もうNISの時代はおわったのか。
LDAP、PAM、Kerberosいろいろあるけど。
お前はどれを使う!?
UNIX認証方式いろいろ
1名無しさん@お腹いっぱい。
NGNG2名無しさん@お腹いっぱい。
NGNG Webアプリケーションが流行れば流行るほど、LDAPかなんらかのDBが主流になるのかな
NGNG
PAM と LDAP,Kerberos はレイヤが違うと思われ。
以前 Linux 板に PAM スレが立ったがあっという間に沈んだという。
以前 Linux 板に PAM スレが立ったがあっという間に沈んだという。
NGNG
LDAPに移行したいだけど,FreeBSDって対応してます?
NGNG
NGNG
うごくよん.
LDAPよりも,SQLでいきたいなーとか思っておるです.
LDAPよりも,SQLでいきたいなーとか思っておるです.
7名無しさん@お腹いっぱい。
NGNG >>6
SQLは単にデータベースとしての仕掛けだから、認証方式という論点からは
ズレちゃうような。LDAPサーバのバックエンドとしてSQL(mysql? postges?)
が居るというのならわかるけど。
SQLは単にデータベースとしての仕掛けだから、認証方式という論点からは
ズレちゃうような。LDAPサーバのバックエンドとしてSQL(mysql? postges?)
が居るというのならわかるけど。
NGNG
9名無しさん@お腹いっぱい。
NGNG iPlanet Directory Server とopenLDAPは同じ形式なんだろうか。
vpopmailやその他のopenLDAP対応した認証がiPlanet Directory Serverでも使えるのか?
iPlanetつかっているSolarisユーザーを声を聞かせてくれっ!
vpopmailやその他のopenLDAP対応した認証がiPlanet Directory Serverでも使えるのか?
iPlanetつかっているSolarisユーザーを声を聞かせてくれっ!
10名無しさん@お腹いっぱい。
NGNG APOP, HMAC はアルゴリズム知ってます。
でも PLAIN と LOGIN がわかりません。
RFC に書いてありますかね?
でも PLAIN と LOGIN がわかりません。
RFC に書いてありますかね?
11名無しさん@お腹いっぱい。
NGNG NIS+は確実に死ぬな。(もう死んでるか
12棄教者 ◆witdLTi2
NGNG 指紋認証でログインするシステムを誰かハックしてください。
おっと、網膜や声紋でもOKです。
おっと、網膜や声紋でもOKです。
13名無しさん@Emacs
NGNG14ななし
NGNG16名無しさん@Emacs
NGNG FreeBSD4.6Rからはpam_sshとかいうのが使えるらしい。
これはなんか便利な認証方式なのではなかったけ?
具体的にどう使うのかキボーン
これはなんか便利な認証方式なのではなかったけ?
具体的にどう使うのかキボーン
17名無しさん@お腹いっぱい。
NGNGNGNG
>>16
パスワードの代わりに ssh の秘密鍵を暗号化してあるパスフレーズを入力する。
それで秘密鍵が読めれば login できて、
ログインシェルの前に自動で ssh-agent が動いて鍵を覚えてくれる。
なので、そこから別のホストにログインするのも(public key
authentication できるようになっていれば)何も入力しなくてよい。
パスワードの代わりに ssh の秘密鍵を暗号化してあるパスフレーズを入力する。
それで秘密鍵が読めれば login できて、
ログインシェルの前に自動で ssh-agent が動いて鍵を覚えてくれる。
なので、そこから別のホストにログインするのも(public key
authentication できるようになっていれば)何も入力しなくてよい。
NGNG
21名無しさん@お腹いっぱい。
NGNG あげー
NGNG
qmail環境でqmail-popまたは、vpopmailでNISをかって認証をしたいんだけど、
chackepasswordなんかが/var/yp/etc/passwdを参照をする洋にするにはどうすればいいんですか?
chackepasswordなんかが/var/yp/etc/passwdを参照をする洋にするにはどうすればいいんですか?
NGNG
もうNISはマジでやめておこう。今からそれを採用するのはヤバイだろ。
NGNG
NISの何がやばいのか解説キボンヌ。
NGNG
NGNG
27ななし
NGNG2822
NGNG >>27
はいsolarisでございます。
nsswitch.confで/etc/passwdよりもnisのpassswdを優先させたらいいのか?
chechpasswordの認証は直接/etc/passwdを参照しているとおもっていたから…。
聞くより実行。さっそく試してみます。
あー、でもやっぱり明日にしよーっと!
はいsolarisでございます。
nsswitch.confで/etc/passwdよりもnisのpassswdを優先させたらいいのか?
chechpasswordの認証は直接/etc/passwdを参照しているとおもっていたから…。
聞くより実行。さっそく試してみます。
あー、でもやっぱり明日にしよーっと!
3022
NGNG >>27
やっぱり/etc/nsswitch.confを書き換えたところで、qmailのpop認証とかsmtp-auth認証は
chechpasswdを使っているから無理だった。
いま思えばやはり当たり前の事。
27はqmailのユーザー認証はなに使っているの?
やっぱり/etc/nsswitch.confを書き換えたところで、qmailのpop認証とかsmtp-auth認証は
chechpasswdを使っているから無理だった。
いま思えばやはり当たり前の事。
27はqmailのユーザー認証はなに使っているの?
31ななし
NGNG >>30
何で当たり前なの? checkpasswordのsource読んでみた?
getentで、/etc/nsswitch.confが有効になっているか調べてみたら?
/etc/init.d/nscd stop; /etc/init.d/nscd startもした?
NIS+→LDAP移行中
何で当たり前なの? checkpasswordのsource読んでみた?
getentで、/etc/nsswitch.confが有効になっているか調べてみたら?
/etc/init.d/nscd stop; /etc/init.d/nscd startもした?
NIS+→LDAP移行中
32sage
NGNG NIS はまだまだ必要。多分これからも必要。
NIS+ がターゲットにしていた部分は多分 LDAP とかになっていくんだろうね。
NIS+ がターゲットにしていた部分は多分 LDAP とかになっていくんだろうね。
NGNG
LDAP、updateがもうちっと分散指向になればな〜。
NGNG
LDAPって騒がれてるのは、知ってるんですが、
イマイチなんなのかわかりませぬ。
どこかLDAPがなにものなのか解説したサイトなどありませぬか?
イマイチなんなのかわかりませぬ。
どこかLDAPがなにものなのか解説したサイトなどありませぬか?
35仕様書無しさん
NGNG 【LDAP Linux HOWTO】
http://www.linux.or.jp/JF/JFdocs/LDAP-HOWTO.html
【LDAP Implementation HOWTO】
http://www.linux.or.jp/JF/JFdocs/LDAP-Implementation-HOWTO/
【LDAPによるパスワードの一元管理】
http://www.atmarkit.co.jp/flinux/rensai/root02/root02a.html
http://www.linux.or.jp/JF/JFdocs/LDAP-HOWTO.html
【LDAP Implementation HOWTO】
http://www.linux.or.jp/JF/JFdocs/LDAP-Implementation-HOWTO/
【LDAPによるパスワードの一元管理】
http://www.atmarkit.co.jp/flinux/rensai/root02/root02a.html
36仕様書無しさん
NGNG 【日本語LDAP RFC】
http://www.cysol.co.jp/contrib/ldap/index_j.html
http://www.cysol.co.jp/contrib/ldap/index_j.html
3830
NGNG >>31
もちろんNISは動いてますよ。ただcheckpasswordのソースは私は見ましたが 理解できる程cを理解していません。
もうちょとcheckpasswordをしらべますが、NISは関係ないとおもうんですけど。(/etc/passwdを参照する単なるプログラムだと理解しているのですが
もちろんNISは動いてますよ。ただcheckpasswordのソースは私は見ましたが 理解できる程cを理解していません。
もうちょとcheckpasswordをしらべますが、NISは関係ないとおもうんですけど。(/etc/passwdを参照する単なるプログラムだと理解しているのですが
NGNG
NGNG
ああ、とうとう怒らせてしまったな。。
NGNG
NGNG
>>43
> solarisなのでDES認証です。
じゃあ、-DHASGETSPNAMつけて、checkpasswordをcompileしないと。
ちなみにSolarisはDES認証なしでも運用可能な。
# DES認証時/shadow password利用時には、
# getpwent(3)では、password fieldをget出来ない。(変な仕様だ…)
> solarisなのでDES認証です。
じゃあ、-DHASGETSPNAMつけて、checkpasswordをcompileしないと。
ちなみにSolarisはDES認証なしでも運用可能な。
# DES認証時/shadow password利用時には、
# getpwent(3)では、password fieldをget出来ない。(変な仕様だ…)
NGNG
kerberos はアメリカの輸出規制どーなったんですか。
もう大丈夫なの?
もう大丈夫なの?
47名無しさん@お腹いっぱい。
NGNG age
NGNG
49AKAK
NGNG NIS+の話?
NGNG
51名無しさん@Emacs
NGNG >>45
56bit DES (Kerberos 4) については98年から規制緩和された。
http://www.watch.impress.co.jp/internet/www/article/980917/encrypt.htm
http://www.rccm.co.jp/~juk/krb/
http://www.openbsd.org/ja/crypto.html
56bit DES (Kerberos 4) については98年から規制緩和された。
http://www.watch.impress.co.jp/internet/www/article/980917/encrypt.htm
http://www.rccm.co.jp/~juk/krb/
http://www.openbsd.org/ja/crypto.html
52名無しさん@お腹いっぱい。
NGNG 認証に指を差し込む穴に指を入れさせる。
認証に失敗すると、内部の刃物で切断し、終了。
認証に失敗すると、内部の刃物で切断し、終了。
NGNG
pc3鯖、落ちてる?
NGNG
>52
「いやーごめんごめん、君の認証データを
人事異動の際に移しておくのを忘れちゃってたよ」
「いやーごめんごめん、君の認証データを
人事異動の際に移しておくのを忘れちゃってたよ」
55名無しさん@お腹いっぱい。
NGNG この前PDC環境をSolarisとSambaで構築しました。
便利で便利でない様な…。
便利で便利でない様な…。
NGNG
NGNG
ついでに管理者が弱音を吐いたり。
そこ、石投げないでください(-_-)
そこ、石投げないでください(-_-)
NGNG
くそぉ・・・NIS+ サポート打ち切りかよ・・・
せっかくおぼえたのに・・・
せっかくおぼえたのに・・・
NGNG
>>58
ふぉんとですか???
ふぉんとですか???
60not 58
NGNG Solaris 9でnisclientを実行すると、
******** ******** WARNING ******** ********
NIS+ might not be supported in a future release. Tools to aid
the migration from NIS+ to LDAP are available in the Solaris 9
operating environment. For more information, visit
http://www.sun.com/directory/nisplus/transition.html
******** ******** ******* ******** ********
って出てきます。5年はサポートが続くそうです。
まあ付属のLDAPでいいけどさ。credも使えるし。
NIS+とほとんどかわんね─よ。>>58
Multi-paltformになった利点の方が大きい。
******** ******** WARNING ******** ********
NIS+ might not be supported in a future release. Tools to aid
the migration from NIS+ to LDAP are available in the Solaris 9
operating environment. For more information, visit
http://www.sun.com/directory/nisplus/transition.html
******** ******** ******* ******** ********
って出てきます。5年はサポートが続くそうです。
まあ付属のLDAPでいいけどさ。credも使えるし。
NIS+とほとんどかわんね─よ。>>58
Multi-paltformになった利点の方が大きい。
61名無しさん@お腹いっぱい。
NGNG ここは質問スレッドではないのかもしれませんが
どうか一つ質問させて下さい.
Solaris8 x 10台程、Linux x 2台程の規模をNISを使って
管理しています.Solaris8の1台をNIS primary serverにして
あとは全てNIS clientです.パスワード有効期限を設定していますが
NIS serverにログインしたときには警告が出て変えろと言われますが
NIS clientにログインしても何も警告が出ません.パスワード有効
期限が切れたアカウントでも問題なく使えます.これだとNIS client
を使っているユーザーには何時までたってもpasswordを変えてもらえなくて困ってしまいます.
NISはpasswdの中のpassword部分をshadowのpassword部分と置き換えた
ものをmapとして配っているだけのようなので(ypcat passwdとしてみると)shadowの中にあるのパスワード有効期限やアカウント有効期限、
などの情報は配っていないようです.
clientでもパスワード期限切れを警告させたり期限切れアカウント
をloginさせなくするのにはどうしたら一番よいでしょうか。
(1)NISの仕様上不可能.NIS+ならできるので移行せよ
(2)NISの仕様上不可能.LDAPならできるので移行せよ
(3)NISの仕様上不可能.XXXに移行せよ
(4)NISでもXXとすれば可能
NIS+, LDAPを使ったことがないのですがもしこれが出来るなら
移行しようと考えているのです.
どうか一つ質問させて下さい.
Solaris8 x 10台程、Linux x 2台程の規模をNISを使って
管理しています.Solaris8の1台をNIS primary serverにして
あとは全てNIS clientです.パスワード有効期限を設定していますが
NIS serverにログインしたときには警告が出て変えろと言われますが
NIS clientにログインしても何も警告が出ません.パスワード有効
期限が切れたアカウントでも問題なく使えます.これだとNIS client
を使っているユーザーには何時までたってもpasswordを変えてもらえなくて困ってしまいます.
NISはpasswdの中のpassword部分をshadowのpassword部分と置き換えた
ものをmapとして配っているだけのようなので(ypcat passwdとしてみると)shadowの中にあるのパスワード有効期限やアカウント有効期限、
などの情報は配っていないようです.
clientでもパスワード期限切れを警告させたり期限切れアカウント
をloginさせなくするのにはどうしたら一番よいでしょうか。
(1)NISの仕様上不可能.NIS+ならできるので移行せよ
(2)NISの仕様上不可能.LDAPならできるので移行せよ
(3)NISの仕様上不可能.XXXに移行せよ
(4)NISでもXXとすれば可能
NIS+, LDAPを使ったことがないのですがもしこれが出来るなら
移行しようと考えているのです.
62名無しさん@お腹いっぱい。
NGNG なるほど。質問者に教えられました。ありがとう。たしかに61の言うとうりの参照方法なら不可能なのかな。(今日は遅いので明日調べてみます)
ところで、LDAP導入について61に便乗して質問します。
Solarisに入れたOpenLDAPの環境で/etc/nsswitch.ldapは使えるの?
iplanet Directory Server用なのかな?
何の為にあるのか謎。
ところで、LDAP導入について61に便乗して質問します。
Solarisに入れたOpenLDAPの環境で/etc/nsswitch.ldapは使えるの?
iplanet Directory Server用なのかな?
何の為にあるのか謎。
63not 58
NGNG6462
NGNG >63
>>nsswitch.conf用のsample。
それは承知です。iPlanet用なのかどうか謎。ってことです。
>>(稼働していればね)
iPlanet Directory ServerのLDAPのデーモンns-slapdが稼働していればね?ってことですか?
OpenLDAPのslapdが稼働していればね?ってことですか?
それともどちらでもOK?
>>nsswitch.conf用のsample。
それは承知です。iPlanet用なのかどうか謎。ってことです。
>>(稼働していればね)
iPlanet Directory ServerのLDAPのデーモンns-slapdが稼働していればね?ってことですか?
OpenLDAPのslapdが稼働していればね?ってことですか?
それともどちらでもOK?
NGNG
>>64
LDAP はプロトコルってことを理解している?
LDAP はプロトコルってことを理解している?
6661
NGNG 62,63さん、ありがとうございます.
63>> shadowマップはどうなってるの? (man -s 5 shadow)
(Solaris 8/sparcでman -s 4 shadowで)調べると、(一部抜粋します)
username:password:lastchg: min:max:warn: inactive:expire:flag
でした.
63>>nsswitch.confは大丈夫? (ypmatchと違い、getentは常にnsswitch.confを反映する)
grep passwd /etc/nsswitch.confとした所、
passwd: files nis
でした.まず最初に/etc/passwdを見て、その次にNISでpasswdのマップを参照して
いるようです./etc/passwdのパスワード部分はxにしてあり、
ypcat passwdで(例えばアカウントhogeの部分を)調べると,
hoge:Yp52g0OOGbEAU:150:100:Hogeo Hogeta:/home/hoge:/usr/local/bin/tcsh
getent passwd hogeの結果は(getentというcmdを知りませんでした...)
hoge:x:150:100:Hogeo Hogeta:/home/hoge:/usr/local/bin/tcsh
ypmatch -d "nis-domain-name" hoge passwdの結果は
ypcat passwd | grep hogeと同じでした.
/etc/passwdには(NIS server, NIS clientともに)+の記述はしていません.
昔、SunOS4.1.4の時にはnsswitch.confが無かったので+を記述していましたが.
63>> shadowマップはどうなってるの? (man -s 5 shadow)
(Solaris 8/sparcでman -s 4 shadowで)調べると、(一部抜粋します)
username:password:lastchg: min:max:warn: inactive:expire:flag
でした.
63>>nsswitch.confは大丈夫? (ypmatchと違い、getentは常にnsswitch.confを反映する)
grep passwd /etc/nsswitch.confとした所、
passwd: files nis
でした.まず最初に/etc/passwdを見て、その次にNISでpasswdのマップを参照して
いるようです./etc/passwdのパスワード部分はxにしてあり、
ypcat passwdで(例えばアカウントhogeの部分を)調べると,
hoge:Yp52g0OOGbEAU:150:100:Hogeo Hogeta:/home/hoge:/usr/local/bin/tcsh
getent passwd hogeの結果は(getentというcmdを知りませんでした...)
hoge:x:150:100:Hogeo Hogeta:/home/hoge:/usr/local/bin/tcsh
ypmatch -d "nis-domain-name" hoge passwdの結果は
ypcat passwd | grep hogeと同じでした.
/etc/passwdには(NIS server, NIS clientともに)+の記述はしていません.
昔、SunOS4.1.4の時にはnsswitch.confが無かったので+を記述していましたが.
6761 & 66
NGNG 61です.66が長くなったので分けて続けます.
shadowというマップはNISでは(/var/yp/Makefileを見ると)配って
いないので
% ypcat shadow
no such map in server's domain
% ypmatch -d "nis-domain-name" hoge shadow
Can't match key ono in map shadow.
Reason: no such map in server's domain.
%getent shadow ono
Unknown database: shadow
usage: getent database [ key ... ]
となります.
getspnam(3C)を読みますと、「もしあなたがNIS DBを使っている
場合は、shadowの情報はpasswd.bynameを参照することにより
得られる.ただしこれ(passwd.bynameは)sp_namp and sp_pwdp
しか(つまりlogin nameとencrypted-passwordしか)含んでいない」
とあります.
やはり、NIS clientが得る情報は、NIS serverのpasswdの2番目
の部分に、shadowのencrypted passwordを挿入したもののようです.
shadowというマップはNISでは(/var/yp/Makefileを見ると)配って
いないので
% ypcat shadow
no such map in server's domain
% ypmatch -d "nis-domain-name" hoge shadow
Can't match key ono in map shadow.
Reason: no such map in server's domain.
%getent shadow ono
Unknown database: shadow
usage: getent database [ key ... ]
となります.
getspnam(3C)を読みますと、「もしあなたがNIS DBを使っている
場合は、shadowの情報はpasswd.bynameを参照することにより
得られる.ただしこれ(passwd.bynameは)sp_namp and sp_pwdp
しか(つまりlogin nameとencrypted-passwordしか)含んでいない」
とあります.
やはり、NIS clientが得る情報は、NIS serverのpasswdの2番目
の部分に、shadowのencrypted passwordを挿入したもののようです.
6867の続き
NGNG 結局私に考えつく方法として次の3つだけです.
(a)(61-(4)の方法として)
/var/yp/Makefileでpasswdだけ他の(auto.homeやservicesと違って)
ファイルと違う扱い(shadowの一部だけpasswdのmapに載せて配るということ)
をしているのが原因なのだから、いっそのこと
/var/yp/MakefileのNISで配るmapにshadowも付け加える.
/etc/nsswitch.confにもshadowの行を付け加えて、NIS clientでも
ypcat shadowが実行できるようになるか試してみる.
(b)(61-(1),(2)として)NIS+かLDAPにして試してみる.
(c)他の角度からの運用で次善的解決法を模索する.
(a)(61-(4)の方法として)
/var/yp/Makefileでpasswdだけ他の(auto.homeやservicesと違って)
ファイルと違う扱い(shadowの一部だけpasswdのmapに載せて配るということ)
をしているのが原因なのだから、いっそのこと
/var/yp/MakefileのNISで配るmapにshadowも付け加える.
/etc/nsswitch.confにもshadowの行を付け加えて、NIS clientでも
ypcat shadowが実行できるようになるか試してみる.
(b)(61-(1),(2)として)NIS+かLDAPにして試してみる.
(c)他の角度からの運用で次善的解決法を模索する.
レスを投稿する
ニュース
- たぬかな、結婚していた SNSで報告 生配信では入籍時期も説明 祝福殺到「おめでとう!」「幸あれ」 [muffin★]
- 自民 国会議員の歳費 月額5万円引き上げ 今国会での成立目指す [どどん★]
- 「クラウンに乗りたかった」東京・足立の車暴走 男性、容疑を否認★2 [七波羅探題★]
- 相次ぐ中国公演中止に、シンガーソングライターらが続々高市首相に怒り表明「隣国の仲間たちに対して申し訳ない」★3 [muffin★]
- 東京・足立区の盗難車死亡ひき逃げ事件 11人死傷のうち死亡した男女の身元を発表 80代の男性と20代フィリピン国籍の女性 警視庁 [どどん★]
- 《降板の申し出が》「平手友梨奈は出ません」ムロツヨシの「弁護士ドラマ」から“バディ”が消える!連ドラ撮影中にも遅刻、欠席… [Ailuropoda melanoleuca★]
- ド、ド、ド リ フ の
- 精神科行ったらさ。。
- ゲーム中僕「ここ難しいなぁ」ポテチ食ってる友「んっ?ここ?ちょっと貸して」指チュッチュ
- 【動画】慶應准教授の有野氏、高市答弁の問題点を理路整然と指摘しまいネトウヨ発狂wwwwwwwwwwww [271912485]
- お前さんらの合う国ってどこなん?
- なんか寝れないのでウマ娘の雑談とか募集