X
OpenLDAP
0001名無しさん@お腹いっぱい。垢版2007/08/02(木) 01:24:49
なぜないのだ、この話題?
0249名無しさん@お腹いっぱい。垢版2009/07/05(日) 02:08:43
NIS++とか妄想してみた
0250名無しさん@お腹いっぱい。垢版2009/07/05(日) 17:26:41
Radius、Sun製品がある。
ADでUNIX、Linux管理できるのか?
0253名無しさん@お腹いっぱい。垢版2009/12/27(日) 01:32:38
ユーザーの分類するのにobjcetClass使うのって正しい使い方?

mailしか使えないユーザー objcetClass=mailResipient
sshでログインできるユーザー objcetClass=posixUser
squidにだけアクセスできるユーザー objcetClass=inetOrgPerson


0254名無しさん@お腹いっぱい。垢版2009/12/27(日) 02:55:56
mailしか使えないというのはどういう意味ですか?
mail spoolもそのシステムには存在しないのでしょうか?
squidにだけアクセスできるというのはどういう意味ですか?
squidでユーザ認証はしますか?
0255名無しさん@お腹いっぱい。垢版2009/12/27(日) 05:55:19
postfixのユーザー情報検索設定に %s=mail && objcetClass = mailResipient

みたいなものを書き足せばメールアドレスだけ使えるユーザーになるのではないかと思いました
0265名無しさん@お腹いっぱい。垢版2010/01/16(土) 17:49:45
明けましておめでとうございます。

ldapsearch -x -b 'dc=localdomain' '(&(objectClass=posixGroup)(memberUid=hoge))'
のようにして、特定のposixAccountが属するposixGroupの一覧は得られますが、
逆に、特定のposixGroupに属するposixAccountの一覧を得るにはどのようにすればよいのでしょうか?
0266名無しさん@お腹いっぱい。垢版2010/01/16(土) 23:07:24
ちなみに下記の方法を考えました。

1. posixGroupとposixAccountの関係をきちんとツリー構造にする。
同じposixAccountのコピーだらけになってしまう点が難。aliasは(以下略

2. posixAccountのdescriptionなどにグループ名を含ませて検索に利用する。
オレオレ仕様な点が難。

もし>>41氏のまとめにヒントがありましたら、ぜひ再アップを希望致します。
0268名無しさん@お腹いっぱい。垢版2010/01/17(日) 07:16:24
>>267
ありがとうございます。
なのですが、uidのみの一覧ではなく、uidを含むposixAccount全体の一覧を得たい感じです。

どうやらmemberof overlayという仕組みが目的に近いようです。
全く未知の分野なので暫く地下に潜ります。
失礼しました。
0269名無しさん@お腹いっぱい。垢版2010/01/17(日) 10:14:27
for i in `上記のコマンド | sed -n '/^memberUid/p' | awk '{ print $2 }'`; do
ldapsearch -x -b 'dc=localdomain' "(&(objectClass=posixAccount)(uid=$i))"
done


0270名無しさん@お腹いっぱい。垢版2010/02/23(火) 01:14:43
個人の自鯖ローカルでとりあえずOIDを振りたい場合、
1.3.6.1.3 Experimental
を使っておけば問題ないのでしょうか?
0271名無しさん@お腹いっぱい。垢版2010/02/23(火) 01:38:18
あ、1.1を使えとOpenLDAP 2.2 Administrator's Guideに書いてありました。
でもバージョン2.3以降からその行が消えています。謎です。
0277名無しさん@お腹いっぱい。垢版2010/10/02(土) 22:43:10
LPICの話題も無いんだな
0278名無しさん@お腹いっぱい。垢版2010/10/09(土) 20:45:51
ああ、LPIC 301か。
2004年ごろにLPIC Level 3にLDAPの試験が用意されると聞いて
受験してみようと思いつつ、もう6年経ってしまった。
0280名無しさん@お腹いっぱい。垢版2010/10/10(日) 11:51:55
>>278
この前取ったよ、301。
資格本だけじゃあ無理だった、、管理者権限とかSambaでバックアンドデータベースに
指定したときのパスワード不整合時の現象とか調べるべき最初の対応とか
実機構築しないと知りえない無理な内容が満載っだったさ・・

>>279
資格全般板にあるけど、資格本何がいい?とかこの資格取る意味あるの?とか
そんな話ばかり・・
0283名無しさん@お腹いっぱい。垢版2010/11/11(木) 15:34:22
LDAPサーバとSambaサーバを連携させる場合について質問です。
互いに別の環境で動かす場合、ldap用のpamモジュールとnssモジュールが必要なのは
Sambaサーバが起動している環境のみですよね。
0284名無しさん@お腹いっぱい。垢版2010/11/11(木) 16:57:44
pamとnssのモジュールは、LDAP情報を使ってログインするUNIX上で必要です。
pamは認証を、nssはユーザ情報を取り扱います。
0287名無しさん@お腹いっぱい。垢版2011/04/28(木) 18:17:28.54
というか存在意義ありましたか?
OpenLDAPサポートする会社あるから、
なにか助けて欲しければそこに頼めばいいし。
中の人同じだしw
0291名無しさん@お腹いっぱい。垢版2011/06/23(木) 15:33:39.62
Debian(squeeze)でldap+kerberosを利用した認証を
出来るようになりましたが、ldapのposixAccountを継
承したエントリのhost属性をチェックして、マシンへの
ログインを制限することが出来ません。

/etc/libnss-ldap.confで
pam_check_host_attr yes
pam_fileter host=<ホストのFQDN>
を記述してやれば良いのかと思ったのですが間違っ
ているのでしょうか?

LDAPサーバで、ユーザアカウントのエントリのhost
属性を、わざと間違ったものにして試してみるのです
が、ログイン出来てしまうのです。

objectClass: extensibleObject
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: posixAccount
objectClass: top
cn: ***
gidNumber: ***
homeDirectory: ***
sn: ***
uid: ***
uidNumber: ***
loginShell: ***
host: <間違ったホストのFQDN>
0292名無しさん@お腹いっぱい。垢版2011/06/23(木) 16:43:01.12
>>291
> pam_check_host_attr yes
> pam_fileter host=<ホストのFQDN>

この2つは別の機能です。

前者は、
host: !拒絶するホスト名
host: 許可するホスト名
host: *
でホスト指定できます。大文字小文字は区別しません。
比較する文字列はgethostname(2)で得られたものです。
最初の一つにマッチするか、後の2つにマッチしないと認証失敗して、
"Access denied for this host"のログを吐きます。
だから、pam_check_host_attrがyesのホストでは、
host属性がないアカウントは一切ログインできなくなります。

後者は、アカウントを検索する時のfilter指定です。
検索失敗すると"pam_ldap: ldap_search_s 〜"のログを吐きます。

これ以外にデバッグログを得る方法はありません。
(Debianのパッケージ版についてはよく知らないが、オリジナルのソースでは)
0293名無しさん@お腹いっぱい。垢版2011/06/23(木) 16:48:36.15
>>291
> /etc/libnss-ldap.confで

上にも書いたようにDebian系はよく知らないのですが、
書く場所を間違えているということはないですか。
つまりpam_check_host_attrがyesになってないのでは?
0294291垢版2011/06/23(木) 20:26:52.44
/etc/libnss-ldap.conf
/etc/pam_ldap.conf
の両方とも

pam_filterをコメント
pam_check_host_attrをyes

にしてLDAPの当該エントリのhost属性を消去してみましたが
やはりログイン出来てしまいます。
/var/log/auth.logを見ているのですが、

ログにはpam_krb5とpam_unixのものしかでてこないのはおか
しいのでしょうか?通常pam_ldapもログに現れますか?
0296291垢版2011/06/24(金) 17:05:38.07
LDAP+gssapi(Kerberos)による認証の場合、pam_krb5で
ユーザ認証をし、pam_unixでユーザのuidやgidなどの
取得を試み、失敗したらログインさせないように動くよう
です。
KerberosにはあってLDAPに無いユーザでログインしよう
とするとgetpwnam(<ユーザ名>)で識別できなかったとい
うエラーがログに記録されます。

この時にpam_filterのチェックは行われるのかと思ったの
ですが、やってくれない。
0298291垢版2011/06/24(金) 21:11:06.78
>>297
認証時の動きを見たくて試したときの話しです。

Kerberos使わずにLDAPに認証もやらせれば出来るのですかね。
LDAPとKerberosを合わせた場合の資料が少ないのですよね。
0299名無しさん@お腹いっぱい。垢版2011/12/14(水) 20:31:57.65
どうしてslapdなんて名前にしたんだろうな
ldapdでいいじゃん
0300名無しさん@お腹いっぱい。垢版2012/01/04(水) 00:53:28.64
LDAP-DNS についてわかりやすいサイトキボンヌ
0301名無しさん@お腹いっぱい。垢版2012/01/17(火) 15:26:42.28
LDAPの何がええのん?
読み取りが高速で書き込みが低速ってのは解説記事から分かったんだけど、
だからなんなの?って思ってしまう。
DNSくらいしか使い道ないんじゃないの?
DBからLDAPに変えて大幅に成功が向上したとかっていう成功事例ってないの?
0305名無しさん@お腹いっぱい。垢版2012/02/09(木) 11:06:54.32
LDAP をストレージって、SQL をストレージにしてるというぐらい、よくわからない話。
IP をストレージでもいい。
0306名無しさん@お腹いっぱい。垢版2012/09/23(日) 10:21:44.59
こいつまだ生きていたのか。
数年前にdat落ちやしないかと心配だったが、成長したねぇ。
もう300か、おっきくなったもんだ。
0311名無しさん@お腹いっぱい。垢版2013/04/04(木) 15:34:30.28
ApacheでもSquidでもLighttpdでも構わないのですが、
クライアントの remote_addr に基づいてLDAP参照し、allow/deny 動作するような
方法ってありますでしょうか? いわゆるbasic認証なら沢山あったんですが。。
0313名無しさん@お腹いっぱい。垢版2013/04/04(木) 21:12:27.12
>>312
こういう用途でhttpdサーバが十数台並んでいるので、ACLリストをLDAPに置きたいんのです
deny from *.ru みたいに

Firewall だと L3レベルで落としてしまうので、httpdで 403 Forbidden が返せればと。。
0318名無しさん@お腹いっぱい。垢版2013/04/05(金) 18:00:56.50
>>315
LDAPのフルスペルを教えてやったら?

"D"と"A"が逆順でしかも間に"P"が入ってしまうと全くわけがわからないぞ。
"DA"のための"P"が先にあったが、それがえらく面倒なシロモノだったんで、
その"L"版を作ったわけでしょ?

それか、逆に「『LAPD』って何の略なんですか?」とさりげに聞いてみるとか。
0320名無しさん@お腹いっぱい。垢版2013/05/28(火) 09:42:45.05
MUAのアドレス帳としてLDAPを使おうとしていますが、グループの登録方法がわかりません。
やりたいのはLDAPに「営業1」グループとしてメンバーを登録して、
MUAから検索してクリックすると新規作成メールの宛先欄に
ずらずらとメンバーが羅列されるようにしたいのですが…
0323名無しさん@お腹いっぱい。垢版2013/05/28(火) 12:13:46.67
320です。
MTAも変更予定で策定中のため、名称を挙げられませんでした。
いまはThunderBirdを試していて、グループの登録で行き詰まっています。
0324名無しさん@お腹いっぱい。垢版2013/06/17(月) 07:00:17.73
2.4でslap.conf非推奨になったといっても、スキーマ追加でslaptestやるんだったら
slap.conf使ってるのと何も変わらんような気がする。
0325名無しさん@お腹いっぱい。垢版2013/07/19(金) NY:AN:NY.AN
OpenLDAPを始めました。が、ちょっと気になった事があります。質問させてください。
ネット上の情報などでは、

olcDatabase={0}config,cn=config
の設定で
olcRootDN: cn=admin,cn=config

とやっているケースが多いですが、
実際、OpenLDAPのインストール直後は
cn=admin,cn=configというエントリってないですよね?
ないのにこれを設定ディレクトリのルートDNにしちゃっても大丈夫なんでしょうか?

今のところ、問題はないみたいなんですが、なんか気持ち悪いです。
0326名無しさん@お腹いっぱい。垢版2014/02/11(火) 20:51:47.62
メールサーバのsmtp authでDIGEST-MD5やCRAM-MD5を
使う時は、(暗号化されてない)プレインパスワードが必要なため、
通常は専用のプレインパスワードのDBを作るのですが、
OpenLDAPと連携された方、もしくは解説したWebページをご存じでしたら
教えてください。
0327名無しさん@お腹いっぱい。垢版2014/07/15(火) 01:32:18.06
LDAPサーバ上に、uid 30001 gid 30001 のユーザを作成しました。

CentOS5.7 にて、LDAPサーバを参照して、上記ユーザでログインしました。
ログインはできたのですが、何もしていないつもりが1秒間隔ぐらいで、
LDAPサーバへ不要なリクエストが飛んでしまいます。不要なリクエストを抑止する
方法はないでしょうか?
0336ウサチャソ垢版2017/01/27(金) 11:46:31.77
>>335
ADも中身LDAPだし、どっちでもいいのでは

とは言っても連携させるとなると結構面倒なんだよな…
0342名無しさん@お腹いっぱい。垢版2017/07/29(土) 16:13:23.63
>>340
違いがわかってるからそう書いてあると思うんだが、
何を発狂してるんだ?

ADが実装の一部にLDAPを含めた認証システムで、
LDAPは時代遅れな認証プロトコルでしかない
0343名無しさん@お腹いっぱい。垢版2017/07/29(土) 16:20:29.33
LDAPはプロトコルであって、単体ではなにもできない
認証プロトコルですらないが、全てのベンダが認証システムとして定義している
NASの認証方式にLDAPと書かれているのは全て間違い

でもそれを突っ込むのはIT屋に多くいるアスペルガー症候群の人たちならでは
新着レスの表示
レスを投稿する

ニューススポーツなんでも実況