X
OpenLDAP
0001名無しさん@お腹いっぱい。
垢版 |
2007/08/02(木) 01:24:49
なぜないのだ、この話題?
0002名無しさん@お腹いっぱい。
垢版 |
2007/08/02(木) 04:09:08
組織論には興味ないけど
フォルダ・アイコンを入れてみたり
学校給食のレシピを入れたりすると美味しそうだ
0004名無しさん@お腹いっぱい。
垢版 |
2007/08/09(木) 09:44:40
「オープンエルダップ」とかいうクソ野郎がいるので

なぜLだけ仲間外れにするのか。
0006名無しさん@お腹いっぱい。
垢版 |
2007/08/09(木) 17:20:47
正しくは

オゥペネルディ・エ・ピ

(英語は発音大事)
0008名無しさん@お腹いっぱい。
垢版 |
2007/08/16(木) 12:57:34
userPassword: {crypt}xxxxyyy
となってるのに
phpLdapAdminでpasswdの確認しようとすると
{ssha}違う文字列
が出てパスワードも一致しない
どこがおかしいの?

vine linux4 phpLdapAdmin 0.9 php5
その他はvineの標準のものを入れてます
Dovecotから読み込まれてるパスワードも一致しません

同様の設定でRHEL5 phpLdapAdmin 1 dovecotで行ったら
問題なく動いています
0009名無しさん@お腹いっぱい。
垢版 |
2007/08/19(日) 07:48:25
CentOS 5 で LDAP を使った認証をしようとしています。
LDAP サーバは別途用意し、既に認証もできているのですが、
一つ疑問があります。それは /etc/ldap.conf と
/etc/openldap/ldap.conf の違いです。
たとえば参照する LDAP サーバは両者で設定しますが、
なぜ二重に設定する必要があるのでしょうか?

libnss-ldap ライブラリは /etc/ldap.conf を、
ldapsearch コマンドは /etc/openldap/ldap.conf を
見に行っているようなのですが、いつどちらが参照されるかについて
何らかの規則性があるのでしょうか?
0011名無しさん@お腹いっぱい。
垢版 |
2007/09/06(木) 16:34:50
authconfig-tuiでLDAP認証の設定するとき、TLSを使用に*入れて
ldapサーバのアドレスを ldap://<servername> にするとちゃんと認証してくれるんだが
ldaps://<servername> にするとなんかダメなのな。

tcpdumpで通信内容覗いてみると ldap:// でも平文では送ってないようなんだが
なんか気持ち悪いんだよな。
0012名無しさん@お腹いっぱい。
垢版 |
2007/09/08(土) 17:43:23
>>11
たぶん LDAPS じゃなくて startTLS を使っているからだよ
0013名無しさん@お腹いっぱい。
垢版 |
2007/09/10(月) 11:17:53
Apacheのbasic認証だとaliasは効くんだが、ログインでalias使うのは無理なんかね。

dc=example,dc=com
├ ou=Account
| ├ uid=hoge
| └ uid=piyo
|    (objectClassはaccount,posixaccount)
└ ou=Aliases
  ├ ou=alphaLogin
  | ├ uid=hoge(aliasedObjectNameはAccount配下のuid=hogeを指定)
  | └ uid=piyo(aliasedObjectNameはAccount配下のuid=piyoを指定)
  └ ou=blavoLogin
    └ uid=hoge(aliasedObjectNameはAccount配下のuid=hogeを指定)
     (objectClassはalias,extensibleObject)

こんな感じでデータツリー作って、alpha.example.comにはhogeとpiyoを、
blavo.example.comにはhogeだけをログインさせるなんてことをしようと思った訳だが。

authconfigでベースDNを dc=example,dc=com じゃなくて
ou=alphaLogin,ou=Aliases,dc=example,dc=com にしてみたんだが上手くいかんかったな。
同じこと考えてる奴で上手く動かしているのがいたらどこをイジったか教えてくれんかな。
0016名無しさん@お腹いっぱい。
垢版 |
2007/09/10(月) 13:24:10
だめだった。

dc=example,dc=com
├ ou=Account
| ├ uid=hoge
| └ uid=piyo
|    (objectClassはaccount,posixaccount)
└ ou=Aliases
  ├ ou=alphaLogin
  | ├ uid=hoge(aliasedObjectNameはAccount配下のuid=hogeを指定)
  | └ uid=piyo(aliasedObjectNameはAccount配下のuid=piyoを指定)
  ├ ou=blavoLogin
  | └ uid=hoge(aliasedObjectNameはAccount配下のuid=hogeを指定)
  |  (objectClassはalias,extensibleObject)
  └ ou=Apache
    ├ ou=directoryA
    | ├ uid=hoge(aliasObjectNameは以下同文)
    | └ uid=piyo(aliasObjectNameは以下同文)
    └ ou=directoryB
      └ uid=hoge(ry

みたいにApacheのBasic認証でもuid使ってるんだがこっちは
上手くいってるんだよね。
0017名無しさん@お腹いっぱい。
垢版 |
2007/09/11(火) 09:38:26
>>13
その構成、俺もやりたかったんだが去年挫折した。
資料が殆どなくてさ、全然解らなかった。

もし解決したら是非教えて欲しい。
0018名無しさん@お腹いっぱい。
垢版 |
2007/09/11(火) 10:12:05
昨日からうんうん唸っていますが解決せず。
とりあえず@IT会議室にも放り込んでみたんだが、まだレスつかないなぁ。

もうちょい待ってダメならいよいよ日本LDAPユーザ会のMLで聞いてみるですよ。
0020名無しさん@お腹いっぱい。
垢版 |
2007/09/11(火) 18:34:03
ttp://sakuratan.ddo.jp/uploader/source/date51593.png

実験データさらしてみる。
ou=aliasedLogin,ou=Alias,o=Junk,c=jp をベースにして
配下にある objectClass=alias のデータでログインできれば
幸せのあまり昇天という寸法よ。クフゥ。

Apacheの方はこういう風にデータ格納してあります。
 ・馬鹿力ディレクトリには伊集院と渡辺だけ
 ・カーボーイディレクトリには大田と田中と野口だけ
 ・DJディレクトリには伊集院と大田と田中だけ
 ・staffディレクトリには渡辺と野口だけ
ってのはうまくいってる。
0022名無しさん@お腹いっぱい。
垢版 |
2007/09/12(水) 09:49:01
半分俺ちゃんの備忘録になってる面があるが。


http://www.linux.or.jp/JF/JFdocs/LDAP-Implementation-HOWTO/pamnss.html より
==========
2.1.3. Lightweight Directory Access Protocol

今回のアプリケーションでは、ユーザアカウントとユーザグループに関する情報を
クライアントに供給するために LDAP が使用されます。ユーザとグループを表わすのに
用いられる標準的な objectclass は top, posixAccount, shadowAccount, posixGroup です。

データベース上のユーザ関連のエントリは少なくとも [3] top, posixAccount, shadowAccount の
objectclass に属していなくてはなりません。グループエントリは top と posixGroup の objectclass に
属していなくてはなりません。

今回利用する pam_ldap と nss_ldap の実装がこの objectclass を参照するからです。この
objectclass は RFC 2307 に記述されているものです。

Note: 実際には、LDAP 版 NSS はここで例示しなかった objectclass も認識します。
==========

>>データベース上のユーザ関連のエントリは少なくとも [3] top, posixAccount, shadowAccount の
>>objectclass に属していなくてはなりません。グループエントリは top と posixGroup の objectclass に
>>属していなくてはなりません。

ちゅーことはobjectClass が alias だったり extensibleObject だったり uidObject なのは
ダメってことなのね。逆に言えば pam 関連イジればできるかもという可能性?
0023名無しさん@お腹いっぱい。
垢版 |
2007/09/12(水) 12:01:54
alias データの objectClass を alias と posixAccount にしてみた。
id <userName> は通るようにはなったが、どうやら userPassword を
aliasedObjectName の先に見に行っていないようだ。うぬぬ。
0026名無しさん@お腹いっぱい。
垢版 |
2007/09/12(水) 17:07:28
>25
で上手くいきました。host で指定されていないとログインできないス。
alias じゃなくてデータ本体の host の値をいじくることで一元管理が
可能のようデスヨ。ぬふぅ
0027名無しさん@お腹いっぱい。
垢版 |
2007/09/14(金) 10:48:19
アク禁喰らってた

>>26
alias上手くいかなかったかぁ。
何にも協力できなかったが、俺も実装したかったので
興味有ったんだがなぁ。
0028名無しさん@お腹いっぱい。
垢版 |
2007/09/18(火) 13:48:29
どうやらクラスタ化したりした大量のマシンへのログインデータを
管理するには nisNetgroup とか使えってことらしい雰囲気。

オーム社の『LDAP -設定・管理・プログラミング』(4274065502)の6章あたり参考にして今遊んでいるですよ。
amazonのURL貼ろうとしたら長すぎて貼れないので上のISBNで検索してみるが吉。

上司から借りているんだが、こいつ3年くらい前の本だけど役に立ってる。
高いけど買うべきかもなー。
0032名無しさん@お腹いっぱい。
垢版 |
2007/09/21(金) 16:40:39
ttp://sakuratan.ddo.jp/uploader/source/date52367.pdf
pdfで済まんがこいつを見てくれ これをどう思…

あ、いや。じゃねぇや。
この構築のしかただと、ログインサーバ群の数だけユーザのhostアトリビュートを
記述しなきゃいかんので面倒臭くてしょうがないから、ログインサーバ群をまとめて
処理できないもんかね。

できれば書き込むhostアトリビュートの数の最大値をクラスタの数にまで
押さえ込みたい。かといってログインサーバをクラスタごとに一つだと冗長性が
無いのが問題なのよ。エロい人助けて。
0033名無しさん@お腹いっぱい。
垢版 |
2007/09/23(日) 05:41:23
LDAP サーバとの通信ができないと root でのログインすら
できなくなってしまうのですが、何が原因なのでしょうか?

nsswitch.conf で passwd/group には files ldap の順番で
記述しています。コンソールからのログインに関しては
むしろ /etc/pam.d/login のほうが重要でしょうか?

そちらには
auth sufficient pam_unix.so nullok try_first_pass
auth sufficient pam_ldap.so use_first_pass
と書いています。

なお、nsswitch.conf で files ldap を files だけにすると
これで問題なく root でログインできるようになります。
名前解決ライブラリのバグなのでしょうか?

LDAPサーバ、クライアントともに CentOS 6 を使っています。
003632
垢版 |
2007/09/26(水) 16:56:02
当方の事案は解決しました。ありがとう。
003732
垢版 |
2007/09/26(水) 18:49:26
ttp://home2.dip.jp/upload100_download.php?no=6598

とりあえず資料まとめたお。パス必須だったから OpenLDAP でおk
aliasでの制御は無理だったけど、似たような制御はこういう手段でできるみたい。

>33
ごめん、オイラじゃわかんなかった
0038通りがかりの者
垢版 |
2007/10/01(月) 16:39:43
>>37
すみませんが、興味あってたどり着いた者です。
どうやってダウンロードしたらいいのですか?
DL KEYは何でしょうか?
0040通りがかりの者
垢版 |
2007/10/01(月) 17:36:09
>>39
あ、そういうことでしたか。読みが雑でした。
失礼しました。
0041名無しさん@お腹いっぱい。
垢版 |
2007/10/02(火) 11:26:54
んが、こんなんに興味持つ人がいるとは。
>37の後半部分にテキトーな文字列があったのは、実は同じ部局で>32を
自分が作成したと偽って提出したビッチ野郎が出たためとしておきます。
油断も隙もあったもんじゃねぇな。

ttp://sakuratan.ddo.jp/uploader/source/date53447.pdf

いくぶん詳しくまとめることができたのでドゾー
0042名無しさん@お腹いっぱい。
垢版 |
2007/10/02(火) 11:31:16
ああそうだ、せっかくだからニチデンに感謝しておくか。Wordで使えるクリップアートを
提供してくれているのはドキュメント作成するときにものすごい助かったし。

今度マシン組むときも光学ドライブ買わせていただきますです。
0044名無しさん@お腹いっぱい。
垢版 |
2007/10/02(火) 13:27:29
>43
pam_ldapやnss_ldapの今後の動向に期待というところです。
aliasのobjectClassもサポートしてくれればよりすっきりしますしね。
それはそれとしてshadowAccountの存在をすっかり忘れていることに
今気づく。ひょっとして後でここがアキレス腱になったりして。

実運用の承認降りたら降りたで怖いけど、ノウハウの蓄積ができそうなので
半分ワクワクもしているというダメっぷりを遺憾なく発揮しています。
0045名無しさん@お腹いっぱい。
垢版 |
2007/10/03(水) 10:42:10
書き忘れてた。LDAPユーザ会MLと、特に恒川裕康氏に感謝を。
現状でもあまり活発なMLじゃないけど、日本のLDAPの第一人者の方々が
参加しているので、登録するだけでも価値はあると思いますよ。
0048名無しさん@お腹いっぱい。
垢版 |
2007/10/12(金) 11:42:43
1週間書き込みがないと不安になるなぁ。UNIX板でdat落ちってのは
そうそうないのは分かっているんだが、普段生息している板の癖が抜けない
0049名無しさん@お腹いっぱい。
垢版 |
2007/10/14(日) 04:36:39
Becky のアドレス帳のニックネームでは、alias という属性を要求されるので
すが、少なくとも openldap-2.3.38 には存在しないようです。
Becky の実装がおかしいのでしょうか?
0050名無しさん@お腹いっぱい。
垢版 |
2007/10/15(月) 09:06:11
>49
yumで入れてるなら

find /etc/openldap/schema -name \*.schema | xargs grep alias

してからもう一度ここに質問しにおいで。
005149
垢版 |
2007/10/15(月) 21:43:56
>>50
OS は Solaris9 で、ソースからコンパイルして入れてます。
ご指摘の内容は一度確認していましたが、alias がコメントアウトされている
ようで、なぜ?と思って質問しました。

ほとんどコメントアウトされているように見えましたが、唯一そうでなかった
のが misc.schema の
DESC 'NIS mail alias'
でした。さすがにこれは違いますね..。

他のコメントを見たら alias は OBJECT-CLASS として定義してあるようで..
このあたりで分からず...。もうちょっと勉強続けてみます。
0052名無しさん@お腹いっぱい。
垢版 |
2007/10/17(水) 23:18:59
>33

ファイルを直接編集せずに
authconfig-tuiを使用したほうが良いとおもわれ
centos5の場合は不要なはずですが以前のOSだと
/etc/pam.d/system-authを以下のように編集する必要があり

account [default=bad success=ok user_unknown=ignore service_err=ignore system_err=ignore authinfo_unavail=ignore] /lib/security/pam_ldap.so

authinfo_unavail=ignoneが必要
0053名無しさん@お腹いっぱい。
垢版 |
2007/10/17(水) 23:42:53
>41
ありがとう
ずっと探していた情報でした。
pam_filterを使うとは思いませんでした。

そういう観点ではpam_groupdnも良いかも
groupOfUniqueNamesクラスを使用するから
apacheのベーシック認証と似た感じになるし

0054名無しさん@お腹いっぱい。
垢版 |
2007/10/25(木) 18:24:59
うーむ、ロダだとそのうち消えるよな。
CMSも併せてやってるんだが、ブログが形になってきたら
pdf補完したほうがいいかね、やっぱり
0055名無しさん@お腹いっぱい。
垢版 |
2007/10/27(土) 11:07:02
syncreplでreadonly DNを使ってレプリケーションをしています。
この場合、コンシューマslapdに書き込みをしようとした場合、
うまくプロバイダslapdにredirectされるものなのでしょうか?
slurpdを使うときはupdatednに書いたDNを使って
マスタ側に書き込んでくれるようなのですが...。
0056名無しさん@お腹いっぱい。
垢版 |
2007/11/09(金) 00:41:54
オレ思ったんだけどLAN内のみのメールアドレス管理なら
LDAP導入しなくても
LAN内のみ閲覧可能なWEBサーバディレクトリに
mail toをhtmlに書いておけばいいんじゃないのか
とか思ったりしたんだ
0058名無しさん@お腹いっぱい。
垢版 |
2007/11/11(日) 18:17:27
>>56
LDAPアドレス帳検索の方が一般的なメールクライアントで対応しているので楽
あとLDAPを構築しておけば他の用途にも使える(NASのアクセス認証、WWW認証等)

その駄案はてめぇのオナニーだけにしておけ
0060名無しさん@お腹いっぱい。
垢版 |
2007/11/13(火) 23:14:16
ttp://www.atmarkit.co.jp/flinux/rensai/root02/root02a.html

よくあるLDAPサーバの構築例だと、必ずといっていいほどLDAPサーバが
DMZに置かれているのですが、何故でしょうか?
ユーザ情報を扱う以上、LAN内に置いておいた方が安全だと思うのですが。

この構造だと、LDAPサーバを乗っ取られたが最後のように思えます。
それとも、「DMZには置くが、グローバルIPは振らない」という意味でしょうか?
0061名無しさん@お腹いっぱい。
垢版 |
2007/12/02(日) 13:22:21
/etc/nsswitch.conf に passwd compat ldap と書いています.
この状態でたとえば chown 0:0 myfile
などとすると,LDAP サーバに問い合わせに行きます.
そのために LDAP サーバが死んでいると root での
ファイル操作に支障をきたします.

libnss に必要のない lookup はさせないようには
できないのでしょうか?
0062名無しさん@お腹いっぱい。
垢版 |
2007/12/02(日) 18:04:05
>>60
うちは、レプリカサーバを認証サーバ用にDMZに立ち上げてる。
Radiusサーバも一緒に。

認証のdelegateサービスを想定してなければ、大体はあなたの言う通りだと思う。

ただし、mail aliasをLDAPに置いて、round robinのpostfixに参照させるなど、
使い道はたくさんあると思う。apacheが/~usernameの参照に使ったり。

そもそも共通のdirectory基盤としてLDAPが出て来たんだから、
初期はより外にという状況が多かった。
今はdirectory基盤としてLDAPは当たり前なんだから、
あなたの言うような内側のみの案件がどんどん増えているんだと思う。
10年くらい前だと、内側のみならNIS/NIS+/NetInfoで十分って話だった。
0063名無しさん@お腹いっぱい。
垢版 |
2007/12/02(日) 18:09:08
>>61
それchownの問題。

0は最初から数字なのに、
 0ってユーザがいなければ、数字と思う
ってロジック。アプリが引くんだからsearchしないと仕方がない。

rootって指定して、/etc/passwdには+を最後に書けば、引きにいかない。
0064名無しさん@お腹いっぱい。
垢版 |
2007/12/02(日) 18:21:52
>>63
なるほど,chown の問題でしたか.
Ubuntu を使っているのですが
(すみません,Linux板にLDAP関連のスレがなかったので)
起動時に X がらみで開いたソケットのオーナーを
chown で切り替えようとするんですよ.

鯖なので X サーバ自体は入れてないんですが,
PHP 関係ののパッケージを入れて依存関係で勝手に
入ってきた x11-common っていうパッケージに含まれる
起動スクリプトがなぜか X 関係のソケットを作成しようとするようで・・・
0066名無しさん@お腹いっぱい。
垢版 |
2007/12/02(日) 20:59:47
>>65
いろいろと挙動を調べてみると、なぜか必要もないの
gid じゃなくて groups を調べようとしているようです。
なので group を全部舐めようとしているみたい。
0067ID:dTDEeRzx
垢版 |
2007/12/04(火) 13:05:03
CentOS part 11 【RHEL Clone】
http://pc11.2ch.net/test/read.cgi/linux/1195800848/106-107

106 名前:login:Penguin[sage] 投稿日:2007/12/04(火) 11:24:32 ID:dTDEeRzx
うpだてでOpenLDAPのデータが吹っ飛んだ
BDBが壊れたかも

107 名前:login:Penguin[sage] 投稿日:2007/12/04(火) 12:18:11 ID:9Fjx+2mB
>>106
うちも消えた

/etc/openldap/schema/dnszone.schema
のパーミッションも変更されててldapが起動できなかった



オイラ達の外にもCentOS + OpenLDAPで何かう゛にゃってなった人いる?
0068名無しさん@お腹いっぱい。
垢版 |
2007/12/04(火) 13:26:39
過去レス見れば分かるけどあるよ。

Netscape系のFedora Directory Serverを使える環境の人は、
そっち使った方が安心だよ。OpenLDAP壊れすぎ。
0069名無しさん@お腹いっぱい。
垢版 |
2007/12/06(木) 08:43:47
>>62
レスありがとうございます。納得です。
DAPが必要な状況というのが、そもそも僕が思ってるよりも大規模なネットワークでの話だったんですね。
ActiveDirectoryと対比させて考えていたのでサッパリ分かってませんでした。
0070名無しさん@お腹いっぱい。
垢版 |
2007/12/06(木) 10:05:29
そうですね。
X.500みたいな広域サービスがLDAPの元になってますから。
(X.500のディレクトリアクセスプロトコルが「DAP」)
小規模なら階層構造の必要がほとんどないですよね。
0071名無しさん@お腹いっぱい。
垢版 |
2007/12/08(土) 13:20:55
OpenLDAPで管理できるユーザー数の上限はどのくらいですか?
0072名無しさん@お腹いっぱい。
垢版 |
2007/12/13(木) 10:11:44
データベースが壊れたみたいなのですが
/var/lib/ldap
以下を消してもリセットされません
ldapadd
で新しくデータを入れなおししようとしても
そのエントリーはすでにある
と言われます

どうすればリセットできるのでしょうか?
0074名無しさん@お腹いっぱい。
垢版 |
2007/12/13(木) 11:42:27
ldapでLinuxのログイン認証する設定すると

 id <LDAPで作成されたアカウント>

でちゃんとユーザは認識されてるけど、ldapツリーの中に作成した
posixGroupはシステム側で認識しないのかな?

o=example,c=jp
  ├ ou=Groups (organizationalUnit)
  |  └ cn=ldapUsers (posixGroup gid=10000)
  └ ou=People (organizationalUnit)
      └ cn=hoge (account, posixAccount uid=10000)

てな状況です。「id hoge」すると uid は hoge(10000) って出るけど
gidやgroupsは 10000 と表示されるだけなんですな。

ちゃんとgroupaddしてやらなきゃいかんのでしょうか。
007574
垢版 |
2007/12/13(木) 11:43:55
あ、 uid=hoge は uidNumber=10000, gidNumber=10000 です。
ボーっと書いてました。すいません。
007774
垢版 |
2007/12/13(木) 15:42:27
>76
あー!ありがとうございます

nsswichを files ldap にだけして首ひねってましたわ
007974
垢版 |
2007/12/13(木) 17:12:28
/etc/nsswitch の group の値を
→ group: files ldap

/etc/ldap.conf の nss_base_group のコメントアウトを解除して
→ nss_base_group ou=Groups,o=example,c=jp
(LDAPツリーの構造は >>74 参照)

とした訳ですハイ。この結果システム側がldapツリーから
グループをきちんと認識できるようになったですよ。

# chown hoge:ldapUsers /home/hoge

しても「ldapUsersなんてグループはねーよバーカバーカ」と怒られません。
0082名無しさん@お腹いっぱい。
垢版 |
2008/01/06(日) 10:46:41
LDAP には原理的にはスキーマさえ定義すればどんな情報でも
持たせることができますが,userPassword 属性はだけ特別な
意味を持ちますよね?たとえば slapd への接続のときには
この属性の値によって認証します.

この属性名は固定なのでしょうか?
それとも設定によっては他の属性を slapd への接続時の
認証情報として使うことができるのでしょうか?
0083名無しさん@お腹いっぱい。
垢版 |
2008/01/06(日) 10:57:08
slurpd が使うレプリケーションのためのエントリを追加したいのですが,
organizationalRole として追加すると userPassword 属性がありません.
このような特殊なエントリは一般ユーザの(POSIXアカウントの)
エントリとは別にしたいのですが,どうすればいいのでしょうか?

LDAP に対する操作は主として phpldapadmin で行っています.
0084名無しさん@お腹いっぱい。
垢版 |
2008/01/07(月) 09:32:16
ボクはLDAPについてはド素人なので聞き流してもらっても構わないけど、
レプリケーションするのに管理者権限ないと、

access to attrs=userPassword
by self write
by anonymous auth
by * none

とかだった場合にuserPasswordがレプリケートされなかったりしない(・ω・)?
by xxxx とか書いて特定のアカウント「xxxx」にアクセス権限つけたりできたっけか?

というかそもそも管理者dnって posixAccount と別に作れない?
cn=ldapRoot,dn=example,dn=com みたいなdnでさ。
0085名無しさん@お腹いっぱい。
垢版 |
2008/01/07(月) 16:53:50
…なんかズレたレスしてるな。

ldap.conf に記述する rootdn と rootpw でLDAPプロバイダに
接続しちゃえばいいんじゃない?TLS 使って ldaps アクセスするような形で。

暗号化するとは言えルートDN使うのはよくないんだろうけど。
0086名無しさん@お腹いっぱい。
垢版 |
2008/01/07(月) 20:52:23
>>82
RFC2829, Authentication Methods for LDAP
に"simple bind"での認証での記述でも、
RFC3062, LDAP Password Modify Extended Operation
でも、userPassword属性について言及してます。
ただ、必ずuserPassword属性でなければいけない(MUST)というわけではありません。
まず、userPassword属性は、
基本的に生パスワードテキストを前提としているため、
暗号化されたパスワードテキストを使う場合に、
RFC3112, LDAP Authentication Password Schema
で、authPassword属性を"simple bind"で使う場合の定義が行われています。
また、NIS schema(RFC2307)では、userPassword属性で、
暗号化されたパスワードテキストを使う場合を定義しています。
それからWindowsは違う属性を使うケースがあります。

ただし、ほとんどのLDAPサーバ実装では、
"simple bind"でどの属性を使うか固定しているので、
利用しているLDAPサーバのドキュメントを参照してください。
OpenLDAPはslapdの設定で行うことはできません。
ただしback-*を書けば可能です。
0087名無しさん@お腹いっぱい。
垢版 |
2008/01/07(月) 20:58:00
>>83
organizationalRoleは、STRUCTURALクラスなので、
そのクラスのオブジェクトに属性を付加したいとなると、
その属性を持ったAUXILIARYクラスを加えることになります。
# 全てのLDAPオブジェクトは、
# ただ一つのSTRUCTURALクラスに必ず属さなければいけません。
# 加えて0以上のAUXILIARYクラスに属することが可能です。

userPassword属性だけを持ったAUXILIARYクラスは、
simpleSecurityObjectクラスです。core.schemaにあります。
0088名無しさん@お腹いっぱい。
垢版 |
2008/01/07(月) 21:01:38
ちょっと訂正を。
>>86
二行目先頭: に→の

> OpenLDAPは〜はできません。

「slapd.confの設定だけでuserPassword属性以外の属性を使うこと」
back-*というのは、Cで書くサーバのaddonです。
008949
垢版 |
2008/01/08(火) 23:25:22
結構前になりますが、>>49>>51で質問した者です。

やりたいことは、uid=foo,ou=People,dc=example,dc=com に
"alias: f" を追加したいだけなのですが、以下のように 2 つ登録すれば
よいのでしょうか? 試してみたのですが、これもうまくいきません..。

# foo, People, example.com
dn: uid=foo,ou=People,dc=example,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
uid: foo
cn: foo
o: huga
uidNumber: 1000
homeDirectory: /home/foo
mail: foo@example.com
sn: dummy
gidNumber: 310

# f, People, example.com
dn: cn=f,ou=People,dc=example,dc=com
objectClass: alias
objectClass: extensibleObject
cn: f
aliasedObjectName: uid=foo,ou=People,dc=example,dc=com
0090名無しさん@お腹いっぱい。
垢版 |
2008/01/09(水) 01:24:23
>>89
ぜんぜん違う。
とりあえず、Becky!作ったやつに死ねって言っといて。
aliasオブジェクトクラスって、シンボリックリンクみたいなもんだから。
009149
垢版 |
2008/01/09(水) 01:29:38
>>90
やっぱり...。orz
シンボリックっぽく使えることは確認できました。
009249
垢版 |
2008/01/09(水) 02:15:16
たびたびすみません。以下のサイトの addressbooks.schema にそのものズバリ
beckyAddressBookExtension があり、ニックネームが使えるようになりました。

ttp://hatuka.nezumi.nu/log/2003/05/ldap_attributes.html

が、LDAP アドレス帳だとニックネームからの補完が効きませんでした。Becky! のバカ..。
板違いになってきたので、この辺で失礼いたします。
0093名無しさん@お腹いっぱい。
垢版 |
2008/01/09(水) 08:36:12
いや、特定のソフトに対する事例ではあるけど決して無関係ではない希ガス
LDAP関連のスレッドって少ないし、助かるわ
0094名無しさん@お腹いっぱい。
垢版 |
2008/01/09(水) 13:08:11
ネットウエアのほうがシングルログオンは優秀かも?
0096名無しさん@お腹いっぱい。
垢版 |
2008/01/18(金) 14:20:29
LDAPとVBの連携についてmsdn.microsoft以外に言及してるサイトって無いかな。
ADSI-VB-LDAPで認証システムを構築したいのだが
009741
垢版 |
2008/01/22(火) 15:10:29
>41のpdf流れちゃったけどまだ需要ある?
009974
垢版 |
2008/01/22(火) 17:11:09
今さくらとcoreserverで実証している最中なのdeath-you

どっちにしろオイラはヘタレSEなので大したのはできないだろうけど、
.asiaドメインが取れるようになったら本気出す
0103名無しさん@お腹いっぱい。
垢版 |
2008/01/28(月) 09:04:02
LDAP-ML 247番より引用
==========
> > ちなみに、どんな問題があるのでしょう。
> > 「かなり」ということなんで結構致命的なのかと...

http://www.osstech.co.jp/techinfo/openldap
にも少し書いてありますが、
http://www.openldap.org/software/download/OpenLDAP/openldap-release/openldap-2.2.30.tgz
のCHANGESを一度読んでみてください。気を失いそうになります。

そして本当にデータを喪失した方も結構います。
==========

osstech.co.jp のページの下部に
>BerkeleyDB (BDB)のバージョンを最新の 4.5.20にし、最新パッチを適用しています。高負荷で
>データが破壊する、ハングアップする、リカバリできないなどの多くの不具合を修正しています。

という恐ろしい一文が。
0107名無しさん@お腹いっぱい。
垢版 |
2008/01/28(月) 13:47:01
>>106
俺,既定のまま.
まぁユーザは内輪だけだから10人ちょっとなんだけど.
ちゃんとしたRDBを使った方がいいかなぁ.
0108名無しさん@お腹いっぱい。
垢版 |
2008/01/28(月) 14:45:02
オイラの職場に導入されたのもBDB使ってる……
既に100人オーダーで使ってるが大丈夫だろうか。

csvファイルを useradd.pl とかいうスクリプトで放り込むのダリーなぁ
ldapaddさせてくれ全く
0110名無しさん@お腹いっぱい。
垢版 |
2008/01/29(火) 08:50:45
>109
ldapクライアントの知識が無い癖に誰かに吹き込まれて「LDAPでいこうガッハッハ」とか
言い出した社長のために、ソフト納入会社がperlを組んでくれたのですよ。
ldifをldapaddで放り込むのではなく、csvでデータ作成してそれをperlに与えて
エントリを作成したり修正したりせなならんのです

オイラとしては使い慣れたldapadd -x -D "cn=root,dc=example,dc=com" 〜〜 の
方がずっと使いやすいのだがにゃーと。
0111109
垢版 |
2008/01/29(火) 18:57:44
つまんない愚痴かよw

マルチエントリの属性や外部データがない限りCSVで十分だろ。
知識ない人もWordで作れるし。
0112名無しさん@お腹いっぱい。
垢版 |
2008/01/30(水) 00:30:39
>>110
LDAPの参考書の1行目にも「リレーショナルデータベースでは無いので〜」
と書いてあるではないか。社長の考えは間違ってないぞ。
0113名無しさん@お腹いっぱい。
垢版 |
2008/01/30(水) 11:46:06
一応、LDAPのデータは「リレイション」だよ。DAPと違って、LDAPはトランザク
ションが最小限しかないから、RDBとはいいがたいけど。ただ>>112が何を言
おうとしているのかはさっぱり分からない。



0114名無しさん@お腹いっぱい。
垢版 |
2008/02/06(水) 12:24:20
 LDAPはあくまでプロトコル体系でしょ。 そのデータベースはバックエンドで
一般的なRDBも使えるのは知ってる。 現に Postgresql(UNIXodbc)のバック
エンドなんてのもあるしね。 BDBの難点は、やたらバージョン更新があるのに
バージョンアップするときの互換性がないとこかな。 4.x だけでも4.0〜4.6まで
いろいろありすぎ。

 いったんLDIFに出せばいいっていう話はあるのだけど、バイナリ互換のほうが
楽でいいと思う。 バイナリ互換性を追い求めちゃいけないのかな。
Postgresql+UnixODBCだって水物っぽかった時期に触って徒労に終わったし。
0115名無しさん@お腹いっぱい。
垢版 |
2008/02/06(水) 12:45:48
relation from FOLDOC

1. <mathematics> A subset of the product of two sets, R : A x B. If
(a, b) is an element of R then we write a R b, meaning a is related to
b by R. A relation may be: reflexive (a R a), symmetric (a R b => b R
a), transitive (a R b & b R c => a R c), antisymmetric (a R b & b R a
=> a = b) or total (a R b or b R a).

リレイション = 関係型データベースの「関係」
←→関数型データベース
0119名無しさん@お腹いっぱい。
垢版 |
2008/02/28(木) 00:38:18
悪いこと言わないから他のにしなよ。
マイナーバージョン違いでも平気でデータのバイナリ互換性ないしw
0120名無しさん@お腹いっぱい。
垢版 |
2008/03/01(土) 22:44:42
slapd.confのbind_policyをsoftにしたらslapdの起動が凄く高速化したんですが弊害ってないんですかね?
0123名無しさん@お腹いっぱい。
垢版 |
2008/03/07(金) 21:04:51
そういう方向の約束は難しいんだが、
・bdbバックエンドを使って、
・毎日のバックアップも取ってない
そのような人間はゆっくり眠れないはずだ、
という共通認識が出来上がっている。

バックアップはちゃんとdb_dump使わないとまずいです。
LDAPのオペレーションの方でやるか。
0131名無しさん@お腹いっぱい。
垢版 |
2008/04/01(火) 00:44:47
LDAPサーバにアカウントが2つあります。

アカウント aaa uid=20000,gid=20000
アカウント bbb uid=0,gid=0

LDAP経由でアカウントaaaはログインできるのに、アカウントbbbは Login incorrectとなってログインできません。
ldapsearch ではアカウントaaa,bbbとも結果が返ってきます。

クライアントのOSは、RHEL4.6 です。
書いていて気付きました。rootでのログインを禁止していたことに。

0135名無しさん@お腹いっぱい。
垢版 |
2008/04/19(土) 00:17:23
OpenLDAP に興味を持っているんですけど、
認証サーバーが一台、ログインホスト3台という環境で、
特定のユーザーが1台のホストからだけログインするような設定も可能なんですよね?

○図
認証サーバー(OpenLDAP)
 |
 +ホスト1
 +ホスト2
 +ホスト3 ← ユーザーはこのホストからだけログインさせたい。
0136名無しさん@お腹いっぱい。
垢版 |
2008/04/19(土) 00:59:42
そのお題ならLDAP上にアカウント情報を置く必要ないと思うが、
どうしてもLDAP上に置くなら、
・別のbase DNにする
・pam_filterで弾く
などの方法がある。
0137名無しさん@お腹いっぱい。
垢版 |
2008/04/29(火) 03:54:47
ものごっつ初歩的な質問で申し訳ないんですけど、
2.3.x 系と 2.4.x 系は何が違うか書いてあるページがあったら教えてください。
うまく探せませんでした。英語でも若干おっけーです。
0140名無しさん@お腹いっぱい。
垢版 |
2008/05/17(土) 23:28:51
LDAPサーバ構築、頭痛い
0143名無しさん@お腹いっぱい。
垢版 |
2008/05/20(火) 17:35:40
意味わかるだろ
0145名無しさん@お腹いっぱい。
垢版 |
2008/05/28(水) 01:27:17
エントリ一万で大規模か。基準がよくわからないが。パスワードポリシー使っている人います?色々調べたんだが中々良い文献が無いな。英語はよめん!
0147名無しさん@お腹いっぱい。
垢版 |
2008/05/29(木) 11:10:02
Debian Etch で slapd 動かしてみたんだけど、

× ldapsearch -x -H ldap://localhost uid=hogehoge
× ldapsearch -x -H ldap://localhost uidNumber=1000
○ ldapsearch -x -H ldap://localhost cn=hogehoge
○ ldapsearch -x -H ldap://localhost loginShell=/bin/false

この違いはどこから来るの?フィルターとして使える、
使えないはどこで決められているのでしょうか?
0148名無しさん@お腹いっぱい。
垢版 |
2008/05/29(木) 11:34:09
うぉぉ
uid=punipuni にして uid=hogehoge に戻したら検索できるようになった。
何が起こってるんだ・・・
0149名無しさん@お腹いっぱい。
垢版 |
2008/05/29(木) 11:41:36
slapindex で直った・・
なんだったんだ。
俺の午前中を返せ。
0150名無しさん@お腹いっぱい。
垢版 |
2008/05/29(木) 22:07:25
> 制限
> データベースの一貫性を保証したいのであれば、
> slapindex を実行している間は slapd(8) の実行を中断してください。

この辺りはちゃんと守ってますか?
0152名無しさん@お腹いっぱい。
垢版 |
2008/05/30(金) 02:00:29
ユーザ7000人のシステムでインデックスをデフォルトのままで動かしたら、処理重いよね?
nscdも使わない設計なんだけど、やばくない?
0155名無しさん@お腹いっぱい。
垢版 |
2008/05/30(金) 23:28:06
>>153
意味がわからん
LDAPで日本語って普通に使える?特別な設定やパッケージ必要?
0156名無しさん@お腹いっぱい。
垢版 |
2008/05/31(土) 18:54:11
年中無休発狂妄想爆裂憤死寸前粘着真性キチガイ包茎池沼病気猿男(狂猿)◆QfF6cO2gD6による気違いカキコの続き:

初心者もOK! FreeBSD質問スレッド その95
http://pc11.2ch.net/test/read.cgi/unix/1210728872/706-708,710,712

706 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 16:24:19
AAとコピペばっか

707 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 16:25:33
アク禁報告を誰もしてないのが不思議w
してても無視されてるのか

708 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 16:31:15
>>704
假性ですが何か?

710 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 17:45:14
粘着キチガイ男(狂犬)をアク禁にしたらリアルに無差別殺人起こす可能性が高いからな。

712 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 17:59:51
ビビって書き込み止めたのか?と煽ってみる
--------------------------------------------------------------------------------------------
UNIX板のあちこちのスレッドを荒らしている凶悪メンヘラ・真性キチガイ猿粘着◆QfF6cO2gD6。
いつも荒らしを憎むようなレスをするが、実際に荒らしているのは自分。
気色の悪い年中無休発狂粘着真性キチガイ包茎池沼病気猿男(狂猿)◆QfF6cO2gD6があちこちのスレに
遂に理解できないような基地害カキコをし始めた!気持ちが悪い…。
0159名無しさん@お腹いっぱい。
垢版 |
2008/06/05(木) 01:21:03
path通してないとかいうオチじゃないよね?
0160名無しさん@お腹いっぱい。
垢版 |
2008/06/12(木) 20:59:48
クライアント計算機にログインしたときは,LDAP で認証& NFS なホームを automount
できるところまで設定してます.
この状況で,さらに,www サーバにログインする際は,LDAP で認証& www サーバ上の
ディレクトリを,ホームディレクトリとしたいのですが,これは設定したらいいのでしょう?
ヒントをくださいませ.
0162160
垢版 |
2008/06/13(金) 04:33:15
説明がたりなくてすみません.

www サーバとその他のサーバで,ホームディレクトリのパスが同じなら(どちらの場合も
ユーザ hoge のホームが /home/hoge だったら),うまくいくのは確認してます.
(そもそも,これは LDAP が期待した動作?ごまかしてるだけな気が)

いまは,NFS,www サーバ のユーザ hoge の$HOME は以下のように異なっています.
NFS: /home/foo/bar/hoge
www サーバ: /home/hoge
これで,www サーバに LDAP 認証でログインすると,$HOMEは NFS のホームとなっていて,
「ホームがない!」といわれて,ログイン直後のカレントディレクトリが "/" になります.
こういうとき,どう解決するのでしょうか??
0164名無しさん@お腹いっぱい。
垢版 |
2008/06/13(金) 08:04:51
>>162
LDAPは何も期待してないぞ。
あんたが勝手な期待してるだけ。

OpenLDAPならshell DBで、filterする手もあるが、
どう考えてもパスを合わせた方が楽で、自然。
0165名無しさん@お腹いっぱい。
垢版 |
2008/06/14(土) 16:17:47
インスコ、初期設定までして、最上位ツリーとマネージャー登録したのですが、ldapsearchでエントリが表示されず、エラーコード32が表示されています。
登録時にエラーはなかったのですが、なぜマネージャーすら表示できないんでしょうか?
slap.confはデフォルトの使ってます。
0168名無しさん@お腹いっぱい。
垢版 |
2008/06/16(月) 03:11:18
しつもんします
version2.3.39のopenldapでLDAPのつかいかたを学習中です

SASL/gssapi認証をためしているのですが
slapd.confのrootdnの行を
rootdn uid=ほげ,cn=<realm名>,cn=gssapi,cn=auth
としてldapmodifyなどをつかってほげがエントリを修正しようとすると
"Insufficient access (50)"のエラーになります。


...なのですがslapd.confのrootdnの行からcn=<realm名>を消して
rootdn uid=ほげ,cn=gssapi,cn=auth
とすると、ldapmodifyなどの修正は問題なく成功します

これは既定の動作なのでしょうか?
それともやっぱり何かまちがってるでしょうか?
0169168
垢版 |
2008/06/16(月) 03:32:26
..slapd.confで

sasl-realm <realm名>

を設定することで期待していた動作になりました
ども お騒がせしました
0170名無しさん@お腹いっぱい。
垢版 |
2008/06/18(水) 01:27:15
>>166-167
自己解決してましたがレスどうも。
ベースの設定でした。
ldap.confいじるなんて俺の数ある情報源には無かった。w
ログ見て、ベースが空欄になっているのはわかっていたのですが、まさかldap.confとは。
0171名無しさん@お腹いっぱい。
垢版 |
2008/06/20(金) 09:15:09
ldapsearchならオプションで指定できるが。
0172名無しさん@お腹いっぱい。
垢版 |
2008/06/21(土) 00:52:51
オプションでできるけど、いちいち指定するのがめんどい。話変わるけど、root以外でslapd起動している人います?
-u 付けてroot以外で動かしたら挙動がおかしくなったよ。各ファイルの権限も問題ないのだが。
0174172
垢版 |
2008/06/22(日) 19:20:11
以下のようなエラーが出ています。
ldapsearchすら受付てくれない。
ログインはかなり待てばログインできます。
nss_ldap、PAMのなんかが悪いってことは解ったのですが、rootなら問題なくて、
一般ユーザで起動すると駄目っていう現象がいまいちわかりません。。。

nss_ldap: failed to bind to LDAP server ldap://xxx: Can't contact LDAP server
sshd[29793]: nss_ldap: failed to bind to LDAP server ldap://xxx: Can't contact LDAP server
sshd[29793]: nss_ldap: reconnecting to LDAP server (sleeping 4 seconds)...
0175名無しさん@お腹いっぱい。
垢版 |
2008/06/22(日) 21:00:17
サーバ接続エラーがあればまずチェックすることがあるよな
172のふざけた返事から察するに本物のバカっぽいが
0177名無しさん@お腹いっぱい。
垢版 |
2008/06/24(火) 00:10:25
なんか、slapdが起動してなさそうなエラーですね。
かなり待てばうんぬんは、ldap→filesな感じでしょうか。
0178172
垢版 |
2008/06/26(木) 01:18:36
slapdは起動しています。psで見た結果です。
新たに判明したのが、しばらく放置すれば正常に
使えます。
0180名無しさん@お腹いっぱい。
垢版 |
2008/06/26(木) 08:36:36
psで確認する程度の能力で自己解決なんてムリか
教えたって学習しないだろうから相手にするだけあほらしいよ
金払ってみてもらいなさい
0181名無しさん@お腹いっぱい。
垢版 |
2008/06/30(月) 02:22:53

何様www
0186名無しさん@お腹いっぱい。
垢版 |
2008/07/04(金) 13:31:23
>>165
> エラーコード32が表示されています。

これがnoSuchObjectだって分かったのかなあ。
検索の結果がないんじゃないから、
bindしているDNがおかしいか、base DNがおかしいかどっちかって、
すぐに分かるんだけど。"Object"の意味が分かっていれば。
0187名無しさん@お腹いっぱい。
垢版 |
2008/07/09(水) 03:11:40
で?
0188名無しさん@お腹いっぱい。
垢版 |
2008/07/11(金) 13:51:09
現在,LDAP で MD5 パスワードを使って認証しています.
LDAP に格納されたハッシュ済みのパスワードを,
HTTP のダイジェスト認証にも使うことは可能でしょうか?


0190名無しさん@お腹いっぱい。
垢版 |
2008/07/13(日) 22:04:57
先週openldapのアップデート情報更新されたみたいね。
0192名無しさん@お腹いっぱい。
垢版 |
2008/07/31(木) 19:23:40
既に認証情報をMySQLで管理さているのですが
これをバックエンドとしてldap経由で活用することはできるでしょうか?
0194名無しさん@お腹いっぱい。
垢版 |
2008/08/01(金) 02:20:17
back-sql をいろいろ試しているんだが、スキーマ定義のやり方が良くわからない。
つーか、bdbで楽しすぎてて、理解していなかったし・・・。

問題はかなりの亀レスになること。 やっぱりbdbでやるほうがまし。
0195名無しさん@お腹いっぱい。
垢版 |
2008/08/01(金) 04:08:17
slapd-sql(5)
rdbms_depend
tests/data/slapd-sql.conf
読んでもその辺分からないなら、諦めた方がいいと思う。かなり前途多難。

> 既に認証情報をMySQLで管理さているのですが

程度の動機では。

0196名無しさん@お腹いっぱい。
垢版 |
2008/08/01(金) 07:55:56
MySQL + ODBC をバックエンドにしてみた.
んで,いまさらながらきづいたこと・・・

基本的なスキーマですらマッピングを自分で書かなきゃならんのね…
*.schema ファイルからテーブルの定義なんかを自動生成してくれる
わけじゃないんだね.

面倒すぎて,あきらめた.
0198名無しさん@お腹いっぱい。
垢版 |
2008/08/02(土) 06:28:11
ふうむ,fdsかぁ.
漏れDebianなんだよなぁ.
と思ったら一応 apt もあるのか.
http://michele.pupazzo.org/diary/?p=290
0199名無しさん@お腹いっぱい。
垢版 |
2008/08/11(月) 09:23:57
multi-valued attribute の順序が保存されるか否かについての
規定はあるのでしょうか?

RFC 4512 では multi-valued attribute について次の記述
くらいしか見当たりません。

individual values of a multi-valued attribute are not to be
independently added or deleted

OpenLDAP をはじめとする実装では以下のように記述されています。

LDAP does not guarantee the order of values in a multi-valued attribute.
0201名無しさん@お腹いっぱい。
垢版 |
2008/08/13(水) 15:22:17
OpenLDAP slapd 2.4.10 で TLS を使おうとしています。
2.3 まで使っていたそのままの設定で 2.4 に移行したのですが
TLS を有効にすると起動しなくなってしまいました。
OS は Debian lenny です。

slapd.conf における設定は次のとおりです。

TLSCipherSuite HIGH:MEDIUM:+SSLv2
TLSCACertificateFile /etc/ldap/cert.pem
TLSCertificateFile /etc/ldap/cert.pem
TLSCertificateKeyFile /etc/ldap/key.pem
TLSVerifyClient never

ログにおけるエラーは次のとおりです。
Aug 13 15:08:56 hoge slapd[5510]: main: TLS init def ctx failed: -1
Aug 13 15:08:56 hoge slapd[5510]: slapd destroy: freeing system resources.

使っているのは自己署名証明書で、鍵は key.pem、証明書は cert.pem です。
これらが壊れているかと思い以下のコマンドで確認しましたが
特に問題はレポートされませんでした。

openssl x509 -in cert.pem -noout -text
openssl rsa -in key.pem -noout -text

slapd は openldap というユーザの権限で実行されるので
key.pem/cert.pem のアクセス権はそれでアクセス可能なようにしています。
どのような点を調べればいいでしょうか?
0205201
垢版 |
2008/08/14(木) 12:13:05
>>204
openssl req -x509 で自己署名証明書を作成したので。
仮の CA を別にでっち上げても同じエラーでした。
なおログを見ると鍵・証明書ファイルはちゃんと読めているようです。

slapd[30909]: line 42 (TLSCACertificateFile /etc/ldap/demoCA/cacert.pem)
slapd[30909]: line 43 (TLSCertificateFile /etc/ldap/newcert.pem)
slapd[30909]: line 44 (TLSCertificateKeyFile /etc/ldap/newkey.pem)
slapd[30909]: line 45 (TLSVerifyClient never)

ldaps での接続はとりあえずおいておいて、実はバックエンドをSQL(MySQL + ODBC)
にしてから変更が反映されるまで時に間がかかるのです。数分間〜数時間、
場合によっては slapd を再起動しないと変更が反映されないこともあります。

たとえば ldapadd でエントリを追加し、ldapsearch で当該エントリを
問い合わせると10回に2回くらい見つからないとか。
あるいはエントリを削除したあともなぜか10回に2回くらい見つかってしまうとか。
slapd 内に何かキャッシュされているのでしょうか?
しかしキャッシュだとすると一度反映されたものがまた逆戻りということは無いはずです。

MySQL 側のログをつぶさに観察していると、
データベースへの更新 (insert/update) は即座におきています。
しかし問い合わせに対して select が発生しないことがあるようです。

なぜ slapd がバックエンドに問い合わせしないことがあるのでしょうか?
0206名無しさん@お腹いっぱい。
垢版 |
2008/08/14(木) 12:33:22
>>205
> なおログを見ると鍵・証明書ファイルはちゃんと読めているようです。
(略)

そこは設定ファイルを読み込んでるだけ。
0207201
垢版 |
2008/08/14(木) 12:43:52
>>206 そうなんすか・・
ううむ、libopenssl が -1 を返す条件を
ソースからあたってみます。
0209名無しさん@お腹いっぱい。
垢版 |
2008/09/05(金) 01:17:12
>>172
一般ユーザではLDAPのポート389が使用できないため
使用するポートを1024 以降で設定しているのに、
389ポートでアクセスしているからでは?
0210名無しさん@お腹いっぱい。
垢版 |
2008/10/09(木) 13:22:02
どうしても下記のmodifications require authenticationというエラーが出てしまいます…_| ̄|〇
何がいけないんでしょうか?

#smbldap-populate
Populating LDAP directory for domain MYGROUP (〜)
(using builtin directory structure)

adding new entry: dc=〜,dc=〜
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 498, <DATA> line 466.
adding new entry: ou=Users,dc=〜,dc=〜
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 498, <GEN1> line 12.
adding new entry: ou=Groups,dc=〜,dc=〜
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 498, <GEN1> line 17.
adding new entry: ou=Computers,dc=〜,dc=〜
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 498, <GEN1> line 22.
adding new entry: ou=Idmap,dc=〜,dc=〜
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 498, <GEN1> line 27.
adding new entry: uid=root,ou=Users,dc=〜,dc=〜
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 498, <GEN1> line 57.
adding new entry: uid=nobody,ou=Users,dc=〜,dc=〜
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 498, <GEN1> line 87.
adding new entry: cn=Domain Admins,ou=Groups,dc=〜,dc=〜
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 498, <GEN1> line 99.
adding new entry: cn=Domain Users,ou=Groups,dc=〜,dc=〜
0212名無しさん@お腹いっぱい。
垢版 |
2008/10/09(木) 20:41:25
いやパスワードやbinddnとかちゃんと設定してるんですよ
0214名無しさん@お腹いっぱい。
垢版 |
2008/10/10(金) 02:24:17
高圧粘着房
0215名無しさん@お腹いっぱい。
垢版 |
2008/10/10(金) 08:08:19
>>213
どこで見れるんですか(´・ω・)?
0216名無しさん@お腹いっぱい。
垢版 |
2008/10/10(金) 12:01:48
え?
/var/log/messeage とかsecure とか。。
0217名無しさん@お腹いっぱい。
垢版 |
2008/10/10(金) 14:37:55
>>216
nss_ldap: failed to bind to LDAP server ldap://127.0.0.1/: Invalid credentials
というメッセージが多いです
0218名無しさん@お腹いっぱい。
垢版 |
2008/10/23(木) 18:48:15
LDAPを使って各UNIXサーバのログインアカウントを管理した場合、
LDAPの設定でユーザ毎にサーバのログインの権利を制御することって出来ますか?

0220名無しさん@お腹いっぱい。
垢版 |
2008/11/07(金) 02:45:03
>>216
OpenLDAPが鉄板だとは思ってないから、やってみたいとも思えないけど。
つーか、krb5とかの方がよほどかマシに思える。 まどろっこしいことには
大差無いが。
0223名無しさん@お腹いっぱい。
垢版 |
2009/01/29(木) 01:57:10
結構OpenLDAPって使われてるはずなんだけど、いまいち盛り上がってないな。
みんな商用製品使ってんのかねー?
マルチマスターとかもっと議論されててもいいはず。
導入した人います?
0225名無しさん@お腹いっぱい。
垢版 |
2009/02/04(水) 23:00:04
OpenLDAP から FDS への移行って大変かな?
試した方いますか?

samba schema を使っているから、簡単に移行できるか
心配で・・・
0227名無しさん@お腹いっぱい。
垢版 |
2009/02/05(木) 00:04:34
>>225
schemaがどうしたこうしたよりも、
サーバ管理のHOWTOが全然違うからそこがネックになると思う。
例えばFDSがほとんど全ての設定をLDAP上のデータとして持つこととか。
データの移行やschemaなんかは全く問題ない。
というか問題になったら、もうそれはLDAPじゃないよ。
アクセスコントロールリストは切ったり張ったり、
さらに書き換えもする必要がある。
とにかく管理者ガイドは全て目を通してください。
サーバの能力は十分すぎるくらいだから、
ほとんどの場合移行担当者の能力がボトルネックです。
0234名無しさん@お腹いっぱい。
垢版 |
2009/03/29(日) 17:44:00
OpenLDAPをメールの認証用に使ってる人って
アカウント追加時のディレクトリ操作とかってどうしてんだろ
うちはphp越しにLDAPアカウント追加=>新アカウントの存在確認=>Maildir・ldif・iaf等作成用の.shをphpから実行、
ってやってる
0235名無しさん@お腹いっぱい。
垢版 |
2009/03/31(火) 20:03:09
研究室でNISが使われてるんですが
管理者の引き継ぎやマシン移行が繰り返されたために
設定があまり綺麗でない状態になってしまいました

この際にOpenLDAPに乗り換えようと思っているのですが
お勧めの入門書などありますでしょうか?
普通は公式ページのガイドとかその他の日本語リソースなんかで十分なんでしょうか
0236名無しさん@お腹いっぱい。
垢版 |
2009/04/01(水) 02:11:59
自分はDOCの中身とマニュアルの和訳と、あとぐぐって出てきたサイトで勉強して、大体なんとかなった。
本買って読んでハマったりするよりは自力で調べつつハマるより勉強になると思ってる。
0238名無しさん@お腹いっぱい。
垢版 |
2009/04/03(金) 15:03:56
>>235
乗り換えだけが目的ならそれで十分。
研究室ならエントリも少ないだろうから、
手作業で問題ないと思うが、
一応file形式からの移行toolがある。
0241名無しさん@お腹いっぱい。
垢版 |
2009/04/10(金) 19:43:26
LAMって、LDAP Account Manager だよね。
独自スキーマ使えるのかな。
SambaやPAMとの連携が必須で無くて、かつ独自のLDAPスキーマがサポートされてれば素敵なんだけど。
ホームディレクトリの自動生成・自動削除は出来るみたいだけど、
登録時に何かのコマンドを実行(maildirmakeとかね)するのは出来ない…のかな。

ただ日本語対応してないのが惜しいね。
皆が皆、英語読めるワケじゃ無いからなあ。


つーかそれとは別に、PAM連携って必要?
時代に逆行してるんかもしらんけど、メールユーザはメールユーザのみで
適当に作ったVirtualUserに全部閉じ込めちまうのがシンプルに思うんだけど、世間一般はどうなんだろう。
0244名無しさん@お腹いっぱい。
垢版 |
2009/06/10(水) 19:45:11
ldapaddするとき、LDIF内容ってこんな感じじゃないですか。
dn: cn=xxx, dc=xxx
objectClass: DUMMYOBJECT
dummyattr: dummyval


仮にDUMMYOBJECTにdummyattrがあるとして、dnにしかdummyattrがない状態でエントリを自動登録できるようなスキーマ設定ってできますか。
↓だけでDUMMYOBJECT.dummyattrを登録できちゃうような。
dn: dummyattr=hogehoge, cn=xxx, dc=xxx
objectClass: DUMMYOBJECT
0246名無しさん@お腹いっぱい。
垢版 |
2009/06/22(月) 03:03:26
LDAPはもう時代遅れ、というか運用しにくいから普及すること無く終わると思う
せいぜい ActiveDirectory で生き残るくらいか
0249名無しさん@お腹いっぱい。
垢版 |
2009/07/05(日) 02:08:43
NIS++とか妄想してみた
0250名無しさん@お腹いっぱい。
垢版 |
2009/07/05(日) 17:26:41
Radius、Sun製品がある。
ADでUNIX、Linux管理できるのか?
0253名無しさん@お腹いっぱい。
垢版 |
2009/12/27(日) 01:32:38
ユーザーの分類するのにobjcetClass使うのって正しい使い方?

mailしか使えないユーザー objcetClass=mailResipient
sshでログインできるユーザー objcetClass=posixUser
squidにだけアクセスできるユーザー objcetClass=inetOrgPerson


0254名無しさん@お腹いっぱい。
垢版 |
2009/12/27(日) 02:55:56
mailしか使えないというのはどういう意味ですか?
mail spoolもそのシステムには存在しないのでしょうか?
squidにだけアクセスできるというのはどういう意味ですか?
squidでユーザ認証はしますか?
0255名無しさん@お腹いっぱい。
垢版 |
2009/12/27(日) 05:55:19
postfixのユーザー情報検索設定に %s=mail && objcetClass = mailResipient

みたいなものを書き足せばメールアドレスだけ使えるユーザーになるのではないかと思いました
0265名無しさん@お腹いっぱい。
垢版 |
2010/01/16(土) 17:49:45
明けましておめでとうございます。

ldapsearch -x -b 'dc=localdomain' '(&(objectClass=posixGroup)(memberUid=hoge))'
のようにして、特定のposixAccountが属するposixGroupの一覧は得られますが、
逆に、特定のposixGroupに属するposixAccountの一覧を得るにはどのようにすればよいのでしょうか?
0266名無しさん@お腹いっぱい。
垢版 |
2010/01/16(土) 23:07:24
ちなみに下記の方法を考えました。

1. posixGroupとposixAccountの関係をきちんとツリー構造にする。
同じposixAccountのコピーだらけになってしまう点が難。aliasは(以下略

2. posixAccountのdescriptionなどにグループ名を含ませて検索に利用する。
オレオレ仕様な点が難。

もし>>41氏のまとめにヒントがありましたら、ぜひ再アップを希望致します。
0268名無しさん@お腹いっぱい。
垢版 |
2010/01/17(日) 07:16:24
>>267
ありがとうございます。
なのですが、uidのみの一覧ではなく、uidを含むposixAccount全体の一覧を得たい感じです。

どうやらmemberof overlayという仕組みが目的に近いようです。
全く未知の分野なので暫く地下に潜ります。
失礼しました。
0269名無しさん@お腹いっぱい。
垢版 |
2010/01/17(日) 10:14:27
for i in `上記のコマンド | sed -n '/^memberUid/p' | awk '{ print $2 }'`; do
ldapsearch -x -b 'dc=localdomain' "(&(objectClass=posixAccount)(uid=$i))"
done


0270名無しさん@お腹いっぱい。
垢版 |
2010/02/23(火) 01:14:43
個人の自鯖ローカルでとりあえずOIDを振りたい場合、
1.3.6.1.3 Experimental
を使っておけば問題ないのでしょうか?
0271名無しさん@お腹いっぱい。
垢版 |
2010/02/23(火) 01:38:18
あ、1.1を使えとOpenLDAP 2.2 Administrator's Guideに書いてありました。
でもバージョン2.3以降からその行が消えています。謎です。
0277名無しさん@お腹いっぱい。
垢版 |
2010/10/02(土) 22:43:10
LPICの話題も無いんだな
0278名無しさん@お腹いっぱい。
垢版 |
2010/10/09(土) 20:45:51
ああ、LPIC 301か。
2004年ごろにLPIC Level 3にLDAPの試験が用意されると聞いて
受験してみようと思いつつ、もう6年経ってしまった。
0280名無しさん@お腹いっぱい。
垢版 |
2010/10/10(日) 11:51:55
>>278
この前取ったよ、301。
資格本だけじゃあ無理だった、、管理者権限とかSambaでバックアンドデータベースに
指定したときのパスワード不整合時の現象とか調べるべき最初の対応とか
実機構築しないと知りえない無理な内容が満載っだったさ・・

>>279
資格全般板にあるけど、資格本何がいい?とかこの資格取る意味あるの?とか
そんな話ばかり・・
0283名無しさん@お腹いっぱい。
垢版 |
2010/11/11(木) 15:34:22
LDAPサーバとSambaサーバを連携させる場合について質問です。
互いに別の環境で動かす場合、ldap用のpamモジュールとnssモジュールが必要なのは
Sambaサーバが起動している環境のみですよね。
0284名無しさん@お腹いっぱい。
垢版 |
2010/11/11(木) 16:57:44
pamとnssのモジュールは、LDAP情報を使ってログインするUNIX上で必要です。
pamは認証を、nssはユーザ情報を取り扱います。
0287名無しさん@お腹いっぱい。
垢版 |
2011/04/28(木) 18:17:28.54
というか存在意義ありましたか?
OpenLDAPサポートする会社あるから、
なにか助けて欲しければそこに頼めばいいし。
中の人同じだしw
0291名無しさん@お腹いっぱい。
垢版 |
2011/06/23(木) 15:33:39.62
Debian(squeeze)でldap+kerberosを利用した認証を
出来るようになりましたが、ldapのposixAccountを継
承したエントリのhost属性をチェックして、マシンへの
ログインを制限することが出来ません。

/etc/libnss-ldap.confで
pam_check_host_attr yes
pam_fileter host=<ホストのFQDN>
を記述してやれば良いのかと思ったのですが間違っ
ているのでしょうか?

LDAPサーバで、ユーザアカウントのエントリのhost
属性を、わざと間違ったものにして試してみるのです
が、ログイン出来てしまうのです。

objectClass: extensibleObject
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: posixAccount
objectClass: top
cn: ***
gidNumber: ***
homeDirectory: ***
sn: ***
uid: ***
uidNumber: ***
loginShell: ***
host: <間違ったホストのFQDN>
0292名無しさん@お腹いっぱい。
垢版 |
2011/06/23(木) 16:43:01.12
>>291
> pam_check_host_attr yes
> pam_fileter host=<ホストのFQDN>

この2つは別の機能です。

前者は、
host: !拒絶するホスト名
host: 許可するホスト名
host: *
でホスト指定できます。大文字小文字は区別しません。
比較する文字列はgethostname(2)で得られたものです。
最初の一つにマッチするか、後の2つにマッチしないと認証失敗して、
"Access denied for this host"のログを吐きます。
だから、pam_check_host_attrがyesのホストでは、
host属性がないアカウントは一切ログインできなくなります。

後者は、アカウントを検索する時のfilter指定です。
検索失敗すると"pam_ldap: ldap_search_s 〜"のログを吐きます。

これ以外にデバッグログを得る方法はありません。
(Debianのパッケージ版についてはよく知らないが、オリジナルのソースでは)
0293名無しさん@お腹いっぱい。
垢版 |
2011/06/23(木) 16:48:36.15
>>291
> /etc/libnss-ldap.confで

上にも書いたようにDebian系はよく知らないのですが、
書く場所を間違えているということはないですか。
つまりpam_check_host_attrがyesになってないのでは?
0294291
垢版 |
2011/06/23(木) 20:26:52.44
/etc/libnss-ldap.conf
/etc/pam_ldap.conf
の両方とも

pam_filterをコメント
pam_check_host_attrをyes

にしてLDAPの当該エントリのhost属性を消去してみましたが
やはりログイン出来てしまいます。
/var/log/auth.logを見ているのですが、

ログにはpam_krb5とpam_unixのものしかでてこないのはおか
しいのでしょうか?通常pam_ldapもログに現れますか?
0296291
垢版 |
2011/06/24(金) 17:05:38.07
LDAP+gssapi(Kerberos)による認証の場合、pam_krb5で
ユーザ認証をし、pam_unixでユーザのuidやgidなどの
取得を試み、失敗したらログインさせないように動くよう
です。
KerberosにはあってLDAPに無いユーザでログインしよう
とするとgetpwnam(<ユーザ名>)で識別できなかったとい
うエラーがログに記録されます。

この時にpam_filterのチェックは行われるのかと思ったの
ですが、やってくれない。
0298291
垢版 |
2011/06/24(金) 21:11:06.78
>>297
認証時の動きを見たくて試したときの話しです。

Kerberos使わずにLDAPに認証もやらせれば出来るのですかね。
LDAPとKerberosを合わせた場合の資料が少ないのですよね。
0299名無しさん@お腹いっぱい。
垢版 |
2011/12/14(水) 20:31:57.65
どうしてslapdなんて名前にしたんだろうな
ldapdでいいじゃん
0300名無しさん@お腹いっぱい。
垢版 |
2012/01/04(水) 00:53:28.64
LDAP-DNS についてわかりやすいサイトキボンヌ
0301名無しさん@お腹いっぱい。
垢版 |
2012/01/17(火) 15:26:42.28
LDAPの何がええのん?
読み取りが高速で書き込みが低速ってのは解説記事から分かったんだけど、
だからなんなの?って思ってしまう。
DNSくらいしか使い道ないんじゃないの?
DBからLDAPに変えて大幅に成功が向上したとかっていう成功事例ってないの?
0305名無しさん@お腹いっぱい。
垢版 |
2012/02/09(木) 11:06:54.32
LDAP をストレージって、SQL をストレージにしてるというぐらい、よくわからない話。
IP をストレージでもいい。
0306名無しさん@お腹いっぱい。
垢版 |
2012/09/23(日) 10:21:44.59
こいつまだ生きていたのか。
数年前にdat落ちやしないかと心配だったが、成長したねぇ。
もう300か、おっきくなったもんだ。
0311名無しさん@お腹いっぱい。
垢版 |
2013/04/04(木) 15:34:30.28
ApacheでもSquidでもLighttpdでも構わないのですが、
クライアントの remote_addr に基づいてLDAP参照し、allow/deny 動作するような
方法ってありますでしょうか? いわゆるbasic認証なら沢山あったんですが。。
0313名無しさん@お腹いっぱい。
垢版 |
2013/04/04(木) 21:12:27.12
>>312
こういう用途でhttpdサーバが十数台並んでいるので、ACLリストをLDAPに置きたいんのです
deny from *.ru みたいに

Firewall だと L3レベルで落としてしまうので、httpdで 403 Forbidden が返せればと。。
0318名無しさん@お腹いっぱい。
垢版 |
2013/04/05(金) 18:00:56.50
>>315
LDAPのフルスペルを教えてやったら?

"D"と"A"が逆順でしかも間に"P"が入ってしまうと全くわけがわからないぞ。
"DA"のための"P"が先にあったが、それがえらく面倒なシロモノだったんで、
その"L"版を作ったわけでしょ?

それか、逆に「『LAPD』って何の略なんですか?」とさりげに聞いてみるとか。
0320名無しさん@お腹いっぱい。
垢版 |
2013/05/28(火) 09:42:45.05
MUAのアドレス帳としてLDAPを使おうとしていますが、グループの登録方法がわかりません。
やりたいのはLDAPに「営業1」グループとしてメンバーを登録して、
MUAから検索してクリックすると新規作成メールの宛先欄に
ずらずらとメンバーが羅列されるようにしたいのですが…
0323名無しさん@お腹いっぱい。
垢版 |
2013/05/28(火) 12:13:46.67
320です。
MTAも変更予定で策定中のため、名称を挙げられませんでした。
いまはThunderBirdを試していて、グループの登録で行き詰まっています。
0324名無しさん@お腹いっぱい。
垢版 |
2013/06/17(月) 07:00:17.73
2.4でslap.conf非推奨になったといっても、スキーマ追加でslaptestやるんだったら
slap.conf使ってるのと何も変わらんような気がする。
0325名無しさん@お腹いっぱい。
垢版 |
2013/07/19(金) NY:AN:NY.AN
OpenLDAPを始めました。が、ちょっと気になった事があります。質問させてください。
ネット上の情報などでは、

olcDatabase={0}config,cn=config
の設定で
olcRootDN: cn=admin,cn=config

とやっているケースが多いですが、
実際、OpenLDAPのインストール直後は
cn=admin,cn=configというエントリってないですよね?
ないのにこれを設定ディレクトリのルートDNにしちゃっても大丈夫なんでしょうか?

今のところ、問題はないみたいなんですが、なんか気持ち悪いです。
0326名無しさん@お腹いっぱい。
垢版 |
2014/02/11(火) 20:51:47.62
メールサーバのsmtp authでDIGEST-MD5やCRAM-MD5を
使う時は、(暗号化されてない)プレインパスワードが必要なため、
通常は専用のプレインパスワードのDBを作るのですが、
OpenLDAPと連携された方、もしくは解説したWebページをご存じでしたら
教えてください。
0327名無しさん@お腹いっぱい。
垢版 |
2014/07/15(火) 01:32:18.06
LDAPサーバ上に、uid 30001 gid 30001 のユーザを作成しました。

CentOS5.7 にて、LDAPサーバを参照して、上記ユーザでログインしました。
ログインはできたのですが、何もしていないつもりが1秒間隔ぐらいで、
LDAPサーバへ不要なリクエストが飛んでしまいます。不要なリクエストを抑止する
方法はないでしょうか?
0336ウサチャソ
垢版 |
2017/01/27(金) 11:46:31.77
>>335
ADも中身LDAPだし、どっちでもいいのでは

とは言っても連携させるとなると結構面倒なんだよな…
0342名無しさん@お腹いっぱい。
垢版 |
2017/07/29(土) 16:13:23.63
>>340
違いがわかってるからそう書いてあると思うんだが、
何を発狂してるんだ?

ADが実装の一部にLDAPを含めた認証システムで、
LDAPは時代遅れな認証プロトコルでしかない
0343名無しさん@お腹いっぱい。
垢版 |
2017/07/29(土) 16:20:29.33
LDAPはプロトコルであって、単体ではなにもできない
認証プロトコルですらないが、全てのベンダが認証システムとして定義している
NASの認証方式にLDAPと書かれているのは全て間違い

でもそれを突っ込むのはIT屋に多くいるアスペルガー症候群の人たちならでは
0348名無しさん@お腹いっぱい。
垢版 |
2017/07/30(日) 16:03:23.71
ADが余程怖いんだな
LDAPなんてNetwareと争ってた時代の代物で、
今でも一部ではLDAPのインフラ使ってても、AD連携されてて
0351名無しさん@お腹いっぱい。
垢版 |
2017/12/29(金) 07:30:53.45
誰でも簡単にパソコン1台で稼げる方法など
参考までに、
⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。

グーグル検索⇒『宮本のゴウリエセレレ』

8U5JJ6G4D3
0352名無しさん@お腹いっぱい。
垢版 |
2018/05/08(火) 17:07:55.00
既に、olcDatabase={1}mdb,cn=conf エントリの「設定ディレクトリ」に、

olcRootDN: cn=Manager,dc=example.dc=com
olcRootPW: {SSHA}----

が定義されているんですけど、
どうして、「データ用ディレクトリ」にも次のようにして、Managerを登録する必要があるんでしょうか。

dn: cn=Manager,dc=example,dc=com
objectClass: organizationalRole
cn: Manager
0353名無しさん@お腹いっぱい。
垢版 |
2018/05/22(火) 02:37:51.45
知り合いから教えてもらったパソコン一台でお金持ちになれるやり方
時間がある方はみてもいいかもしれません
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』

2FU4U
新着レスの表示
レスを投稿する

ニューススポーツなんでも実況