03/10/07 14:45.net
passwd ファイルと shadow ファイルの x と * と ! は何を意味するのでしょうか?
普通は shadow にハッシュされたパスワードが入っていて、
そのとき passwd ファイルのほうには x が入っているということくらいしか知らないのですが、
/etc/shadow を見ると * とか ! があります。
128:名無しさん@お腹いっぱい。
03/10/07 14:48.net
>>126
man 読め
OS 名くらい書け
129:名無しさん@お腹いっぱい。
03/10/07 15:00.net
>>127 ごめんなさい。わかりました。
When the asterisk is there, nothing can match it.
An exclamation mark means a password (or account) is locked via
usermod(8). Also, a single exclamation marks means that a account is not
allowed for logins. So a double exclamation makes sure that if it was
unlocked, it would still have an invalid passwd.
130:名無しさん@お腹いっぱい。
03/10/16 20:01.net
バックエンドのデータベースエンジンに格納されている
「ユーザ名 & ハッシュされたパスワード」 のペアを使って
認証するための PAM モジュールというのはあるのでしょうか?
認証情報を PostgreSQL や MySQL などのデータベースにテーブルとして格納し、
それを使って認証するためには、一旦 LDAP サーバなどを経由する必要がありますか?
131:LDAPスレの人
03/10/17 02:20.net
>>129
おまいさんは何使い? わしゃDebian使い。
URLリンク(packages.debian.org)
URLリンク(packages.debian.org)
132:名無しさん@お腹いっぱい。
03/10/17 04:29.net
>>130 が~ん、漏れも Debian 使いです…
そんなパッケージがあったとは…ありがとう。
133:名無しさん@お腹いっぱい。
04/05/27 12:24.net
認証を全部Kerberosにしたいのですが、Kerberosできるメールクライアントってどんなのがあるのでしょうか。
なければWebメールかな、と…。
134:名無しさん@お腹いっぱい。
04/06/01 21:25.net
pam使え。
135:名無しさん@お腹いっぱい。
04/09/01 12:34.net
Plan9があれば、こんなKerberosみたいなゴテゴテした仕組みは
要らないね。複数のコンピュータで一つのサービスを提供するから
シングルサインオンが当たり前の世界だし。
136:名無しさん@お腹いっぱい。
04/09/01 13:58.net
うちのサーバは人を信用してるから認証なし
137:名無しさん@お腹いっぱい。
04/09/01 16:18.net
■これ、犯罪じゃね?■ Part5
スレリンク(motenai板)
援軍に来てください!!お願いします。
どうしてもPCの知識がある人が必要なんです
138:名無しさん@お腹いっぱい。
04/09/01 17:12.net
>>134
そういえば、Kerberosって日本ではなかなか普及しないねぇ。
まあ、あんな面倒なもの使いたいなんて思わないからなぁ。
139:名無しさん@お腹いっぱい。
04/09/02 22:26.net
RADIUSとか・・・・・・・認証違いか・・・
ツーか、ダイアルアップの認証はもう辞めませんか社長・・・
回線からサーバまで管理する身にもなって下さい。
あぁ、今日もまた回線工事でクレームが・・・
140:名無しさん@お腹いっぱい。
04/09/02 23:39.net
>>137
WindowsとMac OS Xは、Kerberosを重要視し始めましたよ。
しかも運用はGUIDベース。
141:名無しさん@お腹いっぱい。
04/09/04 07:27.net
OSのあらゆるサービスがkerberos認証に基づく分散コンポーネントで
出来上がってるWindowsは、設計の観点から見たらやっぱり凄いね。
142:名無しさん@お腹いっぱい。
04/09/04 23:23.net
>>140
一行目はKerberos V5ベタベタに聞こえるけど、そうではない。
143:くそAD
04/09/10 14:38:10.net
Postfix へ POP Before SMTP として、Courier-IMAP + DRACを使う。
で、POPの認証先をLDAPにするまでは良いんだけど、LDAPサーバは
Win2003 Server の ActiveDirectory でやってくれと言われた。
別に問題ないんじゃない?と思っていたら、LDAPの業者から ActiveDirectory
のパスワード属性は書込み専用で読込むことが出来ないと言われた。
/etc/courier/authldaprc の中で、
------------------------------
LDAP_CLEARPW userPassword
------------------------------
というような事が出来ないと言うことですよね?
まだ Win2003 Server が手元に無いから試せないんだけど。
POPのパスワード用に別の属性を作るのは構わないと言っているけど、
Windows のパスワード(userPassword)と同期は取って欲しいとの事。
何か良い知恵はないですか?
144:名無しさん@お腹いっぱい。
04/09/11 00:49:25.net
courierをauthpamにして、pamでldapを参照するようにする。
pamのldap moduleが、PADL.comの奴ならば、
パスワード属性を読むんじゃなくて、
bind operationで認証をするので問題なし。*1)
ldapsでsimple bind、でいいんじゃないですか?
LDAPはdirectory serverであるだけでなく、認証serverでもあります。
userPassword属性を読んで、手元で(ひねった後)比較するんだと、
LDAPはdirectory serverで、認証はlocalでやっていることになります。
*1)の方法がLDAP的なんだけど、あまり理解されてないです。
ほとんどのserverが自分で認証をやってしまっている。
145:くそAD
04/09/13 11:35:26.net
>> 143
早速のアドバイスありがとうございます。
なるほど、NSS-ldapではなく、pamの設定でですか。
authpamに気づかず、同じような事をNSS経由でやろうと思っていました。
もしかしてご経験がある方でしょうか?
> ldapsでsimple bind、でいいんじゃないですか?
この場合、pam_passwordはclearで良いのでしょうか?
ActiveDirectory はクリアテキストでは格納されていないようだと
業者が言っておりました。
(あまりあてにならない業者のようでしたが)
Win2003 Server は手に入れたのですが、ユーザのエントリに
posixAccount のオブジェクトクラスを追加する方法がまだ
分からずにいてテストできない状態です。
教えて君で申し訳ありませんが、ご存知でしたらお教え願え
ますでしょうか?
よろしくお願いします。
146:名無しさん@お腹いっぱい。
04/09/13 12:15:30.net
>>144
> > ldapsでsimple bind、でいいんじゃないですか?
> この場合、pam_passwordはclearで良いのでしょうか?
Simple bindにすれば、指定しなくていい。(全てサーバ任せ)
nss_ldapのときは必須だけどね。ここちゃんと理解してね。
さらにパスワード変更するなら、
client側でpassword modifyオペレーションが利用できればいい。
# ActiveDirectoryはOK
> ActiveDirectory はクリアテキストでは格納されていないようだと
> 業者が言っておりました。
されてるよ。じゃないとchallenge & response使えないし。
けどそんなこと意識する必要ないのがbind。
> (あまりあてにならない業者のようでしたが)
まあ、あなたも分からないわけだから…
> Win2003 Server は手に入れたのですが、ユーザのエントリに
> posixAccount のオブジェクトクラスを追加する方法がまだ
> 分からずにいてテストできない状態です。
ldap関係のCUI .exeが付いているでしょ。ldapaddとか。
ActiveDirectoryの参考書読んだら?
147:名無しさん@お腹いっぱい。
04/09/13 12:17:19.net
それから↓くらいは読まないとマルチプラットフォーム運用は無理。
URLリンク(www.amazon.co.jp)
148:くそAD
04/09/13 13:16:58.net
いろいろありがとうございます。
> Simple bindにすれば、指定しなくていい。(全てサーバ任せ)
> nss_ldapのときは必須だけどね。ここちゃんと理解してね。
なるほど。
> ldap関係のCUI .exeが付いているでしょ。ldapaddとか。
> ActiveDirectoryの参考書読んだら?
ADの参考書を探してるんですが、LDAP側から見たものが見つからなくて
困っているところです。ドメインの管理やらユーザの管理やらの本は
何冊も見つかりましたが。
Win2000 Server ではCD-ROMから何かを入れないとコマンド類が
使えないという情報は見つけましたが、2003 の情報がなくて未だ
ldapadd とか使えない状態です。
こちらは調べて何とかします。
「LDAP -設定・管理・プログラミング」は一応読みました。
理解が足らず申し訳ないです。
149:名無しさん@お腹いっぱい。
04/09/13 13:30:24.net
>>147
> LDAP側から見たものが見つからなくて
ないよ。
Windowsで閉じている限りは以下の操作でOKです、ってのばかり。
padl.comのlink集がお勧め。MSDNも必読。
microsoft.ext.schema microsoft.schema microsoft.std.schema
も目を通しておいた方がいい。
後はSSLなしで運用してみて、etherealでsnoop。
150:くそAD
04/09/13 17:30:50.net
>>148
> Windowsで閉じている限りは以下の操作でOKです、ってのばかり。
やっぱり・・・
> padl.comのlink集がお勧め。MSDNも必読。
padl.com のリンクはいいですね。
その他、いろいろ良い情報ありがとうございます。
助かりました。
151:名無しさん@お腹いっぱい。
04/09/13 23:30:03.net
こりゃやってられねーや、と思ったら、予算を確保して、
URLリンク(jp.sun.com)
を検討してみてね。
来年出るMac OS X 10.4もprimary domain controllerの代りになるらしいが…
152:名無しさん@お腹いっぱい。
04/12/31 03:58:57.net
ユーザーデーターはLDAP-SSL,認証はKerberosコレ、漢仕様。
153:名無しさん@お腹いっぱい。
04/12/31 05:03:31.net
Kerberos、きちんと運用できれば便利なんだろうけどねぇ…
既存環境全部捨てるハメになりそうで、ヲレには無理。
NISの代替でPAMからLDAP使っての認証程度で精一杯。
154:名無しさん@お腹いっぱい。
05/01/07 23:43:21.net
PAMあれば、Kerberos運用は簡単。
155:名無しさん@お腹いっぱい。
05/05/11 03:14:00 .net
Solaris9(sparc) + nss_ldap-238(gcc,GNUmakeでbuild)で環境構築中、
ls -lなどではuid/gidの解決がOKっす。
が、LDAP上のユーザを指定したchownや、passwd上のユーザを指定したidコマンドで
必ずSegmentation Faultが出るんだけど…。
一応、ownerの変更や結果の表示はされてまつ。
Compilerのせい?
ちなみに、trussで見るとこんなん↓出てまつ。う~ん…
Incurred fault #6, FLTBOUNDS %pc = 0xFF0FAE24
siginfo: SIGSEGV SEGV_MAPERR addr=0xFF0FAE24
Received signal #11, SIGSEGV [default]
siginfo: SIGSEGV SEGV_MAPERR addr=0xFF0FAE24
156:名無しさん@お腹いっぱい。
05/05/11 10:41:22 .net
>>154
nss_ldapは置き換える必要がないと思うがどうか?
何のために置き換えようとしているの?
>>145は俺なんだけどこの記述が誤解させちゃったかな?
>>143とかLDAPスレとか読んでね。
# Solarisのpam_ldapは、OpenLDAPのpam_ldapと違う処理をする。
# simple bind op.じゃなくて、クライアント側でdecrypt check。
# nss_ldapは普通。接続設定方法だけ独自。
157:名無しさん@お腹いっぱい。
05/05/11 22:14:37 .net
大規模サイトで、LDAPが流行っているようですが、
solaris,BSD `等で OpenLDAP,PADL を実際に使って、認証システムを
構築して、企業なんかで利用できるのだろうか?
検索の速度等が、LDAPは遅いと聞いたのですが。
また、大手のLDAP良く落ちていますが、大丈夫でしょうか?
実際大手はどうやっているのだろうか
158:名無しさん@お腹いっぱい。
05/05/12 00:25:56 .net
LDAPスレにありますが、OpenLDAPは駄目駄目です。
iPlanet on Solaris辺りで。
Red HatはNetscapeの奴をAOLから買って一人前にして公開するみたいです。
大手ってのは国内メーカのこと?
159:名無しさん@お腹いっぱい。
05/05/12 01:19:28 .net
>>155
Solarisのldapclientコマンドで設定すると、
- いくつかの設定ファイルが自動的に書き換えられてしまう
- いくつかのデーモンが勝手に起動する
ので、/var/ldap/ldap_client_fileを作るのが目的なのに、
副作用がありそうで、その影響範囲が見えないことを懸念してまつ。
# -vオプションを付ければ処理を全て表示してくれる?
本番運用系のサーバを順次、nss/pam対応しようと思ってるんだけど、
何らかの副作用で、sendmailのメール配送に影響出たりすると、
目も当てられないので…。
その点、PADLのnss_ldapはldapclientのような
ブラックボックス化された部分が無く、
シンプルで分かりやすいので、置き換えたかったわけです。
Solaris純正は情報も少ないし…(docs.sun.comくらい?)
pamの違いは理解してまつ。
LDAPを認証サーバとして使った経験はあるので。
むしろ「userPasswordを読んで比較」だと、
「それじゃ単なるDBじゃん!」とツッコミたくなるよね。
そのへん純正pamは、ちとイケテナイなぁ、と。
160:名無しさん@お腹いっぱい。
05/05/12 01:22:03 .net
>> 157
> iPlanet on Solaris辺りで。
> Red HatはNetscapeの奴をAOLから買って一人前にして公開するみたいです。
iPlanetも元をたどればNetscape Directory Serverではなかった?
勘違いだったらスマソ
161:155
05/05/12 08:09:53 .net
>>158
力不足だから、やめときなさい。
162:158
05/05/12 08:55:06 .net
>>160
漏れが?
… orz
163:名無しさん@お腹いっぱい。
05/05/12 08:59:18 .net
FreeBSD でLDAPしようと思うと、LDAPに何を使うのがいいでしょうか?
openldap がだめということなので。
VA Linuxが出しているLDAPソリューション、大変興味がありますが、検索速度などどうなのでしょうか?
164:名無しさん@お腹いっぱい。
05/05/12 09:04:59 .net
LinuxならiPlanetにしておけば?
URLリンク(www.sun.com)
165:ななし
05/05/16 00:15:01 .net
>>162
openldapの話は規模によると思います。
大規模系ですか?
166:名無しさん@お腹いっぱい。
05/06/03 11:56:35 .net
Red Hat/Fedoraも出したってさ。
Binaryは今のところLinuxとSolaris only
URLリンク(directory.fedora.redhat.com)
167:名無しさん@お腹いっぱい。
05/12/27 12:36:07 .net
kerberosを使ってるマシン(Fedore Core 4)に誰かがsshでログイン中、チケットキャッシュが
/tmp/krb5cc_500_kGobGm8510
という感じで出来てる。別の誰かが su で root になったあと、
このファイルを /tmp/krb5cc_501 のように自分のチケットキャッシュとしてコピーして
chown でオーナー変えてしまえば、簡単に盗めてしまい、kerberosに参加してる他のサーバにログインできてしまうけど、どう対策すれば…
kerberos に参加している全てのマシンで root 権限を廃止すればいいんだろうけど、
運用が大きく変わりそうだし、他に手はない?
168:名無しさん@お腹いっぱい。
06/01/26 00:07:15 .net
debian sargeでPostfixでSMTP AUTH + PAMやりたいのに、なんで
どう設定してもPAM認証をおこなってくれない;;
169:名無しさん@お腹いっぱい。
06/01/26 00:29:13 .net
>>166
Kerberosを良く勉強するか、心配するのは止めて寝なさい。
>>167
どう設定してもPAM認証を行ってくれないってことはないです。
Cyrus SASL 2を使いなさい。
170:名無しさん@お腹いっぱい。
06/04/26 08:41:30 .net
保守
171:名無しさん@お腹いっぱい。
06/04/26 12:38:54 .net
>>168 ってこことかLDAPのスレでよくみるな。
172:名無しさん@お腹いっぱい。
06/07/26 13:18:48 .net
● 細木数子 × 恫喝 × 島倉千代子の弱み
細木数子のブレーンが必死だ。 親しい芸能関係者を呼んで、「 お金はいくらでも出すから
島倉のスキャンダルを教えてくれ 」 と頼んでるらしい。 細木と島倉といえば、 マスコミでは
島倉の危機を救った命の恩人のようだが、実際は細木が島倉を食い物にしたと噂されてる。
その真相を島倉にしゃべられたくないため、 先日、 羽田空港で二人がばったり会った際に、
島倉に「 余計なことをしゃべるな 」とクギを刺したようだ。細木といえば、若い頃は暴力団の
幹部の女だったとか、いろいろ黒い噂のある人物だ。たいていのスキャンダルなら「 力 」と
「 金 」で封じ込めると思うが、何か焦ってるのだろうか。
細木の話によると「 島倉千代子はかって12億円の借金があったが、その借金を細木がマネー
ジャーや送り迎えをしながら協力した 」そうだ。それなのに「 借金を返済したとたんに事務所を
移転して音沙汰なし 」とか。 これが本当であれば島倉千代子も恩知らずといえそうだが、これ
に対しては逆に 「 細木数子が島倉千代子から金を騙し取っていたので 島倉側は細木数子に
対して怒りを覚えてる 」 という情報もあるようだ。 いつまでも返済できない借金を所属レコード
会社のコロムビアに借金を肩代わりしてもらうことで、別の事務所に移籍して細木数子の魔の
手から逃れたとか。細木数子といえば、実弟のマルチまがい商法疑惑やら悪徳霊感商法疑惑
やらの黒い噂も流れている。 たたけばいくらでも埃の出る身だろうが、 視聴率を稼いでいる今
は大丈夫かもしれない。
URLリンク(www.nazotoki.com)
173:名無しさん@お腹いっぱい。
06/07/26 23:06:41 .net
>>171
$ cat /etc/pam.d/shimakura
auth required pam_hosogi.so
account required pam_hosogi.so
password required pam_hosogi.so
session required pam_hosogi.so
$
↑悪い設定例
174:名無しさん@お腹いっぱい。
07/04/20 10:47:51 .net
落ちそうだからageとくよ
LDAPスレ落ちたな。
175:名無しさん@お腹いっぱい。
07/07/08 01:38:46 .net
今ようやく、krb5/heimdal を穿り出してる(SAMBA-ADSからSPNEGO関連)
けど、あの辺りのいわゆる名前解決が厭らしいな。 _kerberos なんてSRVレコードを
使うのは、一向構わないのだけど、今更放置してあるMSDNSを弄るのは嫌だし・・・鬱だ。
176:名無しさん@お腹いっぱい。
07/08/19 07:58:05 .net
とりあえず LDAP と samba で Windows と UNIX の
統一認証しているけど、今後はどうなるのかねぇ・・・
Samba で Active Directory 扱う方法をいまだに理解
していないので NT ドメイン認証なのが orz
いつの間にか NIS は使わなくなっちゃったなぁ。
177:名無しさん@お腹いっぱい。
07/08/20 07:35:07 .net
SambaでADに参加するのは簡単。
Solaris10にMIT Krb5と新しめのsambaでやった。
毎回KDCで認証するのを、最初の一度だけにしたいんだけど、
gssapiで認証できるものが少なすぎる。
178:名無しさん@お腹いっぱい。
07/08/22 11:56:22 .net
UNIX的にはPAM化した方がよくね?
179:名無しさん@お腹いっぱい。
07/09/06 11:08:41 .net
ま、Kerberos の仕組みを理解してない
(一時理解したつもりになったがまた忘れた)
俺にとっては、永久に Active Directory は扱えないってこった。
死ね俺。
180:名無しさん@お腹いっぱい。
07/09/11 12:59:49 .net
>>178
・kerberos は チケット発行してもらうKDC。
・kerberos対応アプリケーション(GSSAPIライブラリつかったもん)では、
ユーザが取得したチケットを確認して、kdcに問い合わせる。
・レルムに属する資源検索はDNSでも可能になってる。(88/tcpとは限らん)
・昔は、DESを使う。今は3DES/AES、 何でもござれ。
それ以外に何か理解する必要があっただろうか。
実装面での脆弱性とかは、気にしても仕方ない。
それと、KRBとActiveDirectoryとは基礎は同じでも、拡張部分があって
同一に扱うのは無理がある。 Samba4.0あたりでは、独自のKRB実装を入れて
AD拡張部分を埋める。
181:名無しさん@お腹いっぱい。
07/09/12 00:29:28 .net
背伸びしすぎw
182:名無しさん@お腹いっぱい。
07/09/13 01:35:42 .net
AD,は、エラーが出てもなにが原因かわからないことが多くてやだ。
183:名無しさん@お腹いっぱい。
07/09/14 13:47:51 .net
Sambaの出バグオプション、 -d10 とかすると、なにやら出過ぎて困るね。
すごっく遅くなるし。
184:名無しさん@お腹いっぱい。
07/09/14 14:37:35 .net
9とか8とか小さくすればいいんじゃね?
185:名無しさん@お腹いっぱい。
08/08/18 07:48:21 .net
nsswitch.conf
passwd: file
shadow: file
group: file
って書いてログインできなくなって死んだ。
複数形!
186:電脳プリオン
11/12/11 22:02:41.87 BE:162163744-2BP(1960).net
今は何の時代?
187:電脳プリオン 忍法帖【Lv=40,xxxPT】(3+0:8) 【28.3m】
13/08/11 NY:AN:NY.AN BE:101352825-PLT(12080).net
レスないな
188:名無しさん@お腹いっぱい。
14/10/05 11:48:03.78 .net
お試しモードでインストールせずにDVDから起動して
スクリーンセーバーが起動しちゃったんだけど、
パスワード入力以外受け付けない、どうするの?
強制終了させてもIDと自動でパスワード入力状態になる。
電源ボタン長くおしても電源が落ちないよ。なんで?
バッテリーは外せない仕様だからバッテリーぬいて電源おとせないよ。
落ちるまで待つか?
189:名無しさん@お腹いっぱい。
14/10/05 13:17:40.35 .net
>>187
コピペ
スレリンク(unix板:90番)
190:名無しさん@お腹いっぱい。
17/12/29 09:36:48.21 .net
誰でも簡単にパソコン1台で稼げる方法など
参考までに、
⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。
グーグル検索⇒『宮本のゴウリエセレレ』
3B4GBGDN1C
191:名無しさん@お腹いっぱい。
18/05/22 04:28:06.56 .net
知り合いから教えてもらったパソコン一台でお金持ちになれるやり方
時間がある方はみてもいいかもしれません
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
CJXYA
192:名無しさん@お腹いっぱい。
24/03/27 20:04:11.27 .net
要するに
あと10年で卒業=まあ普通。
あとは既に糖尿病の薬を飲んでるから物価上がってくぞ
193:名無しさん@お腹いっぱい。
24/03/27 20:13:25.38 .net
はえー
正直ジブラやケンジーよりクレバの方もいると思うが
194:名無しさん@お腹いっぱい。
24/03/27 20:35:54.83 .net
ウォッチしてたんでしょ
195:名無しさん@お腹いっぱい。
24/03/27 21:52:27.91 .net
ガチで戦力構想から外れてJKにおっさんにやらせたことに関しては既存顧客との戦いを始める
お前ら
このケースの正解てなんなんだよ
クワド芸人だったと考えるべきなのかもしれんけど
196:過去ログ ★
[過去ログ]
■ このスレッドは過去ログ倉庫に格納されています