824:名無しさん@お腹いっぱい。
06/04/09 23:46:10
いる
825:名無しさん@お腹いっぱい。
06/04/09 23:48:00
pam_ldapでtelnetの設定しろ
826:823
06/04/10 21:34:44
とりあえずできました。
ldap.confにはHOST、BASEを設定で認証成功。
ただし、LDAP側にposixAccount関連のエントリが無いためローカルに
利用するユーザを作る必要がありました。
今回は、限定ユーザ用のTelnetサーバだったから良かったけど、
LDAP登録ユーザ内の不特定多数だと対応できない。
LDAP側にエントリない場合に、HomeDirectoryとかUID、GIDを
補完してやる方法はないですか?
827:名無しさん@お腹いっぱい。
06/04/10 23:30:13
>>826の状況は、
pamはOKだけど、nssで駄目ということだから、
ローカルユーザを作って回避したって事ね。nsswitch.confでfilesを入れて。
> LDAP側にエントリない場合に、HomeDirectoryとかUID、GIDを
> 補完してやる方法はないですか?
ちゃんとLDAP上に作れ。それが一番簡単。
他の方法は、結局はローカルユーザ作るのと同じだから、(二重管理という意味で)
LDAP上でちゃんとやる以外の方法を模索する意味はない。
828:823
06/04/11 23:46:00
>>827
ldapの管理が親会社のWindowsの方を見てるところなんで、
ちゃんと作ってもらうのは難しいですよ。とほほ。
nss_map_attributeとかで何とかなりそうな雰囲気があるんですが。
829:名無しさん@お腹いっぱい。
06/04/12 05:58:15
>>828
> nss_map_attributeとかで何とかなりそうな雰囲気があるんですが。
ローカルユーザ作るより大変じゃん。
830:名無しさん@お腹いっぱい。
06/04/12 22:39:40
>>829
なんで?サーバ一台なら定義してしまえばpam_mkhomedirなんかで勝手に処理できるじゃん
831:名無しさん@お腹いっぱい。
06/04/13 05:56:24
>>830
元のLDAPサーバはいじれないのに(>>828)、
nss_map_attributeでどう解決するんですか?
832:名無しさん@お腹いっぱい。
06/04/15 23:38:04
>>831
代替となるような項目が定義されてると思ったんだろーな。
GIDなんかは固定的な値を使えればいいかもな。
...できるんだろーか?
833:名無しさん@お腹いっぱい。
06/04/16 11:14:57
そのmapする先の属性がないとな…
uidNumberなんか絶対にないし。
あったら、SunやAppleやNetwareが苦労してないって。
834:名無しさん@お腹いっぱい。
06/04/16 15:02:48
LDAPなら電話番号を使うなんてできんか?
そうか、無理か。
835:名無しさん@お腹いっぱい。
06/04/29 21:48:50
Red Hat Directory Server(昔の Netscape Directory Server)みたいに
導入と管理が簡単ならいいんだけどね。
OpenLDAP 環境を構築するのが意外とメンドイ
836:名無しさん@お腹いっぱい。
06/04/30 00:08:34
つーか安定性も機能も足りないし。
837:名無しさん@お腹いっぱい。
06/04/30 06:15:08
Sun の Directory Server はどうよ?
838:名無しさん@お腹いっぱい。
06/04/30 10:57:04
Netscape→iPlanet系は全部まともでしょ。
OpenLDAPはきつい
839:名無しさん@お腹いっぱい。
06/04/30 12:37:16
Fedora Directory Serverもまともなのか?
840:名無しさん@お腹いっぱい。
06/04/30 22:43:51
Netscape ~ → Red Hat ~ → Fedora ~ でいまやOpenSource。
841:名無しさん@お腹いっぱい。
06/05/05 19:26:17
乙
842:名無しさん@お腹いっぱい。
06/05/10 11:27:43
OpenLDAPを1~2週間稼動していると、
勝手に異常終了して落ちてるんだけど。
エラーコードもでないからさっぱり。
>835-838
OpenLDAPって安定性ないのか?
843:名無しさん@お腹いっぱい。
06/05/10 11:43:01
オレの見てるとこは Samba の認証やらしてるけど落ちないよ。今 51days。
人数知れてるから負荷はかかってないけどね。
844:名無しさん@お腹いっぱい。
06/05/10 11:57:54
俺んとこもsamba+Linuxのアカウント管理にOpenLDAP使ってるけど
特に問題ないなあ。3ヶ月ぐらい動いてる。
845:名無しさん@お腹いっぱい。
06/05/10 17:31:56
うちもsambaからsubversionなど、LDAPで認証できるもの
ぜんぶをOpenLDAPで運用してる。で、いまuptimeをみたら
236 daysって出た。半年以上。一度も落ちたことないよ。
846:名無しさん@お腹いっぱい。
06/05/10 22:55:11
OpenLDAPはおもいきり負荷をかけるとすぐコケるな。
あと、よくバックエンドのDBが壊れる。
847:名無しさん@お腹いっぱい。
06/05/10 23:28:21
BDB以外でも駄目ですか?
848:名無しさん@お腹いっぱい。
06/05/10 23:47:06
うちBDBをバックエンドにしててホントへこむくらいよく壊れる。
お勧めのバックエンドがあったら教えてくれー。
849:846
06/05/11 00:19:38
>>847
まともに使い込んだのはBDBだけだから他は分からない。
あと、コケてたのはOSがLinuxだったせいかもしれぬ。
850:名無しさん@お腹いっぱい。
06/05/11 00:38:25
Linuxなら、SunかRed HatからNetscape直系のヤツ持ってきなよ。
FreeBSDとかなら、OpenLDAPでも仕方ないけど。
851:名無しさん@お腹いっぱい。
06/05/11 08:08:06
おーぷんそーすニナッタンジャナイノ?
852:名無しさん@お腹いっぱい。
06/05/11 08:56:33
まだportsにもないでしょ?
コンパイル成功するのかねえ
853:842
06/05/11 10:36:21
>843-845
こちらは、クライアント、サーバともにSolaris9で、
smtp/popサーバのアカウント管理、認証として動いてます。
slapdのCPU使用率5%未満なんだけど、
スパムやら定期受信で常にアクセスはあります。
ずーっと何かしら負荷がかかってるから落ちるのか・・・。
ソース覗いて調査中。
あとメモリが、slapd起動中どんどん減っていくんだけど、これが原因か?。
この減り方だと1~2週間も持たないですけど。
>846-849
BDBはよく壊れますね。
LDAPデータ更新後、すぐ停止起動とかやると高確率で壊れます。
854:名無しさん@お腹いっぱい。
06/05/11 11:14:13
RHEL3でアカウント数10万人で1~2年運用してるけど、
1回もOpenLDAP落ちたり壊れたりしたことないよ。
855:名無しさん@お腹いっぱい。
06/05/11 14:09:38
壊れるって言ってる奴はしょっちゅうフリーズするようなOS使ってるんだよ
856:名無しさん@お腹いっぱい。
06/05/11 14:17:21
操作が良く分からなくっていい加減なコマンドたたいて
いじってたらおかしくなってしょっちゅうアボーンするように…