Sun Microsystems 最後の量産
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
2005/05/01(日) 20:00:56【過去スレ】
Sun Microsystem最大の失態
http://pc.2ch.net/test/read.cgi/unix/1006171354/
Sun Microsystems最大の敗退
http://pc.2ch.net/test/read.cgi/unix/1064134161/
Sun Microsystems最大の反省
http://pc.2ch.net/test/read.cgi/unix/1067603469/
Sun Microsystems最大の虚勢
http://pc.2ch.net/test/read.cgi/unix/1073745032/
Sun Microsystems最後の航海
http://pc3.2ch.net/test/read.cgi/unix/1078795800/
Sun Microsystems最後の晩餐
http://pc5.2ch.net/test/read.cgi/unix/1083085439/
Sun Microsystems ラストダンス
http://pc5.2ch.net/test/read.cgi/unix/1086081133/
Sun Microsystems 最後の反撃
http://pc5.2ch.net/test/read.cgi/unix/1088605878/
Sun Microsystems 最後の一葉
http://pc5.2ch.net/test/read.cgi/unix/1094886926/
だまれ小僧!お前にサンが救えるか
http://pc5.2ch.net/test/read.cgi/unix/1103972661/
Sun Microsystems 最後の理不尽
http://pc8.2ch.net/test/read.cgi/unix/1110926614/
0179名無しさん@お腹いっぱい。
2005/05/24(火) 22:45:480180名無しさん@お腹いっぱい。
2005/05/25(水) 06:54:150181名無しさん@お腹いっぱい。
2005/05/25(水) 23:07:16SEに金を払って来てもらう羽目になる
0182名無しさん@お腹いっぱい。
2005/05/25(水) 23:12:170183& ◆h9Bn.Lr5Ro
2005/05/25(水) 23:19:360184名無しさん@お腹いっぱい。
2005/05/26(木) 00:28:540185名無しさん@お腹いっぱい。
2005/05/26(木) 00:33:04Web に解説載ってるくらいだからいくらかはいるんだろうけど。
Linux は複数台で協調動作、みたいなことは軒並み苦手という印象がある。
0186名無しさん@お腹いっぱい。
2005/05/26(木) 00:47:51来るだけだったりして
0187名無しさん@お腹いっぱい。
2005/05/26(木) 01:28:51ふつうに使われてるよ。
でなきゃSolaris→Linuxのリプレースはできない。
0188名無しさん@お腹いっぱい。
2005/05/26(木) 01:46:590189名無しさん@お腹いっぱい。
2005/05/26(木) 02:00:47えー?? 今どき NIS そんなに使ってるー?
企業じゃもう使ってないんじゃないの? 危ないし。
オレは amd/automount のマップにだけ使ってるけど...
LDAP も使えるんだし。
0190名無しさん@お腹いっぱい。
2005/05/26(木) 02:07:34サーバは主にサン(中身はOpteron)だけど、各種OSのビミョーな非互換性に頭を痛めている模様。
0191名無しさん@お腹いっぱい。
2005/05/26(木) 19:03:38NISでpasswdとautomoutを管理させとくと、
新しいマシンにLinuxをインストールした場合、
ユーザー登録しなくてもインストール直後に
すぐログインできて、/homeもautomountされるので
すごく便利。2台以上Linux/UNIXマシンがあれば
NIS/NFSは必須でしょう。
0192名無しさん@お腹いっぱい。
2005/05/26(木) 19:40:250193名無しさん@お腹いっぱい。
2005/05/26(木) 19:41:20なんでそんな古臭いものを有難がって使ってんだ。何か? とかみっともねえよ。
0194名無しさん@お腹いっぱい。
2005/05/26(木) 20:01:40使い方にもよるけど、一般論としては毎度TCPコネクションを
張る必要がある分LDAPの方が重いので、NISの方がクライアント
から見て高速だったり、サーバから見て負荷が軽かったりする。
クライアントの中にLDAPに対応してないOS(古いOSとかOpenBSD
とか)が混ざっている。これに対し、NISに対応してないOSはない。
検証してみたら、>>190にあるように、互換性問題が見つかった。
などなど。
セキュリティに関しては、ファイアウォールの内側だったら、
セキュリティポリシー次第でしょ。
packet capture される可能性があるんだったら、LDAP だって
(暗号化した運用をしてない限り) 十分に危険。
条件を勘案せずに、昔のもの→悪い と決めつける方がむしろ
頭悪くない?
0195名無しさん@お腹いっぱい。
2005/05/26(木) 20:35:48>>191
「何か?」って言ったときってどういう反応を期待してるの?
0196名無しさん@お腹いっぱい。
2005/05/26(木) 20:58:23聞いてもあんまり意味無いと思うよ
0197名無しさん@お腹いっぱい。
2005/05/26(木) 21:06:16とか書いてみるテスツ
0198名無しさん@お腹いっぱい。
2005/05/26(木) 22:16:03NISだろうとLDAPだろうと、nscd使えばキャッシュが使えるんだから、
「毎度TCPコネクションを張る必要がある」などということはないだろう。
10年前の話じゃあるまいし、ディレクトリサーバってそんなに重いか?
インデックスのキャッシュサイズのチューニングによっては、かなりの
メモリを食わすこともできるが。
また、Solaris 9のリリースノート(もしくは、それに準ずるドキュメント)に、
NISは将来のリリースではサポートされなくなると書いてある。Solaris 10
での扱いは知らないが、早晩「NISに対応してないOS」の一つとして
Solarisを挙げることができるようになるだろう。
0199名無しさん@お腹いっぱい。
2005/05/26(木) 22:22:37将来サポートされなくなるのはNIS+の方じゃないのか?
0200名無しさん@お腹いっぱい。
2005/05/26(木) 22:23:120201名無しさん@お腹いっぱい。
2005/05/26(木) 22:36:12> NISは将来のリリースではサポートされなくなると書いてある。
これ、NIS+ ができた頃からずっと書いてあるよ。
たぶん NIS の需要が多いため、やめるにやめられないんだと思われ。
そういううちも、相変わらず NIS 使ってます。
NIS クライアントは Solaris, Linux, *BSD といろいろ。
ファイアウォールの内側だし、機能的に十分だし、LDAPへの移行
なんて面倒なことしたくないなあ。
0202名無しさん@お腹いっぱい。
2005/05/26(木) 23:56:57収束扱いだったけどな... Sun は NIS+、NIS 開発した連中は NeXT で NetInfo。
NIS じゃユーザー管理したら、パスワードフィールドまる見えでしょ? いくら
「内側」でも、ちょっとセキュリティ感覚を疑うな。利用者全員の素性を把握してる
同好会とかならともかく。
0203名無しさん@お腹いっぱい。
2005/05/27(金) 01:24:09これはOS次第。*BSD系で開発されたNISを使っているOSなら、ルート権限
を使って特権ポートをbindした上でアクセスしない限り、パスワード
フィールドをみせないようにすることもできる。
それに LDAP 使ってても、
・デフォルトである "ssl off" で運用している
・ユーザーが管理者権限を得ることが可能
の両方が成り立つなら、arp poisoning 使ってパケット盗聴することに
よって、encrypted passwd を盗み放題なんだよ。
うちの場合ソフト開発が仕事のため、ほとんど全ユーザが クライアント
PC に管理者権限でアクセスできる。従って、ユーザに悪意があるという
脅威を仮定した場合、"ssl on" ないし "ssl starttls" しない限り、
NIS と LDAP に本質的な違いはないんだよねえ。
0204203
2005/05/27(金) 01:40:45> よって、encrypted passwd を盗み放題なんだよ。
これ、間違えた。
上記の条件下だと、LDAP を使った場合、encrypted password ではなく、
生パスワードがネットワークを流れる。
確認のため、SSLなしで LDAP 使っているドメインで実際にパケットキャ
プチャしてみたら、生パスワードがもろ見えだった。(arp poisoning し
たんじゃなくて、自分のパスワードで確認したので、悪事を働いたわけ
ではない。)
したがって、こういう条件だと、encrypted password が流れる分、
NIS の方が LDAP よりも、むしろ 安全だと言える。
0205名無しさん@お腹いっぱい。
2005/05/27(金) 02:13:49そんな必要はゼロだよね? なんか違うとこへパスワード入れてるんじゃない?
0206名無しさん@お腹いっぱい。
2005/05/27(金) 03:14:19試したのは、
ttp://www.atmarkit.co.jp/flinux/rensai/root02/root02a.html
で紹介されている www.padl.com の pam_ldap の実装。
少なくとも Linux で PAM を使う上ではメジャーな実装なんじゃない?
設定も、ほとんどこのページに解説されている通りだと思う。
> 生パスワードをネットワークに流すなんて、そんな必要はゼロだよね?
そうでもない。
ユーザ本人だけしかパスワードアクセスを行なえないようにするには
どうするかを考えてみる。ここで、パスワードデータベースには、
/etc/passwd で使われるものと同じ、DES あるいは MD5 による
encrypted password が格納されているものとする。
ユーザ認証をどのホストで行なうかには、2通りのやり方がある。
1. LDAP クライアント側でユーザ本人であるか検証を行なう
2. LDAP サーバ側でユーザ本人であるか検証を行なう
1. の場合、LDAP サーバから LDAP クライアントへ、encrypted password
を転送しないと、LDAP クライアント側でパスワードが正しいか検証でき
ない。すなわち、ユーザ認証を行なう前に、encrypted password を転送
する必要があるため、「ユーザ本人だけしかパスワードアクセスを行なえ
ないようにする」という目的が、そもそも達成できない。
0207名無しさん@お腹いっぱい。
2005/05/27(金) 03:18:282.1. LDAP クライアントから LDAP サーバへ生パスワードを送って、
LDAP サーバ側で MD5/DES 化する。
2.2. LDAP サーバから LDAP クライアントへパスワードの SALT だけ送り、
LDAP クライアント側で MD5/DES 化して、encrypted password を
LDAP サーバーへ返す。
の2通りが考えられる。
で、pam_ldap はデフォルトでは 2.1、すなわち生パスワードを送る方法で
動くようだ。これはソースを見れば、LDAP の simple authentication を
使っていることで、確認できる。
ldap.conf で適切な pam_sasl_mech を選べば、後者、すなわち SSL なし
で UNIX 式暗号化パスワードを使った通信も可能だとは思うが、2.2. の
方法を実装している SASL モジュールってあったっけ。CRAM-MD5 も
DIGEST-MD5 も、/etc/passwd とは違うやり方だったと思うが。
0208名無しさん@お腹いっぱい。
2005/05/27(金) 03:34:14というと実は安全ではない。
結局のところ 2.2. の方法では、暗号化されたパスワード自体
が、LDAP への認証キーとして使われている。従って、パケット
盗聴してネットワークを流れる encrypted password を盗めば、
それをそのまま使って認証に通ることが可能になる。
だから、NIS は認証手段としてより安全な 1. を使っているわ
けだし、SASL は 2.2. のような危険な認証モジュールを、敢
えて提供してないわけ。
結論としては、ssl を使うように設定してない限り、pam_ldap
を使った認証は、NIS よりもむしろ危険ってことだな。
もちろん ssl を使えば安全だが、当然かなり遅くなる。
0209名無しさん@お腹いっぱい。
2005/05/27(金) 03:48:18> NIS よりもむしろ危険ってことだな。
補足。
ここだけ抜き出して読むと誤解を招くかな。
危険になる原因は、
1. SSL を使ってない
というだけではなく、
2. 本人にしかパスワードアクセスをさせない
3. UNIX passwd 形式の DES ないし MD5 パスワードを使う
といった条件にもあった。
だから、2. の条件のない pam_ldap の実装があれば NIS と同レベル
には安全になるだろう。あるいは www.padl.com の pam_ldap 実装
を使うにしても、3. を諦めて
use_sasl on
pam_sasl_mech GSSAPI
として kerberos で運用するとかすれば大丈夫なんじゃないかな。
良く知らないけど。
2. の条件を課さない pam_ldap 実装ってあるのかな。
0210名無しさん@お腹いっぱい。
2005/05/27(金) 13:04:51Sun の pam_ldap モジュールも、認証機構として simple を
選んだ場合には、ネットワークに平文でパスワードが流れるよっ
て書いてあるね。
ttp://docs.sun.com/db/doc/816-3966/6ma797n02?l=ja&a=view
では SASL 経由で CRAM-MD5 や DIGEST-MD5 を使うのはどうか
というと、こういうチャレンジ・レスポンス型の認証を使う場合、
パスワードデータベースには平文 (ないし平文に変換可能な情報)
で保存する必要があるから、サーバ管理者には、パスワードが
バレバレになるんだよね。
GSSAPI 経由で Kerberos を使う場合も、KDC にはパスワードを
平文で保存することになるし。
サーバ管理者に対しても、ネットワーク盗聴に対しても平文で
パスワードを見せないことを目的にするには、LDAP を使う場合
なら SSL を有効にするしかない。
SSL を使う気がないなら、NIS を使った方がまだマシ。
LDAP → 新しいから安全
NIS → 古いから危険
なんて単純な考えは実は大間違いってことだな。
まあ、技術の中身を知らない人が、単に新しいだけでそれを優れ
てるって思い込むことって、他にも色々多いよね。
0211名無しさん@お腹いっぱい。
2005/05/27(金) 13:44:33木を見て森を見ずというか、ボロボロなこと言っとるな。
0212名無しさん@お腹いっぱい。
2005/05/27(金) 13:47:50例えばどこら辺が?
おいらもパケットダンプしてみたが、確かに平文で流れてたよ。
というわけで、SSL を使うように変更中… orz
0213名無しさん@お腹いっぱい。
2005/05/27(金) 14:23:44(当然SSLなし)ので、自分の間違いを認めることができないんじゃ
ないの? 自分の誤りを認めると、お客さんのところに謝りに行っ
て設定変更する必要が生じる。だから、210が間違ってると無理
矢理信じこもうとしてると考えると辻褄があう希ガス。
つまり、ボロボロなのは210じゃなくて211の(ry
0214名無しさん@お腹いっぱい。
2005/05/27(金) 14:24:15絶対流れないようにするには
どうすればいいですか
0215名無しさん@お腹いっぱい。
2005/05/27(金) 14:24:35絶対流れないようにするには
どうすればいいですか
0216名無しさん@お腹いっぱい。
2005/05/27(金) 14:28:310217名無しさん@お腹いっぱい。
2005/05/27(金) 14:45:30NIS+ の方はデフォルトで secure RPC 上で動いてたと
思うけど。
で、NIS の場合は、IPsec の上で動かせば大丈夫だと
思う。この方法なら、Solaris に限らず動く筈。
まあ secure RPC も IPsec も、要は暗号化してるわけで、
暗号化する負荷が気にならないんだったら、LDAP で SSL
でもいいじゃんと思うけどね。
ファイアウォールの内側なので暗号化するほどの機密性は
要らないし、むしろ暗号化のための負荷が気になるっていう
場合は、SSL なしで LDAP 使うくらいなら NIS の方がマシっ
ていうのは 210 の通り。
0218名無しさん@お腹いっぱい。
2005/05/27(金) 14:59:18共有鍵設定で IPsec を使った方が軽いんじゃないかなあ。
いや、実際に計ってみたわけじゃないですが。
0219名無しさん@お腹いっぱい。
2005/05/27(金) 17:00:36> pam_sasl_mech GSSAPI
> として kerberos で運用するとかすれば大丈夫なんじゃないかな。
なんでわざわざpam-ldapからkerberos使わなきゃならんのだよ…
pam-krb5があるのにさ。
SASLでS/Key、SSLなしつーのなら分かるけども。
>>211に同意で、もうちょっと整理してから出直した方がいい。
0220名無しさん@お腹いっぱい。
2005/05/27(金) 17:01:39> NIS over secure RPC って、サポートされてたっけ?
SolarisはOK。NFSもね。
0221名無しさん@お腹いっぱい。
2005/05/27(金) 17:09:38> pam-krb5があるのにさ。
kerberos realm と、そのマシンにアカウントのあるユーザが
一致している場合は pam-krb5 でいいけど、ユーザを realm
のサブセットにしたい場合には pam-ldap を使ってユーザを
制限して、ただし認証は KDC に頼るって運用がしたいことも
あるんじゃない?
> SASLでS/Key、SSLなしつーのなら分かるけども。
そう? s/key って、ファイアウォールの内側で使うような
ものじゃないと思うけど。で、ファイアウォールの外側で
使う場合、SSL なしだと LDAP の TCP コネクションが乗っと
られる可能性があるから危険じゃない?
0222名無しさん@お腹いっぱい。
2005/05/27(金) 17:11:46詭弁の一種、極論ですね。
0223名無しさん@お腹いっぱい。
2005/05/27(金) 17:16:03内側で s/key を使うって言ってるの? それとも外側?
今回の件はNISで始まっているから、基本的にはファイア
ウォールの内側の話だと思うだけど。
だとすると、s/key は論外だと思う。
だからといって、SSL なし の LDAP simple authentication
で生パスワードが流れるのは、いくら社内だからと言っても
避けたいというのは割と分かる話じゃない?
0224名無しさん@お腹いっぱい。
2005/05/27(金) 17:21:32> だからといって、SSL なし の LDAP simple authentication
> で生パスワードが流れるのは、
こんなの極端なのを持ってきて、NISの方がいいって言う論法もどうかしている。
特にSolarisのLDAPによる認証とNISの認証は、
・LDAPはdefaultはclient側でcryptして認証する方式
・流れるのはcryptedなpassword
・secure RPC, SSLなどの暗号化のoptionがある
ということでほとんど変わりがない。
NIS+ならまだアクセスで個人認証ができるからNISよりは優位性がある。
0225名無しさん@お腹いっぱい。
2005/05/27(金) 17:25:36> ・LDAPはdefaultはclient側でcryptして認証する方式
> ・流れるのはcryptedなpassword
ははあ、なるほど。Solaris 附属の LDAP の場合、
>>206 の言う 1.、>>209 の言う 2. の機能があるわけ
ですか。だとすると NIS と同じですね。
Linux が混ざったりして、PADL の実装を使う場合にまずいと。
0227名無しさん@お腹いっぱい。
2005/05/27(金) 17:56:26タイプの認証手段を選ぶ場合、
SSL なり secure RPC なり IPsec なりで暗号化する場合:
・LDAP と NIS+ は OK。
・NIS だと encrypted password を誰でも見れるので、お勧めできない。
ただし *BSD 系の NIS 実装に統一できるなら、この問題を回避できる。
・SSL が使えるのは LDAP。secure RPC が使えるのは NIS+ と NIS。
IPsec は全てで使える。
暗号化しない場合:
・Solaris の pam_ldap で適切に設定するなら OK。
・PADL の pam_ldap の場合、平文パスワードが流れるのでお勧めできない。
・NIS+ だと、普通そういう選択肢はない。(デフォルトで secure RPC)
・NIS もまあ OK。
ってところかな。
0228名無しさん@お腹いっぱい。
2005/05/27(金) 18:17:26- 適当なマシンを(無許可で勝手に)接続
- root 権限で ypcat
- おウチへ持ち帰って総当たり
は避けれないよね? NIS で指摘されてた欠点ってこういうことだったと
思うけど.. LDAP でも同じなの? ホント??
ところで、LDAP サーバー側でユーザー認証とか出てたけど、それ一体何?
なんでそんな必要があるの??? どういう利点があるの? クライアントには
OK/NG が戻るんだよね? それ盲目的に信じて動くわけ?
0229名無しさん@お腹いっぱい。
2005/05/27(金) 18:34:23略
> は避けれないよね?
暗号化(IPsec など)を使うのであれば避けられます。
暗号化しない場合、LDAP でも、
- 適当なマシンを(無許可で勝手に)接続
- root 権限で ARP poisoning して packet capture
- Solaris の pam_ldap の場合、userPassword属性が読める。
PADL の pam_ldap の場合、生パスワードがそのまま見える。
という危険があります。
従って、暗号化しない場合、Solaris 版だと LDAP も NIS と同程度の
危険性があり、PADL 版の場合、NIS よりむしろ危ないと思われます。
> LDAP サーバー側でユーザー認証とか出てたけど、それ一体何?
> なんでそんな必要があるの??? どういう利点があるの? クライアントには
> OK/NG が戻るんだよね? それ盲目的に信じて動くわけ?
そういうことになります。利点はLDAPスレの
http://pc8.2ch.net/test/read.cgi/unix/1012650811/611
のPADLの項に書いてある通り。
0230名無しさん@お腹いっぱい。
2005/05/27(金) 18:54:01わかってないヤカン。
0231名無しさん@お腹いっぱい。
2005/05/27(金) 19:02:500232名無しさん@お腹いっぱい。
2005/05/27(金) 19:10:01ldapsearch -x -b ほげほげ '(objectclass=*)'
のようなコマンドで、ypcatと同じことがLDAPでもできるって
ことを知らないような気がする。
PADL版で運用している場合は、こうやってもuserPassword属性
は読めないんだけど、Solaris版なら読めるのでNISと同じ。
じゃあPADL版は安全かというと生パスワードが流れるわけで。
0233名無しさん@お腹いっぱい。
2005/05/27(金) 19:16:15IPSecで答えたつもりなのって何かおかしいような
0234名無しさん@お腹いっぱい。
2005/05/27(金) 19:25:11できるし、特にPADL版のLDAPの場合、NISで盗聴した場合以上に、
盗聴の被害が大きいってことでしょ。
LDAPでも暗号化すれば盗聴を防げるけど、NISでもIPsecで暗号化
すればやはり盗聴できないからやはり同じ。(IPsec の鍵を知らな
い限り、勝手に接続してypcatしても失敗するだけ)
LDAP で CRAM-MD5 や DIGEST-MD5 を使えば、暗号化しなくても
盗聴を防げる。でも、>>227 ではサーバ側に encrypted password
を保存する (cleartext password をサーバ管理者に見せない)
という条件がついてるから、現在のスレの話の範疇から外れてる。
結局分かってないのは>>230だったってことでは?
0235名無しさん@お腹いっぱい。
2005/05/27(金) 19:34:350236名無しさん@お腹いっぱい。
2005/05/27(金) 19:38:28WindowsServerなら、時間や日付、曜日によってアクセスできなくさせたりできるし
グループを入れ子にしてアクセス権設定できる
0237名無しさん@お腹いっぱい。
2005/05/27(金) 19:39:58流すが、実はその encrypted password 自体が認証キーとして
使われるというものなので、ほとんど cleartext 認証と変わら
んよ。駄目駄目。
だからといって、認証手段を PAM みたいに簡単に変更できるわ
けでもないし。
0238名無しさん@お腹いっぱい。
2005/05/27(金) 19:52:43WindowsはActiveDirectory使う場合はKerberos認証なんじゃないの?
0239名無しさん@お腹いっぱい。
2005/05/27(金) 20:02:24でもその場合は UNIX で LDAP + Kerberos するのと同じでしょ。
Active Directory の実体は LDAP なんだし。
0240名無しさん@お腹いっぱい。
2005/05/27(金) 20:09:43ActiveDirectory使うのが普通なんだが
0241名無しさん@お腹いっぱい。
2005/05/27(金) 20:13:24Kerberos でできると。
UNIX の場合 nsswitch と pam で、他のディレクトリ
サービス (NIS とか NIS+ とか、Active Directory
とか、あるいは独自開発したものとか) を使うことも
できるが、Windows だと選択不能だと。
0242名無しさん@お腹いっぱい。
2005/05/27(金) 20:21:58UNIXの場合、rootは神だけどWindowsの場合、Administratorは神とよべるほと権限ないし
0243名無しさん@お腹いっぱい。
2005/05/28(土) 00:21:370244名無しさん@お腹いっぱい。
2005/05/28(土) 00:23:31ほとんど。Unix くらい単純にしといて、sudo で細かくやるっての
悪くないと思うけど。まあ後付けモノだけどね。
OS の認証周りの仕掛けの不具合は Unix くらい単純でもいろいろ出てくるから、
MS-Windows くらい大掛かりだとデバッグはかなり大変なはず。
0245名無しさん@お腹いっぱい。
2005/05/28(土) 00:36:080246名無しさん@お腹いっぱい。
2005/05/28(土) 00:53:08LDAP で各種 OS 安定して相互運用できるようになるまでそれも
いいかも。物理的なセグメントも越えられるし。
0247名無しさん@お腹いっぱい。
2005/05/28(土) 01:05:550248名無しさん@お腹いっぱい。
2005/05/28(土) 04:29:510249名無しさん@お腹いっぱい。
2005/05/28(土) 09:47:110250名無しさん@お腹いっぱい。
2005/05/28(土) 11:59:59ほとんどのLDAPサーバにAccess Control Listがあるのを知らない人?
ACLを設定して、userPassword属性を読めないようにする設定なんて、
多くのサイトでやっている人がいますよ。
NIS+だってsecure RPCで本人か管理者意外読めないようにする
DES認証モード使っているところあるしね。
無知なのに知ったかぶりは君だから。
それから、pam_ldapで、bindにKerberos認証を使うのはクレージー。
Kerberosは、login認証じゃなくて、セッション認証だから、
pam_ldapの提供しているサービスと整合性が悪い。
0251232
2005/05/28(土) 14:51:19> ACLを設定して、userPassword属性を読めないようにする設定なんて、
> 多くのサイトでやっている人がいますよ。
当然知ってますよ。一度でも PADL 版の設定をやった人間なら
知らないわけがない。でも、>>224 や
http://pc8.2ch.net/test/read.cgi/unix/1012650811/611
によると、Solaris 版ではuserPassword属性を読みとり可能に
する必要がある設定ポリシーもあり、その場合は ldapsearch を
使うと NIS の場合と同じようにパスワードが読める。
で、どうやら >>229 はそのことを理解してないように見えるので
それを指摘したんだけど、おかしい?
0252232
2005/05/28(土) 14:54:11>>224 や
http://pc8.2ch.net/test/read.cgi/unix/1012650811/611
にある記述を理解してないように見えるのは
>>229 じゃなくて、>>228 の方ね。
0253名無しさん@お腹いっぱい。
2005/05/28(土) 14:56:36SSL かけてなければその通りなわけで、SSL かけるのがどのくらい当たり前か、
というのがポイントだってことだと思うよ。
「SSL やる手間かけるくらいなら IPsec でいいや」ってのもまあいいんでない?
0254名無しさん@お腹いっぱい。
2005/05/28(土) 14:57:410255名無しさん@お腹いっぱい。
2005/05/28(土) 15:38:43> いや、LDAP でもユーザー認証時に userPassword 値がネットワーク
> 流れるのはSSL かけてなければその通りなわけで
いや、ところが、PADL 版 pam_ldap を使ってると、userPassword 値は
流す必要がないし、だから普通は流さないように設定するので話がやや
こしい。ただし PADL 版のデフォルト設定だと、LDAP の simple
authentication のためにパスワードが平文で流れるので、Solaris 版
pam_ldap 以上に SSL を使うことが重要になるんだけど。
>>250 は、Solaris 版 pam_ldap のことを分かってないってことです
かね? (ここ Sun スレなんだけど)
0256名無しさん@お腹いっぱい。
2005/05/28(土) 15:39:23ttp://www.linux.or.jp/JF/JFdocs/LDAP-Implementation-HOWTO/pamnss.html
けど、クライアント認証は現状非サポートとも書いてある。これだと結局
「知らない」ホストにパスワード持っていかれる穴が残るね。
0257名無しさん@お腹いっぱい。
2005/05/28(土) 15:46:39私の感覚的には、サーバー側で認証するのは論外。Samba のマネごとか?
LDAP スレ 611 は読んだけど、タワごととしか思えん。Unix の /etc/passwd の
簡潔さまで破棄してしまう必要はない。
0258名無しさん@お腹いっぱい。
2005/05/28(土) 16:14:01本当だ。
やっぱりちゃんとしたドキュメントには当然そう書いてあるんだねえ。
問題は、PADL 版のデフォルト設定が、SSL を使わないようになって
ることと、@IT の記事みたいに、SSL を使わなくても安全だと誤解
させる文書が出回ってて、このスレでも分かる通り、結構それを
信じている人が多いことかねえ。
ttp://www.atmarkit.co.jp/flinux/rensai/root02/root02a.html
> けど、クライアント認証は現状非サポートとも書いてある。これだと結局
> 「知らない」ホストにパスワード持っていかれる穴が残るね。
いや、PADL版を使う場合 slapd.conf に
access to attrs=userPassword
by self write
by anonymous auth
by * none
access to *
by self write
by * read
といった設定を入れても動作するし、だから普通はこういう設定を
してるわけ。でも、JF の HOWTO にはこの設定の記述がないのか…
PADL 版でこの設定を行なっている場合、ldapsearch で全員の userPassword
フィールドを盗まれる危険はない。もっとも userPassword 以外の情報
については、盗まれる危険があるので、他の手段でアクセス制限しない
といけないし、デフォルト設定だとパスワードが平文で流れちゃうけど。
0259名無しさん@お腹いっぱい。
2005/05/28(土) 21:53:26> @IT の記事みたいに、SSL を使わなくても安全だと誤解
> させる文書が出回ってて、このスレでも分かる通り、結構それを
> 信じている人が多いことかねえ。
ちょっとググって見たけど、個人の設定メモページぐらいなら
ともかく、企業や大学が提供する情報ページにも結構あるね。
@IT だけじゃない。
> access to *
> by self write
> by * read
さらに気になったんだけど、この「self write」って危険じゃない?
gecos 以外は書き込み不可にしとくべきのような…
でも、こういう設定を勧めてる記事も沢山あるなあ。
あれれれ?
0260名無しさん@お腹いっぱい。
2005/05/29(日) 02:45:13Sun Microsystems 最後のSSL?w
0261名無しさん@お腹いっぱい。
2005/05/29(日) 09:48:060262名無しさん@お腹いっぱい。
2005/05/29(日) 18:06:56Solarisサーバ買う場合、今の状態じゃ、SUNのサーバー買うより富士通のサーバー買った方がいいな
0263名無しさん@お腹いっぱい。
2005/05/29(日) 18:23:59うちの客先がそれを待ってる状態。
0264名無しさん@お腹いっぱい。
2005/05/29(日) 19:35:43当然。少なくとも無能で自己保身の塊で、社内ゴルフor社内接待ずけ漬けの
会社から勝手は駄目ダス。
エビデンスをコピるのに精一杯の会社ダス。
ほほほ。
0265名無しさん@お腹いっぱい。
2005/05/29(日) 19:54:20略してサンクリ
0266名無しさん@お腹いっぱい。
2005/05/29(日) 22:46:340267名無しさん@お腹いっぱい。
2005/05/29(日) 23:14:230268名無しさん@お腹いっぱい。
2005/05/29(日) 23:44:39最速なので、実はそう捨てたもんじゃないみたいよ。
POWER5 も Itanium も、まだ 2GHz を越えてないんだよね。
0269名無しさん@お腹いっぱい。
2005/05/30(月) 00:19:570270名無しさん@お腹いっぱい。
2005/05/30(月) 00:30:32少なくとも CINT2000 では SPARC64 の方が速いよ。
www.spec.org より
SPARC64 2160MHz base:1456 peak:1594
POWER5 1900MHz base:1392 peak:1452
ほらね。
しかもこれ、POWER5 1.6GHz じゃなくて 1.9GHz の値だし。
0271名無しさん@お腹いっぱい。
2005/05/30(月) 00:52:4020年後に1-Chip SS20とかASCIIが出したら俺は買うw
0272名無しさん@お腹いっぱい。
2005/05/30(月) 02:17:070273名無しさん@お腹いっぱい。
2005/05/30(月) 05:07:380274名無しさん@お腹いっぱい。
2005/05/30(月) 15:07:58NEXTSTEP も動く。NeWS のデモも動く。そゆのがいい。
0275名無しさん@お腹いっぱい。
2005/05/30(月) 15:09:14欲しいなあ。
0276名無しさん@お腹いっぱい。
2005/05/30(月) 15:26:560277名無しさん@お腹いっぱい。
2005/05/30(月) 21:30:52XeonやOpteronはハイエンドCPUじゃないのねん。
0278名無しさん@お腹いっぱい。
2005/05/30(月) 21:32:37エントリーCPU
0279名無しさん@お腹いっぱい。
2005/05/30(月) 22:25:30
■ このスレッドは過去ログ倉庫に格納されています