OpenLDAP
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
2007/08/02(木) 01:24:490002名無しさん@お腹いっぱい。
2007/08/02(木) 04:09:08フォルダ・アイコンを入れてみたり
学校給食のレシピを入れたりすると美味しそうだ
0003名無しさん@お腹いっぱい。
2007/08/02(木) 07:48:24LDAPについて
http://pc11.2ch.net/test/read.cgi/unix/1012650811/
0004名無しさん@お腹いっぱい。
2007/08/09(木) 09:44:40なぜLだけ仲間外れにするのか。
0005名無しさん@お腹いっぱい。
2007/08/09(木) 09:59:16http://ja.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol
http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol
http://e-words.jp/w/LDAP.html
0006名無しさん@お腹いっぱい。
2007/08/09(木) 17:20:47オゥペネルディ・エ・ピ
(英語は発音大事)
0007名無しさん@お腹いっぱい。
2007/08/09(木) 17:29:15何がおもしろいのかわからん。
0008名無しさん@お腹いっぱい。
2007/08/16(木) 12:57:34となってるのに
phpLdapAdminでpasswdの確認しようとすると
{ssha}違う文字列
が出てパスワードも一致しない
どこがおかしいの?
vine linux4 phpLdapAdmin 0.9 php5
その他はvineの標準のものを入れてます
Dovecotから読み込まれてるパスワードも一致しません
同様の設定でRHEL5 phpLdapAdmin 1 dovecotで行ったら
問題なく動いています
0009名無しさん@お腹いっぱい。
2007/08/19(日) 07:48:25LDAP サーバは別途用意し、既に認証もできているのですが、
一つ疑問があります。それは /etc/ldap.conf と
/etc/openldap/ldap.conf の違いです。
たとえば参照する LDAP サーバは両者で設定しますが、
なぜ二重に設定する必要があるのでしょうか?
libnss-ldap ライブラリは /etc/ldap.conf を、
ldapsearch コマンドは /etc/openldap/ldap.conf を
見に行っているようなのですが、いつどちらが参照されるかについて
何らかの規則性があるのでしょうか?
0010名無しさん@お腹いっぱい。
2007/08/27(月) 12:37:58私はauthconfigで自動設定で問題なく動いてます
0011名無しさん@お腹いっぱい。
2007/09/06(木) 16:34:50ldapサーバのアドレスを ldap://<servername> にするとちゃんと認証してくれるんだが
ldaps://<servername> にするとなんかダメなのな。
tcpdumpで通信内容覗いてみると ldap:// でも平文では送ってないようなんだが
なんか気持ち悪いんだよな。
0012名無しさん@お腹いっぱい。
2007/09/08(土) 17:43:23たぶん LDAPS じゃなくて startTLS を使っているからだよ
0013名無しさん@お腹いっぱい。
2007/09/10(月) 11:17:53dc=example,dc=com
├ ou=Account
| ├ uid=hoge
| └ uid=piyo
| (objectClassはaccount,posixaccount)
└ ou=Aliases
├ ou=alphaLogin
| ├ uid=hoge(aliasedObjectNameはAccount配下のuid=hogeを指定)
| └ uid=piyo(aliasedObjectNameはAccount配下のuid=piyoを指定)
└ ou=blavoLogin
└ uid=hoge(aliasedObjectNameはAccount配下のuid=hogeを指定)
(objectClassはalias,extensibleObject)
こんな感じでデータツリー作って、alpha.example.comにはhogeとpiyoを、
blavo.example.comにはhogeだけをログインさせるなんてことをしようと思った訳だが。
authconfigでベースDNを dc=example,dc=com じゃなくて
ou=alphaLogin,ou=Aliases,dc=example,dc=com にしてみたんだが上手くいかんかったな。
同じこと考えてる奴で上手く動かしているのがいたらどこをイジったか教えてくれんかな。
0014名無しさん@お腹いっぱい。
2007/09/10(月) 12:00:24uid=hogeが重複してるのは関係ない?
0015名無しさん@お腹いっぱい。
2007/09/10(月) 13:10:100016名無しさん@お腹いっぱい。
2007/09/10(月) 13:24:10dc=example,dc=com
├ ou=Account
| ├ uid=hoge
| └ uid=piyo
| (objectClassはaccount,posixaccount)
└ ou=Aliases
├ ou=alphaLogin
| ├ uid=hoge(aliasedObjectNameはAccount配下のuid=hogeを指定)
| └ uid=piyo(aliasedObjectNameはAccount配下のuid=piyoを指定)
├ ou=blavoLogin
| └ uid=hoge(aliasedObjectNameはAccount配下のuid=hogeを指定)
| (objectClassはalias,extensibleObject)
└ ou=Apache
├ ou=directoryA
| ├ uid=hoge(aliasObjectNameは以下同文)
| └ uid=piyo(aliasObjectNameは以下同文)
└ ou=directoryB
└ uid=hoge(ry
みたいにApacheのBasic認証でもuid使ってるんだがこっちは
上手くいってるんだよね。
0017名無しさん@お腹いっぱい。
2007/09/11(火) 09:38:26その構成、俺もやりたかったんだが去年挫折した。
資料が殆どなくてさ、全然解らなかった。
もし解決したら是非教えて欲しい。
0018名無しさん@お腹いっぱい。
2007/09/11(火) 10:12:05とりあえず@IT会議室にも放り込んでみたんだが、まだレスつかないなぁ。
もうちょい待ってダメならいよいよ日本LDAPユーザ会のMLで聞いてみるですよ。
0019名無しさん@お腹いっぱい。
2007/09/11(火) 11:36:12いい選手だったのにネ
0020名無しさん@お腹いっぱい。
2007/09/11(火) 18:34:03実験データさらしてみる。
ou=aliasedLogin,ou=Alias,o=Junk,c=jp をベースにして
配下にある objectClass=alias のデータでログインできれば
幸せのあまり昇天という寸法よ。クフゥ。
Apacheの方はこういう風にデータ格納してあります。
・馬鹿力ディレクトリには伊集院と渡辺だけ
・カーボーイディレクトリには大田と田中と野口だけ
・DJディレクトリには伊集院と大田と田中だけ
・staffディレクトリには渡辺と野口だけ
ってのはうまくいってる。
0021名無しさん@お腹いっぱい。
2007/09/12(水) 09:28:17叫んでみろX
berylしてみろX
全て脱ぎ捨てろ
おーお前等歌えよー
0022名無しさん@お腹いっぱい。
2007/09/12(水) 09:49:01http://www.linux.or.jp/JF/JFdocs/LDAP-Implementation-HOWTO/pamnss.html より
==========
2.1.3. Lightweight Directory Access Protocol
今回のアプリケーションでは、ユーザアカウントとユーザグループに関する情報を
クライアントに供給するために LDAP が使用されます。ユーザとグループを表わすのに
用いられる標準的な objectclass は top, posixAccount, shadowAccount, posixGroup です。
データベース上のユーザ関連のエントリは少なくとも [3] top, posixAccount, shadowAccount の
objectclass に属していなくてはなりません。グループエントリは top と posixGroup の objectclass に
属していなくてはなりません。
今回利用する pam_ldap と nss_ldap の実装がこの objectclass を参照するからです。この
objectclass は RFC 2307 に記述されているものです。
Note: 実際には、LDAP 版 NSS はここで例示しなかった objectclass も認識します。
==========
>>データベース上のユーザ関連のエントリは少なくとも [3] top, posixAccount, shadowAccount の
>>objectclass に属していなくてはなりません。グループエントリは top と posixGroup の objectclass に
>>属していなくてはなりません。
ちゅーことはobjectClass が alias だったり extensibleObject だったり uidObject なのは
ダメってことなのね。逆に言えば pam 関連イジればできるかもという可能性?
0023名無しさん@お腹いっぱい。
2007/09/12(水) 12:01:54id <userName> は通るようにはなったが、どうやら userPassword を
aliasedObjectName の先に見に行っていないようだ。うぬぬ。
0024名無しさん@お腹いっぱい。
2007/09/12(水) 13:41:110025名無しさん@お腹いっぱい。
2007/09/12(水) 14:05:09↓
ttp://blog.hide-k.net/archives/2005/12/ldap.php
0026名無しさん@お腹いっぱい。
2007/09/12(水) 17:07:28で上手くいきました。host で指定されていないとログインできないス。
alias じゃなくてデータ本体の host の値をいじくることで一元管理が
可能のようデスヨ。ぬふぅ
0027名無しさん@お腹いっぱい。
2007/09/14(金) 10:48:19>>26
alias上手くいかなかったかぁ。
何にも協力できなかったが、俺も実装したかったので
興味有ったんだがなぁ。
0028名無しさん@お腹いっぱい。
2007/09/18(火) 13:48:29管理するには nisNetgroup とか使えってことらしい雰囲気。
オーム社の『LDAP -設定・管理・プログラミング』(4274065502)の6章あたり参考にして今遊んでいるですよ。
amazonのURL貼ろうとしたら長すぎて貼れないので上のISBNで検索してみるが吉。
上司から借りているんだが、こいつ3年くらい前の本だけど役に立ってる。
高いけど買うべきかもなー。
0029名無しさん@お腹いっぱい。
2007/09/18(火) 15:15:57http://www.amazon.co.jp/dp/4274065502
0030名無しさん@お腹いっぱい。
2007/09/18(火) 17:20:06/(^o^)\
0031名無しさん@お腹いっぱい。
2007/09/21(金) 09:00:430032名無しさん@お腹いっぱい。
2007/09/21(金) 16:40:39pdfで済まんがこいつを見てくれ これをどう思…
あ、いや。じゃねぇや。
この構築のしかただと、ログインサーバ群の数だけユーザのhostアトリビュートを
記述しなきゃいかんので面倒臭くてしょうがないから、ログインサーバ群をまとめて
処理できないもんかね。
できれば書き込むhostアトリビュートの数の最大値をクラスタの数にまで
押さえ込みたい。かといってログインサーバをクラスタごとに一つだと冗長性が
無いのが問題なのよ。エロい人助けて。
0033名無しさん@お腹いっぱい。
2007/09/23(日) 05:41:23できなくなってしまうのですが、何が原因なのでしょうか?
nsswitch.conf で passwd/group には files ldap の順番で
記述しています。コンソールからのログインに関しては
むしろ /etc/pam.d/login のほうが重要でしょうか?
そちらには
auth sufficient pam_unix.so nullok try_first_pass
auth sufficient pam_ldap.so use_first_pass
と書いています。
なお、nsswitch.conf で files ldap を files だけにすると
これで問題なく root でログインできるようになります。
名前解決ライブラリのバグなのでしょうか?
LDAPサーバ、クライアントともに CentOS 6 を使っています。
0034名無しさん@お腹いっぱい。
2007/09/23(日) 18:42:41未来人現る(;゚Д゚)
0035名無しさん@お腹いっぱい。
2007/09/24(月) 01:06:39Fedora Core 6 とごっちゃになってました。
003632
2007/09/26(水) 16:56:02003732
2007/09/26(水) 18:49:26とりあえず資料まとめたお。パス必須だったから OpenLDAP でおk
aliasでの制御は無理だったけど、似たような制御はこういう手段でできるみたい。
>33
ごめん、オイラじゃわかんなかった
0038通りがかりの者
2007/10/01(月) 16:39:43すみませんが、興味あってたどり着いた者です。
どうやってダウンロードしたらいいのですか?
DL KEYは何でしょうか?
0039名無しさん@お腹いっぱい。
2007/10/01(月) 17:26:190040通りがかりの者
2007/10/01(月) 17:36:09あ、そういうことでしたか。読みが雑でした。
失礼しました。
0041名無しさん@お腹いっぱい。
2007/10/02(火) 11:26:54>37の後半部分にテキトーな文字列があったのは、実は同じ部局で>32を
自分が作成したと偽って提出したビッチ野郎が出たためとしておきます。
油断も隙もあったもんじゃねぇな。
ttp://sakuratan.ddo.jp/uploader/source/date53447.pdf
いくぶん詳しくまとめることができたのでドゾー
0042名無しさん@お腹いっぱい。
2007/10/02(火) 11:31:16提供してくれているのはドキュメント作成するときにものすごい助かったし。
今度マシン組むときも光学ドライブ買わせていただきますです。
0043名無しさん@お腹いっぱい。
2007/10/02(火) 11:50:25お疲れ。
LinuxやUnixサーバをAliasで管理できればもっと
楽になったんだろうけど。大分奇麗に管理されてるね。
0044名無しさん@お腹いっぱい。
2007/10/02(火) 13:27:29pam_ldapやnss_ldapの今後の動向に期待というところです。
aliasのobjectClassもサポートしてくれればよりすっきりしますしね。
それはそれとしてshadowAccountの存在をすっかり忘れていることに
今気づく。ひょっとして後でここがアキレス腱になったりして。
実運用の承認降りたら降りたで怖いけど、ノウハウの蓄積ができそうなので
半分ワクワクもしているというダメっぷりを遺憾なく発揮しています。
0045名無しさん@お腹いっぱい。
2007/10/03(水) 10:42:10現状でもあまり活発なMLじゃないけど、日本のLDAPの第一人者の方々が
参加しているので、登録するだけでも価値はあると思いますよ。
0046名無しさん@お腹いっぱい。
2007/10/03(水) 18:02:50ちょっと気になる記事。
0047名無しさん@お腹いっぱい。
2007/10/05(金) 16:51:000048名無しさん@お腹いっぱい。
2007/10/12(金) 11:42:43そうそうないのは分かっているんだが、普段生息している板の癖が抜けない
0049名無しさん@お腹いっぱい。
2007/10/14(日) 04:36:39すが、少なくとも openldap-2.3.38 には存在しないようです。
Becky の実装がおかしいのでしょうか?
0050名無しさん@お腹いっぱい。
2007/10/15(月) 09:06:11yumで入れてるなら
find /etc/openldap/schema -name \*.schema | xargs grep alias
してからもう一度ここに質問しにおいで。
005149
2007/10/15(月) 21:43:56OS は Solaris9 で、ソースからコンパイルして入れてます。
ご指摘の内容は一度確認していましたが、alias がコメントアウトされている
ようで、なぜ?と思って質問しました。
ほとんどコメントアウトされているように見えましたが、唯一そうでなかった
のが misc.schema の
DESC 'NIS mail alias'
でした。さすがにこれは違いますね..。
他のコメントを見たら alias は OBJECT-CLASS として定義してあるようで..
このあたりで分からず...。もうちょっと勉強続けてみます。
0052名無しさん@お腹いっぱい。
2007/10/17(水) 23:18:59ファイルを直接編集せずに
authconfig-tuiを使用したほうが良いとおもわれ
centos5の場合は不要なはずですが以前のOSだと
/etc/pam.d/system-authを以下のように編集する必要があり
account [default=bad success=ok user_unknown=ignore service_err=ignore system_err=ignore authinfo_unavail=ignore] /lib/security/pam_ldap.so
authinfo_unavail=ignoneが必要
0053名無しさん@お腹いっぱい。
2007/10/17(水) 23:42:53ありがとう
ずっと探していた情報でした。
pam_filterを使うとは思いませんでした。
そういう観点ではpam_groupdnも良いかも
groupOfUniqueNamesクラスを使用するから
apacheのベーシック認証と似た感じになるし
0054名無しさん@お腹いっぱい。
2007/10/25(木) 18:24:59CMSも併せてやってるんだが、ブログが形になってきたら
pdf補完したほうがいいかね、やっぱり
0055名無しさん@お腹いっぱい。
2007/10/27(土) 11:07:02この場合、コンシューマslapdに書き込みをしようとした場合、
うまくプロバイダslapdにredirectされるものなのでしょうか?
slurpdを使うときはupdatednに書いたDNを使って
マスタ側に書き込んでくれるようなのですが...。
0056名無しさん@お腹いっぱい。
2007/11/09(金) 00:41:54LDAP導入しなくても
LAN内のみ閲覧可能なWEBサーバディレクトリに
mail toをhtmlに書いておけばいいんじゃないのか
とか思ったりしたんだ
0057名無しさん@お腹いっぱい。
2007/11/09(金) 09:05:340058名無しさん@お腹いっぱい。
2007/11/11(日) 18:17:27LDAPアドレス帳検索の方が一般的なメールクライアントで対応しているので楽
あとLDAPを構築しておけば他の用途にも使える(NASのアクセス認証、WWW認証等)
その駄案はてめぇのオナニーだけにしておけ
0059名無しさん@お腹いっぱい。
2007/11/12(月) 09:09:56意味がさっぱりわからなかったw
0060名無しさん@お腹いっぱい。
2007/11/13(火) 23:14:16よくあるLDAPサーバの構築例だと、必ずといっていいほどLDAPサーバが
DMZに置かれているのですが、何故でしょうか?
ユーザ情報を扱う以上、LAN内に置いておいた方が安全だと思うのですが。
この構造だと、LDAPサーバを乗っ取られたが最後のように思えます。
それとも、「DMZには置くが、グローバルIPは振らない」という意味でしょうか?
0061名無しさん@お腹いっぱい。
2007/12/02(日) 13:22:21この状態でたとえば chown 0:0 myfile
などとすると,LDAP サーバに問い合わせに行きます.
そのために LDAP サーバが死んでいると root での
ファイル操作に支障をきたします.
libnss に必要のない lookup はさせないようには
できないのでしょうか?
0062名無しさん@お腹いっぱい。
2007/12/02(日) 18:04:05うちは、レプリカサーバを認証サーバ用にDMZに立ち上げてる。
Radiusサーバも一緒に。
認証のdelegateサービスを想定してなければ、大体はあなたの言う通りだと思う。
ただし、mail aliasをLDAPに置いて、round robinのpostfixに参照させるなど、
使い道はたくさんあると思う。apacheが/~usernameの参照に使ったり。
そもそも共通のdirectory基盤としてLDAPが出て来たんだから、
初期はより外にという状況が多かった。
今はdirectory基盤としてLDAPは当たり前なんだから、
あなたの言うような内側のみの案件がどんどん増えているんだと思う。
10年くらい前だと、内側のみならNIS/NIS+/NetInfoで十分って話だった。
0063名無しさん@お腹いっぱい。
2007/12/02(日) 18:09:08それchownの問題。
0は最初から数字なのに、
0ってユーザがいなければ、数字と思う
ってロジック。アプリが引くんだからsearchしないと仕方がない。
rootって指定して、/etc/passwdには+を最後に書けば、引きにいかない。
0064名無しさん@お腹いっぱい。
2007/12/02(日) 18:21:52なるほど,chown の問題でしたか.
Ubuntu を使っているのですが
(すみません,Linux板にLDAP関連のスレがなかったので)
起動時に X がらみで開いたソケットのオーナーを
chown で切り替えようとするんですよ.
鯖なので X サーバ自体は入れてないんですが,
PHP 関係ののパッケージを入れて依存関係で勝手に
入ってきた x11-common っていうパッケージに含まれる
起動スクリプトがなぜか X 関係のソケットを作成しようとするようで・・・
0065名無しさん@お腹いっぱい。
2007/12/02(日) 19:47:00rootと同じuid, gidで。
0066名無しさん@お腹いっぱい。
2007/12/02(日) 20:59:47いろいろと挙動を調べてみると、なぜか必要もないの
gid じゃなくて groups を調べようとしているようです。
なので group を全部舐めようとしているみたい。
0067ID:dTDEeRzx
2007/12/04(火) 13:05:03http://pc11.2ch.net/test/read.cgi/linux/1195800848/106-107
106 名前:login:Penguin[sage] 投稿日:2007/12/04(火) 11:24:32 ID:dTDEeRzx
うpだてでOpenLDAPのデータが吹っ飛んだ
BDBが壊れたかも
107 名前:login:Penguin[sage] 投稿日:2007/12/04(火) 12:18:11 ID:9Fjx+2mB
>>106
うちも消えた
/etc/openldap/schema/dnszone.schema
のパーミッションも変更されててldapが起動できなかった
オイラ達の外にもCentOS + OpenLDAPで何かう゛にゃってなった人いる?
0068名無しさん@お腹いっぱい。
2007/12/04(火) 13:26:39Netscape系のFedora Directory Serverを使える環境の人は、
そっち使った方が安心だよ。OpenLDAP壊れすぎ。
0069名無しさん@お腹いっぱい。
2007/12/06(木) 08:43:47レスありがとうございます。納得です。
DAPが必要な状況というのが、そもそも僕が思ってるよりも大規模なネットワークでの話だったんですね。
ActiveDirectoryと対比させて考えていたのでサッパリ分かってませんでした。
0070名無しさん@お腹いっぱい。
2007/12/06(木) 10:05:29X.500みたいな広域サービスがLDAPの元になってますから。
(X.500のディレクトリアクセスプロトコルが「DAP」)
小規模なら階層構造の必要がほとんどないですよね。
0071名無しさん@お腹いっぱい。
2007/12/08(土) 13:20:55
■ このスレッドは過去ログ倉庫に格納されています