OpenLDAP
■ このスレッドは過去ログ倉庫に格納されています
あ、1.1を使えとOpenLDAP 2.2 Administrator's Guideに書いてありました。
でもバージョン2.3以降からその行が消えています。謎です。 >>270
それはExperimental RFCで定義されているOID用。
割り当てて貰うか、いいのを探すか。
>>271
よくない使い方を勧めれば削除されて当然。 OpenLDAPのLDAP構造体って、非公開データになったんだっけ? いや、そんなことありませんでした。
ソースもってきたらちゃんと書いてありました僕が馬鹿でした 弟は、かゆいから掻いてたと言い訳してたけど、あの手の動きは間違いなくアレだと思った。 ああ、LPIC 301か。
2004年ごろにLPIC Level 3にLDAPの試験が用意されると聞いて
受験してみようと思いつつ、もう6年経ってしまった。 資格は専用の板があるんじゃないの?
なければマ板がいいんじゃない? >>278
この前取ったよ、301。
資格本だけじゃあ無理だった、、管理者権限とかSambaでバックアンドデータベースに
指定したときのパスワード不整合時の現象とか調べるべき最初の対応とか
実機構築しないと知りえない無理な内容が満載っだったさ・・
>>279
資格全般板にあるけど、資格本何がいい?とかこの資格取る意味あるの?とか
そんな話ばかり・・
運用してもいない、し始める予定もない奴に、試験の話されても困るわけで。 >>280
別に資格なんて取らなくても仕事できるんだし、何威張ってんだ? LDAPサーバとSambaサーバを連携させる場合について質問です。
互いに別の環境で動かす場合、ldap用のpamモジュールとnssモジュールが必要なのは
Sambaサーバが起動している環境のみですよね。 pamとnssのモジュールは、LDAP情報を使ってログインするUNIX上で必要です。
pamは認証を、nssはユーザ情報を取り扱います。 というか存在意義ありましたか?
OpenLDAPサポートする会社あるから、
なにか助けて欲しければそこに頼めばいいし。
中の人同じだしw 単にドメインの期限切れた後に
よそに取られただけでしょ? http://web.archive.org/*/http://www.ldap-jp.org/
で見ると、
2007/03/31 前の状態
2007/12/23-2008/04/24 アクセス不可
2009/03/05 今の状態 Debian(squeeze)でldap+kerberosを利用した認証を
出来るようになりましたが、ldapのposixAccountを継
承したエントリのhost属性をチェックして、マシンへの
ログインを制限することが出来ません。
/etc/libnss-ldap.confで
pam_check_host_attr yes
pam_fileter host=<ホストのFQDN>
を記述してやれば良いのかと思ったのですが間違っ
ているのでしょうか?
LDAPサーバで、ユーザアカウントのエントリのhost
属性を、わざと間違ったものにして試してみるのです
が、ログイン出来てしまうのです。
objectClass: extensibleObject
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: posixAccount
objectClass: top
cn: ***
gidNumber: ***
homeDirectory: ***
sn: ***
uid: ***
uidNumber: ***
loginShell: ***
host: <間違ったホストのFQDN> >>291
> pam_check_host_attr yes
> pam_fileter host=<ホストのFQDN>
この2つは別の機能です。
前者は、
host: !拒絶するホスト名
host: 許可するホスト名
host: *
でホスト指定できます。大文字小文字は区別しません。
比較する文字列はgethostname(2)で得られたものです。
最初の一つにマッチするか、後の2つにマッチしないと認証失敗して、
"Access denied for this host"のログを吐きます。
だから、pam_check_host_attrがyesのホストでは、
host属性がないアカウントは一切ログインできなくなります。
後者は、アカウントを検索する時のfilter指定です。
検索失敗すると"pam_ldap: ldap_search_s 〜"のログを吐きます。
これ以外にデバッグログを得る方法はありません。
(Debianのパッケージ版についてはよく知らないが、オリジナルのソースでは)
>>291
> /etc/libnss-ldap.confで
上にも書いたようにDebian系はよく知らないのですが、
書く場所を間違えているということはないですか。
つまりpam_check_host_attrがyesになってないのでは? /etc/libnss-ldap.conf
/etc/pam_ldap.conf
の両方とも
pam_filterをコメント
pam_check_host_attrをyes
にしてLDAPの当該エントリのhost属性を消去してみましたが
やはりログイン出来てしまいます。
/var/log/auth.logを見ているのですが、
ログにはpam_krb5とpam_unixのものしかでてこないのはおか
しいのでしょうか?通常pam_ldapもログに現れますか? LDAP+gssapi(Kerberos)による認証の場合、pam_krb5で
ユーザ認証をし、pam_unixでユーザのuidやgidなどの
取得を試み、失敗したらログインさせないように動くよう
です。
KerberosにはあってLDAPに無いユーザでログインしよう
とするとgetpwnam(<ユーザ名>)で識別できなかったとい
うエラーがログに記録されます。
この時にpam_filterのチェックは行われるのかと思ったの
ですが、やってくれない。 >>296
> KerberosにはあってLDAPに無いユーザで
エントリがなかったら、そもそもhost属性も付けられないよね。 >>297
認証時の動きを見たくて試したときの話しです。
Kerberos使わずにLDAPに認証もやらせれば出来るのですかね。
LDAPとKerberosを合わせた場合の資料が少ないのですよね。 どうしてslapdなんて名前にしたんだろうな
ldapdでいいじゃん LDAP-DNS についてわかりやすいサイトキボンヌ LDAPの何がええのん?
読み取りが高速で書き込みが低速ってのは解説記事から分かったんだけど、
だからなんなの?って思ってしまう。
DNSくらいしか使い道ないんじゃないの?
DBからLDAPに変えて大幅に成功が向上したとかっていう成功事例ってないの? 今はやりのオンメモリDB、NOSQLといえば、中身は実質LDAP Ldapをソーシャルゲームのストレージにしてるけどなにか? LDAP をストレージって、SQL をストレージにしてるというぐらい、よくわからない話。
IP をストレージでもいい。
こいつまだ生きていたのか。
数年前にdat落ちやしないかと心配だったが、成長したねぇ。
もう300か、おっきくなったもんだ。 >>305
directoryをstorageに使って何が悪いのか... LDAP=Lightweight Directory Access `Protocol' ApacheでもSquidでもLighttpdでも構わないのですが、
クライアントの remote_addr に基づいてLDAP参照し、allow/deny 動作するような
方法ってありますでしょうか? いわゆるbasic認証なら沢山あったんですが。。 >>312
こういう用途でhttpdサーバが十数台並んでいるので、ACLリストをLDAPに置きたいんのです
deny from *.ru みたいに
Firewall だと L3レベルで落としてしまうので、httpdで 403 Forbidden が返せればと。。 上司がLAPDって言ってます。
訂正できないんだけど、どうしたらいい? 訂正すりゃいいじゃん。
できないってことはないでしょ。 >>313
mod_pythonとかscriptモジュール使って書けば?
mod_luaは今は一緒に配布されてるよね。 >>315
LDAPのフルスペルを教えてやったら?
"D"と"A"が逆順でしかも間に"P"が入ってしまうと全くわけがわからないぞ。
"DA"のための"P"が先にあったが、それがえらく面倒なシロモノだったんで、
その"L"版を作ったわけでしょ?
それか、逆に「『LAPD』って何の略なんですか?」とさりげに聞いてみるとか。 Los Angeles Police Department MUAのアドレス帳としてLDAPを使おうとしていますが、グループの登録方法がわかりません。
やりたいのはLDAPに「営業1」グループとしてメンバーを登録して、
MUAから検索してクリックすると新規作成メールの宛先欄に
ずらずらとメンバーが羅列されるようにしたいのですが… >>320
一般にsendmail.schemaってのが使われてる。
>>320が使ってるMUAが対応しているかどうかは知らんが。 320です。
MTAも変更予定で策定中のため、名称を挙げられませんでした。
いまはThunderBirdを試していて、グループの登録で行き詰まっています。 2.4でslap.conf非推奨になったといっても、スキーマ追加でslaptestやるんだったら
slap.conf使ってるのと何も変わらんような気がする。 OpenLDAPを始めました。が、ちょっと気になった事があります。質問させてください。
ネット上の情報などでは、
olcDatabase={0}config,cn=config
の設定で
olcRootDN: cn=admin,cn=config
とやっているケースが多いですが、
実際、OpenLDAPのインストール直後は
cn=admin,cn=configというエントリってないですよね?
ないのにこれを設定ディレクトリのルートDNにしちゃっても大丈夫なんでしょうか?
今のところ、問題はないみたいなんですが、なんか気持ち悪いです。 メールサーバのsmtp authでDIGEST-MD5やCRAM-MD5を
使う時は、(暗号化されてない)プレインパスワードが必要なため、
通常は専用のプレインパスワードのDBを作るのですが、
OpenLDAPと連携された方、もしくは解説したWebページをご存じでしたら
教えてください。 LDAPサーバ上に、uid 30001 gid 30001 のユーザを作成しました。
CentOS5.7 にて、LDAPサーバを参照して、上記ユーザでログインしました。
ログインはできたのですが、何もしていないつもりが1秒間隔ぐらいで、
LDAPサーバへ不要なリクエストが飛んでしまいます。不要なリクエストを抑止する
方法はないでしょうか? NASの認証のために導入してみたよ!
でもADでいいじゃん… >>335
ADも中身LDAPだし、どっちでもいいのでは
とは言っても連携させるとなると結構面倒なんだよな… >>339
認証プロトコルと認証システムの違いがわかってない
単一のベンダーに閉じこもってる人に有りがちな無知の無知 >>340
ADとLDAP比較したのは君だろう三流くん
sambaでAD構築できることも知らないようだな >>340
違いがわかってるからそう書いてあると思うんだが、
何を発狂してるんだ?
ADが実装の一部にLDAPを含めた認証システムで、
LDAPは時代遅れな認証プロトコルでしかない LDAPはプロトコルであって、単体ではなにもできない
認証プロトコルですらないが、全てのベンダが認証システムとして定義している
NASの認証方式にLDAPと書かれているのは全て間違い
でもそれを突っ込むのはIT屋に多くいるアスペルガー症候群の人たちならでは >>342
分かっていたらOpenLDAP、
あるいは他の実装を書いていた WebとNASの認証にLDAPなんてどんなオンボロ企業だよ
AD以外ありえないだろ ADが余程怖いんだな
LDAPなんてNetwareと争ってた時代の代物で、
今でも一部ではLDAPのインフラ使ってても、AD連携されてて >>348 がレス書き込んでる途中で粛清されたように見える 誰でも簡単にパソコン1台で稼げる方法など
参考までに、
⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。
グーグル検索⇒『宮本のゴウリエセレレ』
8U5JJ6G4D3 既に、olcDatabase={1}mdb,cn=conf エントリの「設定ディレクトリ」に、
olcRootDN: cn=Manager,dc=example.dc=com
olcRootPW: {SSHA}----
が定義されているんですけど、
どうして、「データ用ディレクトリ」にも次のようにして、Managerを登録する必要があるんでしょうか。
dn: cn=Manager,dc=example,dc=com
objectClass: organizationalRole
cn: Manager 知り合いから教えてもらったパソコン一台でお金持ちになれるやり方
時間がある方はみてもいいかもしれません
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
2FU4U ■ このスレッドは過去ログ倉庫に格納されています