OpenLDAP
■ このスレッドは過去ログ倉庫に格納されています
組織論には興味ないけど
フォルダ・アイコンを入れてみたり
学校給食のレシピを入れたりすると美味しそうだ 「オープンエルダップ」とかいうクソ野郎がいるので
なぜLだけ仲間外れにするのか。
正しくは
オゥペネルディ・エ・ピ
(英語は発音大事) この「英語は発音大事」ってやつ、
何がおもしろいのかわからん。 userPassword: {crypt}xxxxyyy
となってるのに
phpLdapAdminでpasswdの確認しようとすると
{ssha}違う文字列
が出てパスワードも一致しない
どこがおかしいの?
vine linux4 phpLdapAdmin 0.9 php5
その他はvineの標準のものを入れてます
Dovecotから読み込まれてるパスワードも一致しません
同様の設定でRHEL5 phpLdapAdmin 1 dovecotで行ったら
問題なく動いています CentOS 5 で LDAP を使った認証をしようとしています。
LDAP サーバは別途用意し、既に認証もできているのですが、
一つ疑問があります。それは /etc/ldap.conf と
/etc/openldap/ldap.conf の違いです。
たとえば参照する LDAP サーバは両者で設定しますが、
なぜ二重に設定する必要があるのでしょうか?
libnss-ldap ライブラリは /etc/ldap.conf を、
ldapsearch コマンドは /etc/openldap/ldap.conf を
見に行っているようなのですが、いつどちらが参照されるかについて
何らかの規則性があるのでしょうか? >>9
私はauthconfigで自動設定で問題なく動いてます
authconfig-tuiでLDAP認証の設定するとき、TLSを使用に*入れて
ldapサーバのアドレスを ldap://<servername> にするとちゃんと認証してくれるんだが
ldaps://<servername> にするとなんかダメなのな。
tcpdumpで通信内容覗いてみると ldap:// でも平文では送ってないようなんだが
なんか気持ち悪いんだよな。 >>11
たぶん LDAPS じゃなくて startTLS を使っているからだよ Apacheのbasic認証だとaliasは効くんだが、ログインでalias使うのは無理なんかね。
dc=example,dc=com
├ ou=Account
| ├ uid=hoge
| └ uid=piyo
| (objectClassはaccount,posixaccount)
└ ou=Aliases
├ ou=alphaLogin
| ├ uid=hoge(aliasedObjectNameはAccount配下のuid=hogeを指定)
| └ uid=piyo(aliasedObjectNameはAccount配下のuid=piyoを指定)
└ ou=blavoLogin
└ uid=hoge(aliasedObjectNameはAccount配下のuid=hogeを指定)
(objectClassはalias,extensibleObject)
こんな感じでデータツリー作って、alpha.example.comにはhogeとpiyoを、
blavo.example.comにはhogeだけをログインさせるなんてことをしようと思った訳だが。
authconfigでベースDNを dc=example,dc=com じゃなくて
ou=alphaLogin,ou=Aliases,dc=example,dc=com にしてみたんだが上手くいかんかったな。
同じこと考えてる奴で上手く動かしているのがいたらどこをイジったか教えてくれんかな。 俺、あんまり詳しくないんだけど
uid=hogeが重複してるのは関係ない? だめだった。
dc=example,dc=com
├ ou=Account
| ├ uid=hoge
| └ uid=piyo
| (objectClassはaccount,posixaccount)
└ ou=Aliases
├ ou=alphaLogin
| ├ uid=hoge(aliasedObjectNameはAccount配下のuid=hogeを指定)
| └ uid=piyo(aliasedObjectNameはAccount配下のuid=piyoを指定)
├ ou=blavoLogin
| └ uid=hoge(aliasedObjectNameはAccount配下のuid=hogeを指定)
| (objectClassはalias,extensibleObject)
└ ou=Apache
├ ou=directoryA
| ├ uid=hoge(aliasObjectNameは以下同文)
| └ uid=piyo(aliasObjectNameは以下同文)
└ ou=directoryB
└ uid=hoge(ry
みたいにApacheのBasic認証でもuid使ってるんだがこっちは
上手くいってるんだよね。 >>13
その構成、俺もやりたかったんだが去年挫折した。
資料が殆どなくてさ、全然解らなかった。
もし解決したら是非教えて欲しい。 昨日からうんうん唸っていますが解決せず。
とりあえず@IT会議室にも放り込んでみたんだが、まだレスつかないなぁ。
もうちょい待ってダメならいよいよ日本LDAPユーザ会のMLで聞いてみるですよ。 aliasがアリアスに見えてきた
いい選手だったのにネ ttp://sakuratan.ddo.jp/uploader/source/date51593.png
実験データさらしてみる。
ou=aliasedLogin,ou=Alias,o=Junk,c=jp をベースにして
配下にある objectClass=alias のデータでログインできれば
幸せのあまり昇天という寸法よ。クフゥ。
Apacheの方はこういう風にデータ格納してあります。
・馬鹿力ディレクトリには伊集院と渡辺だけ
・カーボーイディレクトリには大田と田中と野口だけ
・DJディレクトリには伊集院と大田と田中だけ
・staffディレクトリには渡辺と野口だけ
ってのはうまくいってる。 X
叫んでみろX
berylしてみろX
全て脱ぎ捨てろ
おーお前等歌えよー 半分俺ちゃんの備忘録になってる面があるが。
http://www.linux.or.jp/JF/JFdocs/LDAP-Implementation-HOWTO/pamnss.html より
==========
2.1.3. Lightweight Directory Access Protocol
今回のアプリケーションでは、ユーザアカウントとユーザグループに関する情報を
クライアントに供給するために LDAP が使用されます。ユーザとグループを表わすのに
用いられる標準的な objectclass は top, posixAccount, shadowAccount, posixGroup です。
データベース上のユーザ関連のエントリは少なくとも [3] top, posixAccount, shadowAccount の
objectclass に属していなくてはなりません。グループエントリは top と posixGroup の objectclass に
属していなくてはなりません。
今回利用する pam_ldap と nss_ldap の実装がこの objectclass を参照するからです。この
objectclass は RFC 2307 に記述されているものです。
Note: 実際には、LDAP 版 NSS はここで例示しなかった objectclass も認識します。
==========
>>データベース上のユーザ関連のエントリは少なくとも [3] top, posixAccount, shadowAccount の
>>objectclass に属していなくてはなりません。グループエントリは top と posixGroup の objectclass に
>>属していなくてはなりません。
ちゅーことはobjectClass が alias だったり extensibleObject だったり uidObject なのは
ダメってことなのね。逆に言えば pam 関連イジればできるかもという可能性? alias データの objectClass を alias と posixAccount にしてみた。
id <userName> は通るようにはなったが、どうやら userPassword を
aliasedObjectName の先に見に行っていないようだ。うぬぬ。 host という属性が気になりはじめたお( ^ω^) alias 使った手段じゃ無いけど、これって解決策になってね?
↓
ttp://blog.hide-k.net/archives/2005/12/ldap.php >25
で上手くいきました。host で指定されていないとログインできないス。
alias じゃなくてデータ本体の host の値をいじくることで一元管理が
可能のようデスヨ。ぬふぅ アク禁喰らってた
>>26
alias上手くいかなかったかぁ。
何にも協力できなかったが、俺も実装したかったので
興味有ったんだがなぁ。
どうやらクラスタ化したりした大量のマシンへのログインデータを
管理するには nisNetgroup とか使えってことらしい雰囲気。
オーム社の『LDAP -設定・管理・プログラミング』(4274065502)の6章あたり参考にして今遊んでいるですよ。
amazonのURL貼ろうとしたら長すぎて貼れないので上のISBNで検索してみるが吉。
上司から借りているんだが、こいつ3年くらい前の本だけど役に立ってる。
高いけど買うべきかもなー。 objectClass: top の存在意義がいまいち分からない ttp://sakuratan.ddo.jp/uploader/source/date52367.pdf
pdfで済まんがこいつを見てくれ これをどう思…
あ、いや。じゃねぇや。
この構築のしかただと、ログインサーバ群の数だけユーザのhostアトリビュートを
記述しなきゃいかんので面倒臭くてしょうがないから、ログインサーバ群をまとめて
処理できないもんかね。
できれば書き込むhostアトリビュートの数の最大値をクラスタの数にまで
押さえ込みたい。かといってログインサーバをクラスタごとに一つだと冗長性が
無いのが問題なのよ。エロい人助けて。 LDAP サーバとの通信ができないと root でのログインすら
できなくなってしまうのですが、何が原因なのでしょうか?
nsswitch.conf で passwd/group には files ldap の順番で
記述しています。コンソールからのログインに関しては
むしろ /etc/pam.d/login のほうが重要でしょうか?
そちらには
auth sufficient pam_unix.so nullok try_first_pass
auth sufficient pam_ldap.so use_first_pass
と書いています。
なお、nsswitch.conf で files ldap を files だけにすると
これで問題なく root でログインできるようになります。
名前解決ライブラリのバグなのでしょうか?
LDAPサーバ、クライアントともに CentOS 6 を使っています。 >>34 CentOS 5 だった・・・・
Fedora Core 6 とごっちゃになってました。 ttp://home2.dip.jp/upload100_download.php?no=6598
とりあえず資料まとめたお。パス必須だったから OpenLDAP でおk
aliasでの制御は無理だったけど、似たような制御はこういう手段でできるみたい。
>33
ごめん、オイラじゃわかんなかった >>37
すみませんが、興味あってたどり着いた者です。
どうやってダウンロードしたらいいのですか?
DL KEYは何でしょうか? >>39
あ、そういうことでしたか。読みが雑でした。
失礼しました。 んが、こんなんに興味持つ人がいるとは。
>37の後半部分にテキトーな文字列があったのは、実は同じ部局で>32を
自分が作成したと偽って提出したビッチ野郎が出たためとしておきます。
油断も隙もあったもんじゃねぇな。
ttp://sakuratan.ddo.jp/uploader/source/date53447.pdf
いくぶん詳しくまとめることができたのでドゾー ああそうだ、せっかくだからニチデンに感謝しておくか。Wordで使えるクリップアートを
提供してくれているのはドキュメント作成するときにものすごい助かったし。
今度マシン組むときも光学ドライブ買わせていただきますです。 >>41
お疲れ。
LinuxやUnixサーバをAliasで管理できればもっと
楽になったんだろうけど。大分奇麗に管理されてるね。 >43
pam_ldapやnss_ldapの今後の動向に期待というところです。
aliasのobjectClassもサポートしてくれればよりすっきりしますしね。
それはそれとしてshadowAccountの存在をすっかり忘れていることに
今気づく。ひょっとして後でここがアキレス腱になったりして。
実運用の承認降りたら降りたで怖いけど、ノウハウの蓄積ができそうなので
半分ワクワクもしているというダメっぷりを遺憾なく発揮しています。 書き忘れてた。LDAPユーザ会MLと、特に恒川裕康氏に感謝を。
現状でもあまり活発なMLじゃないけど、日本のLDAPの第一人者の方々が
参加しているので、登録するだけでも価値はあると思いますよ。 ttp://www.atmarkit.co.jp/fjava/rensai3/eclipseplgn21/eclipseplgn21_1.html
ちょっと気になる記事。 FedoraDSはあんまりメジャーじゃねーのかね? 1週間書き込みがないと不安になるなぁ。UNIX板でdat落ちってのは
そうそうないのは分かっているんだが、普段生息している板の癖が抜けない Becky のアドレス帳のニックネームでは、alias という属性を要求されるので
すが、少なくとも openldap-2.3.38 には存在しないようです。
Becky の実装がおかしいのでしょうか?
>49
yumで入れてるなら
find /etc/openldap/schema -name \*.schema | xargs grep alias
してからもう一度ここに質問しにおいで。
>>50
OS は Solaris9 で、ソースからコンパイルして入れてます。
ご指摘の内容は一度確認していましたが、alias がコメントアウトされている
ようで、なぜ?と思って質問しました。
ほとんどコメントアウトされているように見えましたが、唯一そうでなかった
のが misc.schema の
DESC 'NIS mail alias'
でした。さすがにこれは違いますね..。
他のコメントを見たら alias は OBJECT-CLASS として定義してあるようで..
このあたりで分からず...。もうちょっと勉強続けてみます。
>33
ファイルを直接編集せずに
authconfig-tuiを使用したほうが良いとおもわれ
centos5の場合は不要なはずですが以前のOSだと
/etc/pam.d/system-authを以下のように編集する必要があり
account [default=bad success=ok user_unknown=ignore service_err=ignore system_err=ignore authinfo_unavail=ignore] /lib/security/pam_ldap.so
authinfo_unavail=ignoneが必要
>41
ありがとう
ずっと探していた情報でした。
pam_filterを使うとは思いませんでした。
そういう観点ではpam_groupdnも良いかも
groupOfUniqueNamesクラスを使用するから
apacheのベーシック認証と似た感じになるし
うーむ、ロダだとそのうち消えるよな。
CMSも併せてやってるんだが、ブログが形になってきたら
pdf補完したほうがいいかね、やっぱり syncreplでreadonly DNを使ってレプリケーションをしています。
この場合、コンシューマslapdに書き込みをしようとした場合、
うまくプロバイダslapdにredirectされるものなのでしょうか?
slurpdを使うときはupdatednに書いたDNを使って
マスタ側に書き込んでくれるようなのですが...。
オレ思ったんだけどLAN内のみのメールアドレス管理なら
LDAP導入しなくても
LAN内のみ閲覧可能なWEBサーバディレクトリに
mail toをhtmlに書いておけばいいんじゃないのか
とか思ったりしたんだ >>56
LDAPアドレス帳検索の方が一般的なメールクライアントで対応しているので楽
あとLDAPを構築しておけば他の用途にも使える(NASのアクセス認証、WWW認証等)
その駄案はてめぇのオナニーだけにしておけ メールアドレス管理ってアドレス帳の事を言っていたのか。
意味がさっぱりわからなかったw ttp://www.atmarkit.co.jp/flinux/rensai/root02/root02a.html
よくあるLDAPサーバの構築例だと、必ずといっていいほどLDAPサーバが
DMZに置かれているのですが、何故でしょうか?
ユーザ情報を扱う以上、LAN内に置いておいた方が安全だと思うのですが。
この構造だと、LDAPサーバを乗っ取られたが最後のように思えます。
それとも、「DMZには置くが、グローバルIPは振らない」という意味でしょうか? /etc/nsswitch.conf に passwd compat ldap と書いています.
この状態でたとえば chown 0:0 myfile
などとすると,LDAP サーバに問い合わせに行きます.
そのために LDAP サーバが死んでいると root での
ファイル操作に支障をきたします.
libnss に必要のない lookup はさせないようには
できないのでしょうか? ■ このスレッドは過去ログ倉庫に格納されています