OpenLDAP
んが、中途半端にコテが残ってた 恥ずかしいから見ちゃヤだー 今日はOpenLDAPのMLが活発に議論しているみたいだね やっぱBDBは飛ぶ機能がついていたんだな どういうこと? BDBのバグが原因? ML読まずにカキコ LDAP-ML 247番より引用 ========== > > ちなみに、どんな問題があるのでしょう。 > > 「かなり」ということなんで結構致命的なのかと... http://www.osstech.co.jp/techinfo/openldap にも少し書いてありますが、 http://www.openldap.org/software/download/OpenLDAP/openldap-release/openldap-2.2.30.tgz のCHANGESを一度読んでみてください。気を失いそうになります。 そして本当にデータを喪失した方も結構います。 ========== osstech.co.jp のページの下部に >BerkeleyDB (BDB)のバージョンを最新の 4.5.20にし、最新パッチを適用しています。高負荷で >データが破壊する、ハングアップする、リカバリできないなどの多くの不具合を修正しています。 という恐ろしい一文が。 恐ろしくなったので今ldifで全部書き出して保存した え、まだbdb使っている人いるの? 規定バックエンドがそうだから仕方ないのかなあ。 >>106 俺,既定のまま. まぁユーザは内輪だけだから10人ちょっとなんだけど. ちゃんとしたRDBを使った方がいいかなぁ. オイラの職場に導入されたのもBDB使ってる…… 既に100人オーダーで使ってるが大丈夫だろうか。 csvファイルを useradd.pl とかいうスクリプトで放り込むのダリーなぁ ldapaddさせてくれ全く >>108 > csvファイルを useradd.pl とかいうスクリプトで放り込むのダリーなぁ > ldapaddさせてくれ全く どういうこと? >109 ldapクライアントの知識が無い癖に誰かに吹き込まれて「LDAPでいこうガッハッハ」とか 言い出した社長のために、ソフト納入会社がperlを組んでくれたのですよ。 ldifをldapaddで放り込むのではなく、csvでデータ作成してそれをperlに与えて エントリを作成したり修正したりせなならんのです オイラとしては使い慣れたldapadd -x -D "cn=root,dc=example,dc=com" 〜〜 の 方がずっと使いやすいのだがにゃーと。 つまんない愚痴かよw マルチエントリの属性や外部データがない限りCSVで十分だろ。 知識ない人もWordで作れるし。 >>110 LDAPの参考書の1行目にも「リレーショナルデータベースでは無いので〜」 と書いてあるではないか。社長の考えは間違ってないぞ。 一応、LDAPのデータは「リレイション」だよ。DAPと違って、LDAPはトランザク ションが最小限しかないから、RDBとはいいがたいけど。ただ>>112 が何を言 おうとしているのかはさっぱり分からない。 LDAPはあくまでプロトコル体系でしょ。 そのデータベースはバックエンドで 一般的なRDBも使えるのは知ってる。 現に Postgresql(UNIXodbc)のバック エンドなんてのもあるしね。 BDBの難点は、やたらバージョン更新があるのに バージョンアップするときの互換性がないとこかな。 4.x だけでも4.0〜4.6まで いろいろありすぎ。 いったんLDIFに出せばいいっていう話はあるのだけど、バイナリ互換のほうが 楽でいいと思う。 バイナリ互換性を追い求めちゃいけないのかな。 Postgresql+UnixODBCだって水物っぽかった時期に触って徒労に終わったし。 relation from FOLDOC 1. <mathematics> A subset of the product of two sets, R : A x B. If (a, b) is an element of R then we write a R b, meaning a is related to b by R. A relation may be: reflexive (a R a), symmetric (a R b => b R a), transitive (a R b & b R c => a R c), antisymmetric (a R b & b R a => a = b) or total (a R b or b R a). リレイション = 関係型データベースの「関係」 ←→関数型データベース bdb使わなければ変なバグは出ないの? bdbじゃなかったら何がお勧めなの? bdbって、4.0〜4.6まであってどれつこたらええかわからん 悪いこと言わないから他のにしなよ。 マイナーバージョン違いでも平気でデータのバイナリ互換性ないしw slapd.confのbind_policyをsoftにしたらslapdの起動が凄く高速化したんですが弊害ってないんですかね? bdbさえ使わなければyumでldapのバージョン上げる度におかしなエラーに遭遇しないのかい? BDBから離れたらゆっくり眠れる保証があるんですか そういう方向の約束は難しいんだが、 ・bdbバックエンドを使って、 ・毎日のバックアップも取ってない そのような人間はゆっくり眠れないはずだ、 という共通認識が出来上がっている。 バックアップはちゃんとdb_dump使わないとまずいです。 LDAPのオペレーションの方でやるか。 ldapのクライアント側を変更しないでserverだけ変更することってできるの? >>125 この前サーバに張ってあった備品シールをはがした。 >>127 クライアントからのリクエストには問題なく答えましたか? >>123 バックアップするなら、ldif ファイルをとる方が、バージョンアップに耐えるからいい。 LDAPサーバにアカウントが2つあります。 アカウント aaa uid=20000,gid=20000 アカウント bbb uid=0,gid=0 LDAP経由でアカウントaaaはログインできるのに、アカウントbbbは Login incorrectとなってログインできません。 ldapsearch ではアカウントaaa,bbbとも結果が返ってきます。 クライアントのOSは、RHEL4.6 です。 書いていて気付きました。rootでのログインを禁止していたことに。 OpenLDAP に興味を持っているんですけど、 認証サーバーが一台、ログインホスト3台という環境で、 特定のユーザーが1台のホストからだけログインするような設定も可能なんですよね? ○図 認証サーバー(OpenLDAP) | +ホスト1 +ホスト2 +ホスト3 ← ユーザーはこのホストからだけログインさせたい。 そのお題ならLDAP上にアカウント情報を置く必要ないと思うが、 どうしてもLDAP上に置くなら、 ・別のbase DNにする ・pam_filterで弾く などの方法がある。 ものごっつ初歩的な質問で申し訳ないんですけど、 2.3.x 系と 2.4.x 系は何が違うか書いてあるページがあったら教えてください。 うまく探せませんでした。英語でも若干おっけーです。 tar玉のCHANGESを読んで。 それから二桁目奇数は開発バージョン。 LDAPの構築ってどれくらいで「大規模」って呼ばれるんでしょ? >>141 > LDAPの構築 ここからして意味がわからん 東大は3万件というがあれはNECのEDSだからなあ 1万もエントリがあれば大規模なんじゃない? エントリ一万で大規模か。基準がよくわからないが。パスワードポリシー使っている人います?色々調べたんだが中々良い文献が無いな。英語はよめん! Debian Etch で slapd 動かしてみたんだけど、 × ldapsearch -x -H ldap://localhost uid=hogehoge × ldapsearch -x -H ldap://localhost uidNumber=1000 ○ ldapsearch -x -H ldap://localhost cn=hogehoge ○ ldapsearch -x -H ldap://localhost loginShell=/bin/false この違いはどこから来るの?フィルターとして使える、 使えないはどこで決められているのでしょうか? うぉぉ uid=punipuni にして uid=hogehoge に戻したら検索できるようになった。 何が起こってるんだ・・・ slapindex で直った・・ なんだったんだ。 俺の午前中を返せ。 > 制限 > データベースの一貫性を保証したいのであれば、 > slapindex を実行している間は slapd(8) の実行を中断してください。 この辺りはちゃんと守ってますか? それからbdb(Berkley DB)を使ってませんか? ユーザ7000人のシステムでインデックスをデフォルトのままで動かしたら、処理重いよね? nscdも使わない設計なんだけど、やばくない? ユーザ数に対しては最高でもログのオーダーだが、 アクセス数に対してはリニアオーダー。 >>153 意味がわからん LDAPで日本語って普通に使える?特別な設定やパッケージ必要? 年中無休発狂妄想爆裂憤死寸前粘着真性キチガイ包茎池沼病気猿男(狂猿)◆QfF6cO2gD6による気違いカキコの続き: 初心者もOK! FreeBSD質問スレッド その95 http://pc11.2ch.net/test/read.cgi/unix/1210728872/706-708,710,712 706 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 16:24:19 AAとコピペばっか 707 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 16:25:33 アク禁報告を誰もしてないのが不思議w してても無視されてるのか 708 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 16:31:15 >>704 假性ですが何か? 710 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 17:45:14 粘着キチガイ男(狂犬)をアク禁にしたらリアルに無差別殺人起こす可能性が高いからな。 712 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 17:59:51 ビビって書き込み止めたのか?と煽ってみる -------------------------------------------------------------------------------------------- UNIX板のあちこちのスレッドを荒らしている凶悪メンヘラ・真性キチガイ猿粘着◆QfF6cO2gD6。 いつも荒らしを憎むようなレスをするが、実際に荒らしているのは自分。 気色の悪い年中無休発狂粘着真性キチガイ包茎池沼病気猿男(狂猿)◆QfF6cO2gD6があちこちのスレに 遂に理解できないような基地害カキコをし始めた!気持ちが悪い…。 すいません、この辺を見ながらLDAPに挑戦しているのですが↓ http://www.atmarkit.co.jp/flinux/rensai/linuxtips/907ldapentrie.html ldapaddを実行したら command not found て… 前項で yum install openldap-servers でインストールは済んでるんですが 他にインストール必要なものって有ったりしますか クライアント計算機にログインしたときは,LDAP で認証& NFS なホームを automount できるところまで設定してます. この状況で,さらに,www サーバにログインする際は,LDAP で認証& www サーバ上の ディレクトリを,ホームディレクトリとしたいのですが,これは設定したらいいのでしょう? ヒントをくださいませ. >>160 wwwサーバでautomount動かさなきゃいいだろ。 ホームをNFSマウントしなければいい。 説明がたりなくてすみません. www サーバとその他のサーバで,ホームディレクトリのパスが同じなら(どちらの場合も ユーザ hoge のホームが /home/hoge だったら),うまくいくのは確認してます. (そもそも,これは LDAP が期待した動作?ごまかしてるだけな気が) いまは,NFS,www サーバ のユーザ hoge の$HOME は以下のように異なっています. NFS: /home/foo/bar/hoge www サーバ: /home/hoge これで,www サーバに LDAP 認証でログインすると,$HOMEは NFS のホームとなっていて, 「ホームがない!」といわれて,ログイン直後のカレントディレクトリが "/" になります. こういうとき,どう解決するのでしょうか?? mount --bindするとかシンボリックリンクはるとかで解決できないかな? ldapとは関係ない気がするけど。 >>162 LDAPは何も期待してないぞ。 あんたが勝手な期待してるだけ。 OpenLDAPならshell DBで、filterする手もあるが、 どう考えてもパスを合わせた方が楽で、自然。 インスコ、初期設定までして、最上位ツリーとマネージャー登録したのですが、ldapsearchでエントリが表示されず、エラーコード32が表示されています。 登録時にエラーはなかったのですが、なぜマネージャーすら表示できないんでしょうか? slap.confはデフォルトの使ってます。 よくあるのは、サーチベースを指定していない場合だけれど、どうでしょうか >>165 エラーコードの意味は調べてあるの? 調べてあるの? あるの? しつもんします version2.3.39のopenldapでLDAPのつかいかたを学習中です SASL/gssapi認証をためしているのですが slapd.confのrootdnの行を rootdn uid=ほげ,cn=<realm名>,cn=gssapi,cn=auth としてldapmodifyなどをつかってほげがエントリを修正しようとすると "Insufficient access (50)"のエラーになります。 ...なのですがslapd.confのrootdnの行からcn=<realm名>を消して rootdn uid=ほげ,cn=gssapi,cn=auth とすると、ldapmodifyなどの修正は問題なく成功します これは既定の動作なのでしょうか? それともやっぱり何かまちがってるでしょうか? ..slapd.confで sasl-realm <realm名> を設定することで期待していた動作になりました ども お騒がせしました >>166-167 自己解決してましたがレスどうも。 ベースの設定でした。 ldap.confいじるなんて俺の数ある情報源には無かった。w ログ見て、ベースが空欄になっているのはわかっていたのですが、まさかldap.confとは。 ldapsearchならオプションで指定できるが。 オプションでできるけど、いちいち指定するのがめんどい。話変わるけど、root以外でslapd起動している人います? -u 付けてroot以外で動かしたら挙動がおかしくなったよ。各ファイルの権限も問題ないのだが。 以下のようなエラーが出ています。 ldapsearchすら受付てくれない。 ログインはかなり待てばログインできます。 nss_ldap、PAMのなんかが悪いってことは解ったのですが、rootなら問題なくて、 一般ユーザで起動すると駄目っていう現象がいまいちわかりません。。。 nss_ldap: failed to bind to LDAP server ldap://xxx: Can't contact LDAP server sshd[29793]: nss_ldap: failed to bind to LDAP server ldap://xxx: Can't contact LDAP server sshd[29793]: nss_ldap: reconnecting to LDAP server (sleeping 4 seconds)... サーバ接続エラーがあればまずチェックすることがあるよな 172のふざけた返事から察するに本物のバカっぽいが >>174 > 一般ユーザで起動すると < 一般ユーザでログインすると でしょ。 rootはpam_unixにnss_fileだから。 なんか、slapdが起動してなさそうなエラーですね。 かなり待てばうんぬんは、ldap→filesな感じでしょうか。 slapdは起動しています。psで見た結果です。 新たに判明したのが、しばらく放置すれば正常に 使えます。 ログは読めない人なの? エラーコードも調べられなかったみたいだし。 psで確認する程度の能力で自己解決なんてムリか 教えたって学習しないだろうから相手にするだけあほらしいよ 金払ってみてもらいなさい タダで手取り足取り何でもかんでも教えてもらおうというクズをやさしく扱えといわれても困る >>165 > エラーコード32が表示されています。 これがnoSuchObjectだって分かったのかなあ。 検索の結果がないんじゃないから、 bindしているDNがおかしいか、base DNがおかしいかどっちかって、 すぐに分かるんだけど。"Object"の意味が分かっていれば。 現在,LDAP で MD5 パスワードを使って認証しています. LDAP に格納されたハッシュ済みのパスワードを, HTTP のダイジェスト認証にも使うことは可能でしょうか? 先週openldapのアップデート情報更新されたみたいね。 既に認証情報をMySQLで管理さているのですが これをバックエンドとしてldap経由で活用することはできるでしょうか? man 5 slapd-sql ってやってみたらいろいろと・・・・ 使ってみるか. back-sql をいろいろ試しているんだが、スキーマ定義のやり方が良くわからない。 つーか、bdbで楽しすぎてて、理解していなかったし・・・。 問題はかなりの亀レスになること。 やっぱりbdbでやるほうがまし。 slapd-sql(5) rdbms_depend tests/data/slapd-sql.conf 読んでもその辺分からないなら、諦めた方がいいと思う。かなり前途多難。 > 既に認証情報をMySQLで管理さているのですが 程度の動機では。 MySQL + ODBC をバックエンドにしてみた. んで,いまさらながらきづいたこと・・・ 基本的なスキーマですらマッピングを自分で書かなきゃならんのね… *.schema ファイルからテーブルの定義なんかを自動生成してくれる わけじゃないんだね. 面倒すぎて,あきらめた. ふうむ,fdsかぁ. 漏れDebianなんだよなぁ. と思ったら一応 apt もあるのか. http://michele.pupazzo.org/diary/?p=290 multi-valued attribute の順序が保存されるか否かについての 規定はあるのでしょうか? RFC 4512 では multi-valued attribute について次の記述 くらいしか見当たりません。 individual values of a multi-valued attribute are not to be independently added or deleted OpenLDAP をはじめとする実装では以下のように記述されています。 LDAP does not guarantee the order of values in a multi-valued attribute. OpenLDAP slapd 2.4.10 で TLS を使おうとしています。 2.3 まで使っていたそのままの設定で 2.4 に移行したのですが TLS を有効にすると起動しなくなってしまいました。 OS は Debian lenny です。 slapd.conf における設定は次のとおりです。 TLSCipherSuite HIGH:MEDIUM:+SSLv2 TLSCACertificateFile /etc/ldap/cert.pem TLSCertificateFile /etc/ldap/cert.pem TLSCertificateKeyFile /etc/ldap/key.pem TLSVerifyClient never ログにおけるエラーは次のとおりです。 Aug 13 15:08:56 hoge slapd[5510]: main: TLS init def ctx failed: -1 Aug 13 15:08:56 hoge slapd[5510]: slapd destroy: freeing system resources. 使っているのは自己署名証明書で、鍵は key.pem、証明書は cert.pem です。 これらが壊れているかと思い以下のコマンドで確認しましたが 特に問題はレポートされませんでした。 openssl x509 -in cert.pem -noout -text openssl rsa -in key.pem -noout -text slapd は openldap というユーザの権限で実行されるので key.pem/cert.pem のアクセス権はそれでアクセス可能なようにしています。 どのような点を調べればいいでしょうか? >>201 とりあえずデバッグレベル挙げて。 どのファイルか分かるまで。 >>204 openssl req -x509 で自己署名証明書を作成したので。 仮の CA を別にでっち上げても同じエラーでした。 なおログを見ると鍵・証明書ファイルはちゃんと読めているようです。 slapd[30909]: line 42 (TLSCACertificateFile /etc/ldap/demoCA/cacert.pem) slapd[30909]: line 43 (TLSCertificateFile /etc/ldap/newcert.pem) slapd[30909]: line 44 (TLSCertificateKeyFile /etc/ldap/newkey.pem) slapd[30909]: line 45 (TLSVerifyClient never) ldaps での接続はとりあえずおいておいて、実はバックエンドをSQL(MySQL + ODBC) にしてから変更が反映されるまで時に間がかかるのです。数分間〜数時間、 場合によっては slapd を再起動しないと変更が反映されないこともあります。 たとえば ldapadd でエントリを追加し、ldapsearch で当該エントリを 問い合わせると10回に2回くらい見つからないとか。 あるいはエントリを削除したあともなぜか10回に2回くらい見つかってしまうとか。 slapd 内に何かキャッシュされているのでしょうか? しかしキャッシュだとすると一度反映されたものがまた逆戻りということは無いはずです。 MySQL 側のログをつぶさに観察していると、 データベースへの更新 (insert/update) は即座におきています。 しかし問い合わせに対して select が発生しないことがあるようです。 なぜ slapd がバックエンドに問い合わせしないことがあるのでしょうか? >>205 > なおログを見ると鍵・証明書ファイルはちゃんと読めているようです。 (略) そこは設定ファイルを読み込んでるだけ。 >>206 そうなんすか・・ ううむ、libopenssl が -1 を返す条件を ソースからあたってみます。 >>205 > openssl req -x509 で自己署名証明書を作成したので。 うーん… >>172 一般ユーザではLDAPのポート389が使用できないため 使用するポートを1024 以降で設定しているのに、 389ポートでアクセスしているからでは? どうしても下記のmodifications require authenticationというエラーが出てしまいます…_| ̄|〇 何がいけないんでしょうか? #smbldap-populate Populating LDAP directory for domain MYGROUP (〜) (using builtin directory structure) adding new entry: dc=〜,dc=〜 failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 498, <DATA> line 466. adding new entry: ou=Users,dc=〜,dc=〜 failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 498, <GEN1> line 12. adding new entry: ou=Groups,dc=〜,dc=〜 failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 498, <GEN1> line 17. adding new entry: ou=Computers,dc=〜,dc=〜 failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 498, <GEN1> line 22. adding new entry: ou=Idmap,dc=〜,dc=〜 failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 498, <GEN1> line 27. adding new entry: uid=root,ou=Users,dc=〜,dc=〜 failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 498, <GEN1> line 57. adding new entry: uid=nobody,ou=Users,dc=〜,dc=〜 failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 498, <GEN1> line 87. adding new entry: cn=Domain Admins,ou=Groups,dc=〜,dc=〜 failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 498, <GEN1> line 99. adding new entry: cn=Domain Users,ou=Groups,dc=〜,dc=〜 つ modifications require authentication いやパスワードやbinddnとかちゃんと設定してるんですよ え? /var/log/messeage とかsecure とか。。 >>216 nss_ldap: failed to bind to LDAP server ldap://127.0.0.1/: Invalid credentials というメッセージが多いです LDAPを使って各UNIXサーバのログインアカウントを管理した場合、 LDAPの設定でユーザ毎にサーバのログインの権利を制御することって出来ますか? nsswitch.confのpasswd欄にcompatを指定して、 +@グループ指定で制御したまえ。 >>216 OpenLDAPが鉄板だとは思ってないから、やってみたいとも思えないけど。 つーか、krb5とかの方がよほどかマシに思える。 まどろっこしいことには 大差無いが。 誤爆か? ほとんどのLDAPサーバで、Kerberos 5使えるぞ。 SASLを通して。 >>218 host attributeじゃだめなの? 結構OpenLDAPって使われてるはずなんだけど、いまいち盛り上がってないな。 みんな商用製品使ってんのかねー? マルチマスターとかもっと議論されててもいいはず。 導入した人います? 議論すること別にないので。 いまだにradiusしかまともに喋れないVPN機とかウザイって思うくらいで。 OpenLDAP から FDS への移行って大変かな? 試した方いますか? samba schema を使っているから、簡単に移行できるか 心配で・・・ >>225 schemaがどうしたこうしたよりも、 サーバ管理のHOWTOが全然違うからそこがネックになると思う。 例えばFDSがほとんど全ての設定をLDAP上のデータとして持つこととか。 データの移行やschemaなんかは全く問題ない。 というか問題になったら、もうそれはLDAPじゃないよ。 アクセスコントロールリストは切ったり張ったり、 さらに書き換えもする必要がある。 とにかく管理者ガイドは全て目を通してください。 サーバの能力は十分すぎるくらいだから、 ほとんどの場合移行担当者の能力がボトルネックです。 bdbさえつかわなければおかしなバグには遭遇しないのでしょうか 最近bdb backendのバグも直ったんじゃないのかな。 FDSのスレは別にたてないで,ここに書き込めばいいのかな OpenLDAPをメールの認証用に使ってる人って アカウント追加時のディレクトリ操作とかってどうしてんだろ うちはphp越しにLDAPアカウント追加=>新アカウントの存在確認=>Maildir・ldif・iaf等作成用の.shをphpから実行、 ってやってる 研究室でNISが使われてるんですが 管理者の引き継ぎやマシン移行が繰り返されたために 設定があまり綺麗でない状態になってしまいました この際にOpenLDAPに乗り換えようと思っているのですが お勧めの入門書などありますでしょうか? 普通は公式ページのガイドとかその他の日本語リソースなんかで十分なんでしょうか 自分はDOCの中身とマニュアルの和訳と、あとぐぐって出てきたサイトで勉強して、大体なんとかなった。 本買って読んでハマったりするよりは自力で調べつつハマるより勉強になると思ってる。 日本語おかしいな。自力で調べつつハマる方が、に脳内変換頼む >>235 乗り換えだけが目的ならそれで十分。 研究室ならエントリも少ないだろうから、 手作業で問題ないと思うが、 一応file形式からの移行toolがある。 nisが動いてる環境と通信してldapにimportするスクリプトも /usr/shareのどっかに入ってたな >>234 LAMかなんか使えるかな。。 Samba-LDAPのバックエンドで動いてるのがあるが、 統合認証/PAMしてないから。 LAMって、LDAP Account Manager だよね。 独自スキーマ使えるのかな。 SambaやPAMとの連携が必須で無くて、かつ独自のLDAPスキーマがサポートされてれば素敵なんだけど。 ホームディレクトリの自動生成・自動削除は出来るみたいだけど、 登録時に何かのコマンドを実行(maildirmakeとかね)するのは出来ない…のかな。 ただ日本語対応してないのが惜しいね。 皆が皆、英語読めるワケじゃ無いからなあ。 つーかそれとは別に、PAM連携って必要? 時代に逆行してるんかもしらんけど、メールユーザはメールユーザのみで 適当に作ったVirtualUserに全部閉じ込めちまうのがシンプルに思うんだけど、世間一般はどうなんだろう。 >>241 LAMは日本語対応・・・つか、 データの扱いをUTF-8にすれば良いだけじゃないか。 >>241 何だって使う必要があるときに使えばいい。 > pam 君は使う必要がない、それだけの話。 ldapaddするとき、LDIF内容ってこんな感じじゃないですか。 dn: cn=xxx, dc=xxx objectClass: DUMMYOBJECT dummyattr: dummyval 仮にDUMMYOBJECTにdummyattrがあるとして、dnにしかdummyattrがない状態でエントリを自動登録できるようなスキーマ設定ってできますか。 ↓だけでDUMMYOBJECT.dummyattrを登録できちゃうような。 dn: dummyattr=hogehoge, cn=xxx, dc=xxx objectClass: DUMMYOBJECT LDAPはもう時代遅れ、というか運用しにくいから普及すること無く終わると思う せいぜい ActiveDirectory で生き残るくらいか Radius、Sun製品がある。 ADでUNIX、Linux管理できるのか? 出来ないでもないだろうけど、 バージョンアップするたびに検証する必要があるな、MS製品の場合。 ユーザーの分類するのにobjcetClass使うのって正しい使い方? mailしか使えないユーザー objcetClass=mailResipient sshでログインできるユーザー objcetClass=posixUser squidにだけアクセスできるユーザー objcetClass=inetOrgPerson mailしか使えないというのはどういう意味ですか? mail spoolもそのシステムには存在しないのでしょうか? squidにだけアクセスできるというのはどういう意味ですか? squidでユーザ認証はしますか? postfixのユーザー情報検索設定に %s=mail && objcetClass = mailResipient みたいなものを書き足せばメールアドレスだけ使えるユーザーになるのではないかと思いました >>255 質問に全部答えろw mail spoolはなくていいの? いや、そこは本題じゃないだろ むしろ、どうして関係あるといいたいのだね? 俺はお前に聞いてるんだ 質問に全部答えろ mail spool はどうして関係してるの? 明けましておめでとうございます。 ldapsearch -x -b 'dc=localdomain' '(&(objectClass=posixGroup)(memberUid=hoge))' のようにして、特定のposixAccountが属するposixGroupの一覧は得られますが、 逆に、特定のposixGroupに属するposixAccountの一覧を得るにはどのようにすればよいのでしょうか? ちなみに下記の方法を考えました。 1. posixGroupとposixAccountの関係をきちんとツリー構造にする。 同じposixAccountのコピーだらけになってしまう点が難。aliasは(以下略 2. posixAccountのdescriptionなどにグループ名を含ませて検索に利用する。 オレオレ仕様な点が難。 もし>>41 氏のまとめにヒントがありましたら、ぜひ再アップを希望致します。 ldapsearch -x -b 'dc=localdomain' '(&(objectClass=posixGroup)(cn=hoge))' memberUid >>267 ありがとうございます。 なのですが、uidのみの一覧ではなく、uidを含むposixAccount全体の一覧を得たい感じです。 どうやらmemberof overlayという仕組みが目的に近いようです。 全く未知の分野なので暫く地下に潜ります。 失礼しました。 for i in `上記のコマンド | sed -n '/^memberUid/p' | awk '{ print $2 }'`; do ldapsearch -x -b 'dc=localdomain' "(&(objectClass=posixAccount)(uid=$i))" done 個人の自鯖ローカルでとりあえずOIDを振りたい場合、 1.3.6.1.3 Experimental を使っておけば問題ないのでしょうか? あ、1.1を使えとOpenLDAP 2.2 Administrator's Guideに書いてありました。 でもバージョン2.3以降からその行が消えています。謎です。 >>270 それはExperimental RFCで定義されているOID用。 割り当てて貰うか、いいのを探すか。 >>271 よくない使い方を勧めれば削除されて当然。 OpenLDAPのLDAP構造体って、非公開データになったんだっけ? いや、そんなことありませんでした。 ソースもってきたらちゃんと書いてありました僕が馬鹿でした 弟は、かゆいから掻いてたと言い訳してたけど、あの手の動きは間違いなくアレだと思った。 ああ、LPIC 301か。 2004年ごろにLPIC Level 3にLDAPの試験が用意されると聞いて 受験してみようと思いつつ、もう6年経ってしまった。 資格は専用の板があるんじゃないの? なければマ板がいいんじゃない? >>278 この前取ったよ、301。 資格本だけじゃあ無理だった、、管理者権限とかSambaでバックアンドデータベースに 指定したときのパスワード不整合時の現象とか調べるべき最初の対応とか 実機構築しないと知りえない無理な内容が満載っだったさ・・ >>279 資格全般板にあるけど、資格本何がいい?とかこの資格取る意味あるの?とか そんな話ばかり・・ 運用してもいない、し始める予定もない奴に、試験の話されても困るわけで。 >>280 別に資格なんて取らなくても仕事できるんだし、何威張ってんだ? LDAPサーバとSambaサーバを連携させる場合について質問です。 互いに別の環境で動かす場合、ldap用のpamモジュールとnssモジュールが必要なのは Sambaサーバが起動している環境のみですよね。 pamとnssのモジュールは、LDAP情報を使ってログインするUNIX上で必要です。 pamは認証を、nssはユーザ情報を取り扱います。 というか存在意義ありましたか? OpenLDAPサポートする会社あるから、 なにか助けて欲しければそこに頼めばいいし。 中の人同じだしw 単にドメインの期限切れた後に よそに取られただけでしょ? http://web.archive.org/*/http ://www.ldap-jp.org/ で見ると、 2007/03/31 前の状態 2007/12/23-2008/04/24 アクセス不可 2009/03/05 今の状態 Debian(squeeze)でldap+kerberosを利用した認証を 出来るようになりましたが、ldapのposixAccountを継 承したエントリのhost属性をチェックして、マシンへの ログインを制限することが出来ません。 /etc/libnss-ldap.confで pam_check_host_attr yes pam_fileter host=<ホストのFQDN> を記述してやれば良いのかと思ったのですが間違っ ているのでしょうか? LDAPサーバで、ユーザアカウントのエントリのhost 属性を、わざと間違ったものにして試してみるのです が、ログイン出来てしまうのです。 objectClass: extensibleObject objectClass: inetOrgPerson objectClass: organizationalPerson objectClass: person objectClass: posixAccount objectClass: top cn: *** gidNumber: *** homeDirectory: *** sn: *** uid: *** uidNumber: *** loginShell: *** host: <間違ったホストのFQDN> >>291 > pam_check_host_attr yes > pam_fileter host=<ホストのFQDN> この2つは別の機能です。 前者は、 host: !拒絶するホスト名 host: 許可するホスト名 host: * でホスト指定できます。大文字小文字は区別しません。 比較する文字列はgethostname(2)で得られたものです。 最初の一つにマッチするか、後の2つにマッチしないと認証失敗して、 "Access denied for this host"のログを吐きます。 だから、pam_check_host_attrがyesのホストでは、 host属性がないアカウントは一切ログインできなくなります。 後者は、アカウントを検索する時のfilter指定です。 検索失敗すると"pam_ldap: ldap_search_s 〜"のログを吐きます。 これ以外にデバッグログを得る方法はありません。 (Debianのパッケージ版についてはよく知らないが、オリジナルのソースでは) >>291 > /etc/libnss-ldap.confで 上にも書いたようにDebian系はよく知らないのですが、 書く場所を間違えているということはないですか。 つまりpam_check_host_attrがyesになってないのでは? /etc/libnss-ldap.conf /etc/pam_ldap.conf の両方とも pam_filterをコメント pam_check_host_attrをyes にしてLDAPの当該エントリのhost属性を消去してみましたが やはりログイン出来てしまいます。 /var/log/auth.logを見ているのですが、 ログにはpam_krb5とpam_unixのものしかでてこないのはおか しいのでしょうか?通常pam_ldapもログに現れますか? LDAP+gssapi(Kerberos)による認証の場合、pam_krb5で ユーザ認証をし、pam_unixでユーザのuidやgidなどの 取得を試み、失敗したらログインさせないように動くよう です。 KerberosにはあってLDAPに無いユーザでログインしよう とするとgetpwnam(<ユーザ名>)で識別できなかったとい うエラーがログに記録されます。 この時にpam_filterのチェックは行われるのかと思ったの ですが、やってくれない。 >>296 > KerberosにはあってLDAPに無いユーザで エントリがなかったら、そもそもhost属性も付けられないよね。 >>297 認証時の動きを見たくて試したときの話しです。 Kerberos使わずにLDAPに認証もやらせれば出来るのですかね。 LDAPとKerberosを合わせた場合の資料が少ないのですよね。 どうしてslapdなんて名前にしたんだろうな ldapdでいいじゃん LDAP-DNS についてわかりやすいサイトキボンヌ LDAPの何がええのん? 読み取りが高速で書き込みが低速ってのは解説記事から分かったんだけど、 だからなんなの?って思ってしまう。 DNSくらいしか使い道ないんじゃないの? DBからLDAPに変えて大幅に成功が向上したとかっていう成功事例ってないの? 今はやりのオンメモリDB、NOSQLといえば、中身は実質LDAP Ldapをソーシャルゲームのストレージにしてるけどなにか? LDAP をストレージって、SQL をストレージにしてるというぐらい、よくわからない話。 IP をストレージでもいい。 こいつまだ生きていたのか。 数年前にdat落ちやしないかと心配だったが、成長したねぇ。 もう300か、おっきくなったもんだ。 >>305 directoryをstorageに使って何が悪いのか... LDAP=Lightweight Directory Access `Protocol' ApacheでもSquidでもLighttpdでも構わないのですが、 クライアントの remote_addr に基づいてLDAP参照し、allow/deny 動作するような 方法ってありますでしょうか? いわゆるbasic認証なら沢山あったんですが。。 >>312 こういう用途でhttpdサーバが十数台並んでいるので、ACLリストをLDAPに置きたいんのです deny from *.ru みたいに Firewall だと L3レベルで落としてしまうので、httpdで 403 Forbidden が返せればと。。 上司がLAPDって言ってます。 訂正できないんだけど、どうしたらいい? 訂正すりゃいいじゃん。 できないってことはないでしょ。 >>313 mod_pythonとかscriptモジュール使って書けば? mod_luaは今は一緒に配布されてるよね。 >>315 LDAPのフルスペルを教えてやったら? "D"と"A"が逆順でしかも間に"P"が入ってしまうと全くわけがわからないぞ。 "DA"のための"P"が先にあったが、それがえらく面倒なシロモノだったんで、 その"L"版を作ったわけでしょ? それか、逆に「『LAPD』って何の略なんですか?」とさりげに聞いてみるとか。 Los Angeles Police Department MUAのアドレス帳としてLDAPを使おうとしていますが、グループの登録方法がわかりません。 やりたいのはLDAPに「営業1」グループとしてメンバーを登録して、 MUAから検索してクリックすると新規作成メールの宛先欄に ずらずらとメンバーが羅列されるようにしたいのですが… >>320 一般にsendmail.schemaってのが使われてる。 >>320 が使ってるMUAが対応しているかどうかは知らんが。 320です。 MTAも変更予定で策定中のため、名称を挙げられませんでした。 いまはThunderBirdを試していて、グループの登録で行き詰まっています。 2.4でslap.conf非推奨になったといっても、スキーマ追加でslaptestやるんだったら slap.conf使ってるのと何も変わらんような気がする。 OpenLDAPを始めました。が、ちょっと気になった事があります。質問させてください。 ネット上の情報などでは、 olcDatabase={0}config,cn=config の設定で olcRootDN: cn=admin,cn=config とやっているケースが多いですが、 実際、OpenLDAPのインストール直後は cn=admin,cn=configというエントリってないですよね? ないのにこれを設定ディレクトリのルートDNにしちゃっても大丈夫なんでしょうか? 今のところ、問題はないみたいなんですが、なんか気持ち悪いです。 メールサーバのsmtp authでDIGEST-MD5やCRAM-MD5を 使う時は、(暗号化されてない)プレインパスワードが必要なため、 通常は専用のプレインパスワードのDBを作るのですが、 OpenLDAPと連携された方、もしくは解説したWebページをご存じでしたら 教えてください。 LDAPサーバ上に、uid 30001 gid 30001 のユーザを作成しました。 CentOS5.7 にて、LDAPサーバを参照して、上記ユーザでログインしました。 ログインはできたのですが、何もしていないつもりが1秒間隔ぐらいで、 LDAPサーバへ不要なリクエストが飛んでしまいます。不要なリクエストを抑止する 方法はないでしょうか? NASの認証のために導入してみたよ! でもADでいいじゃん… >>335 ADも中身LDAPだし、どっちでもいいのでは とは言っても連携させるとなると結構面倒なんだよな… >>339 認証プロトコルと認証システムの違いがわかってない 単一のベンダーに閉じこもってる人に有りがちな無知の無知 >>340 ADとLDAP比較したのは君だろう三流くん sambaでAD構築できることも知らないようだな >>340 違いがわかってるからそう書いてあると思うんだが、 何を発狂してるんだ? ADが実装の一部にLDAPを含めた認証システムで、 LDAPは時代遅れな認証プロトコルでしかない LDAPはプロトコルであって、単体ではなにもできない 認証プロトコルですらないが、全てのベンダが認証システムとして定義している NASの認証方式にLDAPと書かれているのは全て間違い でもそれを突っ込むのはIT屋に多くいるアスペルガー症候群の人たちならでは >>342 分かっていたらOpenLDAP、 あるいは他の実装を書いていた WebとNASの認証にLDAPなんてどんなオンボロ企業だよ AD以外ありえないだろ ADが余程怖いんだな LDAPなんてNetwareと争ってた時代の代物で、 今でも一部ではLDAPのインフラ使ってても、AD連携されてて >>348 がレス書き込んでる途中で粛清されたように見える 誰でも簡単にパソコン1台で稼げる方法など 参考までに、 ⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。 グーグル検索⇒『宮本のゴウリエセレレ』 8U5JJ6G4D3 既に、olcDatabase={1}mdb,cn=conf エントリの「設定ディレクトリ」に、 olcRootDN: cn=Manager,dc=example.dc=com olcRootPW: {SSHA}---- が定義されているんですけど、 どうして、「データ用ディレクトリ」にも次のようにして、Managerを登録する必要があるんでしょうか。 dn: cn=Manager,dc=example,dc=com objectClass: organizationalRole cn: Manager 知り合いから教えてもらったパソコン一台でお金持ちになれるやり方 時間がある方はみてもいいかもしれません グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』 2FU4U read.cgi ver 07.5.0 2024/04/24 Walang Kapalit ★ | Donguri System Team 5ちゃんねる