トップページunix
298コメント101KB

OpenLDAP

■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。2007/08/02(木) 01:24:49
なぜないのだ、この話題?
0002名無しさん@お腹いっぱい。2007/08/02(木) 04:09:08
組織論には興味ないけど
フォルダ・アイコンを入れてみたり
学校給食のレシピを入れたりすると美味しそうだ
0003名無しさん@お腹いっぱい。2007/08/02(木) 07:48:24
もう落ちたけど

LDAPについて
http://pc11.2ch.net/test/read.cgi/unix/1012650811/
0004名無しさん@お腹いっぱい。2007/08/09(木) 09:44:40
「オープンエルダップ」とかいうクソ野郎がいるので

なぜLだけ仲間外れにするのか。
0005名無しさん@お腹いっぱい。2007/08/09(木) 09:59:16
普通「エルダップ」じゃね?
http://ja.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol
http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol
http://e-words.jp/w/LDAP.html
0006名無しさん@お腹いっぱい。2007/08/09(木) 17:20:47
正しくは

オゥペネルディ・エ・ピ

(英語は発音大事)
0007名無しさん@お腹いっぱい。2007/08/09(木) 17:29:15
この「英語は発音大事」ってやつ、
何がおもしろいのかわからん。
0008名無しさん@お腹いっぱい。2007/08/16(木) 12:57:34
userPassword: {crypt}xxxxyyy
となってるのに
phpLdapAdminでpasswdの確認しようとすると
{ssha}違う文字列
が出てパスワードも一致しない
どこがおかしいの?

vine linux4 phpLdapAdmin 0.9 php5
その他はvineの標準のものを入れてます
Dovecotから読み込まれてるパスワードも一致しません

同様の設定でRHEL5 phpLdapAdmin 1 dovecotで行ったら
問題なく動いています
0009名無しさん@お腹いっぱい。2007/08/19(日) 07:48:25
CentOS 5 で LDAP を使った認証をしようとしています。
LDAP サーバは別途用意し、既に認証もできているのですが、
一つ疑問があります。それは /etc/ldap.conf と
/etc/openldap/ldap.conf の違いです。
たとえば参照する LDAP サーバは両者で設定しますが、
なぜ二重に設定する必要があるのでしょうか?

libnss-ldap ライブラリは /etc/ldap.conf を、
ldapsearch コマンドは /etc/openldap/ldap.conf を
見に行っているようなのですが、いつどちらが参照されるかについて
何らかの規則性があるのでしょうか?
0010名無しさん@お腹いっぱい。2007/08/27(月) 12:37:58
>>9
私はauthconfigで自動設定で問題なく動いてます
0011名無しさん@お腹いっぱい。2007/09/06(木) 16:34:50
authconfig-tuiでLDAP認証の設定するとき、TLSを使用に*入れて
ldapサーバのアドレスを ldap://<servername> にするとちゃんと認証してくれるんだが
ldaps://<servername> にするとなんかダメなのな。

tcpdumpで通信内容覗いてみると ldap:// でも平文では送ってないようなんだが
なんか気持ち悪いんだよな。
0012名無しさん@お腹いっぱい。2007/09/08(土) 17:43:23
>>11
たぶん LDAPS じゃなくて startTLS を使っているからだよ
0013名無しさん@お腹いっぱい。2007/09/10(月) 11:17:53
Apacheのbasic認証だとaliasは効くんだが、ログインでalias使うのは無理なんかね。

dc=example,dc=com
├ ou=Account
| ├ uid=hoge
| └ uid=piyo
|    (objectClassはaccount,posixaccount)
└ ou=Aliases
  ├ ou=alphaLogin
  | ├ uid=hoge(aliasedObjectNameはAccount配下のuid=hogeを指定)
  | └ uid=piyo(aliasedObjectNameはAccount配下のuid=piyoを指定)
  └ ou=blavoLogin
    └ uid=hoge(aliasedObjectNameはAccount配下のuid=hogeを指定)
     (objectClassはalias,extensibleObject)

こんな感じでデータツリー作って、alpha.example.comにはhogeとpiyoを、
blavo.example.comにはhogeだけをログインさせるなんてことをしようと思った訳だが。

authconfigでベースDNを dc=example,dc=com じゃなくて
ou=alphaLogin,ou=Aliases,dc=example,dc=com にしてみたんだが上手くいかんかったな。
同じこと考えてる奴で上手く動かしているのがいたらどこをイジったか教えてくれんかな。
0014名無しさん@お腹いっぱい。2007/09/10(月) 12:00:24
俺、あんまり詳しくないんだけど
uid=hogeが重複してるのは関係ない?
0015名無しさん@お腹いっぱい。2007/09/10(月) 13:10:10
おk、cnでやってみるお
0016名無しさん@お腹いっぱい。2007/09/10(月) 13:24:10
だめだった。

dc=example,dc=com
├ ou=Account
| ├ uid=hoge
| └ uid=piyo
|    (objectClassはaccount,posixaccount)
└ ou=Aliases
  ├ ou=alphaLogin
  | ├ uid=hoge(aliasedObjectNameはAccount配下のuid=hogeを指定)
  | └ uid=piyo(aliasedObjectNameはAccount配下のuid=piyoを指定)
  ├ ou=blavoLogin
  | └ uid=hoge(aliasedObjectNameはAccount配下のuid=hogeを指定)
  |  (objectClassはalias,extensibleObject)
  └ ou=Apache
    ├ ou=directoryA
    | ├ uid=hoge(aliasObjectNameは以下同文)
    | └ uid=piyo(aliasObjectNameは以下同文)
    └ ou=directoryB
      └ uid=hoge(ry

みたいにApacheのBasic認証でもuid使ってるんだがこっちは
上手くいってるんだよね。
0017名無しさん@お腹いっぱい。2007/09/11(火) 09:38:26
>>13
その構成、俺もやりたかったんだが去年挫折した。
資料が殆どなくてさ、全然解らなかった。

もし解決したら是非教えて欲しい。
0018名無しさん@お腹いっぱい。2007/09/11(火) 10:12:05
昨日からうんうん唸っていますが解決せず。
とりあえず@IT会議室にも放り込んでみたんだが、まだレスつかないなぁ。

もうちょい待ってダメならいよいよ日本LDAPユーザ会のMLで聞いてみるですよ。
0019名無しさん@お腹いっぱい。2007/09/11(火) 11:36:12
aliasがアリアスに見えてきた

いい選手だったのにネ
0020名無しさん@お腹いっぱい。2007/09/11(火) 18:34:03
ttp://sakuratan.ddo.jp/uploader/source/date51593.png

実験データさらしてみる。
ou=aliasedLogin,ou=Alias,o=Junk,c=jp をベースにして
配下にある objectClass=alias のデータでログインできれば
幸せのあまり昇天という寸法よ。クフゥ。

Apacheの方はこういう風にデータ格納してあります。
 ・馬鹿力ディレクトリには伊集院と渡辺だけ
 ・カーボーイディレクトリには大田と田中と野口だけ
 ・DJディレクトリには伊集院と大田と田中だけ
 ・staffディレクトリには渡辺と野口だけ
ってのはうまくいってる。
0021名無しさん@お腹いっぱい。2007/09/12(水) 09:28:17
X
叫んでみろX
berylしてみろX
全て脱ぎ捨てろ
おーお前等歌えよー
0022名無しさん@お腹いっぱい。2007/09/12(水) 09:49:01
半分俺ちゃんの備忘録になってる面があるが。


http://www.linux.or.jp/JF/JFdocs/LDAP-Implementation-HOWTO/pamnss.html より
==========
2.1.3. Lightweight Directory Access Protocol

今回のアプリケーションでは、ユーザアカウントとユーザグループに関する情報を
クライアントに供給するために LDAP が使用されます。ユーザとグループを表わすのに
用いられる標準的な objectclass は top, posixAccount, shadowAccount, posixGroup です。

データベース上のユーザ関連のエントリは少なくとも [3] top, posixAccount, shadowAccount の
objectclass に属していなくてはなりません。グループエントリは top と posixGroup の objectclass に
属していなくてはなりません。

今回利用する pam_ldap と nss_ldap の実装がこの objectclass を参照するからです。この
objectclass は RFC 2307 に記述されているものです。

Note: 実際には、LDAP 版 NSS はここで例示しなかった objectclass も認識します。
==========

>>データベース上のユーザ関連のエントリは少なくとも [3] top, posixAccount, shadowAccount の
>>objectclass に属していなくてはなりません。グループエントリは top と posixGroup の objectclass に
>>属していなくてはなりません。

ちゅーことはobjectClass が alias だったり extensibleObject だったり uidObject なのは
ダメってことなのね。逆に言えば pam 関連イジればできるかもという可能性?
0023名無しさん@お腹いっぱい。2007/09/12(水) 12:01:54
alias データの objectClass を alias と posixAccount にしてみた。
id <userName> は通るようにはなったが、どうやら userPassword を
aliasedObjectName の先に見に行っていないようだ。うぬぬ。
0024名無しさん@お腹いっぱい。2007/09/12(水) 13:41:11
host という属性が気になりはじめたお( ^ω^)
0025名無しさん@お腹いっぱい。2007/09/12(水) 14:05:09
alias 使った手段じゃ無いけど、これって解決策になってね?
 ↓
ttp://blog.hide-k.net/archives/2005/12/ldap.php
0026名無しさん@お腹いっぱい。2007/09/12(水) 17:07:28
>25
で上手くいきました。host で指定されていないとログインできないス。
alias じゃなくてデータ本体の host の値をいじくることで一元管理が
可能のようデスヨ。ぬふぅ
0027名無しさん@お腹いっぱい。2007/09/14(金) 10:48:19
アク禁喰らってた

>>26
alias上手くいかなかったかぁ。
何にも協力できなかったが、俺も実装したかったので
興味有ったんだがなぁ。
0028名無しさん@お腹いっぱい。2007/09/18(火) 13:48:29
どうやらクラスタ化したりした大量のマシンへのログインデータを
管理するには nisNetgroup とか使えってことらしい雰囲気。

オーム社の『LDAP -設定・管理・プログラミング』(4274065502)の6章あたり参考にして今遊んでいるですよ。
amazonのURL貼ろうとしたら長すぎて貼れないので上のISBNで検索してみるが吉。

上司から借りているんだが、こいつ3年くらい前の本だけど役に立ってる。
高いけど買うべきかもなー。
0029名無しさん@お腹いっぱい。2007/09/18(火) 15:15:57
余計なの削ればいいじゃん。
http://www.amazon.co.jp/dp/4274065502
0030名無しさん@お腹いっぱい。2007/09/18(火) 17:20:06
>29
/(^o^)\
0031名無しさん@お腹いっぱい。2007/09/21(金) 09:00:43
objectClass: top の存在意義がいまいち分からない
0032名無しさん@お腹いっぱい。2007/09/21(金) 16:40:39
ttp://sakuratan.ddo.jp/uploader/source/date52367.pdf
pdfで済まんがこいつを見てくれ これをどう思…

あ、いや。じゃねぇや。
この構築のしかただと、ログインサーバ群の数だけユーザのhostアトリビュートを
記述しなきゃいかんので面倒臭くてしょうがないから、ログインサーバ群をまとめて
処理できないもんかね。

できれば書き込むhostアトリビュートの数の最大値をクラスタの数にまで
押さえ込みたい。かといってログインサーバをクラスタごとに一つだと冗長性が
無いのが問題なのよ。エロい人助けて。
0033名無しさん@お腹いっぱい。2007/09/23(日) 05:41:23
LDAP サーバとの通信ができないと root でのログインすら
できなくなってしまうのですが、何が原因なのでしょうか?

nsswitch.conf で passwd/group には files ldap の順番で
記述しています。コンソールからのログインに関しては
むしろ /etc/pam.d/login のほうが重要でしょうか?

そちらには
auth sufficient pam_unix.so nullok try_first_pass
auth sufficient pam_ldap.so use_first_pass
と書いています。

なお、nsswitch.conf で files ldap を files だけにすると
これで問題なく root でログインできるようになります。
名前解決ライブラリのバグなのでしょうか?

LDAPサーバ、クライアントともに CentOS 6 を使っています。
0034名無しさん@お腹いっぱい。2007/09/23(日) 18:42:41
>>CentOS 6
未来人現る(;゚Д゚)
0035名無しさん@お腹いっぱい。2007/09/24(月) 01:06:39
>>34 CentOS 5 だった・・・・
Fedora Core 6 とごっちゃになってました。
0036322007/09/26(水) 16:56:02
当方の事案は解決しました。ありがとう。
0037322007/09/26(水) 18:49:26
ttp://home2.dip.jp/upload100_download.php?no=6598

とりあえず資料まとめたお。パス必須だったから OpenLDAP でおk
aliasでの制御は無理だったけど、似たような制御はこういう手段でできるみたい。

>33
ごめん、オイラじゃわかんなかった
0038通りがかりの者2007/10/01(月) 16:39:43
>>37
すみませんが、興味あってたどり着いた者です。
どうやってダウンロードしたらいいのですか?
DL KEYは何でしょうか?
0039名無しさん@お腹いっぱい。2007/10/01(月) 17:26:19
日本語理解できねぇのか?
0040通りがかりの者2007/10/01(月) 17:36:09
>>39
あ、そういうことでしたか。読みが雑でした。
失礼しました。
0041名無しさん@お腹いっぱい。2007/10/02(火) 11:26:54
んが、こんなんに興味持つ人がいるとは。
>37の後半部分にテキトーな文字列があったのは、実は同じ部局で>32を
自分が作成したと偽って提出したビッチ野郎が出たためとしておきます。
油断も隙もあったもんじゃねぇな。

ttp://sakuratan.ddo.jp/uploader/source/date53447.pdf

いくぶん詳しくまとめることができたのでドゾー
■ このスレッドは過去ログ倉庫に格納されています