もうNISの時代はおわったのか。
LDAP、PAM、Kerberosいろいろあるけど。
お前はどれを使う!?
UNIX認証方式いろいろ
1名無しさん@お腹いっぱい。
NGNG6968の続き
NGNG (a)はちょっと怖くてやりたくない.
(Sunが書いている/var/yp/Makefileのを編集するのはよくやると
思いますが、shadowを編集して入れてしまうというのが未体験
ゾーンなのです)
(b)はNIS+かLDAPで(clientでのパスワード期限の警告、
期限切れのlockが)出来るという機能面の保証がまだ無いので
(ちょっと見つかりませんので)まだ試すには時間がかかる.
ので、(c)の解決法としてNISサーバーでcronで1日一回、
passwordの期限切れが迫っている人には警告のメールを出すように
perl scriptを書いて走らせるようにしました.script自体は
今のところうまく行っているようです.しかしこれでは
* E-mailを読まなかったり使わない人、無視する人には効果がなく、
引き続きNIS clientではpasswordがexpireされたuserでも
loginできてしまう.という弱点自体はそのままです.
(a)(b)の方法を引き続き検討してみます.
(b)のNIS+やLDAPならclientでもpasswordのexpirationに関する
チェックが出来るよ、という運用実績などある方いましたら
お願いします.
もし(a)の方法を試す勇気が出たら試してここでまた報告します.
それでは.
(Sunが書いている/var/yp/Makefileのを編集するのはよくやると
思いますが、shadowを編集して入れてしまうというのが未体験
ゾーンなのです)
(b)はNIS+かLDAPで(clientでのパスワード期限の警告、
期限切れのlockが)出来るという機能面の保証がまだ無いので
(ちょっと見つかりませんので)まだ試すには時間がかかる.
ので、(c)の解決法としてNISサーバーでcronで1日一回、
passwordの期限切れが迫っている人には警告のメールを出すように
perl scriptを書いて走らせるようにしました.script自体は
今のところうまく行っているようです.しかしこれでは
* E-mailを読まなかったり使わない人、無視する人には効果がなく、
引き続きNIS clientではpasswordがexpireされたuserでも
loginできてしまう.という弱点自体はそのままです.
(a)(b)の方法を引き続き検討してみます.
(b)のNIS+やLDAPならclientでもpasswordのexpirationに関する
チェックが出来るよ、という運用実績などある方いましたら
お願いします.
もし(a)の方法を試す勇気が出たら試してここでまた報告します.
それでは.
7069の続き
NGNG 少し調べてみると、/var/yp/Makefileにshadowのエントリがあるのは
Linuxではわりと普通らしいです.Solaris 8の/var/yp/Makefile
に、このLinuxのMakefileのshadowのところを見てshadow部分を
書き加えて後ほどやってみます。(進捗あったら報告します)
もし出来ても(NIS clientでpassword expirationがチェックされる
ようになっても)ypcat shadowで皆が他人のpassword expiration date
や、password last change dateなどをお互い知りたい放題に
なってしまうのであまり好ましいとは思えませんが.
ところで/etc/passwd.adjunctってSolaris 2.Xで使っている
人いますか?Webで調べるとどうもSunOS4.Xでpasswordを
shadow化してC2セキュリティにする場合はこれを使え、
とか書いてある割には、(/etc/shadowが元からある)
Solaris 8の/var/yp/Makefileにもpasswd.adjunctの
部分はありますし...AnswerBook2でも隠蔽されたパスワード
と監査情報(<-??)を含むと書いてあるだけでいまいち分かりません.
Linuxではわりと普通らしいです.Solaris 8の/var/yp/Makefile
に、このLinuxのMakefileのshadowのところを見てshadow部分を
書き加えて後ほどやってみます。(進捗あったら報告します)
もし出来ても(NIS clientでpassword expirationがチェックされる
ようになっても)ypcat shadowで皆が他人のpassword expiration date
や、password last change dateなどをお互い知りたい放題に
なってしまうのであまり好ましいとは思えませんが.
ところで/etc/passwd.adjunctってSolaris 2.Xで使っている
人いますか?Webで調べるとどうもSunOS4.Xでpasswordを
shadow化してC2セキュリティにする場合はこれを使え、
とか書いてある割には、(/etc/shadowが元からある)
Solaris 8の/var/yp/Makefileにもpasswd.adjunctの
部分はありますし...AnswerBook2でも隠蔽されたパスワード
と監査情報(<-??)を含むと書いてあるだけでいまいち分かりません.
71not 58
NGNG >>70
おめー長げ─よ。
> このLinuxのMakefileのshadowのところを見てshadow部分を
> 書き加えて後ほどやってみます。(進捗あったら報告します)
NIS(YP)の場合、shadow mapを作る、これが唯一の方法。
> 63>> shadowマップはどうなってるの? (man -s 5 shadow)
> (Solaris 8/sparcでman -s 4 shadowで)調べると、(一部抜粋します)
> username:password:lastchg: min:max:warn: inactive:expire:flag
> でした.
知ってるって。オマエサンのYP serverがどうなってるか聞いたの。
shadow mapがないなら、出来なかったのは当然。
> もし出来ても(NIS clientでpassword expirationがチェックされる
> ようになっても)ypcat shadowで皆が他人のpassword expiration date
> や、password last change dateなどをお互い知りたい放題に
> なってしまうのであまり好ましいとは思えませんが.
NIS(YP)はそういうもの。(均一なアクセス権)
DES認証モードで運用したときのNISとNIS+の違い、
NIS+のper entryなowner, group, access rights(ugow+rcmd)等を調べて。
(そんなこと気にするのなら当然DES認証モードで運用してるよね?)
おめー長げ─よ。
> このLinuxのMakefileのshadowのところを見てshadow部分を
> 書き加えて後ほどやってみます。(進捗あったら報告します)
NIS(YP)の場合、shadow mapを作る、これが唯一の方法。
> 63>> shadowマップはどうなってるの? (man -s 5 shadow)
> (Solaris 8/sparcでman -s 4 shadowで)調べると、(一部抜粋します)
> username:password:lastchg: min:max:warn: inactive:expire:flag
> でした.
知ってるって。オマエサンのYP serverがどうなってるか聞いたの。
shadow mapがないなら、出来なかったのは当然。
> もし出来ても(NIS clientでpassword expirationがチェックされる
> ようになっても)ypcat shadowで皆が他人のpassword expiration date
> や、password last change dateなどをお互い知りたい放題に
> なってしまうのであまり好ましいとは思えませんが.
NIS(YP)はそういうもの。(均一なアクセス権)
DES認証モードで運用したときのNISとNIS+の違い、
NIS+のper entryなowner, group, access rights(ugow+rcmd)等を調べて。
(そんなこと気にするのなら当然DES認証モードで運用してるよね?)
72not 58
NGNG >>68
> /etc/nsswitch.confにもshadowの行を付け加えて、
大体いいところを攻めてるんだけど、
マニュアル、ドキュメントをちゃんと読んでないっぽい。
nsswitch.conf(5)より、
passwd getpwnam(3C), getspnam(3C)
です。
NIS+移行passwd, shadowのtable(map)は統合され、
Solarisのname service(libnsl)では、
passwd table(map)として統一して扱うようになりました。
// 二つに分かれていたのは、歴史的経緯から来る実装上の問題だから。
// APIはまだ二つに分かれてるんだけどね…
// libnslのコード見たければ、Sunがglibcに寄贈した奴を見て。
NISのマニュアルと徹底的に読むことをおすすめする。
ちゃんと理解していないとLinuxの設定の方で辛いと思う。
> /etc/nsswitch.confにもshadowの行を付け加えて、
大体いいところを攻めてるんだけど、
マニュアル、ドキュメントをちゃんと読んでないっぽい。
nsswitch.conf(5)より、
passwd getpwnam(3C), getspnam(3C)
です。
NIS+移行passwd, shadowのtable(map)は統合され、
Solarisのname service(libnsl)では、
passwd table(map)として統一して扱うようになりました。
// 二つに分かれていたのは、歴史的経緯から来る実装上の問題だから。
// APIはまだ二つに分かれてるんだけどね…
// libnslのコード見たければ、Sunがglibcに寄贈した奴を見て。
NISのマニュアルと徹底的に読むことをおすすめする。
ちゃんと理解していないとLinuxの設定の方で辛いと思う。
73名無しさん@お腹いっぱい。
NGNG >65
プロトコルって何かわかってる?
プロトコルって何かわかってる?
NGNG
>>73
いちいちageて下らね〜こと書くヴァカ発見
いちいちageて下らね〜こと書くヴァカ発見
7661,66-70
NGNG >71さん、>72さんありがとうございます。
結論から言いますとまだ解決していませんが取り敢えず途中報告
です。72さん、確かに66-70は"不必要に"長かったです。
すんません。言ってるそばから今回も少し長めですが、勘弁して
下さい。情報が足りないよりは良いかなと...
nis-server, nis-clientともに64bit Solaris 8/sparcです。
(1)nis-server:/var/yp/Makefileを編集
1-a)
all: passwd group hosts aliases auto.master auto.home
を
all: passwd shadow group hosts aliases auto.master auto.home
に変更
1-b)
passwd: passwd.time
group: group.time
の間に"shadow: shadow.time"の一行を挿入
結論から言いますとまだ解決していませんが取り敢えず途中報告
です。72さん、確かに66-70は"不必要に"長かったです。
すんません。言ってるそばから今回も少し長めですが、勘弁して
下さい。情報が足りないよりは良いかなと...
nis-server, nis-clientともに64bit Solaris 8/sparcです。
(1)nis-server:/var/yp/Makefileを編集
1-a)
all: passwd group hosts aliases auto.master auto.home
を
all: passwd shadow group hosts aliases auto.master auto.home
に変更
1-b)
passwd: passwd.time
group: group.time
の間に"shadow: shadow.time"の一行を挿入
7761,66-70
NGNG 1-c)
## 2002.9 added manually by X.XXXXX
shadow.time: $(PWDIR)/shadow
@(awk 'BEGIN { FS=":"; OFS="\t"; } /^[a-zA-Z0-9_]/ \
{ print $$1, $$0 }' $(PWDIR)/shadow $(CHKPIPE))| \
$(MAKEDBM) - $(YPDBDIR)/$(DOM)/shadow.byname;
@touch shadow.time;
@echo "updated shadow";
@if [ ! $(NOPUSH) ]; then $(YPPUSH) -d $(DOM) shadow.byname; fi
@if [ ! $(NOPUSH) ]; then echo "pushed shadow"; fi
を挿入。
(このフォームに書き込んだ時に改行が変になっているかも
知れませんが、tabなどのmake文法はOKです)
(Solaris 8はshadow mapを作らないようになっているようなので、
Vine LinuxやDebian GNU/Linuxの/var/yp/Makefileを取ってきて
参考にしました。なんだかmakeでも文法が微妙に違う???)
(2)nis-server,client(Sol8):/etc/nsswitch.confを編集
shadow files nis
ただしLinux(Vine2.1.5)の/etc/nsswitch.confには
元からあったのでそのまま。
## 2002.9 added manually by X.XXXXX
shadow.time: $(PWDIR)/shadow
@(awk 'BEGIN { FS=":"; OFS="\t"; } /^[a-zA-Z0-9_]/ \
{ print $$1, $$0 }' $(PWDIR)/shadow $(CHKPIPE))| \
$(MAKEDBM) - $(YPDBDIR)/$(DOM)/shadow.byname;
@touch shadow.time;
@echo "updated shadow";
@if [ ! $(NOPUSH) ]; then $(YPPUSH) -d $(DOM) shadow.byname; fi
@if [ ! $(NOPUSH) ]; then echo "pushed shadow"; fi
を挿入。
(このフォームに書き込んだ時に改行が変になっているかも
知れませんが、tabなどのmake文法はOKです)
(Solaris 8はshadow mapを作らないようになっているようなので、
Vine LinuxやDebian GNU/Linuxの/var/yp/Makefileを取ってきて
参考にしました。なんだかmakeでも文法が微妙に違う???)
(2)nis-server,client(Sol8):/etc/nsswitch.confを編集
shadow files nis
ただしLinux(Vine2.1.5)の/etc/nsswitch.confには
元からあったのでそのまま。
7861,66-70
NGNG (3)nis-serverで
# cd /var/yp
# /usr/ccs/bin/make (Solarisのmakeです)
(4)nis-server, clientを全てreboot
上記のような事(1)-(4)を行なった結果、次のようになりました。
(a)nis-server:/var/yp/shadow.time,
/var/yp/"nis-domain-name"/shadow.byname.{dir,pag}が
作成された。
(b)nis-server, nis-client(Solaris, Linuxともに)で
$ ypcat -k shadow | grep hoge
hoge hoge:cpMpWPFTP7de2:11954::62:7:93:12500:
$ ypmatch -d "nis-domain-name" hoge shadow
hoge hoge:cpMpWPFTP7de2:11954::62:7:93:12500:
でNIS severにshadow mapを見に行っているようだ。
# cd /var/yp
# /usr/ccs/bin/make (Solarisのmakeです)
(4)nis-server, clientを全てreboot
上記のような事(1)-(4)を行なった結果、次のようになりました。
(a)nis-server:/var/yp/shadow.time,
/var/yp/"nis-domain-name"/shadow.byname.{dir,pag}が
作成された。
(b)nis-server, nis-client(Solaris, Linuxともに)で
$ ypcat -k shadow | grep hoge
hoge hoge:cpMpWPFTP7de2:11954::62:7:93:12500:
$ ypmatch -d "nis-domain-name" hoge shadow
hoge hoge:cpMpWPFTP7de2:11954::62:7:93:12500:
でNIS severにshadow mapを見に行っているようだ。
7961,66-70
NGNG ただしgetentだと
$ getent
不明なデータベース: shadow
詳細は`getent --help' または `getent --usage' を実行して下さい.
- もしlocaleが英語なら、
Unknown database: shadow
Try `getent --help' or `getent --usage' for more information.
またnis-server:/var/yp/"nis-domain-name"/で
# makedbm -u shadow.byname | grep hoge で見てみると、
hoge hoge:cpMpWPFTP7de2:11955::50:7:1000:12418:
でアカウント名がキー、行全てがデータのdbmが確かに出来て
いるようです。
$ getent
不明なデータベース: shadow
詳細は`getent --help' または `getent --usage' を実行して下さい.
- もしlocaleが英語なら、
Unknown database: shadow
Try `getent --help' or `getent --usage' for more information.
またnis-server:/var/yp/"nis-domain-name"/で
# makedbm -u shadow.byname | grep hoge で見てみると、
hoge hoge:cpMpWPFTP7de2:11955::50:7:1000:12418:
でアカウント名がキー、行全てがデータのdbmが確かに出来て
いるようです。
8061,66-70
NGNG (c)けれどもnis-clientにloginするとやはりshadowの内容は
参照されていないようです。例えばhogeのパスワード有効期限
をわざと切らしてやってからloginしても何事もなくlogin出来て
しまいます。
もし基本から間違えていれば別ですが、そうでない場合は、
Solarisをnis-serverにしたままだと、これからどこをあたったら
よいか分からないので、
nis-serverをLinuxで構築して,clientもLinuxとSolaris両方で作って
testして見ようかなと思っています。
Debian Linux:/var/yp/Makefileには最初からshadow mapを作る記述が
あったので、もしこれで出来たならまたなにかSolarisの方でも
進めるかも知れないと考えています。
参照されていないようです。例えばhogeのパスワード有効期限
をわざと切らしてやってからloginしても何事もなくlogin出来て
しまいます。
もし基本から間違えていれば別ですが、そうでない場合は、
Solarisをnis-serverにしたままだと、これからどこをあたったら
よいか分からないので、
nis-serverをLinuxで構築して,clientもLinuxとSolaris両方で作って
testして見ようかなと思っています。
Debian Linux:/var/yp/Makefileには最初からshadow mapを作る記述が
あったので、もしこれで出来たならまたなにかSolarisの方でも
進めるかも知れないと考えています。
81not 58
NGNG >>79
#include <stdio.h>
#include <shadow.h>
int main(int argc, char *argv[]) {
int i;
for (i = 1; i < argc; i++) {
struct spwd *sp = getspnam(argv[i]);
if (sp == NULL) {
perror("getspnam");
exit(1);
}
printf("%s;%s;%l;%l;%l;%l;%l;%l;%x\n",
sp->sp_namp, sp->sp_pwdp, sp->sp_lstchg,
sp->sp_min, sp->sp_max, sp->sp_warn,
sp->sp_inact, sp->sp_expire, sp->sp_flag);
}
return 0;
}
とりあえず実行してみれ。
#include <stdio.h>
#include <shadow.h>
int main(int argc, char *argv[]) {
int i;
for (i = 1; i < argc; i++) {
struct spwd *sp = getspnam(argv[i]);
if (sp == NULL) {
perror("getspnam");
exit(1);
}
printf("%s;%s;%l;%l;%l;%l;%l;%l;%x\n",
sp->sp_namp, sp->sp_pwdp, sp->sp_lstchg,
sp->sp_min, sp->sp_max, sp->sp_warn,
sp->sp_inact, sp->sp_expire, sp->sp_flag);
}
return 0;
}
とりあえず実行してみれ。
8261,66-70,76-80
NGNG >>81さん 遅くなりました.
とりあえず実行してみました(コンパイルではerrorもwarningもでない)
が標準出力になにも出ませんし、ファイルも出来ません.
% ./yptest
% ./yptest hoge
getspnam: Bad file number (hogeがなんであってもこうなるようです.
yptestは81でもらったソースをコンパイルして出来た実行ファイル.
gcc3.0.2, 64bit Solaris 8(sparc), NIS serverでもNIS clientでも同じ
結果)
なんだかレベルにちょっと断層があるようなのでじっくり(理解してから)
やってみます.まずはシステムコールって何?あたりから…
とりあえず実行してみました(コンパイルではerrorもwarningもでない)
が標準出力になにも出ませんし、ファイルも出来ません.
% ./yptest
% ./yptest hoge
getspnam: Bad file number (hogeがなんであってもこうなるようです.
yptestは81でもらったソースをコンパイルして出来た実行ファイル.
gcc3.0.2, 64bit Solaris 8(sparc), NIS serverでもNIS clientでも同じ
結果)
なんだかレベルにちょっと断層があるようなのでじっくり(理解してから)
やってみます.まずはシステムコールって何?あたりから…
8382
NGNG 嘘言ってました.-Wallつけると標準エラー出力にでます。warning
なので大丈夫とは思いますが.
yptest.c: In function `main':
yptest.c:11: warning: implicit declaration of function `exit'
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: too many arguments for format
なので大丈夫とは思いますが.
yptest.c: In function `main':
yptest.c:11: warning: implicit declaration of function `exit'
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: too many arguments for format
84名無しさん@お腹いっぱい。
NGNG >>69
いっそ期限が切れたら cron でスクリプト回してパスワード潰してしまうんでは駄目?
いっそ期限が切れたら cron でスクリプト回してパスワード潰してしまうんでは駄目?
8569
NGNG >84さん、ありがとうございます.
lockまでしてしまうと、確かにNIS clientでもloginされなくなりますが、
lock解除は一般ユーザーでは出来ないのでroot(つまり私)の所へ
くるでしょうから手間が増えてしまうのであまりやりたくないのです.
平均3日に一回位パスワードが切れている人が出ているので…
とりあえず今は警告メールを送る(c)だけで運用しています.
lockまでしてしまうと、確かにNIS clientでもloginされなくなりますが、
lock解除は一般ユーザーでは出来ないのでroot(つまり私)の所へ
くるでしょうから手間が増えてしまうのであまりやりたくないのです.
平均3日に一回位パスワードが切れている人が出ているので…
とりあえず今は警告メールを送る(c)だけで運用しています.
86not 58
NGNG >>83
< #include <stdlib.h>
< printf("%s;%s;%ld;%ld;%ld;%ld;%ld;%ld;%x\n",
な。(Compileしてなかった)
rootでも取得できなければ、libraryになにか問題があると思う。
ypcatでは取得できているみたいなので。
ltrace/strace(Linux), truss(Solaris)で調べてみてちょ
< #include <stdlib.h>
< printf("%s;%s;%ld;%ld;%ld;%ld;%ld;%ld;%x\n",
な。(Compileしてなかった)
rootでも取得できなければ、libraryになにか問題があると思う。
ypcatでは取得できているみたいなので。
ltrace/strace(Linux), truss(Solaris)で調べてみてちょ
87名無しさん@お腹いっぱい。
NGNG >>86さん
# gcc -Wall -o yptest yptest.c
yptest.c: In function `main':
yptest.c:17: warning: long int format, int arg (arg 4)
yptest.c:17: warning: long int format, int arg (arg 5)
yptest.c:17: warning: long int format, int arg (arg 6)
yptest.c:17: warning: long int format, int arg (arg 7)
yptest.c:17: warning: long int format, int arg (arg 8)
yptest.c:17: warning: long int format, int arg (arg 9)
# ./yptest
# ./yptest "なにを書いても"
getspnam: Bad file number
もちろん一般ユーザーでも結果は同じです。実行はNIS server上。
ちなみにSolaris 8にtruss, straceは有りました。
ltraceは無いみたいです。
かなり分かっていない感じなので精進してから再トライします。
System call = OS API? 出直します。
# gcc -Wall -o yptest yptest.c
yptest.c: In function `main':
yptest.c:17: warning: long int format, int arg (arg 4)
yptest.c:17: warning: long int format, int arg (arg 5)
yptest.c:17: warning: long int format, int arg (arg 6)
yptest.c:17: warning: long int format, int arg (arg 7)
yptest.c:17: warning: long int format, int arg (arg 8)
yptest.c:17: warning: long int format, int arg (arg 9)
# ./yptest
# ./yptest "なにを書いても"
getspnam: Bad file number
もちろん一般ユーザーでも結果は同じです。実行はNIS server上。
ちなみにSolaris 8にtruss, straceは有りました。
ltraceは無いみたいです。
かなり分かっていない感じなので精進してから再トライします。
System call = OS API? 出直します。
88名無しさん@お腹いっぱい。
NGNG89not 58
NGNG >>87
> # ./yptest "なにを書いても"
> getspnam: Bad file number
file descriptorがおかしいって事だからなんか変。
とりあえず、
# truss ./yptest root
> # ./yptest "なにを書いても"
> getspnam: Bad file number
file descriptorがおかしいって事だからなんか変。
とりあえず、
# truss ./yptest root
9085,86
NGNG >> 89さん
まず最初に、87の
> # ./yptest "なにを書いても"
> getspnam: Bad file number
は私の間違いでした.すいません.
引数としてaccount-nameを食わせればよいということすら
プログラム(81&86)から読み取れなかったのです。今実行してみた所、
# ./yptest root
root;Fn1m.j9izt0.w;-1;-1;-1;-1;-1;-1;0
一般ユーザーのアカウントをrootの代わりにいれても
同じような出力が出てきます.
nishida;ub94r.Mf346ZA;-1;-1;-1;-1;-1;-1;0
NISで配られているパスワードが見えています.ただし、nishidaのshadowは
nishida:ub94r.Mf346ZA:11956::50:10:::
なので50などのshadow中の(パスワード以外の)情報は出てきていない
ような気がします.
まずは報告まで.それでは.
まず最初に、87の
> # ./yptest "なにを書いても"
> getspnam: Bad file number
は私の間違いでした.すいません.
引数としてaccount-nameを食わせればよいということすら
プログラム(81&86)から読み取れなかったのです。今実行してみた所、
# ./yptest root
root;Fn1m.j9izt0.w;-1;-1;-1;-1;-1;-1;0
一般ユーザーのアカウントをrootの代わりにいれても
同じような出力が出てきます.
nishida;ub94r.Mf346ZA;-1;-1;-1;-1;-1;-1;0
NISで配られているパスワードが見えています.ただし、nishidaのshadowは
nishida:ub94r.Mf346ZA:11956::50:10:::
なので50などのshadow中の(パスワード以外の)情報は出てきていない
ような気がします.
まずは報告まで.それでは.
91not 58
NGNG >>90
> # ./yptest root
> root;Fn1m.j9izt0.w;-1;-1;-1;-1;-1;-1;0
そりゃ、あかんやん。YP shadow map読めて/読んでないよ。
nsswitch.confを
shadow: nis files
でも駄目なの? (なんでfilesを先に書く?)
> # ./yptest root
> root;Fn1m.j9izt0.w;-1;-1;-1;-1;-1;-1;0
そりゃ、あかんやん。YP shadow map読めて/読んでないよ。
nsswitch.confを
shadow: nis files
でも駄目なの? (なんでfilesを先に書く?)
9290
NGNG >>91さん
あかんです。確かに。
nis filesにして(OSもrebootして)試してみましたがyptestの結果は
変わりませんでした。
files nisにしている理由はSolaris8の
NIS用nsswitch.confテンプレート(/etc/nsswitch.nis)がそうだったから
というだけです。今はNIS serverで/etc/passwd, shadowから直接
NIS mapを作っているので、NISでrootも配っているんです。
files nisにすると全てのhostsのrootパスワードがNIS serverと同じに
なってしまいます。
web siteなどを調べると、NISで配るmapのためのファイルは/var/ypなどに
コピーして(passwd, shadowから)rootを除いて(/var/yp/Makefileを
いじって)運用した方がよいと書いてありますがそこまでは
まだやっていません。
本題の方はもう少し自分で調べて試してみます。進捗あったらまた報告します。
あかんです。確かに。
nis filesにして(OSもrebootして)試してみましたがyptestの結果は
変わりませんでした。
files nisにしている理由はSolaris8の
NIS用nsswitch.confテンプレート(/etc/nsswitch.nis)がそうだったから
というだけです。今はNIS serverで/etc/passwd, shadowから直接
NIS mapを作っているので、NISでrootも配っているんです。
files nisにすると全てのhostsのrootパスワードがNIS serverと同じに
なってしまいます。
web siteなどを調べると、NISで配るmapのためのファイルは/var/ypなどに
コピーして(passwd, shadowから)rootを除いて(/var/yp/Makefileを
いじって)運用した方がよいと書いてありますがそこまでは
まだやっていません。
本題の方はもう少し自分で調べて試してみます。進捗あったらまた報告します。
93山崎渉
NGNG (^^)
NGNG
ネットワーク再構築テスト
95名無しさん@お腹いっぱい。
NGNG nis から ldap に移行したいと思っておるが、
パスワードの形式を des から md5 に変更しないといけない?
パスワードの形式を des から md5 に変更しないといけない?
NGNG
OSは何よ
つーか NIS や LDAP が認証するわけじゃねーってのは
わかっておるか?
どっちもあくまでデータベースにすぎんわけで。
あ、でも
ttp://taku.ath.cx/index.php?Server%2FLDAP
ってのを見つけた。
ばーぢょんに気をつけれ。
つーか NIS や LDAP が認証するわけじゃねーってのは
わかっておるか?
どっちもあくまでデータベースにすぎんわけで。
あ、でも
ttp://taku.ath.cx/index.php?Server%2FLDAP
ってのを見つけた。
ばーぢょんに気をつけれ。
97山崎渉
NGNG (^^)
98あぼーん
NGNGあぼーん
99名無しさん@お腹いっぱい。
NGNG >>96
NIS -> LDAP なんてことするのは Solaris8 or 9 以外にはちと考えにくい
NIS -> LDAP なんてことするのは Solaris8 or 9 以外にはちと考えにくい
100not 58
NGNG101あぼーん
NGNGあぼーん
102名無しさん@お腹いっぱい。
NGNG10364 ◆3OpmpQGwCc
NGNG >>86
禿同
はなし変わるけど、携帯ゲーム機"プレイステーションポータブル(PSP)
このPSPは、新規格UMD(ユニバーサルメディアディスク)というディスクを利用しており、そのサイズは直径6cmととても小さい(CDの半分程度)。 容量は1.8GBとなっている。
画面は4.5インチのTFT液晶で、480px x 272px(16:9)。MPEG4の再生やポリゴンも表示可能。外部端子として、USB2.0とメモリースティックコネクタが用意されているという。
この際、スク・エニもGBAからPSPに乗り換えたらどうでしょう。スク・エニの場合、PSPの方が実力を出しやすいような気がするんですが。
任天堂が携帯ゲーム機で圧倒的なシェアをもってるなら、スク・エニがそれを崩してみるのもおもしろいですし。かつて、PS人気の引き金となったFF7のように。
いきなりこんな事書いてスマソ‥
GBAと比べてみてどうなんですかね?(シェアのことは抜きで)
禿同
はなし変わるけど、携帯ゲーム機"プレイステーションポータブル(PSP)
このPSPは、新規格UMD(ユニバーサルメディアディスク)というディスクを利用しており、そのサイズは直径6cmととても小さい(CDの半分程度)。 容量は1.8GBとなっている。
画面は4.5インチのTFT液晶で、480px x 272px(16:9)。MPEG4の再生やポリゴンも表示可能。外部端子として、USB2.0とメモリースティックコネクタが用意されているという。
この際、スク・エニもGBAからPSPに乗り換えたらどうでしょう。スク・エニの場合、PSPの方が実力を出しやすいような気がするんですが。
任天堂が携帯ゲーム機で圧倒的なシェアをもってるなら、スク・エニがそれを崩してみるのもおもしろいですし。かつて、PS人気の引き金となったFF7のように。
いきなりこんな事書いてスマソ‥
GBAと比べてみてどうなんですかね?(シェアのことは抜きで)
104あぼーん
NGNGあぼーん
105名無しさん@お腹いっぱい。
NGNG Kerberosに関して、比較的最近のUNIX/Linuxでの取り扱いについてまとめた本って、
どういうのがあるか、ご存じな方いらしたら教えていただませんでしょうか。
仕組みはおおよそわかってるつもりですが、実際に試しながら学んでみたいもので。
どういうのがあるか、ご存じな方いらしたら教えていただませんでしょうか。
仕組みはおおよそわかってるつもりですが、実際に試しながら学んでみたいもので。
106あぼーん
NGNGあぼーん
NGNG
108名無しさん@お腹いっぱい。
NGNG Howto本だけだと意味もわからずできてしまいそうで恐いです。
基本的な概念の説明も含んだ設定ガイド、といったら変でしょうか。
基本的な概念の説明も含んだ設定ガイド、といったら変でしょうか。
NGNG
KERBEROS―ネットワーク認証システム 最新ネットワーク技術ハンドブック
ブライアンタン (著), Brian Tung (原著), 桑村潤 (翻訳)
http://www.amazon.co.jp/exec/obidos/ASIN/489471146X
とりあえず、これでも読んだら、PAMでpam_krb5.soの設定してみたら?
アプリケーションレベルのKerberos対応については、
PAM化を最初に検討するといい。
ブライアンタン (著), Brian Tung (原著), 桑村潤 (翻訳)
http://www.amazon.co.jp/exec/obidos/ASIN/489471146X
とりあえず、これでも読んだら、PAMでpam_krb5.soの設定してみたら?
アプリケーションレベルのKerberos対応については、
PAM化を最初に検討するといい。
NGNG
英語OKなら、O'Reillyのこっちね。
Kerberos: The Definitive Guide
Jason Garman
http://www.amazon.com/exec/obidos/tg/detail/-/0596004036
Kerberos: The Definitive Guide
Jason Garman
http://www.amazon.com/exec/obidos/tg/detail/-/0596004036
111あぼーん
NGNGあぼーん
112あぼーん
NGNGあぼーん
113あぼーん
NGNGあぼーん
114名無しさん@お腹いっぱい
NGNG いきなり質問なのですが、Windows Server 2003の
ActiveDirectoryとSunONE Directory Serverを
連携させてる方っていらっしゃいますか?
ActiveDirectory配下にSunONEを配置して
ユーザの認証だけやらせようと思ってるんだけど、
実績が全然みつからないのねん。
ActiveDirectoryとSunONE Directory Serverを
連携させてる方っていらっしゃいますか?
ActiveDirectory配下にSunONEを配置して
ユーザの認証だけやらせようと思ってるんだけど、
実績が全然みつからないのねん。
NGNG
>>114
もうちょっと説明しろ。
bind operationのchainingで何とかなると思う。
しかしSolarisのPAMは、bindで認証しないからチョトやっかいだ。
iPlanet Directory Serverに全部やらせるのなら実績山ほどあるぞ。
ただし、Windows clientにplugin入れないと駄目だけどね。
本当に認証だけで、NSSはやらないのなら、
Active Directoryにradius喋らせるだけで十分かも。
LDAPスレの方が反応いいかも…
もうちょっと説明しろ。
bind operationのchainingで何とかなると思う。
しかしSolarisのPAMは、bindで認証しないからチョトやっかいだ。
iPlanet Directory Serverに全部やらせるのなら実績山ほどあるぞ。
ただし、Windows clientにplugin入れないと駄目だけどね。
本当に認証だけで、NSSはやらないのなら、
Active Directoryにradius喋らせるだけで十分かも。
LDAPスレの方が反応いいかも…
116名無しさん@お腹いっぱい
NGNG >>115
すんません。LDAP関連は手がけるの初めてなモノで、まだ手応えがよくわかってないんです。
既存のActiveDirectory(ちかじかWindows2003Serverへ移行予定)の中に
Sun ONE Web Serverを設置する予定なのですが、
代理店からSun ONE Directory Serverでないと認証できないと言われてしまいました。
で、ActiveDirectoryとSun ONE Directory Serverの連携という話になるんですが、
Webサーバ上ではBasic認証程度しかしないので、IDとパスワードの同期ができれば十分なのです。
『SolarisによるLDAP実践ガイド』読んでると暗澹たる気分になるし、
Sun ONE Identity Synchronization for Windowsは
代理店に扱うかどうかも不明とか言われて途方にくれてます。
すんません。LDAP関連は手がけるの初めてなモノで、まだ手応えがよくわかってないんです。
既存のActiveDirectory(ちかじかWindows2003Serverへ移行予定)の中に
Sun ONE Web Serverを設置する予定なのですが、
代理店からSun ONE Directory Serverでないと認証できないと言われてしまいました。
で、ActiveDirectoryとSun ONE Directory Serverの連携という話になるんですが、
Webサーバ上ではBasic認証程度しかしないので、IDとパスワードの同期ができれば十分なのです。
『SolarisによるLDAP実践ガイド』読んでると暗澹たる気分になるし、
Sun ONE Identity Synchronization for Windowsは
代理店に扱うかどうかも不明とか言われて途方にくれてます。
NGNG
>>116
> 代理店からSun ONE Directory Serverでないと認証できないと言われてしまいました。
認証のクライアントは何?
> Sun ONE Directory Serverでないと認証できない
Schemaも知らない馬鹿営業の話真に受けていても…
> 代理店からSun ONE Directory Serverでないと認証できないと言われてしまいました。
認証のクライアントは何?
> Sun ONE Directory Serverでないと認証できない
Schemaも知らない馬鹿営業の話真に受けていても…
118名無しさん@お腹いっぱい
NGNG >>117
> 認証のクライアントは何?
認証のクライアントというのはエンドユーザの事でしょうか?
それならWindowsXP&IEです(ひょっとするとLinux&Mozillaがあるかも…)
現在は以下のような環境を想定してます。
ActiveDirectory<-??->Sun ONE Directory <-LDAP-> Sun ONE Web <-> クライアントPC
> Schemaも知らない馬鹿営業の話真に受けていても…
まー反論できない私もアレですんで…(苦笑)
> 認証のクライアントは何?
認証のクライアントというのはエンドユーザの事でしょうか?
それならWindowsXP&IEです(ひょっとするとLinux&Mozillaがあるかも…)
現在は以下のような環境を想定してます。
ActiveDirectory<-??->Sun ONE Directory <-LDAP-> Sun ONE Web <-> クライアントPC
> Schemaも知らない馬鹿営業の話真に受けていても…
まー反論できない私もアレですんで…(苦笑)
119DESからMD5への移行
NGNG 古いホストで DES でハッシュされた /etc/passwd を使っています。
さすがに MD5 に移行したいと思うのですが、
当たり前ながら平文のパスワードはわかりません。
ユーザがログインしたときには平文のパスワードがわかりますから、
そのつど passwd.md5 のようなファイルに MD5 でハッシュしたパスワードを記録していって、
全てのユーザのMD5ハッシュ済みパスワードがたまった時点で移行したいのですが、
そういうことをする機構って PAM のモジュールとしては提供されていませんか?
さすがに MD5 に移行したいと思うのですが、
当たり前ながら平文のパスワードはわかりません。
ユーザがログインしたときには平文のパスワードがわかりますから、
そのつど passwd.md5 のようなファイルに MD5 でハッシュしたパスワードを記録していって、
全てのユーザのMD5ハッシュ済みパスワードがたまった時点で移行したいのですが、
そういうことをする機構って PAM のモジュールとしては提供されていませんか?
NGNG
chageとかでパスワードの更新を促すとか。
NGNG
NGNG
>121の指はまだDECを憶えているようだ。泣ける。
NGNG
>>122
Ultrix使ってたんだよ…
Ultrix使ってたんだよ…
NGNG
DES はハッシュじゃないと思うのだが。
NGNG
そうだね
126名無しさん@お腹いっぱい。
NGNG passwd ファイルと shadow ファイルの x と * と ! は何を意味するのでしょうか?
普通は shadow にハッシュされたパスワードが入っていて、
そのとき passwd ファイルのほうには x が入っているということくらいしか知らないのですが、
/etc/shadow を見ると * とか ! があります。
普通は shadow にハッシュされたパスワードが入っていて、
そのとき passwd ファイルのほうには x が入っているということくらいしか知らないのですが、
/etc/shadow を見ると * とか ! があります。
NGNG
128名無しさん@お腹いっぱい。
NGNG >>127 ごめんなさい。わかりました。
When the asterisk is there, nothing can match it.
An exclamation mark means a password (or account) is locked via
usermod(8). Also, a single exclamation marks means that a account is not
allowed for logins. So a double exclamation makes sure that if it was
unlocked, it would still have an invalid passwd.
When the asterisk is there, nothing can match it.
An exclamation mark means a password (or account) is locked via
usermod(8). Also, a single exclamation marks means that a account is not
allowed for logins. So a double exclamation makes sure that if it was
unlocked, it would still have an invalid passwd.
129名無しさん@お腹いっぱい。
NGNG バックエンドのデータベースエンジンに格納されている
「ユーザ名 & ハッシュされたパスワード」 のペアを使って
認証するための PAM モジュールというのはあるのでしょうか?
認証情報を PostgreSQL や MySQL などのデータベースにテーブルとして格納し、
それを使って認証するためには、一旦 LDAP サーバなどを経由する必要がありますか?
「ユーザ名 & ハッシュされたパスワード」 のペアを使って
認証するための PAM モジュールというのはあるのでしょうか?
認証情報を PostgreSQL や MySQL などのデータベースにテーブルとして格納し、
それを使って認証するためには、一旦 LDAP サーバなどを経由する必要がありますか?
130LDAPスレの人
NGNG >>129
おまいさんは何使い? わしゃDebian使い。
http://packages.debian.org/libpam-pgsql
http://packages.debian.org/libpam-mysql
おまいさんは何使い? わしゃDebian使い。
http://packages.debian.org/libpam-pgsql
http://packages.debian.org/libpam-mysql
131名無しさん@お腹いっぱい。
NGNG >>130 が〜ん、漏れも Debian 使いです…
そんなパッケージがあったとは…ありがとう。
そんなパッケージがあったとは…ありがとう。
NGNG
認証を全部Kerberosにしたいのですが、Kerberosできるメールクライアントってどんなのがあるのでしょうか。
なければWebメールかな、と…。
なければWebメールかな、と…。
NGNG
pam使え。
134名無しさん@お腹いっぱい。
NGNG Plan9があれば、こんなKerberosみたいなゴテゴテした仕組みは
要らないね。複数のコンピュータで一つのサービスを提供するから
シングルサインオンが当たり前の世界だし。
要らないね。複数のコンピュータで一つのサービスを提供するから
シングルサインオンが当たり前の世界だし。
135名無しさん@お腹いっぱい。
NGNG うちのサーバは人を信用してるから認証なし
136名無しさん@お腹いっぱい。
NGNG ■これ、犯罪じゃね?■ Part5
http://love3.2ch.net/test/read.cgi/motenai/1094008658/
援軍に来てください!!お願いします。
どうしてもPCの知識がある人が必要なんです
http://love3.2ch.net/test/read.cgi/motenai/1094008658/
援軍に来てください!!お願いします。
どうしてもPCの知識がある人が必要なんです
NGNG
NGNG
RADIUSとか・・・・・・・認証違いか・・・
ツーか、ダイアルアップの認証はもう辞めませんか社長・・・
回線からサーバまで管理する身にもなって下さい。
あぁ、今日もまた回線工事でクレームが・・・
ツーか、ダイアルアップの認証はもう辞めませんか社長・・・
回線からサーバまで管理する身にもなって下さい。
あぁ、今日もまた回線工事でクレームが・・・
NGNG
NGNG
OSのあらゆるサービスがkerberos認証に基づく分散コンポーネントで
出来上がってるWindowsは、設計の観点から見たらやっぱり凄いね。
出来上がってるWindowsは、設計の観点から見たらやっぱり凄いね。
NGNG
>>140
一行目はKerberos V5ベタベタに聞こえるけど、そうではない。
一行目はKerberos V5ベタベタに聞こえるけど、そうではない。
142くそAD
NGNG Postfix へ POP Before SMTP として、Courier-IMAP + DRACを使う。
で、POPの認証先をLDAPにするまでは良いんだけど、LDAPサーバは
Win2003 Server の ActiveDirectory でやってくれと言われた。
別に問題ないんじゃない?と思っていたら、LDAPの業者から ActiveDirectory
のパスワード属性は書込み専用で読込むことが出来ないと言われた。
/etc/courier/authldaprc の中で、
------------------------------
LDAP_CLEARPW userPassword
------------------------------
というような事が出来ないと言うことですよね?
まだ Win2003 Server が手元に無いから試せないんだけど。
POPのパスワード用に別の属性を作るのは構わないと言っているけど、
Windows のパスワード(userPassword)と同期は取って欲しいとの事。
何か良い知恵はないですか?
で、POPの認証先をLDAPにするまでは良いんだけど、LDAPサーバは
Win2003 Server の ActiveDirectory でやってくれと言われた。
別に問題ないんじゃない?と思っていたら、LDAPの業者から ActiveDirectory
のパスワード属性は書込み専用で読込むことが出来ないと言われた。
/etc/courier/authldaprc の中で、
------------------------------
LDAP_CLEARPW userPassword
------------------------------
というような事が出来ないと言うことですよね?
まだ Win2003 Server が手元に無いから試せないんだけど。
POPのパスワード用に別の属性を作るのは構わないと言っているけど、
Windows のパスワード(userPassword)と同期は取って欲しいとの事。
何か良い知恵はないですか?
NGNG
courierをauthpamにして、pamでldapを参照するようにする。
pamのldap moduleが、PADL.comの奴ならば、
パスワード属性を読むんじゃなくて、
bind operationで認証をするので問題なし。*1)
ldapsでsimple bind、でいいんじゃないですか?
LDAPはdirectory serverであるだけでなく、認証serverでもあります。
userPassword属性を読んで、手元で(ひねった後)比較するんだと、
LDAPはdirectory serverで、認証はlocalでやっていることになります。
*1)の方法がLDAP的なんだけど、あまり理解されてないです。
ほとんどのserverが自分で認証をやってしまっている。
pamのldap moduleが、PADL.comの奴ならば、
パスワード属性を読むんじゃなくて、
bind operationで認証をするので問題なし。*1)
ldapsでsimple bind、でいいんじゃないですか?
LDAPはdirectory serverであるだけでなく、認証serverでもあります。
userPassword属性を読んで、手元で(ひねった後)比較するんだと、
LDAPはdirectory serverで、認証はlocalでやっていることになります。
*1)の方法がLDAP的なんだけど、あまり理解されてないです。
ほとんどのserverが自分で認証をやってしまっている。
144くそAD
NGNG >> 143
早速のアドバイスありがとうございます。
なるほど、NSS-ldapではなく、pamの設定でですか。
authpamに気づかず、同じような事をNSS経由でやろうと思っていました。
もしかしてご経験がある方でしょうか?
> ldapsでsimple bind、でいいんじゃないですか?
この場合、pam_passwordはclearで良いのでしょうか?
ActiveDirectory はクリアテキストでは格納されていないようだと
業者が言っておりました。
(あまりあてにならない業者のようでしたが)
Win2003 Server は手に入れたのですが、ユーザのエントリに
posixAccount のオブジェクトクラスを追加する方法がまだ
分からずにいてテストできない状態です。
教えて君で申し訳ありませんが、ご存知でしたらお教え願え
ますでしょうか?
よろしくお願いします。
早速のアドバイスありがとうございます。
なるほど、NSS-ldapではなく、pamの設定でですか。
authpamに気づかず、同じような事をNSS経由でやろうと思っていました。
もしかしてご経験がある方でしょうか?
> ldapsでsimple bind、でいいんじゃないですか?
この場合、pam_passwordはclearで良いのでしょうか?
ActiveDirectory はクリアテキストでは格納されていないようだと
業者が言っておりました。
(あまりあてにならない業者のようでしたが)
Win2003 Server は手に入れたのですが、ユーザのエントリに
posixAccount のオブジェクトクラスを追加する方法がまだ
分からずにいてテストできない状態です。
教えて君で申し訳ありませんが、ご存知でしたらお教え願え
ますでしょうか?
よろしくお願いします。
NGNG
>>144
> > ldapsでsimple bind、でいいんじゃないですか?
> この場合、pam_passwordはclearで良いのでしょうか?
Simple bindにすれば、指定しなくていい。(全てサーバ任せ)
nss_ldapのときは必須だけどね。ここちゃんと理解してね。
さらにパスワード変更するなら、
client側でpassword modifyオペレーションが利用できればいい。
# ActiveDirectoryはOK
> ActiveDirectory はクリアテキストでは格納されていないようだと
> 業者が言っておりました。
されてるよ。じゃないとchallenge & response使えないし。
けどそんなこと意識する必要ないのがbind。
> (あまりあてにならない業者のようでしたが)
まあ、あなたも分からないわけだから…
> Win2003 Server は手に入れたのですが、ユーザのエントリに
> posixAccount のオブジェクトクラスを追加する方法がまだ
> 分からずにいてテストできない状態です。
ldap関係のCUI .exeが付いているでしょ。ldapaddとか。
ActiveDirectoryの参考書読んだら?
> > ldapsでsimple bind、でいいんじゃないですか?
> この場合、pam_passwordはclearで良いのでしょうか?
Simple bindにすれば、指定しなくていい。(全てサーバ任せ)
nss_ldapのときは必須だけどね。ここちゃんと理解してね。
さらにパスワード変更するなら、
client側でpassword modifyオペレーションが利用できればいい。
# ActiveDirectoryはOK
> ActiveDirectory はクリアテキストでは格納されていないようだと
> 業者が言っておりました。
されてるよ。じゃないとchallenge & response使えないし。
けどそんなこと意識する必要ないのがbind。
> (あまりあてにならない業者のようでしたが)
まあ、あなたも分からないわけだから…
> Win2003 Server は手に入れたのですが、ユーザのエントリに
> posixAccount のオブジェクトクラスを追加する方法がまだ
> 分からずにいてテストできない状態です。
ldap関係のCUI .exeが付いているでしょ。ldapaddとか。
ActiveDirectoryの参考書読んだら?
NGNG
それから↓くらいは読まないとマルチプラットフォーム運用は無理。
http://www.amazon.co.jp/exec/obidos/ASIN/4274065502/
http://www.amazon.co.jp/exec/obidos/ASIN/4274065502/
147くそAD
NGNG いろいろありがとうございます。
> Simple bindにすれば、指定しなくていい。(全てサーバ任せ)
> nss_ldapのときは必須だけどね。ここちゃんと理解してね。
なるほど。
> ldap関係のCUI .exeが付いているでしょ。ldapaddとか。
> ActiveDirectoryの参考書読んだら?
ADの参考書を探してるんですが、LDAP側から見たものが見つからなくて
困っているところです。ドメインの管理やらユーザの管理やらの本は
何冊も見つかりましたが。
Win2000 Server ではCD-ROMから何かを入れないとコマンド類が
使えないという情報は見つけましたが、2003 の情報がなくて未だ
ldapadd とか使えない状態です。
こちらは調べて何とかします。
「LDAP -設定・管理・プログラミング」は一応読みました。
理解が足らず申し訳ないです。
> Simple bindにすれば、指定しなくていい。(全てサーバ任せ)
> nss_ldapのときは必須だけどね。ここちゃんと理解してね。
なるほど。
> ldap関係のCUI .exeが付いているでしょ。ldapaddとか。
> ActiveDirectoryの参考書読んだら?
ADの参考書を探してるんですが、LDAP側から見たものが見つからなくて
困っているところです。ドメインの管理やらユーザの管理やらの本は
何冊も見つかりましたが。
Win2000 Server ではCD-ROMから何かを入れないとコマンド類が
使えないという情報は見つけましたが、2003 の情報がなくて未だ
ldapadd とか使えない状態です。
こちらは調べて何とかします。
「LDAP -設定・管理・プログラミング」は一応読みました。
理解が足らず申し訳ないです。
NGNG
>>147
> LDAP側から見たものが見つからなくて
ないよ。
Windowsで閉じている限りは以下の操作でOKです、ってのばかり。
padl.comのlink集がお勧め。MSDNも必読。
microsoft.ext.schema microsoft.schema microsoft.std.schema
も目を通しておいた方がいい。
後はSSLなしで運用してみて、etherealでsnoop。
> LDAP側から見たものが見つからなくて
ないよ。
Windowsで閉じている限りは以下の操作でOKです、ってのばかり。
padl.comのlink集がお勧め。MSDNも必読。
microsoft.ext.schema microsoft.schema microsoft.std.schema
も目を通しておいた方がいい。
後はSSLなしで運用してみて、etherealでsnoop。
149くそAD
NGNG >>148
> Windowsで閉じている限りは以下の操作でOKです、ってのばかり。
やっぱり・・・
> padl.comのlink集がお勧め。MSDNも必読。
padl.com のリンクはいいですね。
その他、いろいろ良い情報ありがとうございます。
助かりました。
> Windowsで閉じている限りは以下の操作でOKです、ってのばかり。
やっぱり・・・
> padl.comのlink集がお勧め。MSDNも必読。
padl.com のリンクはいいですね。
その他、いろいろ良い情報ありがとうございます。
助かりました。
150名無しさん@お腹いっぱい。
NGNG こりゃやってられねーや、と思ったら、予算を確保して、
http://jp.sun.com/javasystem/identitysynch/
を検討してみてね。
来年出るMac OS X 10.4もprimary domain controllerの代りになるらしいが…
http://jp.sun.com/javasystem/identitysynch/
を検討してみてね。
来年出るMac OS X 10.4もprimary domain controllerの代りになるらしいが…
NGNG
ユーザーデーターはLDAP-SSL,認証はKerberosコレ、漢仕様。
NGNG
Kerberos、きちんと運用できれば便利なんだろうけどねぇ…
既存環境全部捨てるハメになりそうで、ヲレには無理。
NISの代替でPAMからLDAP使っての認証程度で精一杯。
既存環境全部捨てるハメになりそうで、ヲレには無理。
NISの代替でPAMからLDAP使っての認証程度で精一杯。
NGNG
PAMあれば、Kerberos運用は簡単。
154名無しさん@お腹いっぱい。
2005/05/11(水) 03:14:00 Solaris9(sparc) + nss_ldap-238(gcc,GNUmakeでbuild)で環境構築中、
ls -lなどではuid/gidの解決がOKっす。
が、LDAP上のユーザを指定したchownや、passwd上のユーザを指定したidコマンドで
必ずSegmentation Faultが出るんだけど…。
一応、ownerの変更や結果の表示はされてまつ。
Compilerのせい?
ちなみに、trussで見るとこんなん↓出てまつ。う〜ん…
Incurred fault #6, FLTBOUNDS %pc = 0xFF0FAE24
siginfo: SIGSEGV SEGV_MAPERR addr=0xFF0FAE24
Received signal #11, SIGSEGV [default]
siginfo: SIGSEGV SEGV_MAPERR addr=0xFF0FAE24
ls -lなどではuid/gidの解決がOKっす。
が、LDAP上のユーザを指定したchownや、passwd上のユーザを指定したidコマンドで
必ずSegmentation Faultが出るんだけど…。
一応、ownerの変更や結果の表示はされてまつ。
Compilerのせい?
ちなみに、trussで見るとこんなん↓出てまつ。う〜ん…
Incurred fault #6, FLTBOUNDS %pc = 0xFF0FAE24
siginfo: SIGSEGV SEGV_MAPERR addr=0xFF0FAE24
Received signal #11, SIGSEGV [default]
siginfo: SIGSEGV SEGV_MAPERR addr=0xFF0FAE24
2005/05/11(水) 10:41:22
156名無しさん@お腹いっぱい。
2005/05/11(水) 22:14:37 大規模サイトで、LDAPが流行っているようですが、
solaris,BSD `等で OpenLDAP,PADL を実際に使って、認証システムを
構築して、企業なんかで利用できるのだろうか?
検索の速度等が、LDAPは遅いと聞いたのですが。
また、大手のLDAP良く落ちていますが、大丈夫でしょうか?
実際大手はどうやっているのだろうか
solaris,BSD `等で OpenLDAP,PADL を実際に使って、認証システムを
構築して、企業なんかで利用できるのだろうか?
検索の速度等が、LDAPは遅いと聞いたのですが。
また、大手のLDAP良く落ちていますが、大丈夫でしょうか?
実際大手はどうやっているのだろうか
2005/05/12(木) 00:25:56
LDAPスレにありますが、OpenLDAPは駄目駄目です。
iPlanet on Solaris辺りで。
Red HatはNetscapeの奴をAOLから買って一人前にして公開するみたいです。
大手ってのは国内メーカのこと?
iPlanet on Solaris辺りで。
Red HatはNetscapeの奴をAOLから買って一人前にして公開するみたいです。
大手ってのは国内メーカのこと?
2005/05/12(木) 01:19:28
>>155
Solarisのldapclientコマンドで設定すると、
- いくつかの設定ファイルが自動的に書き換えられてしまう
- いくつかのデーモンが勝手に起動する
ので、/var/ldap/ldap_client_fileを作るのが目的なのに、
副作用がありそうで、その影響範囲が見えないことを懸念してまつ。
# -vオプションを付ければ処理を全て表示してくれる?
本番運用系のサーバを順次、nss/pam対応しようと思ってるんだけど、
何らかの副作用で、sendmailのメール配送に影響出たりすると、
目も当てられないので…。
その点、PADLのnss_ldapはldapclientのような
ブラックボックス化された部分が無く、
シンプルで分かりやすいので、置き換えたかったわけです。
Solaris純正は情報も少ないし…(docs.sun.comくらい?)
pamの違いは理解してまつ。
LDAPを認証サーバとして使った経験はあるので。
むしろ「userPasswordを読んで比較」だと、
「それじゃ単なるDBじゃん!」とツッコミたくなるよね。
そのへん純正pamは、ちとイケテナイなぁ、と。
Solarisのldapclientコマンドで設定すると、
- いくつかの設定ファイルが自動的に書き換えられてしまう
- いくつかのデーモンが勝手に起動する
ので、/var/ldap/ldap_client_fileを作るのが目的なのに、
副作用がありそうで、その影響範囲が見えないことを懸念してまつ。
# -vオプションを付ければ処理を全て表示してくれる?
本番運用系のサーバを順次、nss/pam対応しようと思ってるんだけど、
何らかの副作用で、sendmailのメール配送に影響出たりすると、
目も当てられないので…。
その点、PADLのnss_ldapはldapclientのような
ブラックボックス化された部分が無く、
シンプルで分かりやすいので、置き換えたかったわけです。
Solaris純正は情報も少ないし…(docs.sun.comくらい?)
pamの違いは理解してまつ。
LDAPを認証サーバとして使った経験はあるので。
むしろ「userPasswordを読んで比較」だと、
「それじゃ単なるDBじゃん!」とツッコミたくなるよね。
そのへん純正pamは、ちとイケテナイなぁ、と。
2005/05/12(木) 01:22:03
>> 157
> iPlanet on Solaris辺りで。
> Red HatはNetscapeの奴をAOLから買って一人前にして公開するみたいです。
iPlanetも元をたどればNetscape Directory Serverではなかった?
勘違いだったらスマソ
> iPlanet on Solaris辺りで。
> Red HatはNetscapeの奴をAOLから買って一人前にして公開するみたいです。
iPlanetも元をたどればNetscape Directory Serverではなかった?
勘違いだったらスマソ
2005/05/12(木) 08:59:18
FreeBSD でLDAPしようと思うと、LDAPに何を使うのがいいでしょうか?
openldap がだめということなので。
VA Linuxが出しているLDAPソリューション、大変興味がありますが、検索速度などどうなのでしょうか?
openldap がだめということなので。
VA Linuxが出しているLDAPソリューション、大変興味がありますが、検索速度などどうなのでしょうか?
2005/05/12(木) 09:04:59
LinuxならiPlanetにしておけば?
http://www.sun.com/download/products.xml?id=3ee79e69
http://www.sun.com/download/products.xml?id=3ee79e69
165名無しさん@お腹いっぱい。
2005/06/03(金) 11:56:35 Red Hat/Fedoraも出したってさ。
Binaryは今のところLinuxとSolaris only
http://directory.fedora.redhat.com/wiki/Main_Page
Binaryは今のところLinuxとSolaris only
http://directory.fedora.redhat.com/wiki/Main_Page
2005/12/27(火) 12:36:07
kerberosを使ってるマシン(Fedore Core 4)に誰かがsshでログイン中、チケットキャッシュが
/tmp/krb5cc_500_kGobGm8510
という感じで出来てる。別の誰かが su で root になったあと、
このファイルを /tmp/krb5cc_501 のように自分のチケットキャッシュとしてコピーして
chown でオーナー変えてしまえば、簡単に盗めてしまい、kerberosに参加してる他のサーバにログインできてしまうけど、どう対策すれば…
kerberos に参加している全てのマシンで root 権限を廃止すればいいんだろうけど、
運用が大きく変わりそうだし、他に手はない?
/tmp/krb5cc_500_kGobGm8510
という感じで出来てる。別の誰かが su で root になったあと、
このファイルを /tmp/krb5cc_501 のように自分のチケットキャッシュとしてコピーして
chown でオーナー変えてしまえば、簡単に盗めてしまい、kerberosに参加してる他のサーバにログインできてしまうけど、どう対策すれば…
kerberos に参加している全てのマシンで root 権限を廃止すればいいんだろうけど、
運用が大きく変わりそうだし、他に手はない?
167名無しさん@お腹いっぱい。
2006/01/26(木) 00:07:15 debian sargeでPostfixでSMTP AUTH + PAMやりたいのに、なんで
どう設定してもPAM認証をおこなってくれない;;
どう設定してもPAM認証をおこなってくれない;;
2006/01/26(木) 00:29:13
レスを投稿する
ニュース
- 【ゲーム】「余命宣告を受けた息子の為に“Switch2”を優先的に買わせて欲しい」母親が任天堂に直談判した結果… ★2 [ネギうどん★]
- 【田中圭との不倫報道】《憔悴の近影》永野芽郁、頬がこけ、目元を腫らして…移動時には“厳戒態勢”「事務所車までダッシュ」 [Ailuropoda melanoleuca★]
- 【石破首相】消費税減税について3点あげ否定的な考え示す「次の時代に責任を持つ。本当に困窮の方に手厚い措置する」 [ぐれ★]
- 大阪万博で販売されていた“旧統一教会系企業”が製造する炭酸飲料「メッコール」を販売停止 [おっさん友の会★]
- 【千葉】若葉区 殺人事件 中学3年生の15歳少年 殺人の疑いで逮捕 2人は面識なしか [ぐれ★]
- かっぱえびせん値上げ [おっさん友の会★]
- ジャップ、ヘコヘコしてMAGA帽子まで被ったのに強硬中国以下の関税交渉成果… [667744927]
- 三三👊😅👊💥🏡💥👊😅👊三三
- 【速報】アメリカ、中国製品への関税145⇒30%に、中国、アメリカ製品への関税125⇒10%に引き下げ。90日間 [718678614]
- 【速報】1ドル147円。再び円安ドル高に [718678614]
- 【朗報】千葉の新ロッテスタジアム、建設費用はわずか2,505億円程度で収まる模様!!税金払ってる身としては助かるね❤ [339712612]
- 【脱獄】Grokに安倍晋三のエロ小説を書かせるプロンプト作った [159091185]