OpenLDAP
■ このスレッドは過去ログ倉庫に格納されています
>>34 CentOS 5 だった・・・・ Fedora Core 6 とごっちゃになってました。 ttp://home2.dip.jp/upload100_download.php?no=6598 とりあえず資料まとめたお。パス必須だったから OpenLDAP でおk aliasでの制御は無理だったけど、似たような制御はこういう手段でできるみたい。 >33 ごめん、オイラじゃわかんなかった >>37 すみませんが、興味あってたどり着いた者です。 どうやってダウンロードしたらいいのですか? DL KEYは何でしょうか? >>39 あ、そういうことでしたか。読みが雑でした。 失礼しました。 んが、こんなんに興味持つ人がいるとは。 >37の後半部分にテキトーな文字列があったのは、実は同じ部局で>32を 自分が作成したと偽って提出したビッチ野郎が出たためとしておきます。 油断も隙もあったもんじゃねぇな。 ttp://sakuratan.ddo.jp/uploader/source/date53447.pdf いくぶん詳しくまとめることができたのでドゾー ああそうだ、せっかくだからニチデンに感謝しておくか。Wordで使えるクリップアートを 提供してくれているのはドキュメント作成するときにものすごい助かったし。 今度マシン組むときも光学ドライブ買わせていただきますです。 >>41 お疲れ。 LinuxやUnixサーバをAliasで管理できればもっと 楽になったんだろうけど。大分奇麗に管理されてるね。 >43 pam_ldapやnss_ldapの今後の動向に期待というところです。 aliasのobjectClassもサポートしてくれればよりすっきりしますしね。 それはそれとしてshadowAccountの存在をすっかり忘れていることに 今気づく。ひょっとして後でここがアキレス腱になったりして。 実運用の承認降りたら降りたで怖いけど、ノウハウの蓄積ができそうなので 半分ワクワクもしているというダメっぷりを遺憾なく発揮しています。 書き忘れてた。LDAPユーザ会MLと、特に恒川裕康氏に感謝を。 現状でもあまり活発なMLじゃないけど、日本のLDAPの第一人者の方々が 参加しているので、登録するだけでも価値はあると思いますよ。 ttp://www.atmarkit.co.jp/fjava/rensai3/eclipseplgn21/eclipseplgn21_1.html ちょっと気になる記事。 FedoraDSはあんまりメジャーじゃねーのかね? 1週間書き込みがないと不安になるなぁ。UNIX板でdat落ちってのは そうそうないのは分かっているんだが、普段生息している板の癖が抜けない Becky のアドレス帳のニックネームでは、alias という属性を要求されるので すが、少なくとも openldap-2.3.38 には存在しないようです。 Becky の実装がおかしいのでしょうか? >49 yumで入れてるなら find /etc/openldap/schema -name \*.schema | xargs grep alias してからもう一度ここに質問しにおいで。 >>50 OS は Solaris9 で、ソースからコンパイルして入れてます。 ご指摘の内容は一度確認していましたが、alias がコメントアウトされている ようで、なぜ?と思って質問しました。 ほとんどコメントアウトされているように見えましたが、唯一そうでなかった のが misc.schema の DESC 'NIS mail alias' でした。さすがにこれは違いますね..。 他のコメントを見たら alias は OBJECT-CLASS として定義してあるようで.. このあたりで分からず...。もうちょっと勉強続けてみます。 >33 ファイルを直接編集せずに authconfig-tuiを使用したほうが良いとおもわれ centos5の場合は不要なはずですが以前のOSだと /etc/pam.d/system-authを以下のように編集する必要があり account [default=bad success=ok user_unknown=ignore service_err=ignore system_err=ignore authinfo_unavail=ignore] /lib/security/pam_ldap.so authinfo_unavail=ignoneが必要 >41 ありがとう ずっと探していた情報でした。 pam_filterを使うとは思いませんでした。 そういう観点ではpam_groupdnも良いかも groupOfUniqueNamesクラスを使用するから apacheのベーシック認証と似た感じになるし うーむ、ロダだとそのうち消えるよな。 CMSも併せてやってるんだが、ブログが形になってきたら pdf補完したほうがいいかね、やっぱり syncreplでreadonly DNを使ってレプリケーションをしています。 この場合、コンシューマslapdに書き込みをしようとした場合、 うまくプロバイダslapdにredirectされるものなのでしょうか? slurpdを使うときはupdatednに書いたDNを使って マスタ側に書き込んでくれるようなのですが...。 オレ思ったんだけどLAN内のみのメールアドレス管理なら LDAP導入しなくても LAN内のみ閲覧可能なWEBサーバディレクトリに mail toをhtmlに書いておけばいいんじゃないのか とか思ったりしたんだ >>56 LDAPアドレス帳検索の方が一般的なメールクライアントで対応しているので楽 あとLDAPを構築しておけば他の用途にも使える(NASのアクセス認証、WWW認証等) その駄案はてめぇのオナニーだけにしておけ メールアドレス管理ってアドレス帳の事を言っていたのか。 意味がさっぱりわからなかったw ttp://www.atmarkit.co.jp/flinux/rensai/root02/root02a.html よくあるLDAPサーバの構築例だと、必ずといっていいほどLDAPサーバが DMZに置かれているのですが、何故でしょうか? ユーザ情報を扱う以上、LAN内に置いておいた方が安全だと思うのですが。 この構造だと、LDAPサーバを乗っ取られたが最後のように思えます。 それとも、「DMZには置くが、グローバルIPは振らない」という意味でしょうか? /etc/nsswitch.conf に passwd compat ldap と書いています. この状態でたとえば chown 0:0 myfile などとすると,LDAP サーバに問い合わせに行きます. そのために LDAP サーバが死んでいると root での ファイル操作に支障をきたします. libnss に必要のない lookup はさせないようには できないのでしょうか? >>60 うちは、レプリカサーバを認証サーバ用にDMZに立ち上げてる。 Radiusサーバも一緒に。 認証のdelegateサービスを想定してなければ、大体はあなたの言う通りだと思う。 ただし、mail aliasをLDAPに置いて、round robinのpostfixに参照させるなど、 使い道はたくさんあると思う。apacheが/~usernameの参照に使ったり。 そもそも共通のdirectory基盤としてLDAPが出て来たんだから、 初期はより外にという状況が多かった。 今はdirectory基盤としてLDAPは当たり前なんだから、 あなたの言うような内側のみの案件がどんどん増えているんだと思う。 10年くらい前だと、内側のみならNIS/NIS+/NetInfoで十分って話だった。 >>61 それchownの問題。 0は最初から数字なのに、 0ってユーザがいなければ、数字と思う ってロジック。アプリが引くんだからsearchしないと仕方がない。 rootって指定して、/etc/passwdには+を最後に書けば、引きにいかない。 >>63 なるほど,chown の問題でしたか. Ubuntu を使っているのですが (すみません,Linux板にLDAP関連のスレがなかったので) 起動時に X がらみで開いたソケットのオーナーを chown で切り替えようとするんですよ. 鯖なので X サーバ自体は入れてないんですが, PHP 関係ののパッケージを入れて依存関係で勝手に 入ってきた x11-common っていうパッケージに含まれる 起動スクリプトがなぜか X 関係のソケットを作成しようとするようで・・・ 0って名前のユーザとグループ作っとけば? rootと同じuid, gidで。 >>65 いろいろと挙動を調べてみると、なぜか必要もないの gid じゃなくて groups を調べようとしているようです。 なので group を全部舐めようとしているみたい。 CentOS part 11 【RHEL Clone】 http://pc11.2ch.net/test/read.cgi/linux/1195800848/106-107 106 名前:login:Penguin[sage] 投稿日:2007/12/04(火) 11:24:32 ID:dTDEeRzx うpだてでOpenLDAPのデータが吹っ飛んだ BDBが壊れたかも 107 名前:login:Penguin[sage] 投稿日:2007/12/04(火) 12:18:11 ID:9Fjx+2mB >>106 うちも消えた /etc/openldap/schema/dnszone.schema のパーミッションも変更されててldapが起動できなかった オイラ達の外にもCentOS + OpenLDAPで何かう゛にゃってなった人いる? 過去レス見れば分かるけどあるよ。 Netscape系のFedora Directory Serverを使える環境の人は、 そっち使った方が安心だよ。OpenLDAP壊れすぎ。 >>62 レスありがとうございます。納得です。 DAPが必要な状況というのが、そもそも僕が思ってるよりも大規模なネットワークでの話だったんですね。 ActiveDirectoryと対比させて考えていたのでサッパリ分かってませんでした。 そうですね。 X.500みたいな広域サービスがLDAPの元になってますから。 (X.500のディレクトリアクセスプロトコルが「DAP」) 小規模なら階層構造の必要がほとんどないですよね。 OpenLDAPで管理できるユーザー数の上限はどのくらいですか? データベースが壊れたみたいなのですが /var/lib/ldap 以下を消してもリセットされません ldapadd で新しくデータを入れなおししようとしても そのエントリーはすでにある と言われます どうすればリセットできるのでしょうか? ldapでLinuxのログイン認証する設定すると id <LDAPで作成されたアカウント> でちゃんとユーザは認識されてるけど、ldapツリーの中に作成した posixGroupはシステム側で認識しないのかな? o=example,c=jp ├ ou=Groups (organizationalUnit) | └ cn=ldapUsers (posixGroup gid=10000) └ ou=People (organizationalUnit) └ cn=hoge (account, posixAccount uid=10000) てな状況です。「id hoge」すると uid は hoge(10000) って出るけど gidやgroupsは 10000 と表示されるだけなんですな。 ちゃんとgroupaddしてやらなきゃいかんのでしょうか。 あ、 uid=hoge は uidNumber=10000, gidNumber=10000 です。 ボーっと書いてました。すいません。 まず/etc/nsswitch.confを 次にldap.confのnss_base_groupあたり >76 あー!ありがとうございます nsswichを files ldap にだけして首ひねってましたわ >>77 どう訂正したか詳しく書いとけ。 後からこのスレ読んだヤツが助かるだろ。 /etc/nsswitch の group の値を → group: files ldap /etc/ldap.conf の nss_base_group のコメントアウトを解除して → nss_base_group ou=Groups,o=example,c=jp (LDAPツリーの構造は >>74 参照) とした訳ですハイ。この結果システム側がldapツリーから グループをきちんと認識できるようになったですよ。 # chown hoge:ldapUsers /home/hoge しても「ldapUsersなんてグループはねーよバーカバーカ」と怒られません。 ここは俺のチラシの裏。 メモ ttp://www.sailing-notes.com/2007/12/centos51openlda.html LDAP には原理的にはスキーマさえ定義すればどんな情報でも 持たせることができますが,userPassword 属性はだけ特別な 意味を持ちますよね?たとえば slapd への接続のときには この属性の値によって認証します. この属性名は固定なのでしょうか? それとも設定によっては他の属性を slapd への接続時の 認証情報として使うことができるのでしょうか? slurpd が使うレプリケーションのためのエントリを追加したいのですが, organizationalRole として追加すると userPassword 属性がありません. このような特殊なエントリは一般ユーザの(POSIXアカウントの) エントリとは別にしたいのですが,どうすればいいのでしょうか? LDAP に対する操作は主として phpldapadmin で行っています. ボクはLDAPについてはド素人なので聞き流してもらっても構わないけど、 レプリケーションするのに管理者権限ないと、 access to attrs=userPassword by self write by anonymous auth by * none とかだった場合にuserPasswordがレプリケートされなかったりしない(・ω・)? by xxxx とか書いて特定のアカウント「xxxx」にアクセス権限つけたりできたっけか? というかそもそも管理者dnって posixAccount と別に作れない? cn=ldapRoot,dn=example,dn=com みたいなdnでさ。 …なんかズレたレスしてるな。 ldap.conf に記述する rootdn と rootpw でLDAPプロバイダに 接続しちゃえばいいんじゃない?TLS 使って ldaps アクセスするような形で。 暗号化するとは言えルートDN使うのはよくないんだろうけど。 >>82 RFC2829, Authentication Methods for LDAP に"simple bind"での認証での記述でも、 RFC3062, LDAP Password Modify Extended Operation でも、userPassword属性について言及してます。 ただ、必ずuserPassword属性でなければいけない(MUST)というわけではありません。 まず、userPassword属性は、 基本的に生パスワードテキストを前提としているため、 暗号化されたパスワードテキストを使う場合に、 RFC3112, LDAP Authentication Password Schema で、authPassword属性を"simple bind"で使う場合の定義が行われています。 また、NIS schema(RFC2307)では、userPassword属性で、 暗号化されたパスワードテキストを使う場合を定義しています。 それからWindowsは違う属性を使うケースがあります。 ただし、ほとんどのLDAPサーバ実装では、 "simple bind"でどの属性を使うか固定しているので、 利用しているLDAPサーバのドキュメントを参照してください。 OpenLDAPはslapdの設定で行うことはできません。 ただしback-*を書けば可能です。 >>83 organizationalRoleは、STRUCTURALクラスなので、 そのクラスのオブジェクトに属性を付加したいとなると、 その属性を持ったAUXILIARYクラスを加えることになります。 # 全てのLDAPオブジェクトは、 # ただ一つのSTRUCTURALクラスに必ず属さなければいけません。 # 加えて0以上のAUXILIARYクラスに属することが可能です。 userPassword属性だけを持ったAUXILIARYクラスは、 simpleSecurityObjectクラスです。core.schemaにあります。 ちょっと訂正を。 >>86 二行目先頭: に→の > OpenLDAPは〜はできません。 「slapd.confの設定だけでuserPassword属性以外の属性を使うこと」 back-*というのは、Cで書くサーバのaddonです。 結構前になりますが、>>49 と>>51 で質問した者です。 やりたいことは、uid=foo,ou=People,dc=example,dc=com に "alias: f" を追加したいだけなのですが、以下のように 2 つ登録すれば よいのでしょうか? 試してみたのですが、これもうまくいきません..。 # foo, People, example.com dn: uid=foo,ou=People,dc=example,dc=com objectClass: inetOrgPerson objectClass: posixAccount uid: foo cn: foo o: huga uidNumber: 1000 homeDirectory: /home/foo mail: foo@example.com sn: dummy gidNumber: 310 # f, People, example.com dn: cn=f,ou=People,dc=example,dc=com objectClass: alias objectClass: extensibleObject cn: f aliasedObjectName: uid=foo,ou=People,dc=example,dc=com >>89 ぜんぜん違う。 とりあえず、Becky!作ったやつに死ねって言っといて。 aliasオブジェクトクラスって、シンボリックリンクみたいなもんだから。 >>90 やっぱり...。orz シンボリックっぽく使えることは確認できました。 たびたびすみません。以下のサイトの addressbooks.schema にそのものズバリ beckyAddressBookExtension があり、ニックネームが使えるようになりました。 ttp://hatuka.nezumi.nu/log/2003/05/ldap_attributes.html が、LDAP アドレス帳だとニックネームからの補完が効きませんでした。Becky! のバカ..。 板違いになってきたので、この辺で失礼いたします。 いや、特定のソフトに対する事例ではあるけど決して無関係ではない希ガス LDAP関連のスレッドって少ないし、助かるわ LDAPとVBの連携についてmsdn.microsoft以外に言及してるサイトって無いかな。 ADSI-VB-LDAPで認証システムを構築したいのだが 今さくらとcoreserverで実証している最中なのdeath-you どっちにしろオイラはヘタレSEなので大したのはできないだろうけど、 .asiaドメインが取れるようになったら本気出す んが、中途半端にコテが残ってた 恥ずかしいから見ちゃヤだー 今日はOpenLDAPのMLが活発に議論しているみたいだね やっぱBDBは飛ぶ機能がついていたんだな どういうこと? BDBのバグが原因? ML読まずにカキコ LDAP-ML 247番より引用 ========== > > ちなみに、どんな問題があるのでしょう。 > > 「かなり」ということなんで結構致命的なのかと... http://www.osstech.co.jp/techinfo/openldap にも少し書いてありますが、 http://www.openldap.org/software/download/OpenLDAP/openldap-release/openldap-2.2.30.tgz のCHANGESを一度読んでみてください。気を失いそうになります。 そして本当にデータを喪失した方も結構います。 ========== osstech.co.jp のページの下部に >BerkeleyDB (BDB)のバージョンを最新の 4.5.20にし、最新パッチを適用しています。高負荷で >データが破壊する、ハングアップする、リカバリできないなどの多くの不具合を修正しています。 という恐ろしい一文が。 恐ろしくなったので今ldifで全部書き出して保存した え、まだbdb使っている人いるの? 規定バックエンドがそうだから仕方ないのかなあ。 >>106 俺,既定のまま. まぁユーザは内輪だけだから10人ちょっとなんだけど. ちゃんとしたRDBを使った方がいいかなぁ. オイラの職場に導入されたのもBDB使ってる…… 既に100人オーダーで使ってるが大丈夫だろうか。 csvファイルを useradd.pl とかいうスクリプトで放り込むのダリーなぁ ldapaddさせてくれ全く >>108 > csvファイルを useradd.pl とかいうスクリプトで放り込むのダリーなぁ > ldapaddさせてくれ全く どういうこと? >109 ldapクライアントの知識が無い癖に誰かに吹き込まれて「LDAPでいこうガッハッハ」とか 言い出した社長のために、ソフト納入会社がperlを組んでくれたのですよ。 ldifをldapaddで放り込むのではなく、csvでデータ作成してそれをperlに与えて エントリを作成したり修正したりせなならんのです オイラとしては使い慣れたldapadd -x -D "cn=root,dc=example,dc=com" 〜〜 の 方がずっと使いやすいのだがにゃーと。 つまんない愚痴かよw マルチエントリの属性や外部データがない限りCSVで十分だろ。 知識ない人もWordで作れるし。 >>110 LDAPの参考書の1行目にも「リレーショナルデータベースでは無いので〜」 と書いてあるではないか。社長の考えは間違ってないぞ。 一応、LDAPのデータは「リレイション」だよ。DAPと違って、LDAPはトランザク ションが最小限しかないから、RDBとはいいがたいけど。ただ>>112 が何を言 おうとしているのかはさっぱり分からない。 LDAPはあくまでプロトコル体系でしょ。 そのデータベースはバックエンドで 一般的なRDBも使えるのは知ってる。 現に Postgresql(UNIXodbc)のバック エンドなんてのもあるしね。 BDBの難点は、やたらバージョン更新があるのに バージョンアップするときの互換性がないとこかな。 4.x だけでも4.0〜4.6まで いろいろありすぎ。 いったんLDIFに出せばいいっていう話はあるのだけど、バイナリ互換のほうが 楽でいいと思う。 バイナリ互換性を追い求めちゃいけないのかな。 Postgresql+UnixODBCだって水物っぽかった時期に触って徒労に終わったし。 relation from FOLDOC 1. <mathematics> A subset of the product of two sets, R : A x B. If (a, b) is an element of R then we write a R b, meaning a is related to b by R. A relation may be: reflexive (a R a), symmetric (a R b => b R a), transitive (a R b & b R c => a R c), antisymmetric (a R b & b R a => a = b) or total (a R b or b R a). リレイション = 関係型データベースの「関係」 ←→関数型データベース bdb使わなければ変なバグは出ないの? bdbじゃなかったら何がお勧めなの? bdbって、4.0〜4.6まであってどれつこたらええかわからん 悪いこと言わないから他のにしなよ。 マイナーバージョン違いでも平気でデータのバイナリ互換性ないしw slapd.confのbind_policyをsoftにしたらslapdの起動が凄く高速化したんですが弊害ってないんですかね? bdbさえ使わなければyumでldapのバージョン上げる度におかしなエラーに遭遇しないのかい? BDBから離れたらゆっくり眠れる保証があるんですか そういう方向の約束は難しいんだが、 ・bdbバックエンドを使って、 ・毎日のバックアップも取ってない そのような人間はゆっくり眠れないはずだ、 という共通認識が出来上がっている。 バックアップはちゃんとdb_dump使わないとまずいです。 LDAPのオペレーションの方でやるか。 ldapのクライアント側を変更しないでserverだけ変更することってできるの? >>125 この前サーバに張ってあった備品シールをはがした。 >>127 クライアントからのリクエストには問題なく答えましたか? >>123 バックアップするなら、ldif ファイルをとる方が、バージョンアップに耐えるからいい。 LDAPサーバにアカウントが2つあります。 アカウント aaa uid=20000,gid=20000 アカウント bbb uid=0,gid=0 LDAP経由でアカウントaaaはログインできるのに、アカウントbbbは Login incorrectとなってログインできません。 ldapsearch ではアカウントaaa,bbbとも結果が返ってきます。 クライアントのOSは、RHEL4.6 です。 書いていて気付きました。rootでのログインを禁止していたことに。 ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.1 2024/04/28 Walang Kapalit ★ | Donguri System Team 5ちゃんねる