05/11/26 06:13:23
>>747
hostAttribute書いてサーバ側でフィルタするだけでも
良い気がするけど。
751:名無しさん@お腹いっぱい。
05/11/28 11:10:18
>>748-750
レスありがとうございました。
三つをそれぞれ詳しく調べてどれが最善かしっかりと考えてみようと思います。
また詰まった際はご教授いただけると幸いです。
752:名無しさん@お腹いっぱい。
05/11/28 11:23:16
>751
結果を発表していただけると幸いです。
753:名無しさん@お腹いっぱい。
05/12/01 16:48:55
dn:< file:///tmp/xxx
といったURIスキームによる値を持つ属性を持ったエントリを追加しようとすると,
ldapmodify: invalid format (line x) entry: "......"
と言われてしまいます.
代わりに
dn: test
という値を持たせると問題ありませんでした.
また,別のマシンに同様のフォーマットによるエントリを追加したところ,
これも,問題ありませんでした.
もちろん /tmp/xxx は存在しています.
検索エンジンに「file:///」と入力しても「file」としてしか扱ってもらえず,
ヒントの探しようがなくて困っています.
何か考えられる原因はありますでしょうか.
よろしくお願いいたします.
754:名無しさん@お腹いっぱい。
05/12/01 16:56:18
どこのldapmodifyなのか、バージョンくらい書けばあ?
755:名無しさん@お腹いっぱい。
05/12/02 01:11:02
URLリンク(directory.fedora.redhat.com)
756:名無しさん@お腹いっぱい。
05/12/02 11:41:29
失礼しました.
OpenLDAP 2.3.11 のldapmodifyです.
757:名無しさん@お腹いっぱい。
05/12/02 22:33:22
OpenLDAPね。
>>753
dnは駄目。
attr: <file://パス名というformatで。空白は厳密に。
758:名無しさん@お腹いっぱい。
05/12/03 13:14:46
ネットワークセキュリティ Expert 3って雑誌にLDAPの話題がたくさん載ってた。
どこらへんがセキュリティなのかわからんけど。
759:753
05/12/07 10:48:05
レス遅れまして,申し訳ありません.
>>757
レスありがとうございます.
formatをそのようにしたところ,ちゃんと読み込んでくれました.
手持ちの文献には, "dc:< file:///" と書かれており,
また,別のPCでは,そのformatで読み込んでくれたので,
全く気づきませんでした.
同じOpenLDAPなのに,違う動作をしたのが解せないのですが,
動いたからいいや,という感じです.
本当にありがとうございました.
あと dn: ではなく dc: でした.
760:753
05/12/07 11:33:25
attr: <file://path にすると,
"<file://path" という文字列をbase64エンコーディングしたものが
値になってしまうんですけど……
761:753
05/12/08 16:17:05
追加です.
attr:< file:///tmp/xxx
は,前述の通りで,未だエラーが返ってきます.
しかし, (current is /<dir>)
attr:< file://./../tmp/xxx
とすると,読み込んでくれました.
ちなみに
attr:< file://../tmp/xxx
では読み込んでくれませんでした.
762:名無しさん@お腹いっぱい。
05/12/10 00:50:37
>>758
Radiusやら、PKIやらに応用すれば、ネットワークセキュリティ話になるな。
さらにそれを応用した話にも繋がるし。
それを前提にした、LDAP話を持ち出しても、別におかしくはあるまい。
このスレの主流となるOpenLDAPとは、関連が薄そうなヨカーン
763:758
05/12/10 21:38:35
>>762
RadiusやらPKIの話はないけど、OpenLDAPでUNIXアカウントとメールアカウント(qmail-ldap)
とOpenSSHの公開鍵とautofsのマップ定義管理してたよ。というか買った。
最後までLDIFを1回も書かないところが良かった。他にもSambaとかApacheとかとも
連携してるって書いたあったのでその話も気になった。
あと、証明書関連ってことで自己認証局の作り方も載っててちょっと得した気分。
でも、他の記事に比べると浮きまくりw。SSLやTLSを使ってるから有りなのか?
そんなわけでこのスレと一応関連するんでないかな。見かけたら見てみると良いよ。
764:名無しさん@お腹いっぱい。
05/12/13 12:07:04
先日の IW でも Security Day で
LDAP のセミナーがあったね。
URLリンク(internetweek.jp)
最近は NEC が samba 絡みでなんかやってるけど、
流行ってるんだろうかなあ?
765:名無しさん@お腹いっぱい。
05/12/13 12:40:41
NECは独自のLDAP製品持って、
マルチプラットフォーム連携やっている。
東大もMac OS Xに、NECのファイルサーバ、LDAPサーバじゃなかったかな。
前はWindows TSEも動かしていたし。
766:名無しさん@お腹いっぱい。
05/12/14 04:40:26
ちょうど同じようなネタが @IT に
URLリンク(www.atmarkit.co.jp)
肝心の LDAP の設定が殆どなんも書いてないや…
767:名無しさん@お腹いっぱい。
05/12/14 07:30:41
> ここでは本文に先行してLDAPのインストールまで行います。ただし、今回はイ
> ンストールを行うだけであり、設定については次回に解説します。
768:名無しさん@お腹いっぱい。
05/12/22 22:07:23
LDAPでLinuxマシンのユーザ認証を行わせる所まで出来ました。
次にldapに登録されているユーザでrootになれるユーザ(su 出来るユーザ)
を限定しようと考えているのですが、pamのwheelを使う方法で
上手く行きません。何か良いアドバイスを頂けませんでしょうか?
/etc/pam.d/su
+auth required /lib/security/pam_wheel.so group=wheel
/etc/login.defs
+SU_WHEEL_ONLY yes
/etc/group
+wheel:x:10:root,user1
変更点は以上の通りです。
769:名無しさん@お腹いっぱい。
05/12/23 08:39:45
sudoにしろ。
それからwheelグループをLDAP上に置かないならスレ違い。
770:名無しさん@お腹いっぱい。
05/12/29 01:40:01
WindowsとLinuxのクライアントが混在した環境でログイン認証を統一したいと
思っているんですが、LDAPで可能でしょうか? 現在はWinではAcriveDirectory、
Linuxは各マシンごとにpasswdでやってます。
ネット上で探したところDCをWindowsでなくSambaでつくってやればできそうなのは
なんとなくわかりましたが、WindowsのDCでやらせるのは無理でしょうか?
771:名無しさん@お腹いっぱい。
05/12/29 01:53:20
無理じゃないが面倒くさい。たぶんおまえの手にはおえない。
772:名無しさん@お腹いっぱい。
05/12/29 15:23:19
URLリンク(www.google.co.jp)
ググったらめちゃひっかかるやん。がんばれ
773:名無しさん@お腹いっぱい。
05/12/29 15:57:56
winbindでがんばる
774:名無しさん@お腹いっぱい。
06/01/01 00:19:50
くだ質っぽいが質問させてください。
環境はFreeBSD6.0、portsからopenldap-sasl-server-2.3.11を入れました
いつの間にかslapdの起動にやたらと時間がかかるようになってしまいました
デバッグ情報を表示させてみたら
ldap_create
ldap_url_parse_ext(ldap://127.0.0.1)
ldap_create
ldap_url_parse_ext(ldap://127.0.0.1)
ldap_simple_bind
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP 127.0.0.1:389
ldap_new_socket: 9
ldap_prepare_socket: 9
ldap_connect_to_host: Trying 127.0.0.1:389
ldap_connect_timeout: fd: 9 tm: 30 async: 0
ldap_ndelay_on: 9
ldap_connect_timeout: timed out
ldap_close_socket: 9
ldap_unbind
とタイムアウトしてるようなんですが
何故タイムアウトしているのかよくわかりません
775:名無しさん@お腹いっぱい。
06/01/03 19:49:59
$ telnet 127.0.0.1 389
776:774
06/01/09 01:43:08
nsswitch.confからldapを消したらタイムアウトしなくなった
slapdがlistenする前にnssを見に行ってるのだろうか
でも設定をいじった記憶も無いしなにがなんだか
777:名無しさん@お腹いっぱい。
06/01/09 10:13:44
hosts: files ldap
として、filesの方に最低限のhost記述がないから、
slapdが立ち上げ時に必要としているホスト名解決ができないんでしょ。
鶏卵問題ですな。(passwd, group, shadowかもしれませんが)
778:初心者
06/01/16 20:25:02
NISからOpenLDAPに移行しようとしているのですが、
現在、UNIXにあるデータをLDAPと連携させるには
何を使えばいいですか?
ちなみにFreeBSD5.3を使っています。
やはり、nss_ldapとpam_ldapでしょうか?
779:名無しさん@お腹いっぱい。
06/01/16 20:41:55
>>778
> NISからOpenLDAPに移行しようとしているのですが、
は
> やはり、nss_ldapとpam_ldapでしょうか?
でいいとして、
> 現在、UNIXにあるデータをLDAPと連携させるには
というのは何? 何のデータ?
780:初心者
06/01/16 21:23:58
レスありがとうございます。
データはUNIXユーザの情報です。
認証がかかったときに
そこに見に行くようにしたいのですが。
781:名無しさん@お腹いっぱい。
06/01/16 21:29:08
NISとの連携なのか、NISからの移行なのかはっきりして。
LDAPだけでいいなら、つまり完全移行なら、
NISからテキストデータベースを持ってきて、
migrationtoolでLDAPサーバに登録して。
782:名無しさん@お腹いっぱい。
06/01/17 00:06:35
filterの書式で、
(|(attr=a*)(attr=b*)(attr=c*)...(attr=z*)(attr=A*)...(attr=Z*))
このfilterはもっと短くできますか?
短くしたfilterを教えてください。
783:名無しさん@お腹いっぱい。
06/01/17 00:59:19
extensibleMatchに使える特殊なマッチルールを持っているサーバで、
attr型のSYNTAXがそのマッチでない限り、駄目です。
attrの定義でSYNTAX, EQUALITY, SUBSTRを調べてください。
まあ十中八九駄目ですが。
784:名無しさん@お腹いっぱい。
06/01/17 15:19:18
初カキコですいません。
ちょっと質問です。
FreeBSD5.3RELESEでOpenLDAPを使って
RADIUS認証をやりたいんですが、
RADIUS鯖でユーザ認証させても
radtest ... ... localhost 0 ...
とテストコマンドを使っても
access reject packet from host 127.0.0.1:1812
って出るですが、
いろんなサイトの設定を試してもできません。
LDAPにRADIUS用の特殊なオブジェクトクラスとかあるんでしょうか?
何か原因があればぜひ教えていただきたいです。
ちなみに、
OpenLDAP-sasl-server2.2.17、FreeRADIUS1.0.1を使用しています。
785:名無しさん@お腹いっぱい。
06/01/17 15:42:04
とりあえずな、freeradiusのusersファイルにローカルユーザ登録して試しな。
で、次にFreeRADIUSのLDAP RLMモジュールの設定な。
それから"access reject" packetってのは、
radiusプロトコルでの応答パケットの種類な。
アクセス拒否、つまり認証失敗ってこった。
786:名無しさん@お腹いっぱい。
06/01/17 16:01:47
レスありがとうございます。
ローカルユーザは認証成功しました。
>次にFreeRADIUSのLDAP RLMモジュールの設定な
についてですが、それはradius.confにあるmodulesの
ところのやつですか?
787:784
06/01/17 17:02:23
すいません、違いますね。
調べてわかりました。
しかし、そのLDAP RLMモジュールの設定をどこですればいいのか
がわからないです。
788:名無しさん@お腹いっぱい。
06/01/17 17:07:08
そう。全部話していると切りがないから、
${FREERADIUS}/doc/rlm_ldap
${FREERADIUS}/doc/ldap_howto.txt
読んで分からないところを聞いて。
789:名無しさん@お腹いっぱい。
06/01/17 17:07:59
>>787
radius"d".confだって。
${FREERADIUS}/doc/rlm_ldapをちゃんと読め。
790:784
06/01/17 19:27:41
>>789
すいません、radiusd.confでした。
>>788
どのファイルも英語でわからないとこだらけですが、
rlm_ldapとradiusd.confの設定内容で
例えば、basednやaccess_attrなんかは
同じ内容にしなきゃだめですよね?
portをとりあえず636から389にしたんですが
結局だめでした。
791:名無しさん@お腹いっぱい。
06/01/17 19:33:28
rlm_ldapが設定ファイルだと思っている?
もう一回良く読み直して。翻訳サイトで翻訳できるでしょ。
英語ドキュメント駄目そうなら、明日朝一で、
LDAP -設定・管理・プログラミング
URLリンク(www.amazon.co.jp)
を購入。
792:784
06/01/17 22:48:43
またしても勘違いしてました・・・。
書いてあることはわかるんですが、
実際どうすればいいかがわかんないですね・・・^^;
default_profileには、何を指定してやればいいんですか?
radiusprofileっていうオブジェクトクラスを使ってるエントリでは
ないんですか??
793:名無しさん@お腹いっぱい。
06/01/18 01:34:37
default_profileがLDAP上に必要なの?
usersに書くんじゃダメなの?
794:784
06/01/18 16:55:49
usersに書くんですか?
むぅ・・・よくわからんですね。
一応昨日はいろいろ設定して、認証通ったんですが
今日PC起動したらまた認証失敗するようになりましたorz
本買ったほうがいいですかね・・・。
795:名無しさん@お腹いっぱい。
06/02/02 04:14:53
FreeBSDでLDAPやってるのですが、
nss_ldapで作られるはずの/lib/libnss_ldap.soが見当たりません。
nss_ldap内にあるnss_ldap.soとはまた違うものですよね?
796:795
06/02/02 04:15:56
sage
797:名無しさん@お腹いっぱい。
06/02/02 08:57:02
>>795
> nss_ldapで作られるはずの
> nss_ldap内にある
意味が分かりません。
798:795
06/02/02 19:35:36
>797
説明がへたで申し訳ないです。
nss_ldapをコンパイルすると、
libnss_ldap.soが作られるようなのですが。
それに値するものがほかにあるかと思いまして。
799:名無しさん@お腹いっぱい。
06/02/02 20:03:51
謝る必要はないです(w
FreeBSDは新しくないと、name service switchがよろしくないです。
例えば、5.xの最新など。4は利用出来ません。5.1辺りも怪しい。
URLリンク(www.freebsd.org) ←こういう段階。
6はどうか知りませんが(調べてません)、5.xは{nss,pam}_ldapは入ってません。
URLリンク(www.abk.nu)
あたりを参考にしてはどうですか?
FreeBSDはこの辺が遅れていると思います。
CVS先端のgetaddrinfoもnssに基づいてないし。
800:795
06/02/02 21:30:38
>>799
そうなのですか・・
この間、6を入れたばかりだったんです。
新しい方がいいってわけでもないのですね。
もうちょっと、勉強してみます。
ありがとうございました☆
801:名無しさん@お腹いっぱい。
06/02/02 21:53:47
getaddrinfoについてはCVS先端「でも」nssじゃないという話をしたつもりで、
新しい「方が」ダメだと言ったつもりはない。
get*by*()系は5.xからnssになっているはずです。
FreeBSDの詳しいことはFreeBSDスレできいてねん。
802:名無しさん@お腹いっぱい。
06/02/03 09:51:01
LinuxサーバをLDAP対応にしたんだけど、useraddでローカルに
アカウントを追加しないので、全てのサーバの/home配下に一から
それぞれのユーザのホームディレクトリを作らないといけない…。
凄く怠いんだけど、何か対処法とか良い案有りますか?
ログイン時に/home配下にホームディレクトリが有るかどうかを
確認して、無ければ作る…と言う処理をさせるのが一番無難?
803:名無しさん@お腹いっぱい。
06/02/03 10:32:56
>>802
> useraddでローカルにアカウントを追加しないので、全てのサーバの/home配下
> に一からそれぞれのユーザのホームディレクトリを作らないといけない…。
よくわからん。
ホームは、各ホストでそれぞれ別のローカルディスク上に作りたい、ってこと?
pam_mkhomedirってのがあるから、各ホストの/etc/pam.dのloginやsshに書いて。
# つーかこれLDAP関係ないじゃん。
NFSでホームを共有するなら、LDAPにautomountのtable持ちなよ。
804:名無しさん@お腹いっぱい。
06/02/03 11:13:03
>>803
レスありがとう。
そうか…普通それぞれのユーザのホームディレクトリって
NFSとかで共有するのが普通なんだね…。
俺はご指摘の通りそれぞれのローカルディスクにホームディレクトリ
を作りたいとって事でした。pam_mkhomedirで対処します。
NFS導入も後々考えてみます。
確かにLDAPと関係ないね…。なのに親切にありがとう。
805:名無しさん@お腹いっぱい。
06/02/04 15:37:18
Postfixでバーチャルドメイン、アカウントと認証はLDAPで管理したいのですが、どのようにやればよいのでしょうか?
806:名無しさん@お腹いっぱい。
06/02/04 15:49:28
URLリンク(www.kobitosan.net)
URLリンク(www.kobitosan.net)
認証ってのはどういうことですか? SMTP AUTHですか?
807:名無しさん@お腹いっぱい。
06/03/06 04:45:04
/etc/openldap/slapd.conf
と
/etc/openldap/lapd.conf
の違いを教えてください
808:名無しさん@お腹いっぱい。
06/03/06 06:14:18
slapd.conf: サーバの設定
ldap.conf: クライアントの設定
lapd.conf: しらね
809:名無しさん@お腹いっぱい。
06/03/18 13:55:32
samba と ldap を連携させる時って、 ldap に入っている
あらゆるアカウントが samba が動いているマシンでシステム認証できないといけないの?
810:809
06/03/18 20:05:37
>>809 のようなことはないようです。では。
811:名無しさん@お腹いっぱい。
06/03/24 12:54:44
LDAPをユーザアカウント管理に使うようにすると、
サーバ名があちこちの設定ファイル(~/.ldaprcも含む)に埋め込みになるから、
サーバ名変える事態が起きると死ねない?
NISだとカーネル内にドメイン名を持ってて、
ドメイン名から勝手にサーバ探してくれるけど、
LDAPでうまくサーバ探してくれる方法ってないだろうか?
812:名無しさん@お腹いっぱい。
06/03/24 13:38:52
>>811
どうやったらそういうことになるのか分からん。
以下ぐらいしか設定する箇所無いと思うんだけど…。
/etc/openldap/
/etc/ldap.conf
/etc/nsswitch.conf
/etc/pam.d/system-auth
/etc/libuser.conf
813:名無しさん@お腹いっぱい。
06/03/24 14:11:21
原則的にはそうだけど、
メールのルーティングにLDAP見てたとか、courierで見てたとか、
apacheで見てたとか、
LDAPに情報を集積すればするほど、
サーバ名を書く例外的な設定ファイルが増えて、
サーバ名変わることなんとまずないし、
そのうち忘れられて、更新漏れ、引き継ぎ漏れが心配なのよ。
心配しすぎ?
814:名無しさん@お腹いっぱい。
06/03/24 14:15:47
DNSを変えて解決、という訳にはいかないのか…?
815:名無しさん@お腹いっぱい。
06/03/24 15:07:00
組織改変とかがあるとDNS的にサーバ名が変わるわけで
816:名無しさん@お腹いっぱい。
06/03/24 15:47:30
openldapの基本的な設定や、データの入力の仕方など、初めての人にわかりやすく解説している
サイトを教えてください
817:名無しさん@お腹いっぱい。
06/03/24 16:19:27
, イ)ィ -─ ─- 、ミヽ
ノ /,.-‐'"´ `ヾj ii / Λ
,イ// ^ヽj(二フ'"´ ̄`ヾ、ノイ{
ノ/,/ミ三ニヲ´ ゙、ノi!
{V /ミ三二,イ , /, ,\ Yソ
レ'/三二彡イ .:ィこラ ;:こラ j{
V;;;::. ;ヲヾ!V ー '′ i ー ' ソ
Vニミ( 入 、 r j ,′
ヾミ、`ゝ ` ー--‐'ゞニ<‐-イ
ヽ ヽ -''ニニ‐ /
| `、 ⌒ ,/
| >┻━┻'r‐'´
ヽ_ |
ヽ _ _ 」
ググレカス [ Gugurecus ]
( 2006 ~ 没年不明 )
818:名無しさん@お腹いっぱい。
06/03/24 18:32:32
>>813
dnのドメイン名は、DNSのドメイン名と一致しなくてもいいから、
別にLDAPのdnはそのままでいいんじゃない?
あとはフルdn(dc=mydomain,dc=jp)をldap.confに書いておけば、
以下のように省略してldapsearchとかが出来るって知ってる?
ldapsearch -x -b cn=testuser
>>816
LDAPはそう簡単じゃないし、最近は分かりやすい解説書が出てるから、
解説書買って読むのがいいと思われ。
819:名無しさん@お腹いっぱい。
06/03/24 22:42:28
お前は次に「お薦めの解説書ってどれ?」と言う。
820:名無しさん@お腹いっぱい。
06/03/25 01:36:12
まあ最初はこれでしょ。
LDAP -設定・管理・プログラミング
URLリンク(www.amazon.co.jp)
821:名無しさん@お腹いっぱい。
06/03/25 01:46:42
>>813
それぞれのサーバの振る舞いを理解して、適切なドキュメンテーションをしてください。
たとえばapacheのauth_ldapやpostfixも別個にサーバ記述できますしね。
>>811
ホストのドメイン名をNISのドメイン名に使うのはshell scriptのお仕事。
822:名無しさん@お腹いっぱい。
06/03/27 10:45:14
おそくなったがレスいろいろありがと。
基本は楽観と、ドキュメントしっかりやるという方向でなんとかしやす。
823:名無しさん@お腹いっぱい。
06/04/09 22:25:51
LDAPでTelnetでのLogonユーザ認証をさせたいのですが、この場合、
LDAP管理者の権限は必要になるのでしょうか?
Apacheでの認証の場合は下記URLに従うと管理者のID、パスワードは必要なかったので、
Telnetでも同様に認証できないかと思っています。
URLリンク(www.atmarkit.co.jp)
LDAPサーバの管理は別のところで、聞きにくいですがパスワードは一本化したいのです。
このような構成を構築した方、おられませんでしょうか?
824:名無しさん@お腹いっぱい。
06/04/09 23:46:10
いる
825:名無しさん@お腹いっぱい。
06/04/09 23:48:00
pam_ldapでtelnetの設定しろ
826:823
06/04/10 21:34:44
とりあえずできました。
ldap.confにはHOST、BASEを設定で認証成功。
ただし、LDAP側にposixAccount関連のエントリが無いためローカルに
利用するユーザを作る必要がありました。
今回は、限定ユーザ用のTelnetサーバだったから良かったけど、
LDAP登録ユーザ内の不特定多数だと対応できない。
LDAP側にエントリない場合に、HomeDirectoryとかUID、GIDを
補完してやる方法はないですか?
827:名無しさん@お腹いっぱい。
06/04/10 23:30:13
>>826の状況は、
pamはOKだけど、nssで駄目ということだから、
ローカルユーザを作って回避したって事ね。nsswitch.confでfilesを入れて。
> LDAP側にエントリない場合に、HomeDirectoryとかUID、GIDを
> 補完してやる方法はないですか?
ちゃんとLDAP上に作れ。それが一番簡単。
他の方法は、結局はローカルユーザ作るのと同じだから、(二重管理という意味で)
LDAP上でちゃんとやる以外の方法を模索する意味はない。
828:823
06/04/11 23:46:00
>>827
ldapの管理が親会社のWindowsの方を見てるところなんで、
ちゃんと作ってもらうのは難しいですよ。とほほ。
nss_map_attributeとかで何とかなりそうな雰囲気があるんですが。
829:名無しさん@お腹いっぱい。
06/04/12 05:58:15
>>828
> nss_map_attributeとかで何とかなりそうな雰囲気があるんですが。
ローカルユーザ作るより大変じゃん。
830:名無しさん@お腹いっぱい。
06/04/12 22:39:40
>>829
なんで?サーバ一台なら定義してしまえばpam_mkhomedirなんかで勝手に処理できるじゃん
831:名無しさん@お腹いっぱい。
06/04/13 05:56:24
>>830
元のLDAPサーバはいじれないのに(>>828)、
nss_map_attributeでどう解決するんですか?
832:名無しさん@お腹いっぱい。
06/04/15 23:38:04
>>831
代替となるような項目が定義されてると思ったんだろーな。
GIDなんかは固定的な値を使えればいいかもな。
...できるんだろーか?
833:名無しさん@お腹いっぱい。
06/04/16 11:14:57
そのmapする先の属性がないとな…
uidNumberなんか絶対にないし。
あったら、SunやAppleやNetwareが苦労してないって。
834:名無しさん@お腹いっぱい。
06/04/16 15:02:48
LDAPなら電話番号を使うなんてできんか?
そうか、無理か。
835:名無しさん@お腹いっぱい。
06/04/29 21:48:50
Red Hat Directory Server(昔の Netscape Directory Server)みたいに
導入と管理が簡単ならいいんだけどね。
OpenLDAP 環境を構築するのが意外とメンドイ
836:名無しさん@お腹いっぱい。
06/04/30 00:08:34
つーか安定性も機能も足りないし。
837:名無しさん@お腹いっぱい。
06/04/30 06:15:08
Sun の Directory Server はどうよ?
838:名無しさん@お腹いっぱい。
06/04/30 10:57:04
Netscape→iPlanet系は全部まともでしょ。
OpenLDAPはきつい
839:名無しさん@お腹いっぱい。
06/04/30 12:37:16
Fedora Directory Serverもまともなのか?
840:名無しさん@お腹いっぱい。
06/04/30 22:43:51
Netscape ~ → Red Hat ~ → Fedora ~ でいまやOpenSource。
841:名無しさん@お腹いっぱい。
06/05/05 19:26:17
乙
842:名無しさん@お腹いっぱい。
06/05/10 11:27:43
OpenLDAPを1~2週間稼動していると、
勝手に異常終了して落ちてるんだけど。
エラーコードもでないからさっぱり。
>835-838
OpenLDAPって安定性ないのか?
843:名無しさん@お腹いっぱい。
06/05/10 11:43:01
オレの見てるとこは Samba の認証やらしてるけど落ちないよ。今 51days。
人数知れてるから負荷はかかってないけどね。
844:名無しさん@お腹いっぱい。
06/05/10 11:57:54
俺んとこもsamba+Linuxのアカウント管理にOpenLDAP使ってるけど
特に問題ないなあ。3ヶ月ぐらい動いてる。
845:名無しさん@お腹いっぱい。
06/05/10 17:31:56
うちもsambaからsubversionなど、LDAPで認証できるもの
ぜんぶをOpenLDAPで運用してる。で、いまuptimeをみたら
236 daysって出た。半年以上。一度も落ちたことないよ。
846:名無しさん@お腹いっぱい。
06/05/10 22:55:11
OpenLDAPはおもいきり負荷をかけるとすぐコケるな。
あと、よくバックエンドのDBが壊れる。
847:名無しさん@お腹いっぱい。
06/05/10 23:28:21
BDB以外でも駄目ですか?
848:名無しさん@お腹いっぱい。
06/05/10 23:47:06
うちBDBをバックエンドにしててホントへこむくらいよく壊れる。
お勧めのバックエンドがあったら教えてくれー。
849:846
06/05/11 00:19:38
>>847
まともに使い込んだのはBDBだけだから他は分からない。
あと、コケてたのはOSがLinuxだったせいかもしれぬ。
850:名無しさん@お腹いっぱい。
06/05/11 00:38:25
Linuxなら、SunかRed HatからNetscape直系のヤツ持ってきなよ。
FreeBSDとかなら、OpenLDAPでも仕方ないけど。
851:名無しさん@お腹いっぱい。
06/05/11 08:08:06
おーぷんそーすニナッタンジャナイノ?
852:名無しさん@お腹いっぱい。
06/05/11 08:56:33
まだportsにもないでしょ?
コンパイル成功するのかねえ
853:842
06/05/11 10:36:21
>843-845
こちらは、クライアント、サーバともにSolaris9で、
smtp/popサーバのアカウント管理、認証として動いてます。
slapdのCPU使用率5%未満なんだけど、
スパムやら定期受信で常にアクセスはあります。
ずーっと何かしら負荷がかかってるから落ちるのか・・・。
ソース覗いて調査中。
あとメモリが、slapd起動中どんどん減っていくんだけど、これが原因か?。
この減り方だと1~2週間も持たないですけど。
>846-849
BDBはよく壊れますね。
LDAPデータ更新後、すぐ停止起動とかやると高確率で壊れます。
854:名無しさん@お腹いっぱい。
06/05/11 11:14:13
RHEL3でアカウント数10万人で1~2年運用してるけど、
1回もOpenLDAP落ちたり壊れたりしたことないよ。
855:名無しさん@お腹いっぱい。
06/05/11 14:09:38
壊れるって言ってる奴はしょっちゅうフリーズするようなOS使ってるんだよ
856:名無しさん@お腹いっぱい。
06/05/11 14:17:21
操作が良く分からなくっていい加減なコマンドたたいて
いじってたらおかしくなってしょっちゅうアボーンするように…
857:名無しさん@お腹いっぱい。
06/05/11 18:00:45
まとめ
*OpenLDAP自体の信頼性はべつに低くない >854 >843-845
858:名無しさん@お腹いっぱい。
06/05/11 18:27:08
むしろ壊れると言っている人のバークレイDBのバージョンが気になるね。
859:名無しさん@お腹いっぱい。
06/05/11 21:05:12
>>853
メモリが減ってゆくのはUnix系OSとして正しいとゆーか普通の動作だが、
OpenLDAPにはメモリリークするバグを抱えたバージョンもあったな
>>854がユーザにLDAPアドレス帳を提供してThunderbirdを使わせても
大丈夫なんだろうか
860:854
06/05/11 23:32:04
SMTP、POP、Web認証ぐらいにしか使ってない。
いろんなデーモンが動いてるけど、OpenLDAPの負荷はそれほど高くないかも。
LDAPアドレス帳はさすがにクラスタ組まないと厳しそうな予感。
861:848
06/05/12 01:01:15
うちの環境は RHEL3+OpenLDAP2.2.13+BDB4.2。
slurpdで複製しているスレイブサーバが
ファイルI/Oの負荷が高い状態で、大量の更新(200ユーザくらいの追加)がかかると
だんまりになってしまい、再起動するとDBが壊れているという状況。
組み合わせるBDBのバージョンによっても問題が起こるという話もあるとのことなんだけど、
どのバージョンのBDBが鬼門なのかも分からずゲンナリな状態。
862:名無しさん@お腹いっぱい。
06/05/12 11:53:44
>859
そうでしたね。ある程度消費して止まりました。
>848
こちらは
Solaris9+OpenLDAP2.3.17+BDB4.2です。
試験時に大量の更新後(約1000件)、停止/起動かけますと、壊れてしまいます。
約30分後に再起動だと壊れないです。あと10件ぐらいでも壊れないです。
だんまりになったことは無いですね。
863:名無しさん@お腹いっぱい。
06/05/12 12:32:36
slurpdの有無は無関係?
864:名無しさん@お腹いっぱい。
06/05/12 13:19:35
BDB のチューニングはどのくらいの使用負荷から必要ですか?
865:名無しさん@お腹いっぱい。
06/05/13 11:50:29
>>861
RHEL 使ってるんなら Fedora Directory Server にしたらいいんジャマイカ
866:名無しさん@お腹いっぱい。
06/05/14 09:20:27
Red Hat Directory Serverは有料なんかな? free trialがあるくらいだから。
867:名無しさん@お腹いっぱい。
06/05/16 23:06:13
Openldapでpam_ldap,nss_ldapでユーザ認証しているんだが、一般ユーザには
ldapsearch 等で格納されている情報を検索されたくないんですが、
slapd.confのアクセス制限で、最後の by * read を by * auth とかに
すると、マシンにログインできなくなってしまうのです。
なんか良い方法あったらおしえてくらはい。/usr/bin/ldapsearchの実行パーミッ
ション変えてもホームディレクトリとかにバイナリおかれたり、プログラム
書かれたら意みないので。
access to attrs=userPassword
by self write
by dn="cn=Manager,dc=hoge" write
by anonymous auth
by * none
access to *
by dn="cn=Manager,dc=hoge" write
by self write
by * read
868:名無しさん@お腹いっぱい。
06/05/16 23:41:08
ファイルのオーナとかそれに伴うパーミッションのチェックをするには、
/etc/passwd相当の情報は一般ユーザでも読めなきゃいけないんじゃないのかな?
passwd(一般ユーザが読める)とshadow(一般ユーザ読めない)に分かれている理由を考えてみれば納得できるかと。
869:名無しさん@お腹いっぱい。
06/05/17 00:22:18
>>867
試したことないんだが、
nscdをHOME環境変数設定して起動して、
$HOME/ldap.confでbinddn, bindpwを
"cn=Manager,dc=hoge"にしてみてはどうよ?
nscdはrootで動かして、HOME=~root、設定は~root/ldap.confがいいかな?
870:名無しさん@お腹いっぱい。
06/05/17 23:20:50
>>868
確かに
>>869
これは、デフォルトbindをManagerにするってー事?
nscdがどうして関係するのか未熟者なのでわかりません。。
871:868
06/05/18 06:49:10
>>869
nscdがManager権限でldapにアクセスしてれば、
nscdを使うプログラムからは、Manager権限でしか見えないものも見えるってことですか。
うまくいけば面白そうですね。
話は少し変わるけど、nscdを見に行くプログラムと直接ldapと話をしようとするプログラムがあるけど、
nscdを見に行くようなプログラムってどうやって書くんでしょう。
(CかPerlで具体的なコードが分かるとうれしい)
nscdを見に行ってくれないプログラムがnscdを見に行ってくれるようにする方法なんかも分かるとかなりうれしいんだけど。
872:名無しさん@お腹いっぱい。
06/05/18 08:12:30
>>871
get*by*()を使う。
強制nscdの方法はない。
ただFreeBSDはよくわかってない。
getaddrinfo()がnss/nscdは無視しているし。
873:名無しさん@お腹いっぱい。
06/05/20 03:12:17
腐ったOSで、DB回してれば何時か自然に転ぶって、爺ちゃんが言ってた。
874:名無しさん@お腹いっぱい。
06/05/20 11:33:04
なるほど、FreeBSDでバークレイDBを使ってはいけないわけですね。
875:871
06/05/20 11:48:13
>>872
gethostbynameとかbyaddrくらいしか使ったことがないんですが、
ユーザ認証するときは具体的にどんなget*by*()になるんでしょう。
ヘボい質問で情けないですが、教えてやってください。
876:名無しさん@お腹いっぱい。
06/05/20 13:15:16
ユーザ認証じゃなくて、ユーザデータベースでしょ。
getpwent
getpwnam
getpwuid
getgrent
getgrnam
getgrgid
この辺でしょ。*by*じゃないけど…
認証は、pam_ldap使えば、auth(bindオペレーション)だけ許可しとけばOK。
877:名無しさん@お腹いっぱい。
06/05/20 21:38:50
Novell eDirectory はどうですか?
Solaris や Linux でも使えるようですが
URLリンク(www.novell.com)
878:名無しさん@お腹いっぱい。
06/05/20 23:54:35
eDirectoryというか、eDirectoryを中心としたOESはよく出来てると思った。
ちょっと触っただけで、使い込んだわけじゃないけど。
879:名無しさん@お腹いっぱい。
06/05/21 07:23:16
一番歴史古いからね。
880:名無しさん@お腹いっぱい。
06/06/03 06:10:44
Fedora Directory Serverが公開されてるけど、どんな感じですか?
「サーバの構築が楽になっただけ」という声もありますが
881:名無しさん@お腹いっぱい。
06/06/03 11:52:23
Fedora使ってないので、他のデストリでコンパイルしようとしたら、
へんちくりんな独自build機構で苦労した…
*BSDへのポートは時間がかかりそうだな。
882:名無しさん@お腹いっぱい。
06/06/06 11:03:52
何だかんだ言ってもActive Directoryは親切設計だった
883:名無しさん@お腹いっぱい。
06/06/06 20:47:14
MS の文書見ても、バックアップ、リカバリがよく見えない気もするが ...
884:名無しさん@お腹いっぱい。
06/06/06 21:29:45
novellのがいい。
885:名無しさん@お腹いっぱい。
06/06/08 22:44:48
>>884
同意。やっぱノーベルがいい。
886:名無しさん@お腹いっぱい。
06/06/10 13:28:16
>>885
そう書かれると何か飴作ってる会社みたいだ。
887:名無しさん@お腹いっぱい。
06/06/10 14:17:54
オレはノーベルというと乾電池だなw。
888:名無しさん@お腹いっぱい。
06/06/10 15:55:00
ノーベルといえばノーベル賞だな。
ダイナマイトってことか。
889:名無しさん@お腹いっぱい。
06/06/10 17:19:38
マイトガイ小林旭
890:名無しさん@お腹いっぱい。
06/06/10 17:58:06
マジレスすると、正式表記はノーベルじゃなくてネベル。
891:890
06/06/10 17:59:44
>>890
うわ間違えた。
×ネベル
○ノベル
892:名無しさん@お腹いっぱい。
06/06/10 18:44:55
どれの正式表記? 乾電池?
893:名無しさん@お腹いっぱい。
06/06/10 18:45:29
正式表記はネスレ。
894:名無しさん@お腹いっぱい。
06/06/10 21:57:07
>>892 Nobellの方。
895:名無しさん@お腹いっぱい。
06/06/10 22:00:32
b?
896:894
06/06/11 00:21:12
>>894-895 orz
s/Nobell/Novel/
897:名無しさん@お腹いっぱい。
06/06/11 02:46:59
>>896
Novell!!
898:名無しさん@お腹いっぱい。
06/06/11 03:54:23
>>889
この板にいる人の年齢がわかるレスだな
「熱き心に」を歌いたくなってきた
899:名無しさん@お腹いっぱい。
06/06/11 22:14:33
Nestle
900:名無しさん@お腹いっぱい。
06/06/12 09:45:28
LDAPの標準認証って、
userPasswordに {crypt} と {SSHA} が混在してる状況でも、
LDAPサーバ側がユーザの暗号化方式に応じて認証可否を返してくれるもの?
それとも、システム全体で暗号化方式を統一しておく必要があります?
901:名無しさん@お腹いっぱい。
06/06/12 10:04:54
それはLDAPの仕様じゃなくて、
LDAPサーバの実装仕様によるけれど、
統一しておかないといけないサーバに遭遇したことはないです。
OpenLDAP, iPlanet, Fedora, Netscape, Novell, Active Directoryなど
ただしbasic認証じゃなくて、
自分でuserPassword属性を取得してcrypt()で認証しようとするクライアントが、
結構多いので要注意です。例えばSolarisのpam_ldap。
902:名無しさん@お腹いっぱい。
06/06/13 09:24:35
>>898
150トン。
903:名無しさん@お腹いっぱい。
06/06/13 10:43:50
>>902
よろしければどんな車に乗っているのかお聞かせ下さい。
#個人的にはコルトが欲しいです。
904:名無しさん@お腹いっぱい。
06/06/13 19:06:09
赤いトラクター以外に何か有るとでも言うのだろうか?
905:名無しさん@お腹いっぱい。
06/06/15 10:23:39
俺はお前だぜ~♪
906:902
06/06/16 16:20:23
はのこほペットにシタクッテっ・・・
それはいい。
OpenLDAP2.4ってな、何時マトモに使えるんだゴラ。
907:名無しさん@お腹いっぱい。
06/06/18 09:30:11
俺はもう OpenLDAP で構築しようとは思わなくなった…
悪いけどプロダクトの質が低いし手間かかりすぎ
908:名無しさん@お腹いっぱい。
06/06/18 09:58:34
NISのほうが楽そうだな
909:名無しさん@お腹いっぱい。
06/06/23 00:55:59
UltraPossum使っている人いる?
冗長構成が良さそうだが、いまいち設定の仕方がよくわからない。
VA以外じゃつかってないのか?
910:名無しさん@お腹いっぱい。
06/06/23 02:58:31
>>907
そうだね。マトモに使うのは楽じゃないかもね。
プロジェクトを進めている学校の質に依存する。
911:名無しさん@お腹いっぱい。
06/06/23 13:42:43
X.500 なんてもうきっぱり捨てて、BIND 改造して使おうぜ。
912:名無しさん@お腹いっぱい。
06/06/24 00:23:57
>>911
Kitchen Sink BINDキタコレwww
913:名無しさん@お腹いっぱい。
06/06/25 19:23:28
それなんてhesiod?
914:名無しさん@お腹いっぱい。
06/10/24 21:20:45
OpenldapでBIND認証させたユーザに
ある特定のOU配下のみに変更権限を与えることはできますか?
915:名無しさん@お腹いっぱい。
06/10/30 22:17:12
出来ます。
URLリンク(www.openldap.org)
916:914
06/11/01 00:21:47
>915
ありがとうございます。
試し見てみますね
917:名無しさん@お腹いっぱい。
06/11/24 03:16:46
openldap サーバ兼クライアント(CentOS 4.4)で、
authconfig をいろいろ書き換えながら ldap ログイン設定をしているのですが、
○ ldap://xxx/ でログインはOK
○ TLS無効時、id [username on ldap] は読める
× TLS有効時、ldaps://xxx/ でログインがだめ
× TLS有効時、id [username on ldap] が読めない
○ TLS有効時、ldapsearch ldaps://xxx/ は読める
な状態に陥っています。
なにから疑えばいいでしょうか。
(/etc/ldap.conf の TLS_REQCERT never は駄目?)
918:名無しさん@お腹いっぱい。
06/11/24 09:47:13
要するに、
素のLDAP操作(ldapsearch)はOKだが、
pam_ldap, nss_ldapが駄目だということだから、
CentOSのpam_ldap, nss_ldapのパケージに、
専用のLDAP設定ファイルがないか調べてください。
DebianやRHEにはあります。
Libraryが後から読み込むので、
基本設定が、pam_ldap, nss_ldap専用の設定で上書きされます。
それからidコマンドを実行しながら、
etherealでldap, ldapsのパケットを解析してみるのも吉。
919:名無しさん@お腹いっぱい。
06/11/24 13:39:22
>>917
echo "TLS_REQCERT allow" >> /etc/openldap/ldap.conf
で行くんじゃないかな。/etc/ldap.confとはまた別ものだよ。
920:917
06/11/24 19:46:51
slapd loglevel 256 を tail -f | grep -E "389|636" でみながら試行錯誤したところ、
ssl start_tls だとつながらない
だったので、authconfig 後に
----------
/etc/ldap.conf に URI ldaps と tls_reqcert never 明記
/etc/ldap.conf から ssl start_tls 追放
/etc/openldap/ldap.conf に URI ldaps と tls_reqcert never 明記
----------
にしたところ、
openldap サーバ兼クライアント(CentOS 4.4)
openldap クライアント(CentOS 4.4)
で無事動きました。
start_tls と ldaps は内部的になにがちがうのでしょうか?
921:名無しさん@お腹いっぱい。
06/11/25 01:03:47
こういう記事があったよ。
URLリンク(www.linux.or.jp)
Note: Start-TLS は、クライアントが要求したときだけ TLS を有効にする
ことができるようにします。この方法だと、単独の LDAP ポートをセキュアな
接続とそうでない接続の両方に使うことが可能です。
922:917
06/11/25 15:09:24
uri 外して ssl on でも動きました。> 921
start_tls だと pam_ldap は 389 を使おうとする
start_tls の pam_ldap 636 は何故か必ず失敗する(tls_reqcert never のせい?)
ので、
ssl on
か
uri ldaps://
で636強制が必要、
という事のようです。
923:名無しさん@お腹いっぱい。
06/11/25 15:15:57
ldap に限った事じゃないけど、start tls って最初は平文で接続してから ssl に
切り替える物だから、いきなり ssl ポートに接続してもセッションは張れないよ。
924:名無しさん@お腹いっぱい。
06/11/25 16:09:07
start_tlsはldapポートのまま、tlsネゴシエイトを始めるのね。
要するにアプリケーション層でtlsをコントロールする。
ldapsはセッション層でtls、ldapプロトコルは関与しない。
925:917
06/11/25 16:09:33
start_tls で 389 に接続後、Port 389 のままで SSL になる、という意味でしょうか?
「その場合 SSL が機能していること」はログのどこらへんに注目すればいいでしょうか。
926:917
06/11/25 16:19:13
ちょっと言葉たらずでした。
start_tls 「暗号化されてて安心」の確認は、ログのどこみればいいでしょうか。
これまでやったのはopenladap の
loglevel 256(ポート番号しかわからない感じ)
と
loglevel -1 (大量に出るので何みればいいのかわからない)
の2つです。
927:名無しさん@お腹いっぱい。
06/11/25 16:28:58
>>925
そうです。
安心したいなら、パケットキャプチャーするのがいいかと。
ログで見たければ、LDAP_DEBUG_STATS。
starttls.cのstarttls_extop()で、
Statslog( LDAP_DEBUG_STATS, "%s STARTTLS\n",
op->o_log_prefix, 0, 0, 0, 0 );
してる。
928:917
06/11/25 17:06:48
loglevel -1 の grep -i tls で
start_tls の id を行うと、
connection_read(12): unable to get TLS client DN error=49 id=【seq】
がかえってきました。
pam_ldap の start_tls は失敗しているようです。
929:名無しさん@お腹いっぱい。
06/11/25 17:37:46
ここ良く読め。
URLリンク(www.openldap.org)
ここもかな。
URLリンク(www.openldap.org)
930:名無しさん@お腹いっぱい。
06/12/23 23:13:15
OpenLDAPで構築したサーバと、
SolarisのネイティブLDAPを使ったクライアント。
この組み合わせは無理?
931:名無しさん@お腹いっぱい。
06/12/24 00:57:17
>>930
LDAPv3であってれば大丈夫じゃない?
経験的に、OpenLDAPのサーバはあまり使いたくないですが。
932:名無しさん@お腹いっぱい。
06/12/24 10:00:04
>>931
・OpenLDAP を使いたくない理由
・お勧めするDirectory Server
をご教授願いたい
933:名無しさん@お腹いっぱい。
06/12/24 13:38:26
>>930
Solarisのldapclient manualで設定すれば問題なくLinuxで動いてるOpenLDAPサーバのクライアントになれるよ。
4年運用してるけど特に問題ない。
934:名無しさん@お腹いっぱい。
06/12/24 14:18:55
>>932
931じゃないが、
・パフォーマンス悪い。結構バグがある。
・Netscape直系のヤツ。iPlanet, Sun Java, Red Hatなど。
935:931
06/12/24 22:16:11
>>930
あ、そこに食いつかれるとは思っていませんでした。
使いたくない理由は
・負荷が高いときの動作が怪しいこと
・BDBのハッシュだけがこわれてエントリをことごとく「ない」と応えられて痛い目をみた
お勧め…というか、仕事のシステムで変えられるならこれに変えてみたいというのは
・Sun Java
・Fedora Directory Server
かな。
936:名無しさん@お腹いっぱい。
06/12/24 22:22:38
同じく931じゃないが。
ヘヴィーな使い方をする場合にOpenLDAPを選択するというのは、
地雷原に突っ込むようなものだ。
軽く使うだけならOpenLDAPでもOK
937:931
06/12/24 22:30:21
あ、FedoraもバックエンドはBDBでした。
ということで、候補からはずしておきます。
(憧れだけで調べてなかったもので…)
938:名無しさん@お腹いっぱい。
06/12/24 23:08:42
Berkeley DBが悪いんじゃなくて、
OpenLDAPの排他制御に問題があるように感じる。
他にもBerkeley DBを多用するアプリで問題出たことないから。
939:名無しさん@お腹いっぱい。
06/12/24 23:14:16
OpenLDAPってそんなに問題あるの?
おれの所はSunとつきあいが長いんでSunJava Directory一辺倒だけど。
世の中OpenLDAPがデファクトになりつつあるんで流されようかなと日和って
きたんだが。SambaやWindows連携で良く使われているしさ。
940:名無しさん@お腹いっぱい。
06/12/24 23:15:26
(931ですが、あまり意味がないので名無しにします)
>>938
MovableTypeとかsubversionとかみてると「やっぱりBDBか?」とおもってしまうんですよぉ。
先入観ですかねぇ。
941:名無しさん@お腹いっぱい。
06/12/24 23:20:35
openldapを数百万ユーザ規模で動かしてるとこって、かなり
手を入れてるってことなのか。使い方にもよると思うけど、
何ユーザくらいで問題が出たりしてるの?数千くらいだったら
軽いかな?
942:名無しさん@お腹いっぱい。
06/12/24 23:23:28
そいつらは問題出てるんですか?
spamassassinがperl5の連想配列/libbdb4.4のtieを使ってるんです。
日に万を越えるメールを処理してますが壊れたこと無いですね。
943:名無しさん@お腹いっぱい。
06/12/24 23:24:59
>>941
VA LinuxがOpenLDAPだけど、
あそこはBackup復旧アプリを付けて出してるよ。
944:名無しさん@お腹いっぱい。
06/12/25 00:47:13
>>942
直接痛い目にあったわけじゃないですが、結構出てるみたいですよ。
ぐぐってみてください。
私が一番痛い目にあったのはpostfixで宛先の存在を見るようにしてて、
ハッシュが壊れたときにことごとく「ない」と応えてメールを全部叩き落しちゃったこと。
5分くらいで以上に気づいたけど、1000通くらいの被害を出しました。
壊れるタイミングは更新時だけみたい。
ユーザ数は1万弱でメール配送量は1日20000弱。ほとんどがspamですが…。
945:名無しさん@お腹いっぱい。
06/12/25 01:34:04
942です。
>>944
ごめん。それはOpenLDAPの事例だよね。
>>942ではアンカー付けなかったけど、>>940への問いかけのつもりでした。
OpenLDAPでは、自分もハッシュ壊れを体験してます。
幸い導入前の負荷テストだったので、OpenLDAPは外しました。
DefaultのBerkeley DBしか試してないけど、テストで駄目ならもう信用できないしね。
946:ななし
06/12/25 05:54:20
>>941
数十万エントリで2年運用しているけど
特に問題ないなぁ
947:名無しさん@お腹いっぱい。
06/12/25 07:22:28
ApacheDSとかプンディレとか使ってる人いらっしゃいますか?
948:名無しさん@お腹いっぱい。
06/12/25 09:28:28
>>947
プンディレってSun Java Directoryとは別系統なのかなあ?
ApacheDSもちょい興味あり。
949:名無しさん@お腹いっぱい。
06/12/25 10:15:05
OpenDSはJavaで書いてあるから、
Netscape直系のSun Java Directory Serverとは全く違うだろ。
Sun Java Directory Servderの"Java"には意味がないし。
950:名無しさん@お腹いっぱい。
06/12/25 11:04:19
Sunは最終的にはOpenDSでJavaDSを置き換える
つもりなのかなぁ?
ApacheDSもJavaだよね?
ちょい試してみようかな。
951:名無しさん@お腹いっぱい。
06/12/25 11:06:21
てかSunて最近何でも名前にJavaて付けるよな。
952:名無しさん@お腹いっぱい。
06/12/25 11:26:07
>>950
URLリンク(blogs.sun.com)
URLリンク(opends.dev.java.net)
読む限りでは、置き換えるつもりらしいね。
953:名無しさん@お腹いっぱい。
06/12/25 11:38:53
ASFは結構仕事早いから、ApacheDSとプンディレ、
どっちがデファクトスタンダードになるかな…。
954:名無しさん@お腹いっぱい。
06/12/25 11:42:51
>>953
ApacheDSはもう1.0リリースされてるしね。
使ってみた人います?
955:名無しさん@お腹いっぱい。
06/12/25 11:57:51
OpenDSも社内で一年かけた上でこの夏に公開したらしいぞ。
まだまじめに評価してないけど、(すぐに飛び付くのは時間の無駄なので)
動いてはいるよ。
956:名無しさん@お腹いっぱい。
06/12/25 12:14:52
>>951
最近はオープンソース化してOpenを付けるのが流行。
プンソラ
プンディレ
プングルオン
…
957:名無しさん@お腹いっぱい。
06/12/25 13:19:40
でもLDAPクライアントになるソフトウェアに
OpenLDAPライブラリを使って書かれたものが多い
限り、OpenLDAPは捨てられないのか…。
>>956
プンソラとプンディレはよく聞くけど、
プングルオンはさすがに聞いたことないぞwww
958:名無しさん@お腹いっぱい。
06/12/25 13:25:47
プングルってなに? オープングルメオンパレード?
959:名無しさん@お腹いっぱい。
06/12/25 13:30:51
>>958
マジレスすると、OpenSSO
…だよな???
960:名無しさん@お腹いっぱい。
06/12/25 13:42:46
>>957
OpenLDAPのライブラリは、
基本部分は、RFC1823 "The LDAP Application Program Interface"
他にはRFCにならなかったdraft、本の少しのOpenLDAP独自拡張。
LDAP関連のRFC draft writerとOpenLDAPのmemberはかなり重なっている。
だからアプリがOpenLDAPのlibldapに依存ってことはほとんどない。
TLS使ったときに、OpenSSLをどういうprofileで使うか、
あたりは潜在的に依存していることがあるだろうけど。
961:名無しさん@お腹いっぱい。
06/12/25 14:01:16
>>960
OpenDSとかApacheDSとか丸々Javaで書かれた
LDAPシステムだと、libldap自体用意できないから、
OpenLDAPみたいなCやCXXで書かれたLDAPシステムは
捨てられないのかな?程度の意味です。
分かりにくくてごめん。
962:名無しさん@お腹いっぱい。
06/12/25 14:06:02
>>959
おお、Open Web Single Sign-On、知らなんだ。プングルオンw
963:名無しさん@お腹いっぱい。
06/12/25 14:08:43
>>961
OpenLDAP のサーバーの、Berkeley DB は悪くなくて更新のとこ、とかいう文脈で、
なぜ OpenLDAP クライアントの C++ のライブラリを捨てなきゃならんという話になるのか?
964:名無しさん@お腹いっぱい。
06/12/25 14:26:49
>>963
よくわからんが、OpenLDAPの更新の話からは
ぶったぎれてて、単純にプンディレ使うんだったら
クライアントも含めてOpenLDAP捨てて全部
プンディレに移行したいってことじゃね?
965:名無しさん@お腹いっぱい。
06/12/25 14:38:22
・LDAPはprotocolだけでなくAPIもRFCになっている。
・OpenDSはclientライブラリ作ってない
・OpenLDAPは、DSMLも喋れるJLDAPってのを書いてる
・Sun JDKは、JNDIにLDAP Service Providerを持っている
・mod_ldap, nss_ldapの需要があるからCのライブラリは誰かが維持する。
966:名無しさん@お腹いっぱい。
06/12/25 14:40:30
>>965
> ・OpenLDAPは、DSMLも喋れるJLDAPってのを書いてる
↓これ。 クライアントライブラリね。
URLリンク(www.openldap.org)
ちなみにOpenDSもDSMLをサポートしてる。(これはサーバ側)
967:名無しさん@お腹いっぱい。
06/12/25 15:11:33
>>966
こんなの作ってたんだ…知らアッー!!!んかった。
968:名無しさん@お腹いっぱい。
06/12/26 09:47:44
Contributed by Novell.
以前はOpenLDAPのサイトに載せていながら、
結局 Novell のところでユーザ登録しないと取得できなかったような。
com.novell.* なパッケージもあるし、ほとんどソースが変更されて無いようなので、
「OpenLDAPが書いてる」っていうより、メンテしてるぐらいかな。