>>86さん
# gcc -Wall -o yptest yptest.c
yptest.c: In function `main':
yptest.c:17: warning: long int format, int arg (arg 4)
yptest.c:17: warning: long int format, int arg (arg 5)
yptest.c:17: warning: long int format, int arg (arg 6)
yptest.c:17: warning: long int format, int arg (arg 7)
yptest.c:17: warning: long int format, int arg (arg 8)
yptest.c:17: warning: long int format, int arg (arg 9)
# ./yptest
# ./yptest "なにを書いても"
getspnam: Bad file number
もちろん一般ユーザーでも結果は同じです。実行はNIS server上。
ちなみにSolaris 8にtruss, straceは有りました。
ltraceは無いみたいです。
かなり分かっていない感じなので精進してから再トライします。
System call = OS API? 出直します。
探検
UNIX認証方式いろいろ
87名無しさん@お腹いっぱい。
NGNG88名無しさん@お腹いっぱい。
NGNG89not 58
NGNG >>87
> # ./yptest "なにを書いても"
> getspnam: Bad file number
file descriptorがおかしいって事だからなんか変。
とりあえず、
# truss ./yptest root
> # ./yptest "なにを書いても"
> getspnam: Bad file number
file descriptorがおかしいって事だからなんか変。
とりあえず、
# truss ./yptest root
9085,86
NGNG >> 89さん
まず最初に、87の
> # ./yptest "なにを書いても"
> getspnam: Bad file number
は私の間違いでした.すいません.
引数としてaccount-nameを食わせればよいということすら
プログラム(81&86)から読み取れなかったのです。今実行してみた所、
# ./yptest root
root;Fn1m.j9izt0.w;-1;-1;-1;-1;-1;-1;0
一般ユーザーのアカウントをrootの代わりにいれても
同じような出力が出てきます.
nishida;ub94r.Mf346ZA;-1;-1;-1;-1;-1;-1;0
NISで配られているパスワードが見えています.ただし、nishidaのshadowは
nishida:ub94r.Mf346ZA:11956::50:10:::
なので50などのshadow中の(パスワード以外の)情報は出てきていない
ような気がします.
まずは報告まで.それでは.
まず最初に、87の
> # ./yptest "なにを書いても"
> getspnam: Bad file number
は私の間違いでした.すいません.
引数としてaccount-nameを食わせればよいということすら
プログラム(81&86)から読み取れなかったのです。今実行してみた所、
# ./yptest root
root;Fn1m.j9izt0.w;-1;-1;-1;-1;-1;-1;0
一般ユーザーのアカウントをrootの代わりにいれても
同じような出力が出てきます.
nishida;ub94r.Mf346ZA;-1;-1;-1;-1;-1;-1;0
NISで配られているパスワードが見えています.ただし、nishidaのshadowは
nishida:ub94r.Mf346ZA:11956::50:10:::
なので50などのshadow中の(パスワード以外の)情報は出てきていない
ような気がします.
まずは報告まで.それでは.
91not 58
NGNG >>90
> # ./yptest root
> root;Fn1m.j9izt0.w;-1;-1;-1;-1;-1;-1;0
そりゃ、あかんやん。YP shadow map読めて/読んでないよ。
nsswitch.confを
shadow: nis files
でも駄目なの? (なんでfilesを先に書く?)
> # ./yptest root
> root;Fn1m.j9izt0.w;-1;-1;-1;-1;-1;-1;0
そりゃ、あかんやん。YP shadow map読めて/読んでないよ。
nsswitch.confを
shadow: nis files
でも駄目なの? (なんでfilesを先に書く?)
9290
NGNG >>91さん
あかんです。確かに。
nis filesにして(OSもrebootして)試してみましたがyptestの結果は
変わりませんでした。
files nisにしている理由はSolaris8の
NIS用nsswitch.confテンプレート(/etc/nsswitch.nis)がそうだったから
というだけです。今はNIS serverで/etc/passwd, shadowから直接
NIS mapを作っているので、NISでrootも配っているんです。
files nisにすると全てのhostsのrootパスワードがNIS serverと同じに
なってしまいます。
web siteなどを調べると、NISで配るmapのためのファイルは/var/ypなどに
コピーして(passwd, shadowから)rootを除いて(/var/yp/Makefileを
いじって)運用した方がよいと書いてありますがそこまでは
まだやっていません。
本題の方はもう少し自分で調べて試してみます。進捗あったらまた報告します。
あかんです。確かに。
nis filesにして(OSもrebootして)試してみましたがyptestの結果は
変わりませんでした。
files nisにしている理由はSolaris8の
NIS用nsswitch.confテンプレート(/etc/nsswitch.nis)がそうだったから
というだけです。今はNIS serverで/etc/passwd, shadowから直接
NIS mapを作っているので、NISでrootも配っているんです。
files nisにすると全てのhostsのrootパスワードがNIS serverと同じに
なってしまいます。
web siteなどを調べると、NISで配るmapのためのファイルは/var/ypなどに
コピーして(passwd, shadowから)rootを除いて(/var/yp/Makefileを
いじって)運用した方がよいと書いてありますがそこまでは
まだやっていません。
本題の方はもう少し自分で調べて試してみます。進捗あったらまた報告します。
93山崎渉
NGNG (^^)
NGNG
ネットワーク再構築テスト
95名無しさん@お腹いっぱい。
NGNG nis から ldap に移行したいと思っておるが、
パスワードの形式を des から md5 に変更しないといけない?
パスワードの形式を des から md5 に変更しないといけない?
NGNG
OSは何よ
つーか NIS や LDAP が認証するわけじゃねーってのは
わかっておるか?
どっちもあくまでデータベースにすぎんわけで。
あ、でも
ttp://taku.ath.cx/index.php?Server%2FLDAP
ってのを見つけた。
ばーぢょんに気をつけれ。
つーか NIS や LDAP が認証するわけじゃねーってのは
わかっておるか?
どっちもあくまでデータベースにすぎんわけで。
あ、でも
ttp://taku.ath.cx/index.php?Server%2FLDAP
ってのを見つけた。
ばーぢょんに気をつけれ。
97山崎渉
NGNG (^^)
98あぼーん
NGNGあぼーん
99名無しさん@お腹いっぱい。
NGNG >>96
NIS -> LDAP なんてことするのは Solaris8 or 9 以外にはちと考えにくい
NIS -> LDAP なんてことするのは Solaris8 or 9 以外にはちと考えにくい
100not 58
NGNG101あぼーん
NGNGあぼーん
102名無しさん@お腹いっぱい。
NGNG10364 ◆3OpmpQGwCc
NGNG >>86
禿同
はなし変わるけど、携帯ゲーム機"プレイステーションポータブル(PSP)
このPSPは、新規格UMD(ユニバーサルメディアディスク)というディスクを利用しており、そのサイズは直径6cmととても小さい(CDの半分程度)。 容量は1.8GBとなっている。
画面は4.5インチのTFT液晶で、480px x 272px(16:9)。MPEG4の再生やポリゴンも表示可能。外部端子として、USB2.0とメモリースティックコネクタが用意されているという。
この際、スク・エニもGBAからPSPに乗り換えたらどうでしょう。スク・エニの場合、PSPの方が実力を出しやすいような気がするんですが。
任天堂が携帯ゲーム機で圧倒的なシェアをもってるなら、スク・エニがそれを崩してみるのもおもしろいですし。かつて、PS人気の引き金となったFF7のように。
いきなりこんな事書いてスマソ‥
GBAと比べてみてどうなんですかね?(シェアのことは抜きで)
禿同
はなし変わるけど、携帯ゲーム機"プレイステーションポータブル(PSP)
このPSPは、新規格UMD(ユニバーサルメディアディスク)というディスクを利用しており、そのサイズは直径6cmととても小さい(CDの半分程度)。 容量は1.8GBとなっている。
画面は4.5インチのTFT液晶で、480px x 272px(16:9)。MPEG4の再生やポリゴンも表示可能。外部端子として、USB2.0とメモリースティックコネクタが用意されているという。
この際、スク・エニもGBAからPSPに乗り換えたらどうでしょう。スク・エニの場合、PSPの方が実力を出しやすいような気がするんですが。
任天堂が携帯ゲーム機で圧倒的なシェアをもってるなら、スク・エニがそれを崩してみるのもおもしろいですし。かつて、PS人気の引き金となったFF7のように。
いきなりこんな事書いてスマソ‥
GBAと比べてみてどうなんですかね?(シェアのことは抜きで)
104あぼーん
NGNGあぼーん
105名無しさん@お腹いっぱい。
NGNG Kerberosに関して、比較的最近のUNIX/Linuxでの取り扱いについてまとめた本って、
どういうのがあるか、ご存じな方いらしたら教えていただませんでしょうか。
仕組みはおおよそわかってるつもりですが、実際に試しながら学んでみたいもので。
どういうのがあるか、ご存じな方いらしたら教えていただませんでしょうか。
仕組みはおおよそわかってるつもりですが、実際に試しながら学んでみたいもので。
106あぼーん
NGNGあぼーん
NGNG
108名無しさん@お腹いっぱい。
NGNG Howto本だけだと意味もわからずできてしまいそうで恐いです。
基本的な概念の説明も含んだ設定ガイド、といったら変でしょうか。
基本的な概念の説明も含んだ設定ガイド、といったら変でしょうか。
NGNG
KERBEROS―ネットワーク認証システム 最新ネットワーク技術ハンドブック
ブライアンタン (著), Brian Tung (原著), 桑村潤 (翻訳)
http://www.amazon.co.jp/exec/obidos/ASIN/489471146X
とりあえず、これでも読んだら、PAMでpam_krb5.soの設定してみたら?
アプリケーションレベルのKerberos対応については、
PAM化を最初に検討するといい。
ブライアンタン (著), Brian Tung (原著), 桑村潤 (翻訳)
http://www.amazon.co.jp/exec/obidos/ASIN/489471146X
とりあえず、これでも読んだら、PAMでpam_krb5.soの設定してみたら?
アプリケーションレベルのKerberos対応については、
PAM化を最初に検討するといい。
NGNG
英語OKなら、O'Reillyのこっちね。
Kerberos: The Definitive Guide
Jason Garman
http://www.amazon.com/exec/obidos/tg/detail/-/0596004036
Kerberos: The Definitive Guide
Jason Garman
http://www.amazon.com/exec/obidos/tg/detail/-/0596004036
111あぼーん
NGNGあぼーん
112あぼーん
NGNGあぼーん
113あぼーん
NGNGあぼーん
114名無しさん@お腹いっぱい
NGNG いきなり質問なのですが、Windows Server 2003の
ActiveDirectoryとSunONE Directory Serverを
連携させてる方っていらっしゃいますか?
ActiveDirectory配下にSunONEを配置して
ユーザの認証だけやらせようと思ってるんだけど、
実績が全然みつからないのねん。
ActiveDirectoryとSunONE Directory Serverを
連携させてる方っていらっしゃいますか?
ActiveDirectory配下にSunONEを配置して
ユーザの認証だけやらせようと思ってるんだけど、
実績が全然みつからないのねん。
NGNG
>>114
もうちょっと説明しろ。
bind operationのchainingで何とかなると思う。
しかしSolarisのPAMは、bindで認証しないからチョトやっかいだ。
iPlanet Directory Serverに全部やらせるのなら実績山ほどあるぞ。
ただし、Windows clientにplugin入れないと駄目だけどね。
本当に認証だけで、NSSはやらないのなら、
Active Directoryにradius喋らせるだけで十分かも。
LDAPスレの方が反応いいかも…
もうちょっと説明しろ。
bind operationのchainingで何とかなると思う。
しかしSolarisのPAMは、bindで認証しないからチョトやっかいだ。
iPlanet Directory Serverに全部やらせるのなら実績山ほどあるぞ。
ただし、Windows clientにplugin入れないと駄目だけどね。
本当に認証だけで、NSSはやらないのなら、
Active Directoryにradius喋らせるだけで十分かも。
LDAPスレの方が反応いいかも…
116名無しさん@お腹いっぱい
NGNG >>115
すんません。LDAP関連は手がけるの初めてなモノで、まだ手応えがよくわかってないんです。
既存のActiveDirectory(ちかじかWindows2003Serverへ移行予定)の中に
Sun ONE Web Serverを設置する予定なのですが、
代理店からSun ONE Directory Serverでないと認証できないと言われてしまいました。
で、ActiveDirectoryとSun ONE Directory Serverの連携という話になるんですが、
Webサーバ上ではBasic認証程度しかしないので、IDとパスワードの同期ができれば十分なのです。
『SolarisによるLDAP実践ガイド』読んでると暗澹たる気分になるし、
Sun ONE Identity Synchronization for Windowsは
代理店に扱うかどうかも不明とか言われて途方にくれてます。
すんません。LDAP関連は手がけるの初めてなモノで、まだ手応えがよくわかってないんです。
既存のActiveDirectory(ちかじかWindows2003Serverへ移行予定)の中に
Sun ONE Web Serverを設置する予定なのですが、
代理店からSun ONE Directory Serverでないと認証できないと言われてしまいました。
で、ActiveDirectoryとSun ONE Directory Serverの連携という話になるんですが、
Webサーバ上ではBasic認証程度しかしないので、IDとパスワードの同期ができれば十分なのです。
『SolarisによるLDAP実践ガイド』読んでると暗澹たる気分になるし、
Sun ONE Identity Synchronization for Windowsは
代理店に扱うかどうかも不明とか言われて途方にくれてます。
NGNG
>>116
> 代理店からSun ONE Directory Serverでないと認証できないと言われてしまいました。
認証のクライアントは何?
> Sun ONE Directory Serverでないと認証できない
Schemaも知らない馬鹿営業の話真に受けていても…
> 代理店からSun ONE Directory Serverでないと認証できないと言われてしまいました。
認証のクライアントは何?
> Sun ONE Directory Serverでないと認証できない
Schemaも知らない馬鹿営業の話真に受けていても…
118名無しさん@お腹いっぱい
NGNG >>117
> 認証のクライアントは何?
認証のクライアントというのはエンドユーザの事でしょうか?
それならWindowsXP&IEです(ひょっとするとLinux&Mozillaがあるかも…)
現在は以下のような環境を想定してます。
ActiveDirectory<-??->Sun ONE Directory <-LDAP-> Sun ONE Web <-> クライアントPC
> Schemaも知らない馬鹿営業の話真に受けていても…
まー反論できない私もアレですんで…(苦笑)
> 認証のクライアントは何?
認証のクライアントというのはエンドユーザの事でしょうか?
それならWindowsXP&IEです(ひょっとするとLinux&Mozillaがあるかも…)
現在は以下のような環境を想定してます。
ActiveDirectory<-??->Sun ONE Directory <-LDAP-> Sun ONE Web <-> クライアントPC
> Schemaも知らない馬鹿営業の話真に受けていても…
まー反論できない私もアレですんで…(苦笑)
119DESからMD5への移行
NGNG 古いホストで DES でハッシュされた /etc/passwd を使っています。
さすがに MD5 に移行したいと思うのですが、
当たり前ながら平文のパスワードはわかりません。
ユーザがログインしたときには平文のパスワードがわかりますから、
そのつど passwd.md5 のようなファイルに MD5 でハッシュしたパスワードを記録していって、
全てのユーザのMD5ハッシュ済みパスワードがたまった時点で移行したいのですが、
そういうことをする機構って PAM のモジュールとしては提供されていませんか?
さすがに MD5 に移行したいと思うのですが、
当たり前ながら平文のパスワードはわかりません。
ユーザがログインしたときには平文のパスワードがわかりますから、
そのつど passwd.md5 のようなファイルに MD5 でハッシュしたパスワードを記録していって、
全てのユーザのMD5ハッシュ済みパスワードがたまった時点で移行したいのですが、
そういうことをする機構って PAM のモジュールとしては提供されていませんか?
NGNG
chageとかでパスワードの更新を促すとか。
NGNG
NGNG
>121の指はまだDECを憶えているようだ。泣ける。
NGNG
>>122
Ultrix使ってたんだよ…
Ultrix使ってたんだよ…
NGNG
DES はハッシュじゃないと思うのだが。
NGNG
そうだね
126名無しさん@お腹いっぱい。
NGNG passwd ファイルと shadow ファイルの x と * と ! は何を意味するのでしょうか?
普通は shadow にハッシュされたパスワードが入っていて、
そのとき passwd ファイルのほうには x が入っているということくらいしか知らないのですが、
/etc/shadow を見ると * とか ! があります。
普通は shadow にハッシュされたパスワードが入っていて、
そのとき passwd ファイルのほうには x が入っているということくらいしか知らないのですが、
/etc/shadow を見ると * とか ! があります。
NGNG
128名無しさん@お腹いっぱい。
NGNG >>127 ごめんなさい。わかりました。
When the asterisk is there, nothing can match it.
An exclamation mark means a password (or account) is locked via
usermod(8). Also, a single exclamation marks means that a account is not
allowed for logins. So a double exclamation makes sure that if it was
unlocked, it would still have an invalid passwd.
When the asterisk is there, nothing can match it.
An exclamation mark means a password (or account) is locked via
usermod(8). Also, a single exclamation marks means that a account is not
allowed for logins. So a double exclamation makes sure that if it was
unlocked, it would still have an invalid passwd.
129名無しさん@お腹いっぱい。
NGNG バックエンドのデータベースエンジンに格納されている
「ユーザ名 & ハッシュされたパスワード」 のペアを使って
認証するための PAM モジュールというのはあるのでしょうか?
認証情報を PostgreSQL や MySQL などのデータベースにテーブルとして格納し、
それを使って認証するためには、一旦 LDAP サーバなどを経由する必要がありますか?
「ユーザ名 & ハッシュされたパスワード」 のペアを使って
認証するための PAM モジュールというのはあるのでしょうか?
認証情報を PostgreSQL や MySQL などのデータベースにテーブルとして格納し、
それを使って認証するためには、一旦 LDAP サーバなどを経由する必要がありますか?
130LDAPスレの人
NGNG >>129
おまいさんは何使い? わしゃDebian使い。
http://packages.debian.org/libpam-pgsql
http://packages.debian.org/libpam-mysql
おまいさんは何使い? わしゃDebian使い。
http://packages.debian.org/libpam-pgsql
http://packages.debian.org/libpam-mysql
131名無しさん@お腹いっぱい。
NGNG >>130 が〜ん、漏れも Debian 使いです…
そんなパッケージがあったとは…ありがとう。
そんなパッケージがあったとは…ありがとう。
NGNG
認証を全部Kerberosにしたいのですが、Kerberosできるメールクライアントってどんなのがあるのでしょうか。
なければWebメールかな、と…。
なければWebメールかな、と…。
NGNG
pam使え。
134名無しさん@お腹いっぱい。
NGNG Plan9があれば、こんなKerberosみたいなゴテゴテした仕組みは
要らないね。複数のコンピュータで一つのサービスを提供するから
シングルサインオンが当たり前の世界だし。
要らないね。複数のコンピュータで一つのサービスを提供するから
シングルサインオンが当たり前の世界だし。
135名無しさん@お腹いっぱい。
NGNG うちのサーバは人を信用してるから認証なし
136名無しさん@お腹いっぱい。
NGNG ■これ、犯罪じゃね?■ Part5
http://love3.2ch.net/test/read.cgi/motenai/1094008658/
援軍に来てください!!お願いします。
どうしてもPCの知識がある人が必要なんです
http://love3.2ch.net/test/read.cgi/motenai/1094008658/
援軍に来てください!!お願いします。
どうしてもPCの知識がある人が必要なんです
NGNG
NGNG
RADIUSとか・・・・・・・認証違いか・・・
ツーか、ダイアルアップの認証はもう辞めませんか社長・・・
回線からサーバまで管理する身にもなって下さい。
あぁ、今日もまた回線工事でクレームが・・・
ツーか、ダイアルアップの認証はもう辞めませんか社長・・・
回線からサーバまで管理する身にもなって下さい。
あぁ、今日もまた回線工事でクレームが・・・
NGNG
NGNG
OSのあらゆるサービスがkerberos認証に基づく分散コンポーネントで
出来上がってるWindowsは、設計の観点から見たらやっぱり凄いね。
出来上がってるWindowsは、設計の観点から見たらやっぱり凄いね。
NGNG
>>140
一行目はKerberos V5ベタベタに聞こえるけど、そうではない。
一行目はKerberos V5ベタベタに聞こえるけど、そうではない。
142くそAD
NGNG Postfix へ POP Before SMTP として、Courier-IMAP + DRACを使う。
で、POPの認証先をLDAPにするまでは良いんだけど、LDAPサーバは
Win2003 Server の ActiveDirectory でやってくれと言われた。
別に問題ないんじゃない?と思っていたら、LDAPの業者から ActiveDirectory
のパスワード属性は書込み専用で読込むことが出来ないと言われた。
/etc/courier/authldaprc の中で、
------------------------------
LDAP_CLEARPW userPassword
------------------------------
というような事が出来ないと言うことですよね?
まだ Win2003 Server が手元に無いから試せないんだけど。
POPのパスワード用に別の属性を作るのは構わないと言っているけど、
Windows のパスワード(userPassword)と同期は取って欲しいとの事。
何か良い知恵はないですか?
で、POPの認証先をLDAPにするまでは良いんだけど、LDAPサーバは
Win2003 Server の ActiveDirectory でやってくれと言われた。
別に問題ないんじゃない?と思っていたら、LDAPの業者から ActiveDirectory
のパスワード属性は書込み専用で読込むことが出来ないと言われた。
/etc/courier/authldaprc の中で、
------------------------------
LDAP_CLEARPW userPassword
------------------------------
というような事が出来ないと言うことですよね?
まだ Win2003 Server が手元に無いから試せないんだけど。
POPのパスワード用に別の属性を作るのは構わないと言っているけど、
Windows のパスワード(userPassword)と同期は取って欲しいとの事。
何か良い知恵はないですか?
NGNG
courierをauthpamにして、pamでldapを参照するようにする。
pamのldap moduleが、PADL.comの奴ならば、
パスワード属性を読むんじゃなくて、
bind operationで認証をするので問題なし。*1)
ldapsでsimple bind、でいいんじゃないですか?
LDAPはdirectory serverであるだけでなく、認証serverでもあります。
userPassword属性を読んで、手元で(ひねった後)比較するんだと、
LDAPはdirectory serverで、認証はlocalでやっていることになります。
*1)の方法がLDAP的なんだけど、あまり理解されてないです。
ほとんどのserverが自分で認証をやってしまっている。
pamのldap moduleが、PADL.comの奴ならば、
パスワード属性を読むんじゃなくて、
bind operationで認証をするので問題なし。*1)
ldapsでsimple bind、でいいんじゃないですか?
LDAPはdirectory serverであるだけでなく、認証serverでもあります。
userPassword属性を読んで、手元で(ひねった後)比較するんだと、
LDAPはdirectory serverで、認証はlocalでやっていることになります。
*1)の方法がLDAP的なんだけど、あまり理解されてないです。
ほとんどのserverが自分で認証をやってしまっている。
144くそAD
NGNG >> 143
早速のアドバイスありがとうございます。
なるほど、NSS-ldapではなく、pamの設定でですか。
authpamに気づかず、同じような事をNSS経由でやろうと思っていました。
もしかしてご経験がある方でしょうか?
> ldapsでsimple bind、でいいんじゃないですか?
この場合、pam_passwordはclearで良いのでしょうか?
ActiveDirectory はクリアテキストでは格納されていないようだと
業者が言っておりました。
(あまりあてにならない業者のようでしたが)
Win2003 Server は手に入れたのですが、ユーザのエントリに
posixAccount のオブジェクトクラスを追加する方法がまだ
分からずにいてテストできない状態です。
教えて君で申し訳ありませんが、ご存知でしたらお教え願え
ますでしょうか?
よろしくお願いします。
早速のアドバイスありがとうございます。
なるほど、NSS-ldapではなく、pamの設定でですか。
authpamに気づかず、同じような事をNSS経由でやろうと思っていました。
もしかしてご経験がある方でしょうか?
> ldapsでsimple bind、でいいんじゃないですか?
この場合、pam_passwordはclearで良いのでしょうか?
ActiveDirectory はクリアテキストでは格納されていないようだと
業者が言っておりました。
(あまりあてにならない業者のようでしたが)
Win2003 Server は手に入れたのですが、ユーザのエントリに
posixAccount のオブジェクトクラスを追加する方法がまだ
分からずにいてテストできない状態です。
教えて君で申し訳ありませんが、ご存知でしたらお教え願え
ますでしょうか?
よろしくお願いします。
NGNG
>>144
> > ldapsでsimple bind、でいいんじゃないですか?
> この場合、pam_passwordはclearで良いのでしょうか?
Simple bindにすれば、指定しなくていい。(全てサーバ任せ)
nss_ldapのときは必須だけどね。ここちゃんと理解してね。
さらにパスワード変更するなら、
client側でpassword modifyオペレーションが利用できればいい。
# ActiveDirectoryはOK
> ActiveDirectory はクリアテキストでは格納されていないようだと
> 業者が言っておりました。
されてるよ。じゃないとchallenge & response使えないし。
けどそんなこと意識する必要ないのがbind。
> (あまりあてにならない業者のようでしたが)
まあ、あなたも分からないわけだから…
> Win2003 Server は手に入れたのですが、ユーザのエントリに
> posixAccount のオブジェクトクラスを追加する方法がまだ
> 分からずにいてテストできない状態です。
ldap関係のCUI .exeが付いているでしょ。ldapaddとか。
ActiveDirectoryの参考書読んだら?
> > ldapsでsimple bind、でいいんじゃないですか?
> この場合、pam_passwordはclearで良いのでしょうか?
Simple bindにすれば、指定しなくていい。(全てサーバ任せ)
nss_ldapのときは必須だけどね。ここちゃんと理解してね。
さらにパスワード変更するなら、
client側でpassword modifyオペレーションが利用できればいい。
# ActiveDirectoryはOK
> ActiveDirectory はクリアテキストでは格納されていないようだと
> 業者が言っておりました。
されてるよ。じゃないとchallenge & response使えないし。
けどそんなこと意識する必要ないのがbind。
> (あまりあてにならない業者のようでしたが)
まあ、あなたも分からないわけだから…
> Win2003 Server は手に入れたのですが、ユーザのエントリに
> posixAccount のオブジェクトクラスを追加する方法がまだ
> 分からずにいてテストできない状態です。
ldap関係のCUI .exeが付いているでしょ。ldapaddとか。
ActiveDirectoryの参考書読んだら?
NGNG
それから↓くらいは読まないとマルチプラットフォーム運用は無理。
http://www.amazon.co.jp/exec/obidos/ASIN/4274065502/
http://www.amazon.co.jp/exec/obidos/ASIN/4274065502/
147くそAD
NGNG いろいろありがとうございます。
> Simple bindにすれば、指定しなくていい。(全てサーバ任せ)
> nss_ldapのときは必須だけどね。ここちゃんと理解してね。
なるほど。
> ldap関係のCUI .exeが付いているでしょ。ldapaddとか。
> ActiveDirectoryの参考書読んだら?
ADの参考書を探してるんですが、LDAP側から見たものが見つからなくて
困っているところです。ドメインの管理やらユーザの管理やらの本は
何冊も見つかりましたが。
Win2000 Server ではCD-ROMから何かを入れないとコマンド類が
使えないという情報は見つけましたが、2003 の情報がなくて未だ
ldapadd とか使えない状態です。
こちらは調べて何とかします。
「LDAP -設定・管理・プログラミング」は一応読みました。
理解が足らず申し訳ないです。
> Simple bindにすれば、指定しなくていい。(全てサーバ任せ)
> nss_ldapのときは必須だけどね。ここちゃんと理解してね。
なるほど。
> ldap関係のCUI .exeが付いているでしょ。ldapaddとか。
> ActiveDirectoryの参考書読んだら?
ADの参考書を探してるんですが、LDAP側から見たものが見つからなくて
困っているところです。ドメインの管理やらユーザの管理やらの本は
何冊も見つかりましたが。
Win2000 Server ではCD-ROMから何かを入れないとコマンド類が
使えないという情報は見つけましたが、2003 の情報がなくて未だ
ldapadd とか使えない状態です。
こちらは調べて何とかします。
「LDAP -設定・管理・プログラミング」は一応読みました。
理解が足らず申し訳ないです。
NGNG
>>147
> LDAP側から見たものが見つからなくて
ないよ。
Windowsで閉じている限りは以下の操作でOKです、ってのばかり。
padl.comのlink集がお勧め。MSDNも必読。
microsoft.ext.schema microsoft.schema microsoft.std.schema
も目を通しておいた方がいい。
後はSSLなしで運用してみて、etherealでsnoop。
> LDAP側から見たものが見つからなくて
ないよ。
Windowsで閉じている限りは以下の操作でOKです、ってのばかり。
padl.comのlink集がお勧め。MSDNも必読。
microsoft.ext.schema microsoft.schema microsoft.std.schema
も目を通しておいた方がいい。
後はSSLなしで運用してみて、etherealでsnoop。
149くそAD
NGNG >>148
> Windowsで閉じている限りは以下の操作でOKです、ってのばかり。
やっぱり・・・
> padl.comのlink集がお勧め。MSDNも必読。
padl.com のリンクはいいですね。
その他、いろいろ良い情報ありがとうございます。
助かりました。
> Windowsで閉じている限りは以下の操作でOKです、ってのばかり。
やっぱり・・・
> padl.comのlink集がお勧め。MSDNも必読。
padl.com のリンクはいいですね。
その他、いろいろ良い情報ありがとうございます。
助かりました。
150名無しさん@お腹いっぱい。
NGNG こりゃやってられねーや、と思ったら、予算を確保して、
http://jp.sun.com/javasystem/identitysynch/
を検討してみてね。
来年出るMac OS X 10.4もprimary domain controllerの代りになるらしいが…
http://jp.sun.com/javasystem/identitysynch/
を検討してみてね。
来年出るMac OS X 10.4もprimary domain controllerの代りになるらしいが…
NGNG
ユーザーデーターはLDAP-SSL,認証はKerberosコレ、漢仕様。
NGNG
Kerberos、きちんと運用できれば便利なんだろうけどねぇ…
既存環境全部捨てるハメになりそうで、ヲレには無理。
NISの代替でPAMからLDAP使っての認証程度で精一杯。
既存環境全部捨てるハメになりそうで、ヲレには無理。
NISの代替でPAMからLDAP使っての認証程度で精一杯。
NGNG
PAMあれば、Kerberos運用は簡単。
154名無しさん@お腹いっぱい。
2005/05/11(水) 03:14:00 Solaris9(sparc) + nss_ldap-238(gcc,GNUmakeでbuild)で環境構築中、
ls -lなどではuid/gidの解決がOKっす。
が、LDAP上のユーザを指定したchownや、passwd上のユーザを指定したidコマンドで
必ずSegmentation Faultが出るんだけど…。
一応、ownerの変更や結果の表示はされてまつ。
Compilerのせい?
ちなみに、trussで見るとこんなん↓出てまつ。う〜ん…
Incurred fault #6, FLTBOUNDS %pc = 0xFF0FAE24
siginfo: SIGSEGV SEGV_MAPERR addr=0xFF0FAE24
Received signal #11, SIGSEGV [default]
siginfo: SIGSEGV SEGV_MAPERR addr=0xFF0FAE24
ls -lなどではuid/gidの解決がOKっす。
が、LDAP上のユーザを指定したchownや、passwd上のユーザを指定したidコマンドで
必ずSegmentation Faultが出るんだけど…。
一応、ownerの変更や結果の表示はされてまつ。
Compilerのせい?
ちなみに、trussで見るとこんなん↓出てまつ。う〜ん…
Incurred fault #6, FLTBOUNDS %pc = 0xFF0FAE24
siginfo: SIGSEGV SEGV_MAPERR addr=0xFF0FAE24
Received signal #11, SIGSEGV [default]
siginfo: SIGSEGV SEGV_MAPERR addr=0xFF0FAE24
2005/05/11(水) 10:41:22
156名無しさん@お腹いっぱい。
2005/05/11(水) 22:14:37 大規模サイトで、LDAPが流行っているようですが、
solaris,BSD `等で OpenLDAP,PADL を実際に使って、認証システムを
構築して、企業なんかで利用できるのだろうか?
検索の速度等が、LDAPは遅いと聞いたのですが。
また、大手のLDAP良く落ちていますが、大丈夫でしょうか?
実際大手はどうやっているのだろうか
solaris,BSD `等で OpenLDAP,PADL を実際に使って、認証システムを
構築して、企業なんかで利用できるのだろうか?
検索の速度等が、LDAPは遅いと聞いたのですが。
また、大手のLDAP良く落ちていますが、大丈夫でしょうか?
実際大手はどうやっているのだろうか
2005/05/12(木) 00:25:56
LDAPスレにありますが、OpenLDAPは駄目駄目です。
iPlanet on Solaris辺りで。
Red HatはNetscapeの奴をAOLから買って一人前にして公開するみたいです。
大手ってのは国内メーカのこと?
iPlanet on Solaris辺りで。
Red HatはNetscapeの奴をAOLから買って一人前にして公開するみたいです。
大手ってのは国内メーカのこと?
2005/05/12(木) 01:19:28
>>155
Solarisのldapclientコマンドで設定すると、
- いくつかの設定ファイルが自動的に書き換えられてしまう
- いくつかのデーモンが勝手に起動する
ので、/var/ldap/ldap_client_fileを作るのが目的なのに、
副作用がありそうで、その影響範囲が見えないことを懸念してまつ。
# -vオプションを付ければ処理を全て表示してくれる?
本番運用系のサーバを順次、nss/pam対応しようと思ってるんだけど、
何らかの副作用で、sendmailのメール配送に影響出たりすると、
目も当てられないので…。
その点、PADLのnss_ldapはldapclientのような
ブラックボックス化された部分が無く、
シンプルで分かりやすいので、置き換えたかったわけです。
Solaris純正は情報も少ないし…(docs.sun.comくらい?)
pamの違いは理解してまつ。
LDAPを認証サーバとして使った経験はあるので。
むしろ「userPasswordを読んで比較」だと、
「それじゃ単なるDBじゃん!」とツッコミたくなるよね。
そのへん純正pamは、ちとイケテナイなぁ、と。
Solarisのldapclientコマンドで設定すると、
- いくつかの設定ファイルが自動的に書き換えられてしまう
- いくつかのデーモンが勝手に起動する
ので、/var/ldap/ldap_client_fileを作るのが目的なのに、
副作用がありそうで、その影響範囲が見えないことを懸念してまつ。
# -vオプションを付ければ処理を全て表示してくれる?
本番運用系のサーバを順次、nss/pam対応しようと思ってるんだけど、
何らかの副作用で、sendmailのメール配送に影響出たりすると、
目も当てられないので…。
その点、PADLのnss_ldapはldapclientのような
ブラックボックス化された部分が無く、
シンプルで分かりやすいので、置き換えたかったわけです。
Solaris純正は情報も少ないし…(docs.sun.comくらい?)
pamの違いは理解してまつ。
LDAPを認証サーバとして使った経験はあるので。
むしろ「userPasswordを読んで比較」だと、
「それじゃ単なるDBじゃん!」とツッコミたくなるよね。
そのへん純正pamは、ちとイケテナイなぁ、と。
2005/05/12(木) 01:22:03
>> 157
> iPlanet on Solaris辺りで。
> Red HatはNetscapeの奴をAOLから買って一人前にして公開するみたいです。
iPlanetも元をたどればNetscape Directory Serverではなかった?
勘違いだったらスマソ
> iPlanet on Solaris辺りで。
> Red HatはNetscapeの奴をAOLから買って一人前にして公開するみたいです。
iPlanetも元をたどればNetscape Directory Serverではなかった?
勘違いだったらスマソ
2005/05/12(木) 08:59:18
FreeBSD でLDAPしようと思うと、LDAPに何を使うのがいいでしょうか?
openldap がだめということなので。
VA Linuxが出しているLDAPソリューション、大変興味がありますが、検索速度などどうなのでしょうか?
openldap がだめということなので。
VA Linuxが出しているLDAPソリューション、大変興味がありますが、検索速度などどうなのでしょうか?
2005/05/12(木) 09:04:59
LinuxならiPlanetにしておけば?
http://www.sun.com/download/products.xml?id=3ee79e69
http://www.sun.com/download/products.xml?id=3ee79e69
165名無しさん@お腹いっぱい。
2005/06/03(金) 11:56:35 Red Hat/Fedoraも出したってさ。
Binaryは今のところLinuxとSolaris only
http://directory.fedora.redhat.com/wiki/Main_Page
Binaryは今のところLinuxとSolaris only
http://directory.fedora.redhat.com/wiki/Main_Page
2005/12/27(火) 12:36:07
kerberosを使ってるマシン(Fedore Core 4)に誰かがsshでログイン中、チケットキャッシュが
/tmp/krb5cc_500_kGobGm8510
という感じで出来てる。別の誰かが su で root になったあと、
このファイルを /tmp/krb5cc_501 のように自分のチケットキャッシュとしてコピーして
chown でオーナー変えてしまえば、簡単に盗めてしまい、kerberosに参加してる他のサーバにログインできてしまうけど、どう対策すれば…
kerberos に参加している全てのマシンで root 権限を廃止すればいいんだろうけど、
運用が大きく変わりそうだし、他に手はない?
/tmp/krb5cc_500_kGobGm8510
という感じで出来てる。別の誰かが su で root になったあと、
このファイルを /tmp/krb5cc_501 のように自分のチケットキャッシュとしてコピーして
chown でオーナー変えてしまえば、簡単に盗めてしまい、kerberosに参加してる他のサーバにログインできてしまうけど、どう対策すれば…
kerberos に参加している全てのマシンで root 権限を廃止すればいいんだろうけど、
運用が大きく変わりそうだし、他に手はない?
167名無しさん@お腹いっぱい。
2006/01/26(木) 00:07:15 debian sargeでPostfixでSMTP AUTH + PAMやりたいのに、なんで
どう設定してもPAM認証をおこなってくれない;;
どう設定してもPAM認証をおこなってくれない;;
2006/01/26(木) 00:29:13
2006/04/26(水) 08:41:30
保守
2006/04/26(水) 12:38:54
>>168 ってこことかLDAPのスレでよくみるな。
171名無しさん@お腹いっぱい。
2006/07/26(水) 13:18:48● 細木数子 × 恫喝 × 島倉千代子の弱み
細木数子のブレーンが必死だ。 親しい芸能関係者を呼んで、「 お金はいくらでも出すから
島倉のスキャンダルを教えてくれ 」 と頼んでるらしい。 細木と島倉といえば、 マスコミでは
島倉の危機を救った命の恩人のようだが、実際は細木が島倉を食い物にしたと噂されてる。
その真相を島倉にしゃべられたくないため、 先日、 羽田空港で二人がばったり会った際に、
島倉に「 余計なことをしゃべるな 」とクギを刺したようだ。細木といえば、若い頃は暴力団の
幹部の女だったとか、いろいろ黒い噂のある人物だ。たいていのスキャンダルなら「 力 」と
「 金 」で封じ込めると思うが、何か焦ってるのだろうか。
細木の話によると「 島倉千代子はかって12億円の借金があったが、その借金を細木がマネー
ジャーや送り迎えをしながら協力した 」そうだ。それなのに「 借金を返済したとたんに事務所を
移転して音沙汰なし 」とか。 これが本当であれば島倉千代子も恩知らずといえそうだが、これ
に対しては逆に 「 細木数子が島倉千代子から金を騙し取っていたので 島倉側は細木数子に
対して怒りを覚えてる 」 という情報もあるようだ。 いつまでも返済できない借金を所属レコード
会社のコロムビアに借金を肩代わりしてもらうことで、別の事務所に移籍して細木数子の魔の
手から逃れたとか。細木数子といえば、実弟のマルチまがい商法疑惑やら悪徳霊感商法疑惑
やらの黒い噂も流れている。 たたけばいくらでも埃の出る身だろうが、 視聴率を稼いでいる今
は大丈夫かもしれない。
http://www.nazotoki.com/obatyan.html
2006/07/26(水) 23:06:41
>>171
$ cat /etc/pam.d/shimakura
auth required pam_hosogi.so
account required pam_hosogi.so
password required pam_hosogi.so
session required pam_hosogi.so
$
↑悪い設定例
$ cat /etc/pam.d/shimakura
auth required pam_hosogi.so
account required pam_hosogi.so
password required pam_hosogi.so
session required pam_hosogi.so
$
↑悪い設定例
173名無しさん@お腹いっぱい。
2007/04/20(金) 10:47:51 落ちそうだからageとくよ
LDAPスレ落ちたな。
LDAPスレ落ちたな。
2007/07/08(日) 01:38:46
今ようやく、krb5/heimdal を穿り出してる(SAMBA-ADSからSPNEGO関連)
けど、あの辺りのいわゆる名前解決が厭らしいな。 _kerberos なんてSRVレコードを
使うのは、一向構わないのだけど、今更放置してあるMSDNSを弄るのは嫌だし・・・鬱だ。
けど、あの辺りのいわゆる名前解決が厭らしいな。 _kerberos なんてSRVレコードを
使うのは、一向構わないのだけど、今更放置してあるMSDNSを弄るのは嫌だし・・・鬱だ。
2007/08/19(日) 07:58:05
とりあえず LDAP と samba で Windows と UNIX の
統一認証しているけど、今後はどうなるのかねぇ・・・
Samba で Active Directory 扱う方法をいまだに理解
していないので NT ドメイン認証なのが orz
いつの間にか NIS は使わなくなっちゃったなぁ。
統一認証しているけど、今後はどうなるのかねぇ・・・
Samba で Active Directory 扱う方法をいまだに理解
していないので NT ドメイン認証なのが orz
いつの間にか NIS は使わなくなっちゃったなぁ。
2007/08/20(月) 07:35:07
SambaでADに参加するのは簡単。
Solaris10にMIT Krb5と新しめのsambaでやった。
毎回KDCで認証するのを、最初の一度だけにしたいんだけど、
gssapiで認証できるものが少なすぎる。
Solaris10にMIT Krb5と新しめのsambaでやった。
毎回KDCで認証するのを、最初の一度だけにしたいんだけど、
gssapiで認証できるものが少なすぎる。
2007/08/22(水) 11:56:22
UNIX的にはPAM化した方がよくね?
2007/09/06(木) 11:08:41
ま、Kerberos の仕組みを理解してない
(一時理解したつもりになったがまた忘れた)
俺にとっては、永久に Active Directory は扱えないってこった。
死ね俺。
(一時理解したつもりになったがまた忘れた)
俺にとっては、永久に Active Directory は扱えないってこった。
死ね俺。
2007/09/11(火) 12:59:49
>>178
・kerberos は チケット発行してもらうKDC。
・kerberos対応アプリケーション(GSSAPIライブラリつかったもん)では、
ユーザが取得したチケットを確認して、kdcに問い合わせる。
・レルムに属する資源検索はDNSでも可能になってる。(88/tcpとは限らん)
・昔は、DESを使う。今は3DES/AES、 何でもござれ。
それ以外に何か理解する必要があっただろうか。
実装面での脆弱性とかは、気にしても仕方ない。
それと、KRBとActiveDirectoryとは基礎は同じでも、拡張部分があって
同一に扱うのは無理がある。 Samba4.0あたりでは、独自のKRB実装を入れて
AD拡張部分を埋める。
・kerberos は チケット発行してもらうKDC。
・kerberos対応アプリケーション(GSSAPIライブラリつかったもん)では、
ユーザが取得したチケットを確認して、kdcに問い合わせる。
・レルムに属する資源検索はDNSでも可能になってる。(88/tcpとは限らん)
・昔は、DESを使う。今は3DES/AES、 何でもござれ。
それ以外に何か理解する必要があっただろうか。
実装面での脆弱性とかは、気にしても仕方ない。
それと、KRBとActiveDirectoryとは基礎は同じでも、拡張部分があって
同一に扱うのは無理がある。 Samba4.0あたりでは、独自のKRB実装を入れて
AD拡張部分を埋める。
2007/09/12(水) 00:29:28
背伸びしすぎw
2007/09/13(木) 01:35:42
AD,は、エラーが出てもなにが原因かわからないことが多くてやだ。
2007/09/14(金) 13:47:51
Sambaの出バグオプション、 -d10 とかすると、なにやら出過ぎて困るね。
すごっく遅くなるし。
すごっく遅くなるし。
2007/09/14(金) 14:37:35
9とか8とか小さくすればいいんじゃね?
2008/08/18(月) 07:48:21
nsswitch.conf
passwd: file
shadow: file
group: file
って書いてログインできなくなって死んだ。
複数形!
passwd: file
shadow: file
group: file
って書いてログインできなくなって死んだ。
複数形!
今は何の時代?
レスないな
187名無しさん@お腹いっぱい。
2014/10/05(日) 11:48:03.78 お試しモードでインストールせずにDVDから起動して
スクリーンセーバーが起動しちゃったんだけど、
パスワード入力以外受け付けない、どうするの?
強制終了させてもIDと自動でパスワード入力状態になる。
電源ボタン長くおしても電源が落ちないよ。なんで?
バッテリーは外せない仕様だからバッテリーぬいて電源おとせないよ。
落ちるまで待つか?
スクリーンセーバーが起動しちゃったんだけど、
パスワード入力以外受け付けない、どうするの?
強制終了させてもIDと自動でパスワード入力状態になる。
電源ボタン長くおしても電源が落ちないよ。なんで?
バッテリーは外せない仕様だからバッテリーぬいて電源おとせないよ。
落ちるまで待つか?
2014/10/05(日) 13:17:40.35
189名無しさん@お腹いっぱい。
2017/12/29(金) 09:36:48.21 誰でも簡単にパソコン1台で稼げる方法など
参考までに、
⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。
グーグル検索⇒『宮本のゴウリエセレレ』
3B4GBGDN1C
参考までに、
⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。
グーグル検索⇒『宮本のゴウリエセレレ』
3B4GBGDN1C
190名無しさん@お腹いっぱい。
2018/05/22(火) 04:28:06.56 知り合いから教えてもらったパソコン一台でお金持ちになれるやり方
時間がある方はみてもいいかもしれません
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
CJXYA
時間がある方はみてもいいかもしれません
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
CJXYA
191名無しさん@お腹いっぱい。
2024/03/27(水) 20:04:11.27 要するに
あと10年で卒業=まあ普通。
あとは既に糖尿病の薬を飲んでるから物価上がってくぞ
あと10年で卒業=まあ普通。
あとは既に糖尿病の薬を飲んでるから物価上がってくぞ
2024/03/27(水) 20:13:25.38
はえー
正直ジブラやケンジーよりクレバの方もいると思うが
正直ジブラやケンジーよりクレバの方もいると思うが
2024/03/27(水) 20:35:54.83
ウォッチしてたんでしょ
2024/03/27(水) 21:52:27.91
ガチで戦力構想から外れてJKにおっさんにやらせたことに関しては既存顧客との戦いを始める
お前ら
このケースの正解てなんなんだよ
クワド芸人だったと考えるべきなのかもしれんけど
お前ら
このケースの正解てなんなんだよ
クワド芸人だったと考えるべきなのかもしれんけど
レスを投稿する
ニュース
- 【フジ】中居正広氏の代理人弁護士が第三者委員会報告に反論「性暴力の実態は確認できず」★5 [Ailuropoda melanoleuca★]
- 【フジ】中居正広氏の代理人弁護士が第三者委員会報告に反論「性暴力の実態は確認できず」★6 [Ailuropoda melanoleuca★]
- 中居正広氏 守秘義務解除を提案していた! 約6時間のヒアリングにも誠実に対応 [ひかり★]
- 渡邊渚、「精神科に入院していた頃のこと…私は胸の傷が痛すぎて、何も感じられない。生きる喜びなんてどこにあるのか、わからなかった」 [muffin★]
- 政党支持率 自民26.4% 立民7.6% 国民7.2% 支持なし38.2% NHK世論調査 [少考さん★]
- 【脳】朝食にナッツを食べると、脳が1日中冴える? 米研究で判明 [ごまカンパチ★]
- 【速報】大阪万博のシャトルバス、トラックと接触事故 [931948549]
- 自民党、技能実習生が就業可能な職種を3つ追加する案を今年中に閣議決定か。倉庫管理、廃棄物処理に外国人襲来へ [306119931]
- ▶兎田ぺこらの中身とちゅーしたいよな
- 【速報】小児ガンなのに任天堂に見捨てられたガキ、昏睡状態に陥る [757440137]
- 【悲報】急に筋トレを始めるおっさん、「筋トレ中年おじさん」、社会問題にwwwwwwwwwwwwww [308389511]
- 【悲報】公務員の名札、本名とは別に「ビジネスネーム」OK カスハラ対策 [966044473]