X
OpenLDAP
0103名無しさん@お腹いっぱい。
垢版 |
2008/01/28(月) 09:04:02
LDAP-ML 247番より引用
==========
> > ちなみに、どんな問題があるのでしょう。
> > 「かなり」ということなんで結構致命的なのかと...

http://www.osstech.co.jp/techinfo/openldap
にも少し書いてありますが、
http://www.openldap.org/software/download/OpenLDAP/openldap-release/openldap-2.2.30.tgz
のCHANGESを一度読んでみてください。気を失いそうになります。

そして本当にデータを喪失した方も結構います。
==========

osstech.co.jp のページの下部に
>BerkeleyDB (BDB)のバージョンを最新の 4.5.20にし、最新パッチを適用しています。高負荷で
>データが破壊する、ハングアップする、リカバリできないなどの多くの不具合を修正しています。

という恐ろしい一文が。
0107名無しさん@お腹いっぱい。
垢版 |
2008/01/28(月) 13:47:01
>>106
俺,既定のまま.
まぁユーザは内輪だけだから10人ちょっとなんだけど.
ちゃんとしたRDBを使った方がいいかなぁ.
0108名無しさん@お腹いっぱい。
垢版 |
2008/01/28(月) 14:45:02
オイラの職場に導入されたのもBDB使ってる……
既に100人オーダーで使ってるが大丈夫だろうか。

csvファイルを useradd.pl とかいうスクリプトで放り込むのダリーなぁ
ldapaddさせてくれ全く
0110名無しさん@お腹いっぱい。
垢版 |
2008/01/29(火) 08:50:45
>109
ldapクライアントの知識が無い癖に誰かに吹き込まれて「LDAPでいこうガッハッハ」とか
言い出した社長のために、ソフト納入会社がperlを組んでくれたのですよ。
ldifをldapaddで放り込むのではなく、csvでデータ作成してそれをperlに与えて
エントリを作成したり修正したりせなならんのです

オイラとしては使い慣れたldapadd -x -D "cn=root,dc=example,dc=com" 〜〜 の
方がずっと使いやすいのだがにゃーと。
0111109
垢版 |
2008/01/29(火) 18:57:44
つまんない愚痴かよw

マルチエントリの属性や外部データがない限りCSVで十分だろ。
知識ない人もWordで作れるし。
0112名無しさん@お腹いっぱい。
垢版 |
2008/01/30(水) 00:30:39
>>110
LDAPの参考書の1行目にも「リレーショナルデータベースでは無いので〜」
と書いてあるではないか。社長の考えは間違ってないぞ。
0113名無しさん@お腹いっぱい。
垢版 |
2008/01/30(水) 11:46:06
一応、LDAPのデータは「リレイション」だよ。DAPと違って、LDAPはトランザク
ションが最小限しかないから、RDBとはいいがたいけど。ただ>>112が何を言
おうとしているのかはさっぱり分からない。



0114名無しさん@お腹いっぱい。
垢版 |
2008/02/06(水) 12:24:20
 LDAPはあくまでプロトコル体系でしょ。 そのデータベースはバックエンドで
一般的なRDBも使えるのは知ってる。 現に Postgresql(UNIXodbc)のバック
エンドなんてのもあるしね。 BDBの難点は、やたらバージョン更新があるのに
バージョンアップするときの互換性がないとこかな。 4.x だけでも4.0〜4.6まで
いろいろありすぎ。

 いったんLDIFに出せばいいっていう話はあるのだけど、バイナリ互換のほうが
楽でいいと思う。 バイナリ互換性を追い求めちゃいけないのかな。
Postgresql+UnixODBCだって水物っぽかった時期に触って徒労に終わったし。
0115名無しさん@お腹いっぱい。
垢版 |
2008/02/06(水) 12:45:48
relation from FOLDOC

1. <mathematics> A subset of the product of two sets, R : A x B. If
(a, b) is an element of R then we write a R b, meaning a is related to
b by R. A relation may be: reflexive (a R a), symmetric (a R b => b R
a), transitive (a R b & b R c => a R c), antisymmetric (a R b & b R a
=> a = b) or total (a R b or b R a).

リレイション = 関係型データベースの「関係」
←→関数型データベース
0119名無しさん@お腹いっぱい。
垢版 |
2008/02/28(木) 00:38:18
悪いこと言わないから他のにしなよ。
マイナーバージョン違いでも平気でデータのバイナリ互換性ないしw
0120名無しさん@お腹いっぱい。
垢版 |
2008/03/01(土) 22:44:42
slapd.confのbind_policyをsoftにしたらslapdの起動が凄く高速化したんですが弊害ってないんですかね?
0123名無しさん@お腹いっぱい。
垢版 |
2008/03/07(金) 21:04:51
そういう方向の約束は難しいんだが、
・bdbバックエンドを使って、
・毎日のバックアップも取ってない
そのような人間はゆっくり眠れないはずだ、
という共通認識が出来上がっている。

バックアップはちゃんとdb_dump使わないとまずいです。
LDAPのオペレーションの方でやるか。
0131名無しさん@お腹いっぱい。
垢版 |
2008/04/01(火) 00:44:47
LDAPサーバにアカウントが2つあります。

アカウント aaa uid=20000,gid=20000
アカウント bbb uid=0,gid=0

LDAP経由でアカウントaaaはログインできるのに、アカウントbbbは Login incorrectとなってログインできません。
ldapsearch ではアカウントaaa,bbbとも結果が返ってきます。

クライアントのOSは、RHEL4.6 です。
書いていて気付きました。rootでのログインを禁止していたことに。

0135名無しさん@お腹いっぱい。
垢版 |
2008/04/19(土) 00:17:23
OpenLDAP に興味を持っているんですけど、
認証サーバーが一台、ログインホスト3台という環境で、
特定のユーザーが1台のホストからだけログインするような設定も可能なんですよね?

○図
認証サーバー(OpenLDAP)
 |
 +ホスト1
 +ホスト2
 +ホスト3 ← ユーザーはこのホストからだけログインさせたい。
0136名無しさん@お腹いっぱい。
垢版 |
2008/04/19(土) 00:59:42
そのお題ならLDAP上にアカウント情報を置く必要ないと思うが、
どうしてもLDAP上に置くなら、
・別のbase DNにする
・pam_filterで弾く
などの方法がある。
0137名無しさん@お腹いっぱい。
垢版 |
2008/04/29(火) 03:54:47
ものごっつ初歩的な質問で申し訳ないんですけど、
2.3.x 系と 2.4.x 系は何が違うか書いてあるページがあったら教えてください。
うまく探せませんでした。英語でも若干おっけーです。
0140名無しさん@お腹いっぱい。
垢版 |
2008/05/17(土) 23:28:51
LDAPサーバ構築、頭痛い
0143名無しさん@お腹いっぱい。
垢版 |
2008/05/20(火) 17:35:40
意味わかるだろ
0145名無しさん@お腹いっぱい。
垢版 |
2008/05/28(水) 01:27:17
エントリ一万で大規模か。基準がよくわからないが。パスワードポリシー使っている人います?色々調べたんだが中々良い文献が無いな。英語はよめん!
0147名無しさん@お腹いっぱい。
垢版 |
2008/05/29(木) 11:10:02
Debian Etch で slapd 動かしてみたんだけど、

× ldapsearch -x -H ldap://localhost uid=hogehoge
× ldapsearch -x -H ldap://localhost uidNumber=1000
○ ldapsearch -x -H ldap://localhost cn=hogehoge
○ ldapsearch -x -H ldap://localhost loginShell=/bin/false

この違いはどこから来るの?フィルターとして使える、
使えないはどこで決められているのでしょうか?
0148名無しさん@お腹いっぱい。
垢版 |
2008/05/29(木) 11:34:09
うぉぉ
uid=punipuni にして uid=hogehoge に戻したら検索できるようになった。
何が起こってるんだ・・・
0149名無しさん@お腹いっぱい。
垢版 |
2008/05/29(木) 11:41:36
slapindex で直った・・
なんだったんだ。
俺の午前中を返せ。
0150名無しさん@お腹いっぱい。
垢版 |
2008/05/29(木) 22:07:25
> 制限
> データベースの一貫性を保証したいのであれば、
> slapindex を実行している間は slapd(8) の実行を中断してください。

この辺りはちゃんと守ってますか?
0152名無しさん@お腹いっぱい。
垢版 |
2008/05/30(金) 02:00:29
ユーザ7000人のシステムでインデックスをデフォルトのままで動かしたら、処理重いよね?
nscdも使わない設計なんだけど、やばくない?
0155名無しさん@お腹いっぱい。
垢版 |
2008/05/30(金) 23:28:06
>>153
意味がわからん
LDAPで日本語って普通に使える?特別な設定やパッケージ必要?
0156名無しさん@お腹いっぱい。
垢版 |
2008/05/31(土) 18:54:11
年中無休発狂妄想爆裂憤死寸前粘着真性キチガイ包茎池沼病気猿男(狂猿)◆QfF6cO2gD6による気違いカキコの続き:

初心者もOK! FreeBSD質問スレッド その95
http://pc11.2ch.net/test/read.cgi/unix/1210728872/706-708,710,712

706 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 16:24:19
AAとコピペばっか

707 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 16:25:33
アク禁報告を誰もしてないのが不思議w
してても無視されてるのか

708 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 16:31:15
>>704
假性ですが何か?

710 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 17:45:14
粘着キチガイ男(狂犬)をアク禁にしたらリアルに無差別殺人起こす可能性が高いからな。

712 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 17:59:51
ビビって書き込み止めたのか?と煽ってみる
--------------------------------------------------------------------------------------------
UNIX板のあちこちのスレッドを荒らしている凶悪メンヘラ・真性キチガイ猿粘着◆QfF6cO2gD6。
いつも荒らしを憎むようなレスをするが、実際に荒らしているのは自分。
気色の悪い年中無休発狂粘着真性キチガイ包茎池沼病気猿男(狂猿)◆QfF6cO2gD6があちこちのスレに
遂に理解できないような基地害カキコをし始めた!気持ちが悪い…。
0159名無しさん@お腹いっぱい。
垢版 |
2008/06/05(木) 01:21:03
path通してないとかいうオチじゃないよね?
0160名無しさん@お腹いっぱい。
垢版 |
2008/06/12(木) 20:59:48
クライアント計算機にログインしたときは,LDAP で認証& NFS なホームを automount
できるところまで設定してます.
この状況で,さらに,www サーバにログインする際は,LDAP で認証& www サーバ上の
ディレクトリを,ホームディレクトリとしたいのですが,これは設定したらいいのでしょう?
ヒントをくださいませ.
0162160
垢版 |
2008/06/13(金) 04:33:15
説明がたりなくてすみません.

www サーバとその他のサーバで,ホームディレクトリのパスが同じなら(どちらの場合も
ユーザ hoge のホームが /home/hoge だったら),うまくいくのは確認してます.
(そもそも,これは LDAP が期待した動作?ごまかしてるだけな気が)

いまは,NFS,www サーバ のユーザ hoge の$HOME は以下のように異なっています.
NFS: /home/foo/bar/hoge
www サーバ: /home/hoge
これで,www サーバに LDAP 認証でログインすると,$HOMEは NFS のホームとなっていて,
「ホームがない!」といわれて,ログイン直後のカレントディレクトリが "/" になります.
こういうとき,どう解決するのでしょうか??
0164名無しさん@お腹いっぱい。
垢版 |
2008/06/13(金) 08:04:51
>>162
LDAPは何も期待してないぞ。
あんたが勝手な期待してるだけ。

OpenLDAPならshell DBで、filterする手もあるが、
どう考えてもパスを合わせた方が楽で、自然。
0165名無しさん@お腹いっぱい。
垢版 |
2008/06/14(土) 16:17:47
インスコ、初期設定までして、最上位ツリーとマネージャー登録したのですが、ldapsearchでエントリが表示されず、エラーコード32が表示されています。
登録時にエラーはなかったのですが、なぜマネージャーすら表示できないんでしょうか?
slap.confはデフォルトの使ってます。
0168名無しさん@お腹いっぱい。
垢版 |
2008/06/16(月) 03:11:18
しつもんします
version2.3.39のopenldapでLDAPのつかいかたを学習中です

SASL/gssapi認証をためしているのですが
slapd.confのrootdnの行を
rootdn uid=ほげ,cn=<realm名>,cn=gssapi,cn=auth
としてldapmodifyなどをつかってほげがエントリを修正しようとすると
"Insufficient access (50)"のエラーになります。


...なのですがslapd.confのrootdnの行からcn=<realm名>を消して
rootdn uid=ほげ,cn=gssapi,cn=auth
とすると、ldapmodifyなどの修正は問題なく成功します

これは既定の動作なのでしょうか?
それともやっぱり何かまちがってるでしょうか?
0169168
垢版 |
2008/06/16(月) 03:32:26
..slapd.confで

sasl-realm <realm名>

を設定することで期待していた動作になりました
ども お騒がせしました
0170名無しさん@お腹いっぱい。
垢版 |
2008/06/18(水) 01:27:15
>>166-167
自己解決してましたがレスどうも。
ベースの設定でした。
ldap.confいじるなんて俺の数ある情報源には無かった。w
ログ見て、ベースが空欄になっているのはわかっていたのですが、まさかldap.confとは。
0171名無しさん@お腹いっぱい。
垢版 |
2008/06/20(金) 09:15:09
ldapsearchならオプションで指定できるが。
0172名無しさん@お腹いっぱい。
垢版 |
2008/06/21(土) 00:52:51
オプションでできるけど、いちいち指定するのがめんどい。話変わるけど、root以外でslapd起動している人います?
-u 付けてroot以外で動かしたら挙動がおかしくなったよ。各ファイルの権限も問題ないのだが。
0174172
垢版 |
2008/06/22(日) 19:20:11
以下のようなエラーが出ています。
ldapsearchすら受付てくれない。
ログインはかなり待てばログインできます。
nss_ldap、PAMのなんかが悪いってことは解ったのですが、rootなら問題なくて、
一般ユーザで起動すると駄目っていう現象がいまいちわかりません。。。

nss_ldap: failed to bind to LDAP server ldap://xxx: Can't contact LDAP server
sshd[29793]: nss_ldap: failed to bind to LDAP server ldap://xxx: Can't contact LDAP server
sshd[29793]: nss_ldap: reconnecting to LDAP server (sleeping 4 seconds)...
0175名無しさん@お腹いっぱい。
垢版 |
2008/06/22(日) 21:00:17
サーバ接続エラーがあればまずチェックすることがあるよな
172のふざけた返事から察するに本物のバカっぽいが
0177名無しさん@お腹いっぱい。
垢版 |
2008/06/24(火) 00:10:25
なんか、slapdが起動してなさそうなエラーですね。
かなり待てばうんぬんは、ldap→filesな感じでしょうか。
0178172
垢版 |
2008/06/26(木) 01:18:36
slapdは起動しています。psで見た結果です。
新たに判明したのが、しばらく放置すれば正常に
使えます。
0180名無しさん@お腹いっぱい。
垢版 |
2008/06/26(木) 08:36:36
psで確認する程度の能力で自己解決なんてムリか
教えたって学習しないだろうから相手にするだけあほらしいよ
金払ってみてもらいなさい
0181名無しさん@お腹いっぱい。
垢版 |
2008/06/30(月) 02:22:53

何様www
0186名無しさん@お腹いっぱい。
垢版 |
2008/07/04(金) 13:31:23
>>165
> エラーコード32が表示されています。

これがnoSuchObjectだって分かったのかなあ。
検索の結果がないんじゃないから、
bindしているDNがおかしいか、base DNがおかしいかどっちかって、
すぐに分かるんだけど。"Object"の意味が分かっていれば。
0187名無しさん@お腹いっぱい。
垢版 |
2008/07/09(水) 03:11:40
で?
0188名無しさん@お腹いっぱい。
垢版 |
2008/07/11(金) 13:51:09
現在,LDAP で MD5 パスワードを使って認証しています.
LDAP に格納されたハッシュ済みのパスワードを,
HTTP のダイジェスト認証にも使うことは可能でしょうか?


0190名無しさん@お腹いっぱい。
垢版 |
2008/07/13(日) 22:04:57
先週openldapのアップデート情報更新されたみたいね。
0192名無しさん@お腹いっぱい。
垢版 |
2008/07/31(木) 19:23:40
既に認証情報をMySQLで管理さているのですが
これをバックエンドとしてldap経由で活用することはできるでしょうか?
0194名無しさん@お腹いっぱい。
垢版 |
2008/08/01(金) 02:20:17
back-sql をいろいろ試しているんだが、スキーマ定義のやり方が良くわからない。
つーか、bdbで楽しすぎてて、理解していなかったし・・・。

問題はかなりの亀レスになること。 やっぱりbdbでやるほうがまし。
0195名無しさん@お腹いっぱい。
垢版 |
2008/08/01(金) 04:08:17
slapd-sql(5)
rdbms_depend
tests/data/slapd-sql.conf
読んでもその辺分からないなら、諦めた方がいいと思う。かなり前途多難。

> 既に認証情報をMySQLで管理さているのですが

程度の動機では。

0196名無しさん@お腹いっぱい。
垢版 |
2008/08/01(金) 07:55:56
MySQL + ODBC をバックエンドにしてみた.
んで,いまさらながらきづいたこと・・・

基本的なスキーマですらマッピングを自分で書かなきゃならんのね…
*.schema ファイルからテーブルの定義なんかを自動生成してくれる
わけじゃないんだね.

面倒すぎて,あきらめた.
0198名無しさん@お腹いっぱい。
垢版 |
2008/08/02(土) 06:28:11
ふうむ,fdsかぁ.
漏れDebianなんだよなぁ.
と思ったら一応 apt もあるのか.
http://michele.pupazzo.org/diary/?p=290
0199名無しさん@お腹いっぱい。
垢版 |
2008/08/11(月) 09:23:57
multi-valued attribute の順序が保存されるか否かについての
規定はあるのでしょうか?

RFC 4512 では multi-valued attribute について次の記述
くらいしか見当たりません。

individual values of a multi-valued attribute are not to be
independently added or deleted

OpenLDAP をはじめとする実装では以下のように記述されています。

LDAP does not guarantee the order of values in a multi-valued attribute.
0201名無しさん@お腹いっぱい。
垢版 |
2008/08/13(水) 15:22:17
OpenLDAP slapd 2.4.10 で TLS を使おうとしています。
2.3 まで使っていたそのままの設定で 2.4 に移行したのですが
TLS を有効にすると起動しなくなってしまいました。
OS は Debian lenny です。

slapd.conf における設定は次のとおりです。

TLSCipherSuite HIGH:MEDIUM:+SSLv2
TLSCACertificateFile /etc/ldap/cert.pem
TLSCertificateFile /etc/ldap/cert.pem
TLSCertificateKeyFile /etc/ldap/key.pem
TLSVerifyClient never

ログにおけるエラーは次のとおりです。
Aug 13 15:08:56 hoge slapd[5510]: main: TLS init def ctx failed: -1
Aug 13 15:08:56 hoge slapd[5510]: slapd destroy: freeing system resources.

使っているのは自己署名証明書で、鍵は key.pem、証明書は cert.pem です。
これらが壊れているかと思い以下のコマンドで確認しましたが
特に問題はレポートされませんでした。

openssl x509 -in cert.pem -noout -text
openssl rsa -in key.pem -noout -text

slapd は openldap というユーザの権限で実行されるので
key.pem/cert.pem のアクセス権はそれでアクセス可能なようにしています。
どのような点を調べればいいでしょうか?
0205201
垢版 |
2008/08/14(木) 12:13:05
>>204
openssl req -x509 で自己署名証明書を作成したので。
仮の CA を別にでっち上げても同じエラーでした。
なおログを見ると鍵・証明書ファイルはちゃんと読めているようです。

slapd[30909]: line 42 (TLSCACertificateFile /etc/ldap/demoCA/cacert.pem)
slapd[30909]: line 43 (TLSCertificateFile /etc/ldap/newcert.pem)
slapd[30909]: line 44 (TLSCertificateKeyFile /etc/ldap/newkey.pem)
slapd[30909]: line 45 (TLSVerifyClient never)

ldaps での接続はとりあえずおいておいて、実はバックエンドをSQL(MySQL + ODBC)
にしてから変更が反映されるまで時に間がかかるのです。数分間〜数時間、
場合によっては slapd を再起動しないと変更が反映されないこともあります。

たとえば ldapadd でエントリを追加し、ldapsearch で当該エントリを
問い合わせると10回に2回くらい見つからないとか。
あるいはエントリを削除したあともなぜか10回に2回くらい見つかってしまうとか。
slapd 内に何かキャッシュされているのでしょうか?
しかしキャッシュだとすると一度反映されたものがまた逆戻りということは無いはずです。

MySQL 側のログをつぶさに観察していると、
データベースへの更新 (insert/update) は即座におきています。
しかし問い合わせに対して select が発生しないことがあるようです。

なぜ slapd がバックエンドに問い合わせしないことがあるのでしょうか?
0206名無しさん@お腹いっぱい。
垢版 |
2008/08/14(木) 12:33:22
>>205
> なおログを見ると鍵・証明書ファイルはちゃんと読めているようです。
(略)

そこは設定ファイルを読み込んでるだけ。
0207201
垢版 |
2008/08/14(木) 12:43:52
>>206 そうなんすか・・
ううむ、libopenssl が -1 を返す条件を
ソースからあたってみます。
0209名無しさん@お腹いっぱい。
垢版 |
2008/09/05(金) 01:17:12
>>172
一般ユーザではLDAPのポート389が使用できないため
使用するポートを1024 以降で設定しているのに、
389ポートでアクセスしているからでは?
0210名無しさん@お腹いっぱい。
垢版 |
2008/10/09(木) 13:22:02
どうしても下記のmodifications require authenticationというエラーが出てしまいます…_| ̄|〇
何がいけないんでしょうか?

#smbldap-populate
Populating LDAP directory for domain MYGROUP (〜)
(using builtin directory structure)

adding new entry: dc=〜,dc=〜
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 498, <DATA> line 466.
adding new entry: ou=Users,dc=〜,dc=〜
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 498, <GEN1> line 12.
adding new entry: ou=Groups,dc=〜,dc=〜
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 498, <GEN1> line 17.
adding new entry: ou=Computers,dc=〜,dc=〜
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 498, <GEN1> line 22.
adding new entry: ou=Idmap,dc=〜,dc=〜
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 498, <GEN1> line 27.
adding new entry: uid=root,ou=Users,dc=〜,dc=〜
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 498, <GEN1> line 57.
adding new entry: uid=nobody,ou=Users,dc=〜,dc=〜
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 498, <GEN1> line 87.
adding new entry: cn=Domain Admins,ou=Groups,dc=〜,dc=〜
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 498, <GEN1> line 99.
adding new entry: cn=Domain Users,ou=Groups,dc=〜,dc=〜
0212名無しさん@お腹いっぱい。
垢版 |
2008/10/09(木) 20:41:25
いやパスワードやbinddnとかちゃんと設定してるんですよ
0214名無しさん@お腹いっぱい。
垢版 |
2008/10/10(金) 02:24:17
高圧粘着房
0215名無しさん@お腹いっぱい。
垢版 |
2008/10/10(金) 08:08:19
>>213
どこで見れるんですか(´・ω・)?
0216名無しさん@お腹いっぱい。
垢版 |
2008/10/10(金) 12:01:48
え?
/var/log/messeage とかsecure とか。。
0217名無しさん@お腹いっぱい。
垢版 |
2008/10/10(金) 14:37:55
>>216
nss_ldap: failed to bind to LDAP server ldap://127.0.0.1/: Invalid credentials
というメッセージが多いです
0218名無しさん@お腹いっぱい。
垢版 |
2008/10/23(木) 18:48:15
LDAPを使って各UNIXサーバのログインアカウントを管理した場合、
LDAPの設定でユーザ毎にサーバのログインの権利を制御することって出来ますか?

0220名無しさん@お腹いっぱい。
垢版 |
2008/11/07(金) 02:45:03
>>216
OpenLDAPが鉄板だとは思ってないから、やってみたいとも思えないけど。
つーか、krb5とかの方がよほどかマシに思える。 まどろっこしいことには
大差無いが。
0223名無しさん@お腹いっぱい。
垢版 |
2009/01/29(木) 01:57:10
結構OpenLDAPって使われてるはずなんだけど、いまいち盛り上がってないな。
みんな商用製品使ってんのかねー?
マルチマスターとかもっと議論されててもいいはず。
導入した人います?
0225名無しさん@お腹いっぱい。
垢版 |
2009/02/04(水) 23:00:04
OpenLDAP から FDS への移行って大変かな?
試した方いますか?

samba schema を使っているから、簡単に移行できるか
心配で・・・
0227名無しさん@お腹いっぱい。
垢版 |
2009/02/05(木) 00:04:34
>>225
schemaがどうしたこうしたよりも、
サーバ管理のHOWTOが全然違うからそこがネックになると思う。
例えばFDSがほとんど全ての設定をLDAP上のデータとして持つこととか。
データの移行やschemaなんかは全く問題ない。
というか問題になったら、もうそれはLDAPじゃないよ。
アクセスコントロールリストは切ったり張ったり、
さらに書き換えもする必要がある。
とにかく管理者ガイドは全て目を通してください。
サーバの能力は十分すぎるくらいだから、
ほとんどの場合移行担当者の能力がボトルネックです。
0234名無しさん@お腹いっぱい。
垢版 |
2009/03/29(日) 17:44:00
OpenLDAPをメールの認証用に使ってる人って
アカウント追加時のディレクトリ操作とかってどうしてんだろ
うちはphp越しにLDAPアカウント追加=>新アカウントの存在確認=>Maildir・ldif・iaf等作成用の.shをphpから実行、
ってやってる
0235名無しさん@お腹いっぱい。
垢版 |
2009/03/31(火) 20:03:09
研究室でNISが使われてるんですが
管理者の引き継ぎやマシン移行が繰り返されたために
設定があまり綺麗でない状態になってしまいました

この際にOpenLDAPに乗り換えようと思っているのですが
お勧めの入門書などありますでしょうか?
普通は公式ページのガイドとかその他の日本語リソースなんかで十分なんでしょうか
0236名無しさん@お腹いっぱい。
垢版 |
2009/04/01(水) 02:11:59
自分はDOCの中身とマニュアルの和訳と、あとぐぐって出てきたサイトで勉強して、大体なんとかなった。
本買って読んでハマったりするよりは自力で調べつつハマるより勉強になると思ってる。
0238名無しさん@お腹いっぱい。
垢版 |
2009/04/03(金) 15:03:56
>>235
乗り換えだけが目的ならそれで十分。
研究室ならエントリも少ないだろうから、
手作業で問題ないと思うが、
一応file形式からの移行toolがある。
0241名無しさん@お腹いっぱい。
垢版 |
2009/04/10(金) 19:43:26
LAMって、LDAP Account Manager だよね。
独自スキーマ使えるのかな。
SambaやPAMとの連携が必須で無くて、かつ独自のLDAPスキーマがサポートされてれば素敵なんだけど。
ホームディレクトリの自動生成・自動削除は出来るみたいだけど、
登録時に何かのコマンドを実行(maildirmakeとかね)するのは出来ない…のかな。

ただ日本語対応してないのが惜しいね。
皆が皆、英語読めるワケじゃ無いからなあ。


つーかそれとは別に、PAM連携って必要?
時代に逆行してるんかもしらんけど、メールユーザはメールユーザのみで
適当に作ったVirtualUserに全部閉じ込めちまうのがシンプルに思うんだけど、世間一般はどうなんだろう。
0244名無しさん@お腹いっぱい。
垢版 |
2009/06/10(水) 19:45:11
ldapaddするとき、LDIF内容ってこんな感じじゃないですか。
dn: cn=xxx, dc=xxx
objectClass: DUMMYOBJECT
dummyattr: dummyval


仮にDUMMYOBJECTにdummyattrがあるとして、dnにしかdummyattrがない状態でエントリを自動登録できるようなスキーマ設定ってできますか。
↓だけでDUMMYOBJECT.dummyattrを登録できちゃうような。
dn: dummyattr=hogehoge, cn=xxx, dc=xxx
objectClass: DUMMYOBJECT
0246名無しさん@お腹いっぱい。
垢版 |
2009/06/22(月) 03:03:26
LDAPはもう時代遅れ、というか運用しにくいから普及すること無く終わると思う
せいぜい ActiveDirectory で生き残るくらいか
0249名無しさん@お腹いっぱい。
垢版 |
2009/07/05(日) 02:08:43
NIS++とか妄想してみた
0250名無しさん@お腹いっぱい。
垢版 |
2009/07/05(日) 17:26:41
Radius、Sun製品がある。
ADでUNIX、Linux管理できるのか?
0253名無しさん@お腹いっぱい。
垢版 |
2009/12/27(日) 01:32:38
ユーザーの分類するのにobjcetClass使うのって正しい使い方?

mailしか使えないユーザー objcetClass=mailResipient
sshでログインできるユーザー objcetClass=posixUser
squidにだけアクセスできるユーザー objcetClass=inetOrgPerson


0254名無しさん@お腹いっぱい。
垢版 |
2009/12/27(日) 02:55:56
mailしか使えないというのはどういう意味ですか?
mail spoolもそのシステムには存在しないのでしょうか?
squidにだけアクセスできるというのはどういう意味ですか?
squidでユーザ認証はしますか?
0255名無しさん@お腹いっぱい。
垢版 |
2009/12/27(日) 05:55:19
postfixのユーザー情報検索設定に %s=mail && objcetClass = mailResipient

みたいなものを書き足せばメールアドレスだけ使えるユーザーになるのではないかと思いました
0265名無しさん@お腹いっぱい。
垢版 |
2010/01/16(土) 17:49:45
明けましておめでとうございます。

ldapsearch -x -b 'dc=localdomain' '(&(objectClass=posixGroup)(memberUid=hoge))'
のようにして、特定のposixAccountが属するposixGroupの一覧は得られますが、
逆に、特定のposixGroupに属するposixAccountの一覧を得るにはどのようにすればよいのでしょうか?
0266名無しさん@お腹いっぱい。
垢版 |
2010/01/16(土) 23:07:24
ちなみに下記の方法を考えました。

1. posixGroupとposixAccountの関係をきちんとツリー構造にする。
同じposixAccountのコピーだらけになってしまう点が難。aliasは(以下略

2. posixAccountのdescriptionなどにグループ名を含ませて検索に利用する。
オレオレ仕様な点が難。

もし>>41氏のまとめにヒントがありましたら、ぜひ再アップを希望致します。
0268名無しさん@お腹いっぱい。
垢版 |
2010/01/17(日) 07:16:24
>>267
ありがとうございます。
なのですが、uidのみの一覧ではなく、uidを含むposixAccount全体の一覧を得たい感じです。

どうやらmemberof overlayという仕組みが目的に近いようです。
全く未知の分野なので暫く地下に潜ります。
失礼しました。
0269名無しさん@お腹いっぱい。
垢版 |
2010/01/17(日) 10:14:27
for i in `上記のコマンド | sed -n '/^memberUid/p' | awk '{ print $2 }'`; do
ldapsearch -x -b 'dc=localdomain' "(&(objectClass=posixAccount)(uid=$i))"
done


0270名無しさん@お腹いっぱい。
垢版 |
2010/02/23(火) 01:14:43
個人の自鯖ローカルでとりあえずOIDを振りたい場合、
1.3.6.1.3 Experimental
を使っておけば問題ないのでしょうか?
0271名無しさん@お腹いっぱい。
垢版 |
2010/02/23(火) 01:38:18
あ、1.1を使えとOpenLDAP 2.2 Administrator's Guideに書いてありました。
でもバージョン2.3以降からその行が消えています。謎です。
0277名無しさん@お腹いっぱい。
垢版 |
2010/10/02(土) 22:43:10
LPICの話題も無いんだな
0278名無しさん@お腹いっぱい。
垢版 |
2010/10/09(土) 20:45:51
ああ、LPIC 301か。
2004年ごろにLPIC Level 3にLDAPの試験が用意されると聞いて
受験してみようと思いつつ、もう6年経ってしまった。
0280名無しさん@お腹いっぱい。
垢版 |
2010/10/10(日) 11:51:55
>>278
この前取ったよ、301。
資格本だけじゃあ無理だった、、管理者権限とかSambaでバックアンドデータベースに
指定したときのパスワード不整合時の現象とか調べるべき最初の対応とか
実機構築しないと知りえない無理な内容が満載っだったさ・・

>>279
資格全般板にあるけど、資格本何がいい?とかこの資格取る意味あるの?とか
そんな話ばかり・・
0283名無しさん@お腹いっぱい。
垢版 |
2010/11/11(木) 15:34:22
LDAPサーバとSambaサーバを連携させる場合について質問です。
互いに別の環境で動かす場合、ldap用のpamモジュールとnssモジュールが必要なのは
Sambaサーバが起動している環境のみですよね。
0284名無しさん@お腹いっぱい。
垢版 |
2010/11/11(木) 16:57:44
pamとnssのモジュールは、LDAP情報を使ってログインするUNIX上で必要です。
pamは認証を、nssはユーザ情報を取り扱います。
0287名無しさん@お腹いっぱい。
垢版 |
2011/04/28(木) 18:17:28.54
というか存在意義ありましたか?
OpenLDAPサポートする会社あるから、
なにか助けて欲しければそこに頼めばいいし。
中の人同じだしw
0291名無しさん@お腹いっぱい。
垢版 |
2011/06/23(木) 15:33:39.62
Debian(squeeze)でldap+kerberosを利用した認証を
出来るようになりましたが、ldapのposixAccountを継
承したエントリのhost属性をチェックして、マシンへの
ログインを制限することが出来ません。

/etc/libnss-ldap.confで
pam_check_host_attr yes
pam_fileter host=<ホストのFQDN>
を記述してやれば良いのかと思ったのですが間違っ
ているのでしょうか?

LDAPサーバで、ユーザアカウントのエントリのhost
属性を、わざと間違ったものにして試してみるのです
が、ログイン出来てしまうのです。

objectClass: extensibleObject
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: posixAccount
objectClass: top
cn: ***
gidNumber: ***
homeDirectory: ***
sn: ***
uid: ***
uidNumber: ***
loginShell: ***
host: <間違ったホストのFQDN>
0292名無しさん@お腹いっぱい。
垢版 |
2011/06/23(木) 16:43:01.12
>>291
> pam_check_host_attr yes
> pam_fileter host=<ホストのFQDN>

この2つは別の機能です。

前者は、
host: !拒絶するホスト名
host: 許可するホスト名
host: *
でホスト指定できます。大文字小文字は区別しません。
比較する文字列はgethostname(2)で得られたものです。
最初の一つにマッチするか、後の2つにマッチしないと認証失敗して、
"Access denied for this host"のログを吐きます。
だから、pam_check_host_attrがyesのホストでは、
host属性がないアカウントは一切ログインできなくなります。

後者は、アカウントを検索する時のfilter指定です。
検索失敗すると"pam_ldap: ldap_search_s 〜"のログを吐きます。

これ以外にデバッグログを得る方法はありません。
(Debianのパッケージ版についてはよく知らないが、オリジナルのソースでは)
0293名無しさん@お腹いっぱい。
垢版 |
2011/06/23(木) 16:48:36.15
>>291
> /etc/libnss-ldap.confで

上にも書いたようにDebian系はよく知らないのですが、
書く場所を間違えているということはないですか。
つまりpam_check_host_attrがyesになってないのでは?
0294291
垢版 |
2011/06/23(木) 20:26:52.44
/etc/libnss-ldap.conf
/etc/pam_ldap.conf
の両方とも

pam_filterをコメント
pam_check_host_attrをyes

にしてLDAPの当該エントリのhost属性を消去してみましたが
やはりログイン出来てしまいます。
/var/log/auth.logを見ているのですが、

ログにはpam_krb5とpam_unixのものしかでてこないのはおか
しいのでしょうか?通常pam_ldapもログに現れますか?
0296291
垢版 |
2011/06/24(金) 17:05:38.07
LDAP+gssapi(Kerberos)による認証の場合、pam_krb5で
ユーザ認証をし、pam_unixでユーザのuidやgidなどの
取得を試み、失敗したらログインさせないように動くよう
です。
KerberosにはあってLDAPに無いユーザでログインしよう
とするとgetpwnam(<ユーザ名>)で識別できなかったとい
うエラーがログに記録されます。

この時にpam_filterのチェックは行われるのかと思ったの
ですが、やってくれない。
0298291
垢版 |
2011/06/24(金) 21:11:06.78
>>297
認証時の動きを見たくて試したときの話しです。

Kerberos使わずにLDAPに認証もやらせれば出来るのですかね。
LDAPとKerberosを合わせた場合の資料が少ないのですよね。
0299名無しさん@お腹いっぱい。
垢版 |
2011/12/14(水) 20:31:57.65
どうしてslapdなんて名前にしたんだろうな
ldapdでいいじゃん
0300名無しさん@お腹いっぱい。
垢版 |
2012/01/04(水) 00:53:28.64
LDAP-DNS についてわかりやすいサイトキボンヌ
0301名無しさん@お腹いっぱい。
垢版 |
2012/01/17(火) 15:26:42.28
LDAPの何がええのん?
読み取りが高速で書き込みが低速ってのは解説記事から分かったんだけど、
だからなんなの?って思ってしまう。
DNSくらいしか使い道ないんじゃないの?
DBからLDAPに変えて大幅に成功が向上したとかっていう成功事例ってないの?
0305名無しさん@お腹いっぱい。
垢版 |
2012/02/09(木) 11:06:54.32
LDAP をストレージって、SQL をストレージにしてるというぐらい、よくわからない話。
IP をストレージでもいい。
0306名無しさん@お腹いっぱい。
垢版 |
2012/09/23(日) 10:21:44.59
こいつまだ生きていたのか。
数年前にdat落ちやしないかと心配だったが、成長したねぇ。
もう300か、おっきくなったもんだ。
0311名無しさん@お腹いっぱい。
垢版 |
2013/04/04(木) 15:34:30.28
ApacheでもSquidでもLighttpdでも構わないのですが、
クライアントの remote_addr に基づいてLDAP参照し、allow/deny 動作するような
方法ってありますでしょうか? いわゆるbasic認証なら沢山あったんですが。。
0313名無しさん@お腹いっぱい。
垢版 |
2013/04/04(木) 21:12:27.12
>>312
こういう用途でhttpdサーバが十数台並んでいるので、ACLリストをLDAPに置きたいんのです
deny from *.ru みたいに

Firewall だと L3レベルで落としてしまうので、httpdで 403 Forbidden が返せればと。。
0318名無しさん@お腹いっぱい。
垢版 |
2013/04/05(金) 18:00:56.50
>>315
LDAPのフルスペルを教えてやったら?

"D"と"A"が逆順でしかも間に"P"が入ってしまうと全くわけがわからないぞ。
"DA"のための"P"が先にあったが、それがえらく面倒なシロモノだったんで、
その"L"版を作ったわけでしょ?

それか、逆に「『LAPD』って何の略なんですか?」とさりげに聞いてみるとか。
0320名無しさん@お腹いっぱい。
垢版 |
2013/05/28(火) 09:42:45.05
MUAのアドレス帳としてLDAPを使おうとしていますが、グループの登録方法がわかりません。
やりたいのはLDAPに「営業1」グループとしてメンバーを登録して、
MUAから検索してクリックすると新規作成メールの宛先欄に
ずらずらとメンバーが羅列されるようにしたいのですが…
0323名無しさん@お腹いっぱい。
垢版 |
2013/05/28(火) 12:13:46.67
320です。
MTAも変更予定で策定中のため、名称を挙げられませんでした。
いまはThunderBirdを試していて、グループの登録で行き詰まっています。
0324名無しさん@お腹いっぱい。
垢版 |
2013/06/17(月) 07:00:17.73
2.4でslap.conf非推奨になったといっても、スキーマ追加でslaptestやるんだったら
slap.conf使ってるのと何も変わらんような気がする。
0325名無しさん@お腹いっぱい。
垢版 |
2013/07/19(金) NY:AN:NY.AN
OpenLDAPを始めました。が、ちょっと気になった事があります。質問させてください。
ネット上の情報などでは、

olcDatabase={0}config,cn=config
の設定で
olcRootDN: cn=admin,cn=config

とやっているケースが多いですが、
実際、OpenLDAPのインストール直後は
cn=admin,cn=configというエントリってないですよね?
ないのにこれを設定ディレクトリのルートDNにしちゃっても大丈夫なんでしょうか?

今のところ、問題はないみたいなんですが、なんか気持ち悪いです。
0326名無しさん@お腹いっぱい。
垢版 |
2014/02/11(火) 20:51:47.62
メールサーバのsmtp authでDIGEST-MD5やCRAM-MD5を
使う時は、(暗号化されてない)プレインパスワードが必要なため、
通常は専用のプレインパスワードのDBを作るのですが、
OpenLDAPと連携された方、もしくは解説したWebページをご存じでしたら
教えてください。
0327名無しさん@お腹いっぱい。
垢版 |
2014/07/15(火) 01:32:18.06
LDAPサーバ上に、uid 30001 gid 30001 のユーザを作成しました。

CentOS5.7 にて、LDAPサーバを参照して、上記ユーザでログインしました。
ログインはできたのですが、何もしていないつもりが1秒間隔ぐらいで、
LDAPサーバへ不要なリクエストが飛んでしまいます。不要なリクエストを抑止する
方法はないでしょうか?
0336ウサチャソ
垢版 |
2017/01/27(金) 11:46:31.77
>>335
ADも中身LDAPだし、どっちでもいいのでは

とは言っても連携させるとなると結構面倒なんだよな…
0342名無しさん@お腹いっぱい。
垢版 |
2017/07/29(土) 16:13:23.63
>>340
違いがわかってるからそう書いてあると思うんだが、
何を発狂してるんだ?

ADが実装の一部にLDAPを含めた認証システムで、
LDAPは時代遅れな認証プロトコルでしかない
0343名無しさん@お腹いっぱい。
垢版 |
2017/07/29(土) 16:20:29.33
LDAPはプロトコルであって、単体ではなにもできない
認証プロトコルですらないが、全てのベンダが認証システムとして定義している
NASの認証方式にLDAPと書かれているのは全て間違い

でもそれを突っ込むのはIT屋に多くいるアスペルガー症候群の人たちならでは
0348名無しさん@お腹いっぱい。
垢版 |
2017/07/30(日) 16:03:23.71
ADが余程怖いんだな
LDAPなんてNetwareと争ってた時代の代物で、
今でも一部ではLDAPのインフラ使ってても、AD連携されてて
0351名無しさん@お腹いっぱい。
垢版 |
2017/12/29(金) 07:30:53.45
誰でも簡単にパソコン1台で稼げる方法など
参考までに、
⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。

グーグル検索⇒『宮本のゴウリエセレレ』

8U5JJ6G4D3
0352名無しさん@お腹いっぱい。
垢版 |
2018/05/08(火) 17:07:55.00
既に、olcDatabase={1}mdb,cn=conf エントリの「設定ディレクトリ」に、

olcRootDN: cn=Manager,dc=example.dc=com
olcRootPW: {SSHA}----

が定義されているんですけど、
どうして、「データ用ディレクトリ」にも次のようにして、Managerを登録する必要があるんでしょうか。

dn: cn=Manager,dc=example,dc=com
objectClass: organizationalRole
cn: Manager
0353名無しさん@お腹いっぱい。
垢版 |
2018/05/22(火) 02:37:51.45
知り合いから教えてもらったパソコン一台でお金持ちになれるやり方
時間がある方はみてもいいかもしれません
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』

2FU4U
新着レスの表示
レスを投稿する

ニューススポーツなんでも実況