もうNISの時代はおわったのか。
LDAP、PAM、Kerberosいろいろあるけど。
お前はどれを使う!?
探検
UNIX認証方式いろいろ
1名無しさん@お腹いっぱい。
NGNG2名無しさん@お腹いっぱい。
NGNG Webアプリケーションが流行れば流行るほど、LDAPかなんらかのDBが主流になるのかな
NGNG
PAM と LDAP,Kerberos はレイヤが違うと思われ。
以前 Linux 板に PAM スレが立ったがあっという間に沈んだという。
以前 Linux 板に PAM スレが立ったがあっという間に沈んだという。
NGNG
LDAPに移行したいだけど,FreeBSDって対応してます?
NGNG
NGNG
うごくよん.
LDAPよりも,SQLでいきたいなーとか思っておるです.
LDAPよりも,SQLでいきたいなーとか思っておるです.
7名無しさん@お腹いっぱい。
NGNG >>6
SQLは単にデータベースとしての仕掛けだから、認証方式という論点からは
ズレちゃうような。LDAPサーバのバックエンドとしてSQL(mysql? postges?)
が居るというのならわかるけど。
SQLは単にデータベースとしての仕掛けだから、認証方式という論点からは
ズレちゃうような。LDAPサーバのバックエンドとしてSQL(mysql? postges?)
が居るというのならわかるけど。
NGNG
9名無しさん@お腹いっぱい。
NGNG iPlanet Directory Server とopenLDAPは同じ形式なんだろうか。
vpopmailやその他のopenLDAP対応した認証がiPlanet Directory Serverでも使えるのか?
iPlanetつかっているSolarisユーザーを声を聞かせてくれっ!
vpopmailやその他のopenLDAP対応した認証がiPlanet Directory Serverでも使えるのか?
iPlanetつかっているSolarisユーザーを声を聞かせてくれっ!
10名無しさん@お腹いっぱい。
NGNG APOP, HMAC はアルゴリズム知ってます。
でも PLAIN と LOGIN がわかりません。
RFC に書いてありますかね?
でも PLAIN と LOGIN がわかりません。
RFC に書いてありますかね?
11名無しさん@お腹いっぱい。
NGNG NIS+は確実に死ぬな。(もう死んでるか
12棄教者 ◆witdLTi2
NGNG 指紋認証でログインするシステムを誰かハックしてください。
おっと、網膜や声紋でもOKです。
おっと、網膜や声紋でもOKです。
13名無しさん@Emacs
NGNG14ななし
NGNG16名無しさん@Emacs
NGNG FreeBSD4.6Rからはpam_sshとかいうのが使えるらしい。
これはなんか便利な認証方式なのではなかったけ?
具体的にどう使うのかキボーン
これはなんか便利な認証方式なのではなかったけ?
具体的にどう使うのかキボーン
17名無しさん@お腹いっぱい。
NGNGNGNG
>>16
パスワードの代わりに ssh の秘密鍵を暗号化してあるパスフレーズを入力する。
それで秘密鍵が読めれば login できて、
ログインシェルの前に自動で ssh-agent が動いて鍵を覚えてくれる。
なので、そこから別のホストにログインするのも(public key
authentication できるようになっていれば)何も入力しなくてよい。
パスワードの代わりに ssh の秘密鍵を暗号化してあるパスフレーズを入力する。
それで秘密鍵が読めれば login できて、
ログインシェルの前に自動で ssh-agent が動いて鍵を覚えてくれる。
なので、そこから別のホストにログインするのも(public key
authentication できるようになっていれば)何も入力しなくてよい。
NGNG
21名無しさん@お腹いっぱい。
NGNG あげー
NGNG
qmail環境でqmail-popまたは、vpopmailでNISをかって認証をしたいんだけど、
chackepasswordなんかが/var/yp/etc/passwdを参照をする洋にするにはどうすればいいんですか?
chackepasswordなんかが/var/yp/etc/passwdを参照をする洋にするにはどうすればいいんですか?
NGNG
もうNISはマジでやめておこう。今からそれを採用するのはヤバイだろ。
NGNG
NISの何がやばいのか解説キボンヌ。
NGNG
NGNG
27ななし
NGNG2822
NGNG >>27
はいsolarisでございます。
nsswitch.confで/etc/passwdよりもnisのpassswdを優先させたらいいのか?
chechpasswordの認証は直接/etc/passwdを参照しているとおもっていたから…。
聞くより実行。さっそく試してみます。
あー、でもやっぱり明日にしよーっと!
はいsolarisでございます。
nsswitch.confで/etc/passwdよりもnisのpassswdを優先させたらいいのか?
chechpasswordの認証は直接/etc/passwdを参照しているとおもっていたから…。
聞くより実行。さっそく試してみます。
あー、でもやっぱり明日にしよーっと!
3022
NGNG >>27
やっぱり/etc/nsswitch.confを書き換えたところで、qmailのpop認証とかsmtp-auth認証は
chechpasswdを使っているから無理だった。
いま思えばやはり当たり前の事。
27はqmailのユーザー認証はなに使っているの?
やっぱり/etc/nsswitch.confを書き換えたところで、qmailのpop認証とかsmtp-auth認証は
chechpasswdを使っているから無理だった。
いま思えばやはり当たり前の事。
27はqmailのユーザー認証はなに使っているの?
31ななし
NGNG >>30
何で当たり前なの? checkpasswordのsource読んでみた?
getentで、/etc/nsswitch.confが有効になっているか調べてみたら?
/etc/init.d/nscd stop; /etc/init.d/nscd startもした?
NIS+→LDAP移行中
何で当たり前なの? checkpasswordのsource読んでみた?
getentで、/etc/nsswitch.confが有効になっているか調べてみたら?
/etc/init.d/nscd stop; /etc/init.d/nscd startもした?
NIS+→LDAP移行中
32sage
NGNG NIS はまだまだ必要。多分これからも必要。
NIS+ がターゲットにしていた部分は多分 LDAP とかになっていくんだろうね。
NIS+ がターゲットにしていた部分は多分 LDAP とかになっていくんだろうね。
NGNG
LDAP、updateがもうちっと分散指向になればな〜。
NGNG
LDAPって騒がれてるのは、知ってるんですが、
イマイチなんなのかわかりませぬ。
どこかLDAPがなにものなのか解説したサイトなどありませぬか?
イマイチなんなのかわかりませぬ。
どこかLDAPがなにものなのか解説したサイトなどありませぬか?
35仕様書無しさん
NGNG 【LDAP Linux HOWTO】
http://www.linux.or.jp/JF/JFdocs/LDAP-HOWTO.html
【LDAP Implementation HOWTO】
http://www.linux.or.jp/JF/JFdocs/LDAP-Implementation-HOWTO/
【LDAPによるパスワードの一元管理】
http://www.atmarkit.co.jp/flinux/rensai/root02/root02a.html
http://www.linux.or.jp/JF/JFdocs/LDAP-HOWTO.html
【LDAP Implementation HOWTO】
http://www.linux.or.jp/JF/JFdocs/LDAP-Implementation-HOWTO/
【LDAPによるパスワードの一元管理】
http://www.atmarkit.co.jp/flinux/rensai/root02/root02a.html
36仕様書無しさん
NGNG 【日本語LDAP RFC】
http://www.cysol.co.jp/contrib/ldap/index_j.html
http://www.cysol.co.jp/contrib/ldap/index_j.html
3830
NGNG >>31
もちろんNISは動いてますよ。ただcheckpasswordのソースは私は見ましたが 理解できる程cを理解していません。
もうちょとcheckpasswordをしらべますが、NISは関係ないとおもうんですけど。(/etc/passwdを参照する単なるプログラムだと理解しているのですが
もちろんNISは動いてますよ。ただcheckpasswordのソースは私は見ましたが 理解できる程cを理解していません。
もうちょとcheckpasswordをしらべますが、NISは関係ないとおもうんですけど。(/etc/passwdを参照する単なるプログラムだと理解しているのですが
NGNG
NGNG
ああ、とうとう怒らせてしまったな。。
NGNG
NGNG
>>43
> solarisなのでDES認証です。
じゃあ、-DHASGETSPNAMつけて、checkpasswordをcompileしないと。
ちなみにSolarisはDES認証なしでも運用可能な。
# DES認証時/shadow password利用時には、
# getpwent(3)では、password fieldをget出来ない。(変な仕様だ…)
> solarisなのでDES認証です。
じゃあ、-DHASGETSPNAMつけて、checkpasswordをcompileしないと。
ちなみにSolarisはDES認証なしでも運用可能な。
# DES認証時/shadow password利用時には、
# getpwent(3)では、password fieldをget出来ない。(変な仕様だ…)
NGNG
kerberos はアメリカの輸出規制どーなったんですか。
もう大丈夫なの?
もう大丈夫なの?
47名無しさん@お腹いっぱい。
NGNG age
NGNG
49AKAK
NGNG NIS+の話?
NGNG
51名無しさん@Emacs
NGNG >>45
56bit DES (Kerberos 4) については98年から規制緩和された。
http://www.watch.impress.co.jp/internet/www/article/980917/encrypt.htm
http://www.rccm.co.jp/~juk/krb/
http://www.openbsd.org/ja/crypto.html
56bit DES (Kerberos 4) については98年から規制緩和された。
http://www.watch.impress.co.jp/internet/www/article/980917/encrypt.htm
http://www.rccm.co.jp/~juk/krb/
http://www.openbsd.org/ja/crypto.html
52名無しさん@お腹いっぱい。
NGNG 認証に指を差し込む穴に指を入れさせる。
認証に失敗すると、内部の刃物で切断し、終了。
認証に失敗すると、内部の刃物で切断し、終了。
NGNG
pc3鯖、落ちてる?
NGNG
>52
「いやーごめんごめん、君の認証データを
人事異動の際に移しておくのを忘れちゃってたよ」
「いやーごめんごめん、君の認証データを
人事異動の際に移しておくのを忘れちゃってたよ」
55名無しさん@お腹いっぱい。
NGNG この前PDC環境をSolarisとSambaで構築しました。
便利で便利でない様な…。
便利で便利でない様な…。
NGNG
NGNG
ついでに管理者が弱音を吐いたり。
そこ、石投げないでください(-_-)
そこ、石投げないでください(-_-)
NGNG
くそぉ・・・NIS+ サポート打ち切りかよ・・・
せっかくおぼえたのに・・・
せっかくおぼえたのに・・・
NGNG
>>58
ふぉんとですか???
ふぉんとですか???
60not 58
NGNG Solaris 9でnisclientを実行すると、
******** ******** WARNING ******** ********
NIS+ might not be supported in a future release. Tools to aid
the migration from NIS+ to LDAP are available in the Solaris 9
operating environment. For more information, visit
http://www.sun.com/directory/nisplus/transition.html
******** ******** ******* ******** ********
って出てきます。5年はサポートが続くそうです。
まあ付属のLDAPでいいけどさ。credも使えるし。
NIS+とほとんどかわんね─よ。>>58
Multi-paltformになった利点の方が大きい。
******** ******** WARNING ******** ********
NIS+ might not be supported in a future release. Tools to aid
the migration from NIS+ to LDAP are available in the Solaris 9
operating environment. For more information, visit
http://www.sun.com/directory/nisplus/transition.html
******** ******** ******* ******** ********
って出てきます。5年はサポートが続くそうです。
まあ付属のLDAPでいいけどさ。credも使えるし。
NIS+とほとんどかわんね─よ。>>58
Multi-paltformになった利点の方が大きい。
61名無しさん@お腹いっぱい。
NGNG ここは質問スレッドではないのかもしれませんが
どうか一つ質問させて下さい.
Solaris8 x 10台程、Linux x 2台程の規模をNISを使って
管理しています.Solaris8の1台をNIS primary serverにして
あとは全てNIS clientです.パスワード有効期限を設定していますが
NIS serverにログインしたときには警告が出て変えろと言われますが
NIS clientにログインしても何も警告が出ません.パスワード有効
期限が切れたアカウントでも問題なく使えます.これだとNIS client
を使っているユーザーには何時までたってもpasswordを変えてもらえなくて困ってしまいます.
NISはpasswdの中のpassword部分をshadowのpassword部分と置き換えた
ものをmapとして配っているだけのようなので(ypcat passwdとしてみると)shadowの中にあるのパスワード有効期限やアカウント有効期限、
などの情報は配っていないようです.
clientでもパスワード期限切れを警告させたり期限切れアカウント
をloginさせなくするのにはどうしたら一番よいでしょうか。
(1)NISの仕様上不可能.NIS+ならできるので移行せよ
(2)NISの仕様上不可能.LDAPならできるので移行せよ
(3)NISの仕様上不可能.XXXに移行せよ
(4)NISでもXXとすれば可能
NIS+, LDAPを使ったことがないのですがもしこれが出来るなら
移行しようと考えているのです.
どうか一つ質問させて下さい.
Solaris8 x 10台程、Linux x 2台程の規模をNISを使って
管理しています.Solaris8の1台をNIS primary serverにして
あとは全てNIS clientです.パスワード有効期限を設定していますが
NIS serverにログインしたときには警告が出て変えろと言われますが
NIS clientにログインしても何も警告が出ません.パスワード有効
期限が切れたアカウントでも問題なく使えます.これだとNIS client
を使っているユーザーには何時までたってもpasswordを変えてもらえなくて困ってしまいます.
NISはpasswdの中のpassword部分をshadowのpassword部分と置き換えた
ものをmapとして配っているだけのようなので(ypcat passwdとしてみると)shadowの中にあるのパスワード有効期限やアカウント有効期限、
などの情報は配っていないようです.
clientでもパスワード期限切れを警告させたり期限切れアカウント
をloginさせなくするのにはどうしたら一番よいでしょうか。
(1)NISの仕様上不可能.NIS+ならできるので移行せよ
(2)NISの仕様上不可能.LDAPならできるので移行せよ
(3)NISの仕様上不可能.XXXに移行せよ
(4)NISでもXXとすれば可能
NIS+, LDAPを使ったことがないのですがもしこれが出来るなら
移行しようと考えているのです.
62名無しさん@お腹いっぱい。
NGNG なるほど。質問者に教えられました。ありがとう。たしかに61の言うとうりの参照方法なら不可能なのかな。(今日は遅いので明日調べてみます)
ところで、LDAP導入について61に便乗して質問します。
Solarisに入れたOpenLDAPの環境で/etc/nsswitch.ldapは使えるの?
iplanet Directory Server用なのかな?
何の為にあるのか謎。
ところで、LDAP導入について61に便乗して質問します。
Solarisに入れたOpenLDAPの環境で/etc/nsswitch.ldapは使えるの?
iplanet Directory Server用なのかな?
何の為にあるのか謎。
63not 58
NGNG6462
NGNG >63
>>nsswitch.conf用のsample。
それは承知です。iPlanet用なのかどうか謎。ってことです。
>>(稼働していればね)
iPlanet Directory ServerのLDAPのデーモンns-slapdが稼働していればね?ってことですか?
OpenLDAPのslapdが稼働していればね?ってことですか?
それともどちらでもOK?
>>nsswitch.conf用のsample。
それは承知です。iPlanet用なのかどうか謎。ってことです。
>>(稼働していればね)
iPlanet Directory ServerのLDAPのデーモンns-slapdが稼働していればね?ってことですか?
OpenLDAPのslapdが稼働していればね?ってことですか?
それともどちらでもOK?
NGNG
>>64
LDAP はプロトコルってことを理解している?
LDAP はプロトコルってことを理解している?
6661
NGNG 62,63さん、ありがとうございます.
63>> shadowマップはどうなってるの? (man -s 5 shadow)
(Solaris 8/sparcでman -s 4 shadowで)調べると、(一部抜粋します)
username:password:lastchg: min:max:warn: inactive:expire:flag
でした.
63>>nsswitch.confは大丈夫? (ypmatchと違い、getentは常にnsswitch.confを反映する)
grep passwd /etc/nsswitch.confとした所、
passwd: files nis
でした.まず最初に/etc/passwdを見て、その次にNISでpasswdのマップを参照して
いるようです./etc/passwdのパスワード部分はxにしてあり、
ypcat passwdで(例えばアカウントhogeの部分を)調べると,
hoge:Yp52g0OOGbEAU:150:100:Hogeo Hogeta:/home/hoge:/usr/local/bin/tcsh
getent passwd hogeの結果は(getentというcmdを知りませんでした...)
hoge:x:150:100:Hogeo Hogeta:/home/hoge:/usr/local/bin/tcsh
ypmatch -d "nis-domain-name" hoge passwdの結果は
ypcat passwd | grep hogeと同じでした.
/etc/passwdには(NIS server, NIS clientともに)+の記述はしていません.
昔、SunOS4.1.4の時にはnsswitch.confが無かったので+を記述していましたが.
63>> shadowマップはどうなってるの? (man -s 5 shadow)
(Solaris 8/sparcでman -s 4 shadowで)調べると、(一部抜粋します)
username:password:lastchg: min:max:warn: inactive:expire:flag
でした.
63>>nsswitch.confは大丈夫? (ypmatchと違い、getentは常にnsswitch.confを反映する)
grep passwd /etc/nsswitch.confとした所、
passwd: files nis
でした.まず最初に/etc/passwdを見て、その次にNISでpasswdのマップを参照して
いるようです./etc/passwdのパスワード部分はxにしてあり、
ypcat passwdで(例えばアカウントhogeの部分を)調べると,
hoge:Yp52g0OOGbEAU:150:100:Hogeo Hogeta:/home/hoge:/usr/local/bin/tcsh
getent passwd hogeの結果は(getentというcmdを知りませんでした...)
hoge:x:150:100:Hogeo Hogeta:/home/hoge:/usr/local/bin/tcsh
ypmatch -d "nis-domain-name" hoge passwdの結果は
ypcat passwd | grep hogeと同じでした.
/etc/passwdには(NIS server, NIS clientともに)+の記述はしていません.
昔、SunOS4.1.4の時にはnsswitch.confが無かったので+を記述していましたが.
6761 & 66
NGNG 61です.66が長くなったので分けて続けます.
shadowというマップはNISでは(/var/yp/Makefileを見ると)配って
いないので
% ypcat shadow
no such map in server's domain
% ypmatch -d "nis-domain-name" hoge shadow
Can't match key ono in map shadow.
Reason: no such map in server's domain.
%getent shadow ono
Unknown database: shadow
usage: getent database [ key ... ]
となります.
getspnam(3C)を読みますと、「もしあなたがNIS DBを使っている
場合は、shadowの情報はpasswd.bynameを参照することにより
得られる.ただしこれ(passwd.bynameは)sp_namp and sp_pwdp
しか(つまりlogin nameとencrypted-passwordしか)含んでいない」
とあります.
やはり、NIS clientが得る情報は、NIS serverのpasswdの2番目
の部分に、shadowのencrypted passwordを挿入したもののようです.
shadowというマップはNISでは(/var/yp/Makefileを見ると)配って
いないので
% ypcat shadow
no such map in server's domain
% ypmatch -d "nis-domain-name" hoge shadow
Can't match key ono in map shadow.
Reason: no such map in server's domain.
%getent shadow ono
Unknown database: shadow
usage: getent database [ key ... ]
となります.
getspnam(3C)を読みますと、「もしあなたがNIS DBを使っている
場合は、shadowの情報はpasswd.bynameを参照することにより
得られる.ただしこれ(passwd.bynameは)sp_namp and sp_pwdp
しか(つまりlogin nameとencrypted-passwordしか)含んでいない」
とあります.
やはり、NIS clientが得る情報は、NIS serverのpasswdの2番目
の部分に、shadowのencrypted passwordを挿入したもののようです.
6867の続き
NGNG 結局私に考えつく方法として次の3つだけです.
(a)(61-(4)の方法として)
/var/yp/Makefileでpasswdだけ他の(auto.homeやservicesと違って)
ファイルと違う扱い(shadowの一部だけpasswdのmapに載せて配るということ)
をしているのが原因なのだから、いっそのこと
/var/yp/MakefileのNISで配るmapにshadowも付け加える.
/etc/nsswitch.confにもshadowの行を付け加えて、NIS clientでも
ypcat shadowが実行できるようになるか試してみる.
(b)(61-(1),(2)として)NIS+かLDAPにして試してみる.
(c)他の角度からの運用で次善的解決法を模索する.
(a)(61-(4)の方法として)
/var/yp/Makefileでpasswdだけ他の(auto.homeやservicesと違って)
ファイルと違う扱い(shadowの一部だけpasswdのmapに載せて配るということ)
をしているのが原因なのだから、いっそのこと
/var/yp/MakefileのNISで配るmapにshadowも付け加える.
/etc/nsswitch.confにもshadowの行を付け加えて、NIS clientでも
ypcat shadowが実行できるようになるか試してみる.
(b)(61-(1),(2)として)NIS+かLDAPにして試してみる.
(c)他の角度からの運用で次善的解決法を模索する.
6968の続き
NGNG (a)はちょっと怖くてやりたくない.
(Sunが書いている/var/yp/Makefileのを編集するのはよくやると
思いますが、shadowを編集して入れてしまうというのが未体験
ゾーンなのです)
(b)はNIS+かLDAPで(clientでのパスワード期限の警告、
期限切れのlockが)出来るという機能面の保証がまだ無いので
(ちょっと見つかりませんので)まだ試すには時間がかかる.
ので、(c)の解決法としてNISサーバーでcronで1日一回、
passwordの期限切れが迫っている人には警告のメールを出すように
perl scriptを書いて走らせるようにしました.script自体は
今のところうまく行っているようです.しかしこれでは
* E-mailを読まなかったり使わない人、無視する人には効果がなく、
引き続きNIS clientではpasswordがexpireされたuserでも
loginできてしまう.という弱点自体はそのままです.
(a)(b)の方法を引き続き検討してみます.
(b)のNIS+やLDAPならclientでもpasswordのexpirationに関する
チェックが出来るよ、という運用実績などある方いましたら
お願いします.
もし(a)の方法を試す勇気が出たら試してここでまた報告します.
それでは.
(Sunが書いている/var/yp/Makefileのを編集するのはよくやると
思いますが、shadowを編集して入れてしまうというのが未体験
ゾーンなのです)
(b)はNIS+かLDAPで(clientでのパスワード期限の警告、
期限切れのlockが)出来るという機能面の保証がまだ無いので
(ちょっと見つかりませんので)まだ試すには時間がかかる.
ので、(c)の解決法としてNISサーバーでcronで1日一回、
passwordの期限切れが迫っている人には警告のメールを出すように
perl scriptを書いて走らせるようにしました.script自体は
今のところうまく行っているようです.しかしこれでは
* E-mailを読まなかったり使わない人、無視する人には効果がなく、
引き続きNIS clientではpasswordがexpireされたuserでも
loginできてしまう.という弱点自体はそのままです.
(a)(b)の方法を引き続き検討してみます.
(b)のNIS+やLDAPならclientでもpasswordのexpirationに関する
チェックが出来るよ、という運用実績などある方いましたら
お願いします.
もし(a)の方法を試す勇気が出たら試してここでまた報告します.
それでは.
レスを投稿する
ニュース
- 【足立区暴走11人死傷】歩行者はねた後も減速せず…精神疾患がある37歳男「車で神奈川の山の方に行きたいと思った」 [ぐれ★]
- 【北海道】「稀に見る大きな個体」 体長1.9m、体重400kg超の巨大グマを捕獲 苫前町 [煮卵★]
- SuicaとPASMOのコード決済「teppay(テッペイ)」26年秋開始 🐧🤖 [少考さん★]
- 🇺🇸🇨🇳米中関係は「極めて強固」とトランプ氏… ★7 [BFU★]
- 【円安】「ホストに貢ぎたい」と海外で売春する日本人女性 2カ月で2千万円稼ぐケースも★2 [1ゲットロボ★]
- フィフィ “工作員”と疑う声に「日本のために…昔から身を挺して発信している」「どんだけ探ったところで、なんも出てこないよ」 [Anonymous★]
- 【速報】米中電話会談、おやびん側からの提案だった。高市さん... [834922174]
- エロ漫画男「金玉上がってきた…ッ!」 [279254606]
- 防衛省「台湾有事にロシア参戦するかも」 [177178129]
- 【悲報】ネトウヨ「高市発言のどこが人災なんだ😡チャイナリスクを考えてない奴らの自己責任だろ!」7千いいね [359965264]
- 「まいばすけっと」とかゆう都内に存在する極狭スーパーの利用体験談、ガチで想像を超える・・・ [329329848]
- ケツの毛がすごい