X
OpenLDAP
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
垢版 |
2007/08/02(木) 01:24:49
なぜないのだ、この話題?
0083名無しさん@お腹いっぱい。
垢版 |
2008/01/06(日) 10:57:08
slurpd が使うレプリケーションのためのエントリを追加したいのですが,
organizationalRole として追加すると userPassword 属性がありません.
このような特殊なエントリは一般ユーザの(POSIXアカウントの)
エントリとは別にしたいのですが,どうすればいいのでしょうか?

LDAP に対する操作は主として phpldapadmin で行っています.
0084名無しさん@お腹いっぱい。
垢版 |
2008/01/07(月) 09:32:16
ボクはLDAPについてはド素人なので聞き流してもらっても構わないけど、
レプリケーションするのに管理者権限ないと、

access to attrs=userPassword
by self write
by anonymous auth
by * none

とかだった場合にuserPasswordがレプリケートされなかったりしない(・ω・)?
by xxxx とか書いて特定のアカウント「xxxx」にアクセス権限つけたりできたっけか?

というかそもそも管理者dnって posixAccount と別に作れない?
cn=ldapRoot,dn=example,dn=com みたいなdnでさ。
0085名無しさん@お腹いっぱい。
垢版 |
2008/01/07(月) 16:53:50
…なんかズレたレスしてるな。

ldap.conf に記述する rootdn と rootpw でLDAPプロバイダに
接続しちゃえばいいんじゃない?TLS 使って ldaps アクセスするような形で。

暗号化するとは言えルートDN使うのはよくないんだろうけど。
0086名無しさん@お腹いっぱい。
垢版 |
2008/01/07(月) 20:52:23
>>82
RFC2829, Authentication Methods for LDAP
に"simple bind"での認証での記述でも、
RFC3062, LDAP Password Modify Extended Operation
でも、userPassword属性について言及してます。
ただ、必ずuserPassword属性でなければいけない(MUST)というわけではありません。
まず、userPassword属性は、
基本的に生パスワードテキストを前提としているため、
暗号化されたパスワードテキストを使う場合に、
RFC3112, LDAP Authentication Password Schema
で、authPassword属性を"simple bind"で使う場合の定義が行われています。
また、NIS schema(RFC2307)では、userPassword属性で、
暗号化されたパスワードテキストを使う場合を定義しています。
それからWindowsは違う属性を使うケースがあります。

ただし、ほとんどのLDAPサーバ実装では、
"simple bind"でどの属性を使うか固定しているので、
利用しているLDAPサーバのドキュメントを参照してください。
OpenLDAPはslapdの設定で行うことはできません。
ただしback-*を書けば可能です。
0087名無しさん@お腹いっぱい。
垢版 |
2008/01/07(月) 20:58:00
>>83
organizationalRoleは、STRUCTURALクラスなので、
そのクラスのオブジェクトに属性を付加したいとなると、
その属性を持ったAUXILIARYクラスを加えることになります。
# 全てのLDAPオブジェクトは、
# ただ一つのSTRUCTURALクラスに必ず属さなければいけません。
# 加えて0以上のAUXILIARYクラスに属することが可能です。

userPassword属性だけを持ったAUXILIARYクラスは、
simpleSecurityObjectクラスです。core.schemaにあります。
0088名無しさん@お腹いっぱい。
垢版 |
2008/01/07(月) 21:01:38
ちょっと訂正を。
>>86
二行目先頭: に→の

> OpenLDAPは〜はできません。

「slapd.confの設定だけでuserPassword属性以外の属性を使うこと」
back-*というのは、Cで書くサーバのaddonです。
008949
垢版 |
2008/01/08(火) 23:25:22
結構前になりますが、>>49>>51で質問した者です。

やりたいことは、uid=foo,ou=People,dc=example,dc=com に
"alias: f" を追加したいだけなのですが、以下のように 2 つ登録すれば
よいのでしょうか? 試してみたのですが、これもうまくいきません..。

# foo, People, example.com
dn: uid=foo,ou=People,dc=example,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
uid: foo
cn: foo
o: huga
uidNumber: 1000
homeDirectory: /home/foo
mail: foo@example.com
sn: dummy
gidNumber: 310

# f, People, example.com
dn: cn=f,ou=People,dc=example,dc=com
objectClass: alias
objectClass: extensibleObject
cn: f
aliasedObjectName: uid=foo,ou=People,dc=example,dc=com
0090名無しさん@お腹いっぱい。
垢版 |
2008/01/09(水) 01:24:23
>>89
ぜんぜん違う。
とりあえず、Becky!作ったやつに死ねって言っといて。
aliasオブジェクトクラスって、シンボリックリンクみたいなもんだから。
009149
垢版 |
2008/01/09(水) 01:29:38
>>90
やっぱり...。orz
シンボリックっぽく使えることは確認できました。
009249
垢版 |
2008/01/09(水) 02:15:16
たびたびすみません。以下のサイトの addressbooks.schema にそのものズバリ
beckyAddressBookExtension があり、ニックネームが使えるようになりました。

ttp://hatuka.nezumi.nu/log/2003/05/ldap_attributes.html

が、LDAP アドレス帳だとニックネームからの補完が効きませんでした。Becky! のバカ..。
板違いになってきたので、この辺で失礼いたします。
0093名無しさん@お腹いっぱい。
垢版 |
2008/01/09(水) 08:36:12
いや、特定のソフトに対する事例ではあるけど決して無関係ではない希ガス
LDAP関連のスレッドって少ないし、助かるわ
0094名無しさん@お腹いっぱい。
垢版 |
2008/01/09(水) 13:08:11
ネットウエアのほうがシングルログオンは優秀かも?
0096名無しさん@お腹いっぱい。
垢版 |
2008/01/18(金) 14:20:29
LDAPとVBの連携についてmsdn.microsoft以外に言及してるサイトって無いかな。
ADSI-VB-LDAPで認証システムを構築したいのだが
009741
垢版 |
2008/01/22(火) 15:10:29
>41のpdf流れちゃったけどまだ需要ある?
009974
垢版 |
2008/01/22(火) 17:11:09
今さくらとcoreserverで実証している最中なのdeath-you

どっちにしろオイラはヘタレSEなので大したのはできないだろうけど、
.asiaドメインが取れるようになったら本気出す
0103名無しさん@お腹いっぱい。
垢版 |
2008/01/28(月) 09:04:02
LDAP-ML 247番より引用
==========
> > ちなみに、どんな問題があるのでしょう。
> > 「かなり」ということなんで結構致命的なのかと...

http://www.osstech.co.jp/techinfo/openldap
にも少し書いてありますが、
http://www.openldap.org/software/download/OpenLDAP/openldap-release/openldap-2.2.30.tgz
のCHANGESを一度読んでみてください。気を失いそうになります。

そして本当にデータを喪失した方も結構います。
==========

osstech.co.jp のページの下部に
>BerkeleyDB (BDB)のバージョンを最新の 4.5.20にし、最新パッチを適用しています。高負荷で
>データが破壊する、ハングアップする、リカバリできないなどの多くの不具合を修正しています。

という恐ろしい一文が。
0107名無しさん@お腹いっぱい。
垢版 |
2008/01/28(月) 13:47:01
>>106
俺,既定のまま.
まぁユーザは内輪だけだから10人ちょっとなんだけど.
ちゃんとしたRDBを使った方がいいかなぁ.
0108名無しさん@お腹いっぱい。
垢版 |
2008/01/28(月) 14:45:02
オイラの職場に導入されたのもBDB使ってる……
既に100人オーダーで使ってるが大丈夫だろうか。

csvファイルを useradd.pl とかいうスクリプトで放り込むのダリーなぁ
ldapaddさせてくれ全く
0110名無しさん@お腹いっぱい。
垢版 |
2008/01/29(火) 08:50:45
>109
ldapクライアントの知識が無い癖に誰かに吹き込まれて「LDAPでいこうガッハッハ」とか
言い出した社長のために、ソフト納入会社がperlを組んでくれたのですよ。
ldifをldapaddで放り込むのではなく、csvでデータ作成してそれをperlに与えて
エントリを作成したり修正したりせなならんのです

オイラとしては使い慣れたldapadd -x -D "cn=root,dc=example,dc=com" 〜〜 の
方がずっと使いやすいのだがにゃーと。
0111109
垢版 |
2008/01/29(火) 18:57:44
つまんない愚痴かよw

マルチエントリの属性や外部データがない限りCSVで十分だろ。
知識ない人もWordで作れるし。
0112名無しさん@お腹いっぱい。
垢版 |
2008/01/30(水) 00:30:39
>>110
LDAPの参考書の1行目にも「リレーショナルデータベースでは無いので〜」
と書いてあるではないか。社長の考えは間違ってないぞ。
0113名無しさん@お腹いっぱい。
垢版 |
2008/01/30(水) 11:46:06
一応、LDAPのデータは「リレイション」だよ。DAPと違って、LDAPはトランザク
ションが最小限しかないから、RDBとはいいがたいけど。ただ>>112が何を言
おうとしているのかはさっぱり分からない。



0114名無しさん@お腹いっぱい。
垢版 |
2008/02/06(水) 12:24:20
 LDAPはあくまでプロトコル体系でしょ。 そのデータベースはバックエンドで
一般的なRDBも使えるのは知ってる。 現に Postgresql(UNIXodbc)のバック
エンドなんてのもあるしね。 BDBの難点は、やたらバージョン更新があるのに
バージョンアップするときの互換性がないとこかな。 4.x だけでも4.0〜4.6まで
いろいろありすぎ。

 いったんLDIFに出せばいいっていう話はあるのだけど、バイナリ互換のほうが
楽でいいと思う。 バイナリ互換性を追い求めちゃいけないのかな。
Postgresql+UnixODBCだって水物っぽかった時期に触って徒労に終わったし。
0115名無しさん@お腹いっぱい。
垢版 |
2008/02/06(水) 12:45:48
relation from FOLDOC

1. <mathematics> A subset of the product of two sets, R : A x B. If
(a, b) is an element of R then we write a R b, meaning a is related to
b by R. A relation may be: reflexive (a R a), symmetric (a R b => b R
a), transitive (a R b & b R c => a R c), antisymmetric (a R b & b R a
=> a = b) or total (a R b or b R a).

リレイション = 関係型データベースの「関係」
←→関数型データベース
0119名無しさん@お腹いっぱい。
垢版 |
2008/02/28(木) 00:38:18
悪いこと言わないから他のにしなよ。
マイナーバージョン違いでも平気でデータのバイナリ互換性ないしw
0120名無しさん@お腹いっぱい。
垢版 |
2008/03/01(土) 22:44:42
slapd.confのbind_policyをsoftにしたらslapdの起動が凄く高速化したんですが弊害ってないんですかね?
0123名無しさん@お腹いっぱい。
垢版 |
2008/03/07(金) 21:04:51
そういう方向の約束は難しいんだが、
・bdbバックエンドを使って、
・毎日のバックアップも取ってない
そのような人間はゆっくり眠れないはずだ、
という共通認識が出来上がっている。

バックアップはちゃんとdb_dump使わないとまずいです。
LDAPのオペレーションの方でやるか。
0131名無しさん@お腹いっぱい。
垢版 |
2008/04/01(火) 00:44:47
LDAPサーバにアカウントが2つあります。

アカウント aaa uid=20000,gid=20000
アカウント bbb uid=0,gid=0

LDAP経由でアカウントaaaはログインできるのに、アカウントbbbは Login incorrectとなってログインできません。
ldapsearch ではアカウントaaa,bbbとも結果が返ってきます。

クライアントのOSは、RHEL4.6 です。
書いていて気付きました。rootでのログインを禁止していたことに。

0135名無しさん@お腹いっぱい。
垢版 |
2008/04/19(土) 00:17:23
OpenLDAP に興味を持っているんですけど、
認証サーバーが一台、ログインホスト3台という環境で、
特定のユーザーが1台のホストからだけログインするような設定も可能なんですよね?

○図
認証サーバー(OpenLDAP)
 |
 +ホスト1
 +ホスト2
 +ホスト3 ← ユーザーはこのホストからだけログインさせたい。
0136名無しさん@お腹いっぱい。
垢版 |
2008/04/19(土) 00:59:42
そのお題ならLDAP上にアカウント情報を置く必要ないと思うが、
どうしてもLDAP上に置くなら、
・別のbase DNにする
・pam_filterで弾く
などの方法がある。
0137名無しさん@お腹いっぱい。
垢版 |
2008/04/29(火) 03:54:47
ものごっつ初歩的な質問で申し訳ないんですけど、
2.3.x 系と 2.4.x 系は何が違うか書いてあるページがあったら教えてください。
うまく探せませんでした。英語でも若干おっけーです。
0140名無しさん@お腹いっぱい。
垢版 |
2008/05/17(土) 23:28:51
LDAPサーバ構築、頭痛い
0143名無しさん@お腹いっぱい。
垢版 |
2008/05/20(火) 17:35:40
意味わかるだろ
0145名無しさん@お腹いっぱい。
垢版 |
2008/05/28(水) 01:27:17
エントリ一万で大規模か。基準がよくわからないが。パスワードポリシー使っている人います?色々調べたんだが中々良い文献が無いな。英語はよめん!
0147名無しさん@お腹いっぱい。
垢版 |
2008/05/29(木) 11:10:02
Debian Etch で slapd 動かしてみたんだけど、

× ldapsearch -x -H ldap://localhost uid=hogehoge
× ldapsearch -x -H ldap://localhost uidNumber=1000
○ ldapsearch -x -H ldap://localhost cn=hogehoge
○ ldapsearch -x -H ldap://localhost loginShell=/bin/false

この違いはどこから来るの?フィルターとして使える、
使えないはどこで決められているのでしょうか?
0148名無しさん@お腹いっぱい。
垢版 |
2008/05/29(木) 11:34:09
うぉぉ
uid=punipuni にして uid=hogehoge に戻したら検索できるようになった。
何が起こってるんだ・・・
0149名無しさん@お腹いっぱい。
垢版 |
2008/05/29(木) 11:41:36
slapindex で直った・・
なんだったんだ。
俺の午前中を返せ。
0150名無しさん@お腹いっぱい。
垢版 |
2008/05/29(木) 22:07:25
> 制限
> データベースの一貫性を保証したいのであれば、
> slapindex を実行している間は slapd(8) の実行を中断してください。

この辺りはちゃんと守ってますか?
0152名無しさん@お腹いっぱい。
垢版 |
2008/05/30(金) 02:00:29
ユーザ7000人のシステムでインデックスをデフォルトのままで動かしたら、処理重いよね?
nscdも使わない設計なんだけど、やばくない?
0155名無しさん@お腹いっぱい。
垢版 |
2008/05/30(金) 23:28:06
>>153
意味がわからん
LDAPで日本語って普通に使える?特別な設定やパッケージ必要?
0156名無しさん@お腹いっぱい。
垢版 |
2008/05/31(土) 18:54:11
年中無休発狂妄想爆裂憤死寸前粘着真性キチガイ包茎池沼病気猿男(狂猿)◆QfF6cO2gD6による気違いカキコの続き:

初心者もOK! FreeBSD質問スレッド その95
http://pc11.2ch.net/test/read.cgi/unix/1210728872/706-708,710,712

706 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 16:24:19
AAとコピペばっか

707 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 16:25:33
アク禁報告を誰もしてないのが不思議w
してても無視されてるのか

708 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 16:31:15
>>704
假性ですが何か?

710 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 17:45:14
粘着キチガイ男(狂犬)をアク禁にしたらリアルに無差別殺人起こす可能性が高いからな。

712 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 17:59:51
ビビって書き込み止めたのか?と煽ってみる
--------------------------------------------------------------------------------------------
UNIX板のあちこちのスレッドを荒らしている凶悪メンヘラ・真性キチガイ猿粘着◆QfF6cO2gD6。
いつも荒らしを憎むようなレスをするが、実際に荒らしているのは自分。
気色の悪い年中無休発狂粘着真性キチガイ包茎池沼病気猿男(狂猿)◆QfF6cO2gD6があちこちのスレに
遂に理解できないような基地害カキコをし始めた!気持ちが悪い…。
0159名無しさん@お腹いっぱい。
垢版 |
2008/06/05(木) 01:21:03
path通してないとかいうオチじゃないよね?
0160名無しさん@お腹いっぱい。
垢版 |
2008/06/12(木) 20:59:48
クライアント計算機にログインしたときは,LDAP で認証& NFS なホームを automount
できるところまで設定してます.
この状況で,さらに,www サーバにログインする際は,LDAP で認証& www サーバ上の
ディレクトリを,ホームディレクトリとしたいのですが,これは設定したらいいのでしょう?
ヒントをくださいませ.
0162160
垢版 |
2008/06/13(金) 04:33:15
説明がたりなくてすみません.

www サーバとその他のサーバで,ホームディレクトリのパスが同じなら(どちらの場合も
ユーザ hoge のホームが /home/hoge だったら),うまくいくのは確認してます.
(そもそも,これは LDAP が期待した動作?ごまかしてるだけな気が)

いまは,NFS,www サーバ のユーザ hoge の$HOME は以下のように異なっています.
NFS: /home/foo/bar/hoge
www サーバ: /home/hoge
これで,www サーバに LDAP 認証でログインすると,$HOMEは NFS のホームとなっていて,
「ホームがない!」といわれて,ログイン直後のカレントディレクトリが "/" になります.
こういうとき,どう解決するのでしょうか??
0164名無しさん@お腹いっぱい。
垢版 |
2008/06/13(金) 08:04:51
>>162
LDAPは何も期待してないぞ。
あんたが勝手な期待してるだけ。

OpenLDAPならshell DBで、filterする手もあるが、
どう考えてもパスを合わせた方が楽で、自然。
0165名無しさん@お腹いっぱい。
垢版 |
2008/06/14(土) 16:17:47
インスコ、初期設定までして、最上位ツリーとマネージャー登録したのですが、ldapsearchでエントリが表示されず、エラーコード32が表示されています。
登録時にエラーはなかったのですが、なぜマネージャーすら表示できないんでしょうか?
slap.confはデフォルトの使ってます。
0168名無しさん@お腹いっぱい。
垢版 |
2008/06/16(月) 03:11:18
しつもんします
version2.3.39のopenldapでLDAPのつかいかたを学習中です

SASL/gssapi認証をためしているのですが
slapd.confのrootdnの行を
rootdn uid=ほげ,cn=<realm名>,cn=gssapi,cn=auth
としてldapmodifyなどをつかってほげがエントリを修正しようとすると
"Insufficient access (50)"のエラーになります。


...なのですがslapd.confのrootdnの行からcn=<realm名>を消して
rootdn uid=ほげ,cn=gssapi,cn=auth
とすると、ldapmodifyなどの修正は問題なく成功します

これは既定の動作なのでしょうか?
それともやっぱり何かまちがってるでしょうか?
0169168
垢版 |
2008/06/16(月) 03:32:26
..slapd.confで

sasl-realm <realm名>

を設定することで期待していた動作になりました
ども お騒がせしました
0170名無しさん@お腹いっぱい。
垢版 |
2008/06/18(水) 01:27:15
>>166-167
自己解決してましたがレスどうも。
ベースの設定でした。
ldap.confいじるなんて俺の数ある情報源には無かった。w
ログ見て、ベースが空欄になっているのはわかっていたのですが、まさかldap.confとは。
0171名無しさん@お腹いっぱい。
垢版 |
2008/06/20(金) 09:15:09
ldapsearchならオプションで指定できるが。
0172名無しさん@お腹いっぱい。
垢版 |
2008/06/21(土) 00:52:51
オプションでできるけど、いちいち指定するのがめんどい。話変わるけど、root以外でslapd起動している人います?
-u 付けてroot以外で動かしたら挙動がおかしくなったよ。各ファイルの権限も問題ないのだが。
0174172
垢版 |
2008/06/22(日) 19:20:11
以下のようなエラーが出ています。
ldapsearchすら受付てくれない。
ログインはかなり待てばログインできます。
nss_ldap、PAMのなんかが悪いってことは解ったのですが、rootなら問題なくて、
一般ユーザで起動すると駄目っていう現象がいまいちわかりません。。。

nss_ldap: failed to bind to LDAP server ldap://xxx: Can't contact LDAP server
sshd[29793]: nss_ldap: failed to bind to LDAP server ldap://xxx: Can't contact LDAP server
sshd[29793]: nss_ldap: reconnecting to LDAP server (sleeping 4 seconds)...
0175名無しさん@お腹いっぱい。
垢版 |
2008/06/22(日) 21:00:17
サーバ接続エラーがあればまずチェックすることがあるよな
172のふざけた返事から察するに本物のバカっぽいが
0177名無しさん@お腹いっぱい。
垢版 |
2008/06/24(火) 00:10:25
なんか、slapdが起動してなさそうなエラーですね。
かなり待てばうんぬんは、ldap→filesな感じでしょうか。
0178172
垢版 |
2008/06/26(木) 01:18:36
slapdは起動しています。psで見た結果です。
新たに判明したのが、しばらく放置すれば正常に
使えます。
0180名無しさん@お腹いっぱい。
垢版 |
2008/06/26(木) 08:36:36
psで確認する程度の能力で自己解決なんてムリか
教えたって学習しないだろうから相手にするだけあほらしいよ
金払ってみてもらいなさい
0181名無しさん@お腹いっぱい。
垢版 |
2008/06/30(月) 02:22:53

何様www
■ このスレッドは過去ログ倉庫に格納されています