OpenLDAP
今日はOpenLDAPのMLが活発に議論しているみたいだね やっぱBDBは飛ぶ機能がついていたんだな どういうこと? BDBのバグが原因? ML読まずにカキコ LDAP-ML 247番より引用 ========== > > ちなみに、どんな問題があるのでしょう。 > > 「かなり」ということなんで結構致命的なのかと... http://www.osstech.co.jp/techinfo/openldap にも少し書いてありますが、 http://www.openldap.org/software/download/OpenLDAP/openldap-release/openldap-2.2.30.tgz のCHANGESを一度読んでみてください。気を失いそうになります。 そして本当にデータを喪失した方も結構います。 ========== osstech.co.jp のページの下部に >BerkeleyDB (BDB)のバージョンを最新の 4.5.20にし、最新パッチを適用しています。高負荷で >データが破壊する、ハングアップする、リカバリできないなどの多くの不具合を修正しています。 という恐ろしい一文が。 恐ろしくなったので今ldifで全部書き出して保存した え、まだbdb使っている人いるの? 規定バックエンドがそうだから仕方ないのかなあ。 >>106 俺,既定のまま. まぁユーザは内輪だけだから10人ちょっとなんだけど. ちゃんとしたRDBを使った方がいいかなぁ. オイラの職場に導入されたのもBDB使ってる…… 既に100人オーダーで使ってるが大丈夫だろうか。 csvファイルを useradd.pl とかいうスクリプトで放り込むのダリーなぁ ldapaddさせてくれ全く >>108 > csvファイルを useradd.pl とかいうスクリプトで放り込むのダリーなぁ > ldapaddさせてくれ全く どういうこと? >109 ldapクライアントの知識が無い癖に誰かに吹き込まれて「LDAPでいこうガッハッハ」とか 言い出した社長のために、ソフト納入会社がperlを組んでくれたのですよ。 ldifをldapaddで放り込むのではなく、csvでデータ作成してそれをperlに与えて エントリを作成したり修正したりせなならんのです オイラとしては使い慣れたldapadd -x -D "cn=root,dc=example,dc=com" 〜〜 の 方がずっと使いやすいのだがにゃーと。 つまんない愚痴かよw マルチエントリの属性や外部データがない限りCSVで十分だろ。 知識ない人もWordで作れるし。 >>110 LDAPの参考書の1行目にも「リレーショナルデータベースでは無いので〜」 と書いてあるではないか。社長の考えは間違ってないぞ。 一応、LDAPのデータは「リレイション」だよ。DAPと違って、LDAPはトランザク ションが最小限しかないから、RDBとはいいがたいけど。ただ>>112 が何を言 おうとしているのかはさっぱり分からない。 LDAPはあくまでプロトコル体系でしょ。 そのデータベースはバックエンドで 一般的なRDBも使えるのは知ってる。 現に Postgresql(UNIXodbc)のバック エンドなんてのもあるしね。 BDBの難点は、やたらバージョン更新があるのに バージョンアップするときの互換性がないとこかな。 4.x だけでも4.0〜4.6まで いろいろありすぎ。 いったんLDIFに出せばいいっていう話はあるのだけど、バイナリ互換のほうが 楽でいいと思う。 バイナリ互換性を追い求めちゃいけないのかな。 Postgresql+UnixODBCだって水物っぽかった時期に触って徒労に終わったし。 relation from FOLDOC 1. <mathematics> A subset of the product of two sets, R : A x B. If (a, b) is an element of R then we write a R b, meaning a is related to b by R. A relation may be: reflexive (a R a), symmetric (a R b => b R a), transitive (a R b & b R c => a R c), antisymmetric (a R b & b R a => a = b) or total (a R b or b R a). リレイション = 関係型データベースの「関係」 ←→関数型データベース bdb使わなければ変なバグは出ないの? bdbじゃなかったら何がお勧めなの? bdbって、4.0〜4.6まであってどれつこたらええかわからん 悪いこと言わないから他のにしなよ。 マイナーバージョン違いでも平気でデータのバイナリ互換性ないしw slapd.confのbind_policyをsoftにしたらslapdの起動が凄く高速化したんですが弊害ってないんですかね? bdbさえ使わなければyumでldapのバージョン上げる度におかしなエラーに遭遇しないのかい? BDBから離れたらゆっくり眠れる保証があるんですか そういう方向の約束は難しいんだが、 ・bdbバックエンドを使って、 ・毎日のバックアップも取ってない そのような人間はゆっくり眠れないはずだ、 という共通認識が出来上がっている。 バックアップはちゃんとdb_dump使わないとまずいです。 LDAPのオペレーションの方でやるか。 ldapのクライアント側を変更しないでserverだけ変更することってできるの? >>125 この前サーバに張ってあった備品シールをはがした。 >>127 クライアントからのリクエストには問題なく答えましたか? >>123 バックアップするなら、ldif ファイルをとる方が、バージョンアップに耐えるからいい。 LDAPサーバにアカウントが2つあります。 アカウント aaa uid=20000,gid=20000 アカウント bbb uid=0,gid=0 LDAP経由でアカウントaaaはログインできるのに、アカウントbbbは Login incorrectとなってログインできません。 ldapsearch ではアカウントaaa,bbbとも結果が返ってきます。 クライアントのOSは、RHEL4.6 です。 書いていて気付きました。rootでのログインを禁止していたことに。 OpenLDAP に興味を持っているんですけど、 認証サーバーが一台、ログインホスト3台という環境で、 特定のユーザーが1台のホストからだけログインするような設定も可能なんですよね? ○図 認証サーバー(OpenLDAP) | +ホスト1 +ホスト2 +ホスト3 ← ユーザーはこのホストからだけログインさせたい。 そのお題ならLDAP上にアカウント情報を置く必要ないと思うが、 どうしてもLDAP上に置くなら、 ・別のbase DNにする ・pam_filterで弾く などの方法がある。 ものごっつ初歩的な質問で申し訳ないんですけど、 2.3.x 系と 2.4.x 系は何が違うか書いてあるページがあったら教えてください。 うまく探せませんでした。英語でも若干おっけーです。 tar玉のCHANGESを読んで。 それから二桁目奇数は開発バージョン。 LDAPの構築ってどれくらいで「大規模」って呼ばれるんでしょ? >>141 > LDAPの構築 ここからして意味がわからん 東大は3万件というがあれはNECのEDSだからなあ 1万もエントリがあれば大規模なんじゃない? エントリ一万で大規模か。基準がよくわからないが。パスワードポリシー使っている人います?色々調べたんだが中々良い文献が無いな。英語はよめん! Debian Etch で slapd 動かしてみたんだけど、 × ldapsearch -x -H ldap://localhost uid=hogehoge × ldapsearch -x -H ldap://localhost uidNumber=1000 ○ ldapsearch -x -H ldap://localhost cn=hogehoge ○ ldapsearch -x -H ldap://localhost loginShell=/bin/false この違いはどこから来るの?フィルターとして使える、 使えないはどこで決められているのでしょうか? うぉぉ uid=punipuni にして uid=hogehoge に戻したら検索できるようになった。 何が起こってるんだ・・・ slapindex で直った・・ なんだったんだ。 俺の午前中を返せ。 > 制限 > データベースの一貫性を保証したいのであれば、 > slapindex を実行している間は slapd(8) の実行を中断してください。 この辺りはちゃんと守ってますか? それからbdb(Berkley DB)を使ってませんか? ユーザ7000人のシステムでインデックスをデフォルトのままで動かしたら、処理重いよね? nscdも使わない設計なんだけど、やばくない? ユーザ数に対しては最高でもログのオーダーだが、 アクセス数に対してはリニアオーダー。 >>153 意味がわからん LDAPで日本語って普通に使える?特別な設定やパッケージ必要? 年中無休発狂妄想爆裂憤死寸前粘着真性キチガイ包茎池沼病気猿男(狂猿)◆QfF6cO2gD6による気違いカキコの続き: 初心者もOK! FreeBSD質問スレッド その95 http://pc11.2ch.net/test/read.cgi/unix/1210728872/706-708,710,712 706 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 16:24:19 AAとコピペばっか 707 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 16:25:33 アク禁報告を誰もしてないのが不思議w してても無視されてるのか 708 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 16:31:15 >>704 假性ですが何か? 710 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 17:45:14 粘着キチガイ男(狂犬)をアク禁にしたらリアルに無差別殺人起こす可能性が高いからな。 712 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 17:59:51 ビビって書き込み止めたのか?と煽ってみる -------------------------------------------------------------------------------------------- UNIX板のあちこちのスレッドを荒らしている凶悪メンヘラ・真性キチガイ猿粘着◆QfF6cO2gD6。 いつも荒らしを憎むようなレスをするが、実際に荒らしているのは自分。 気色の悪い年中無休発狂粘着真性キチガイ包茎池沼病気猿男(狂猿)◆QfF6cO2gD6があちこちのスレに 遂に理解できないような基地害カキコをし始めた!気持ちが悪い…。 すいません、この辺を見ながらLDAPに挑戦しているのですが↓ http://www.atmarkit.co.jp/flinux/rensai/linuxtips/907ldapentrie.html ldapaddを実行したら command not found て… 前項で yum install openldap-servers でインストールは済んでるんですが 他にインストール必要なものって有ったりしますか クライアント計算機にログインしたときは,LDAP で認証& NFS なホームを automount できるところまで設定してます. この状況で,さらに,www サーバにログインする際は,LDAP で認証& www サーバ上の ディレクトリを,ホームディレクトリとしたいのですが,これは設定したらいいのでしょう? ヒントをくださいませ. >>160 wwwサーバでautomount動かさなきゃいいだろ。 ホームをNFSマウントしなければいい。 説明がたりなくてすみません. www サーバとその他のサーバで,ホームディレクトリのパスが同じなら(どちらの場合も ユーザ hoge のホームが /home/hoge だったら),うまくいくのは確認してます. (そもそも,これは LDAP が期待した動作?ごまかしてるだけな気が) いまは,NFS,www サーバ のユーザ hoge の$HOME は以下のように異なっています. NFS: /home/foo/bar/hoge www サーバ: /home/hoge これで,www サーバに LDAP 認証でログインすると,$HOMEは NFS のホームとなっていて, 「ホームがない!」といわれて,ログイン直後のカレントディレクトリが "/" になります. こういうとき,どう解決するのでしょうか?? mount --bindするとかシンボリックリンクはるとかで解決できないかな? ldapとは関係ない気がするけど。 >>162 LDAPは何も期待してないぞ。 あんたが勝手な期待してるだけ。 OpenLDAPならshell DBで、filterする手もあるが、 どう考えてもパスを合わせた方が楽で、自然。 インスコ、初期設定までして、最上位ツリーとマネージャー登録したのですが、ldapsearchでエントリが表示されず、エラーコード32が表示されています。 登録時にエラーはなかったのですが、なぜマネージャーすら表示できないんでしょうか? slap.confはデフォルトの使ってます。 よくあるのは、サーチベースを指定していない場合だけれど、どうでしょうか >>165 エラーコードの意味は調べてあるの? 調べてあるの? あるの? しつもんします version2.3.39のopenldapでLDAPのつかいかたを学習中です SASL/gssapi認証をためしているのですが slapd.confのrootdnの行を rootdn uid=ほげ,cn=<realm名>,cn=gssapi,cn=auth としてldapmodifyなどをつかってほげがエントリを修正しようとすると "Insufficient access (50)"のエラーになります。 ...なのですがslapd.confのrootdnの行からcn=<realm名>を消して rootdn uid=ほげ,cn=gssapi,cn=auth とすると、ldapmodifyなどの修正は問題なく成功します これは既定の動作なのでしょうか? それともやっぱり何かまちがってるでしょうか? ..slapd.confで sasl-realm <realm名> を設定することで期待していた動作になりました ども お騒がせしました >>166-167 自己解決してましたがレスどうも。 ベースの設定でした。 ldap.confいじるなんて俺の数ある情報源には無かった。w ログ見て、ベースが空欄になっているのはわかっていたのですが、まさかldap.confとは。 ldapsearchならオプションで指定できるが。 オプションでできるけど、いちいち指定するのがめんどい。話変わるけど、root以外でslapd起動している人います? -u 付けてroot以外で動かしたら挙動がおかしくなったよ。各ファイルの権限も問題ないのだが。 以下のようなエラーが出ています。 ldapsearchすら受付てくれない。 ログインはかなり待てばログインできます。 nss_ldap、PAMのなんかが悪いってことは解ったのですが、rootなら問題なくて、 一般ユーザで起動すると駄目っていう現象がいまいちわかりません。。。 nss_ldap: failed to bind to LDAP server ldap://xxx: Can't contact LDAP server sshd[29793]: nss_ldap: failed to bind to LDAP server ldap://xxx: Can't contact LDAP server sshd[29793]: nss_ldap: reconnecting to LDAP server (sleeping 4 seconds)... サーバ接続エラーがあればまずチェックすることがあるよな 172のふざけた返事から察するに本物のバカっぽいが >>174 > 一般ユーザで起動すると < 一般ユーザでログインすると でしょ。 rootはpam_unixにnss_fileだから。 なんか、slapdが起動してなさそうなエラーですね。 かなり待てばうんぬんは、ldap→filesな感じでしょうか。 slapdは起動しています。psで見た結果です。 新たに判明したのが、しばらく放置すれば正常に 使えます。 ログは読めない人なの? エラーコードも調べられなかったみたいだし。 psで確認する程度の能力で自己解決なんてムリか 教えたって学習しないだろうから相手にするだけあほらしいよ 金払ってみてもらいなさい タダで手取り足取り何でもかんでも教えてもらおうというクズをやさしく扱えといわれても困る >>165 > エラーコード32が表示されています。 これがnoSuchObjectだって分かったのかなあ。 検索の結果がないんじゃないから、 bindしているDNがおかしいか、base DNがおかしいかどっちかって、 すぐに分かるんだけど。"Object"の意味が分かっていれば。 現在,LDAP で MD5 パスワードを使って認証しています. LDAP に格納されたハッシュ済みのパスワードを, HTTP のダイジェスト認証にも使うことは可能でしょうか? 先週openldapのアップデート情報更新されたみたいね。 既に認証情報をMySQLで管理さているのですが これをバックエンドとしてldap経由で活用することはできるでしょうか? man 5 slapd-sql ってやってみたらいろいろと・・・・ 使ってみるか. back-sql をいろいろ試しているんだが、スキーマ定義のやり方が良くわからない。 つーか、bdbで楽しすぎてて、理解していなかったし・・・。 問題はかなりの亀レスになること。 やっぱりbdbでやるほうがまし。 slapd-sql(5) rdbms_depend tests/data/slapd-sql.conf 読んでもその辺分からないなら、諦めた方がいいと思う。かなり前途多難。 > 既に認証情報をMySQLで管理さているのですが 程度の動機では。 MySQL + ODBC をバックエンドにしてみた. んで,いまさらながらきづいたこと・・・ 基本的なスキーマですらマッピングを自分で書かなきゃならんのね… *.schema ファイルからテーブルの定義なんかを自動生成してくれる わけじゃないんだね. 面倒すぎて,あきらめた. ふうむ,fdsかぁ. 漏れDebianなんだよなぁ. と思ったら一応 apt もあるのか. http://michele.pupazzo.org/diary/?p=290 multi-valued attribute の順序が保存されるか否かについての 規定はあるのでしょうか? RFC 4512 では multi-valued attribute について次の記述 くらいしか見当たりません。 individual values of a multi-valued attribute are not to be independently added or deleted OpenLDAP をはじめとする実装では以下のように記述されています。 LDAP does not guarantee the order of values in a multi-valued attribute. read.cgi ver 07.5.0 2024/04/24 Walang Kapalit ★ | Donguri System Team 5ちゃんねる