OpenLDAP
■ このスレッドは過去ログ倉庫に格納されています
LDAPを使って各UNIXサーバのログインアカウントを管理した場合、
LDAPの設定でユーザ毎にサーバのログインの権利を制御することって出来ますか?
nsswitch.confのpasswd欄にcompatを指定して、
+@グループ指定で制御したまえ。 >>216
OpenLDAPが鉄板だとは思ってないから、やってみたいとも思えないけど。
つーか、krb5とかの方がよほどかマシに思える。 まどろっこしいことには
大差無いが。 誤爆か?
ほとんどのLDAPサーバで、Kerberos 5使えるぞ。
SASLを通して。 >>218
host attributeじゃだめなの? 結構OpenLDAPって使われてるはずなんだけど、いまいち盛り上がってないな。
みんな商用製品使ってんのかねー?
マルチマスターとかもっと議論されててもいいはず。
導入した人います? 議論すること別にないので。
いまだにradiusしかまともに喋れないVPN機とかウザイって思うくらいで。 OpenLDAP から FDS への移行って大変かな?
試した方いますか?
samba schema を使っているから、簡単に移行できるか
心配で・・・ >>225
schemaがどうしたこうしたよりも、
サーバ管理のHOWTOが全然違うからそこがネックになると思う。
例えばFDSがほとんど全ての設定をLDAP上のデータとして持つこととか。
データの移行やschemaなんかは全く問題ない。
というか問題になったら、もうそれはLDAPじゃないよ。
アクセスコントロールリストは切ったり張ったり、
さらに書き換えもする必要がある。
とにかく管理者ガイドは全て目を通してください。
サーバの能力は十分すぎるくらいだから、
ほとんどの場合移行担当者の能力がボトルネックです。 bdbさえつかわなければおかしなバグには遭遇しないのでしょうか 最近bdb backendのバグも直ったんじゃないのかな。
FDSのスレは別にたてないで,ここに書き込めばいいのかな OpenLDAPをメールの認証用に使ってる人って
アカウント追加時のディレクトリ操作とかってどうしてんだろ
うちはphp越しにLDAPアカウント追加=>新アカウントの存在確認=>Maildir・ldif・iaf等作成用の.shをphpから実行、
ってやってる 研究室でNISが使われてるんですが
管理者の引き継ぎやマシン移行が繰り返されたために
設定があまり綺麗でない状態になってしまいました
この際にOpenLDAPに乗り換えようと思っているのですが
お勧めの入門書などありますでしょうか?
普通は公式ページのガイドとかその他の日本語リソースなんかで十分なんでしょうか 自分はDOCの中身とマニュアルの和訳と、あとぐぐって出てきたサイトで勉強して、大体なんとかなった。
本買って読んでハマったりするよりは自力で調べつつハマるより勉強になると思ってる。 日本語おかしいな。自力で調べつつハマる方が、に脳内変換頼む >>235
乗り換えだけが目的ならそれで十分。
研究室ならエントリも少ないだろうから、
手作業で問題ないと思うが、
一応file形式からの移行toolがある。
nisが動いてる環境と通信してldapにimportするスクリプトも
/usr/shareのどっかに入ってたな >>234
LAMかなんか使えるかな。。
Samba-LDAPのバックエンドで動いてるのがあるが、
統合認証/PAMしてないから。
LAMって、LDAP Account Manager だよね。
独自スキーマ使えるのかな。
SambaやPAMとの連携が必須で無くて、かつ独自のLDAPスキーマがサポートされてれば素敵なんだけど。
ホームディレクトリの自動生成・自動削除は出来るみたいだけど、
登録時に何かのコマンドを実行(maildirmakeとかね)するのは出来ない…のかな。
ただ日本語対応してないのが惜しいね。
皆が皆、英語読めるワケじゃ無いからなあ。
つーかそれとは別に、PAM連携って必要?
時代に逆行してるんかもしらんけど、メールユーザはメールユーザのみで
適当に作ったVirtualUserに全部閉じ込めちまうのがシンプルに思うんだけど、世間一般はどうなんだろう。 >>241
LAMは日本語対応・・・つか、 データの扱いをUTF-8にすれば良いだけじゃないか。
>>241
何だって使う必要があるときに使えばいい。 > pam
君は使う必要がない、それだけの話。 ldapaddするとき、LDIF内容ってこんな感じじゃないですか。
dn: cn=xxx, dc=xxx
objectClass: DUMMYOBJECT
dummyattr: dummyval
仮にDUMMYOBJECTにdummyattrがあるとして、dnにしかdummyattrがない状態でエントリを自動登録できるようなスキーマ設定ってできますか。
↓だけでDUMMYOBJECT.dummyattrを登録できちゃうような。
dn: dummyattr=hogehoge, cn=xxx, dc=xxx
objectClass: DUMMYOBJECT LDAPはもう時代遅れ、というか運用しにくいから普及すること無く終わると思う
せいぜい ActiveDirectory で生き残るくらいか Radius、Sun製品がある。
ADでUNIX、Linux管理できるのか?
出来ないでもないだろうけど、
バージョンアップするたびに検証する必要があるな、MS製品の場合。 ユーザーの分類するのにobjcetClass使うのって正しい使い方?
mailしか使えないユーザー objcetClass=mailResipient
sshでログインできるユーザー objcetClass=posixUser
squidにだけアクセスできるユーザー objcetClass=inetOrgPerson
mailしか使えないというのはどういう意味ですか?
mail spoolもそのシステムには存在しないのでしょうか?
squidにだけアクセスできるというのはどういう意味ですか?
squidでユーザ認証はしますか?
postfixのユーザー情報検索設定に %s=mail && objcetClass = mailResipient
みたいなものを書き足せばメールアドレスだけ使えるユーザーになるのではないかと思いました >>255
質問に全部答えろw
mail spoolはなくていいの? いや、そこは本題じゃないだろ
むしろ、どうして関係あるといいたいのだね?
俺はお前に聞いてるんだ
質問に全部答えろ
mail spool はどうして関係してるの?
明けましておめでとうございます。
ldapsearch -x -b 'dc=localdomain' '(&(objectClass=posixGroup)(memberUid=hoge))'
のようにして、特定のposixAccountが属するposixGroupの一覧は得られますが、
逆に、特定のposixGroupに属するposixAccountの一覧を得るにはどのようにすればよいのでしょうか? ちなみに下記の方法を考えました。
1. posixGroupとposixAccountの関係をきちんとツリー構造にする。
同じposixAccountのコピーだらけになってしまう点が難。aliasは(以下略
2. posixAccountのdescriptionなどにグループ名を含ませて検索に利用する。
オレオレ仕様な点が難。
もし>>41氏のまとめにヒントがありましたら、ぜひ再アップを希望致します。 ldapsearch -x -b 'dc=localdomain' '(&(objectClass=posixGroup)(cn=hoge))' memberUid
>>267
ありがとうございます。
なのですが、uidのみの一覧ではなく、uidを含むposixAccount全体の一覧を得たい感じです。
どうやらmemberof overlayという仕組みが目的に近いようです。
全く未知の分野なので暫く地下に潜ります。
失礼しました。 for i in `上記のコマンド | sed -n '/^memberUid/p' | awk '{ print $2 }'`; do
ldapsearch -x -b 'dc=localdomain' "(&(objectClass=posixAccount)(uid=$i))"
done
個人の自鯖ローカルでとりあえずOIDを振りたい場合、
1.3.6.1.3 Experimental
を使っておけば問題ないのでしょうか? あ、1.1を使えとOpenLDAP 2.2 Administrator's Guideに書いてありました。
でもバージョン2.3以降からその行が消えています。謎です。 >>270
それはExperimental RFCで定義されているOID用。
割り当てて貰うか、いいのを探すか。
>>271
よくない使い方を勧めれば削除されて当然。 OpenLDAPのLDAP構造体って、非公開データになったんだっけ? いや、そんなことありませんでした。
ソースもってきたらちゃんと書いてありました僕が馬鹿でした 弟は、かゆいから掻いてたと言い訳してたけど、あの手の動きは間違いなくアレだと思った。 ああ、LPIC 301か。
2004年ごろにLPIC Level 3にLDAPの試験が用意されると聞いて
受験してみようと思いつつ、もう6年経ってしまった。 資格は専用の板があるんじゃないの?
なければマ板がいいんじゃない? >>278
この前取ったよ、301。
資格本だけじゃあ無理だった、、管理者権限とかSambaでバックアンドデータベースに
指定したときのパスワード不整合時の現象とか調べるべき最初の対応とか
実機構築しないと知りえない無理な内容が満載っだったさ・・
>>279
資格全般板にあるけど、資格本何がいい?とかこの資格取る意味あるの?とか
そんな話ばかり・・
運用してもいない、し始める予定もない奴に、試験の話されても困るわけで。 >>280
別に資格なんて取らなくても仕事できるんだし、何威張ってんだ? LDAPサーバとSambaサーバを連携させる場合について質問です。
互いに別の環境で動かす場合、ldap用のpamモジュールとnssモジュールが必要なのは
Sambaサーバが起動している環境のみですよね。 pamとnssのモジュールは、LDAP情報を使ってログインするUNIX上で必要です。
pamは認証を、nssはユーザ情報を取り扱います。 というか存在意義ありましたか?
OpenLDAPサポートする会社あるから、
なにか助けて欲しければそこに頼めばいいし。
中の人同じだしw 単にドメインの期限切れた後に
よそに取られただけでしょ? http://web.archive.org/*/http://www.ldap-jp.org/
で見ると、
2007/03/31 前の状態
2007/12/23-2008/04/24 アクセス不可
2009/03/05 今の状態 Debian(squeeze)でldap+kerberosを利用した認証を
出来るようになりましたが、ldapのposixAccountを継
承したエントリのhost属性をチェックして、マシンへの
ログインを制限することが出来ません。
/etc/libnss-ldap.confで
pam_check_host_attr yes
pam_fileter host=<ホストのFQDN>
を記述してやれば良いのかと思ったのですが間違っ
ているのでしょうか?
LDAPサーバで、ユーザアカウントのエントリのhost
属性を、わざと間違ったものにして試してみるのです
が、ログイン出来てしまうのです。
objectClass: extensibleObject
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: posixAccount
objectClass: top
cn: ***
gidNumber: ***
homeDirectory: ***
sn: ***
uid: ***
uidNumber: ***
loginShell: ***
host: <間違ったホストのFQDN> >>291
> pam_check_host_attr yes
> pam_fileter host=<ホストのFQDN>
この2つは別の機能です。
前者は、
host: !拒絶するホスト名
host: 許可するホスト名
host: *
でホスト指定できます。大文字小文字は区別しません。
比較する文字列はgethostname(2)で得られたものです。
最初の一つにマッチするか、後の2つにマッチしないと認証失敗して、
"Access denied for this host"のログを吐きます。
だから、pam_check_host_attrがyesのホストでは、
host属性がないアカウントは一切ログインできなくなります。
後者は、アカウントを検索する時のfilter指定です。
検索失敗すると"pam_ldap: ldap_search_s 〜"のログを吐きます。
これ以外にデバッグログを得る方法はありません。
(Debianのパッケージ版についてはよく知らないが、オリジナルのソースでは)
>>291
> /etc/libnss-ldap.confで
上にも書いたようにDebian系はよく知らないのですが、
書く場所を間違えているということはないですか。
つまりpam_check_host_attrがyesになってないのでは? /etc/libnss-ldap.conf
/etc/pam_ldap.conf
の両方とも
pam_filterをコメント
pam_check_host_attrをyes
にしてLDAPの当該エントリのhost属性を消去してみましたが
やはりログイン出来てしまいます。
/var/log/auth.logを見ているのですが、
ログにはpam_krb5とpam_unixのものしかでてこないのはおか
しいのでしょうか?通常pam_ldapもログに現れますか? LDAP+gssapi(Kerberos)による認証の場合、pam_krb5で
ユーザ認証をし、pam_unixでユーザのuidやgidなどの
取得を試み、失敗したらログインさせないように動くよう
です。
KerberosにはあってLDAPに無いユーザでログインしよう
とするとgetpwnam(<ユーザ名>)で識別できなかったとい
うエラーがログに記録されます。
この時にpam_filterのチェックは行われるのかと思ったの
ですが、やってくれない。 >>296
> KerberosにはあってLDAPに無いユーザで
エントリがなかったら、そもそもhost属性も付けられないよね。 >>297
認証時の動きを見たくて試したときの話しです。
Kerberos使わずにLDAPに認証もやらせれば出来るのですかね。
LDAPとKerberosを合わせた場合の資料が少ないのですよね。 どうしてslapdなんて名前にしたんだろうな
ldapdでいいじゃん LDAP-DNS についてわかりやすいサイトキボンヌ LDAPの何がええのん?
読み取りが高速で書き込みが低速ってのは解説記事から分かったんだけど、
だからなんなの?って思ってしまう。
DNSくらいしか使い道ないんじゃないの?
DBからLDAPに変えて大幅に成功が向上したとかっていう成功事例ってないの? 今はやりのオンメモリDB、NOSQLといえば、中身は実質LDAP Ldapをソーシャルゲームのストレージにしてるけどなにか? LDAP をストレージって、SQL をストレージにしてるというぐらい、よくわからない話。
IP をストレージでもいい。
こいつまだ生きていたのか。
数年前にdat落ちやしないかと心配だったが、成長したねぇ。
もう300か、おっきくなったもんだ。 >>305
directoryをstorageに使って何が悪いのか... LDAP=Lightweight Directory Access `Protocol' ApacheでもSquidでもLighttpdでも構わないのですが、
クライアントの remote_addr に基づいてLDAP参照し、allow/deny 動作するような
方法ってありますでしょうか? いわゆるbasic認証なら沢山あったんですが。。 >>312
こういう用途でhttpdサーバが十数台並んでいるので、ACLリストをLDAPに置きたいんのです
deny from *.ru みたいに
Firewall だと L3レベルで落としてしまうので、httpdで 403 Forbidden が返せればと。。 上司がLAPDって言ってます。
訂正できないんだけど、どうしたらいい? 訂正すりゃいいじゃん。
できないってことはないでしょ。 >>313
mod_pythonとかscriptモジュール使って書けば?
mod_luaは今は一緒に配布されてるよね。 >>315
LDAPのフルスペルを教えてやったら?
"D"と"A"が逆順でしかも間に"P"が入ってしまうと全くわけがわからないぞ。
"DA"のための"P"が先にあったが、それがえらく面倒なシロモノだったんで、
その"L"版を作ったわけでしょ?
それか、逆に「『LAPD』って何の略なんですか?」とさりげに聞いてみるとか。 Los Angeles Police Department MUAのアドレス帳としてLDAPを使おうとしていますが、グループの登録方法がわかりません。
やりたいのはLDAPに「営業1」グループとしてメンバーを登録して、
MUAから検索してクリックすると新規作成メールの宛先欄に
ずらずらとメンバーが羅列されるようにしたいのですが… >>320
一般にsendmail.schemaってのが使われてる。
>>320が使ってるMUAが対応しているかどうかは知らんが。 320です。
MTAも変更予定で策定中のため、名称を挙げられませんでした。
いまはThunderBirdを試していて、グループの登録で行き詰まっています。 2.4でslap.conf非推奨になったといっても、スキーマ追加でslaptestやるんだったら
slap.conf使ってるのと何も変わらんような気がする。 OpenLDAPを始めました。が、ちょっと気になった事があります。質問させてください。
ネット上の情報などでは、
olcDatabase={0}config,cn=config
の設定で
olcRootDN: cn=admin,cn=config
とやっているケースが多いですが、
実際、OpenLDAPのインストール直後は
cn=admin,cn=configというエントリってないですよね?
ないのにこれを設定ディレクトリのルートDNにしちゃっても大丈夫なんでしょうか?
今のところ、問題はないみたいなんですが、なんか気持ち悪いです。 メールサーバのsmtp authでDIGEST-MD5やCRAM-MD5を
使う時は、(暗号化されてない)プレインパスワードが必要なため、
通常は専用のプレインパスワードのDBを作るのですが、
OpenLDAPと連携された方、もしくは解説したWebページをご存じでしたら
教えてください。 LDAPサーバ上に、uid 30001 gid 30001 のユーザを作成しました。
CentOS5.7 にて、LDAPサーバを参照して、上記ユーザでログインしました。
ログインはできたのですが、何もしていないつもりが1秒間隔ぐらいで、
LDAPサーバへ不要なリクエストが飛んでしまいます。不要なリクエストを抑止する
方法はないでしょうか? NASの認証のために導入してみたよ!
でもADでいいじゃん… >>335
ADも中身LDAPだし、どっちでもいいのでは
とは言っても連携させるとなると結構面倒なんだよな… >>339
認証プロトコルと認証システムの違いがわかってない
単一のベンダーに閉じこもってる人に有りがちな無知の無知 >>340
ADとLDAP比較したのは君だろう三流くん
sambaでAD構築できることも知らないようだな >>340
違いがわかってるからそう書いてあると思うんだが、
何を発狂してるんだ?
ADが実装の一部にLDAPを含めた認証システムで、
LDAPは時代遅れな認証プロトコルでしかない LDAPはプロトコルであって、単体ではなにもできない
認証プロトコルですらないが、全てのベンダが認証システムとして定義している
NASの認証方式にLDAPと書かれているのは全て間違い
でもそれを突っ込むのはIT屋に多くいるアスペルガー症候群の人たちならでは >>342
分かっていたらOpenLDAP、
あるいは他の実装を書いていた WebとNASの認証にLDAPなんてどんなオンボロ企業だよ
AD以外ありえないだろ ADが余程怖いんだな
LDAPなんてNetwareと争ってた時代の代物で、
今でも一部ではLDAPのインフラ使ってても、AD連携されてて >>348 がレス書き込んでる途中で粛清されたように見える 誰でも簡単にパソコン1台で稼げる方法など
参考までに、
⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。
グーグル検索⇒『宮本のゴウリエセレレ』
8U5JJ6G4D3 既に、olcDatabase={1}mdb,cn=conf エントリの「設定ディレクトリ」に、
olcRootDN: cn=Manager,dc=example.dc=com
olcRootPW: {SSHA}----
が定義されているんですけど、
どうして、「データ用ディレクトリ」にも次のようにして、Managerを登録する必要があるんでしょうか。
dn: cn=Manager,dc=example,dc=com
objectClass: organizationalRole
cn: Manager 知り合いから教えてもらったパソコン一台でお金持ちになれるやり方
時間がある方はみてもいいかもしれません
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
2FU4U ■ このスレッドは過去ログ倉庫に格納されています