OpenLDAP

[0001 名無しさん＠お腹いっぱい。 2007/08/02(木) 01:24:49]

なぜないのだ、この話題？

[0281 名無しさん＠お腹いっぱい。 2010/10/10(日) 13:31:11]

運用してもいない、し始める予定もない奴に、試験の話されても困るわけで。

[0282 名無しさん＠お腹いっぱい。 2010/10/10(日) 18:00:36]

>>280
別に資格なんて取らなくても仕事できるんだし、何威張ってんだ？

[0283 名無しさん＠お腹いっぱい。 2010/11/11(木) 15:34:22]

LDAPサーバとSambaサーバを連携させる場合について質問です。
互いに別の環境で動かす場合、ldap用のpamモジュールとnssモジュールが必要なのは
Sambaサーバが起動している環境のみですよね。

[0284 名無しさん＠お腹いっぱい。 2010/11/11(木) 16:57:44]

pamとnssのモジュールは、LDAP情報を使ってログインするUNIX上で必要です。
pamは認証を、nssはユーザ情報を取り扱います。

[0285 名無しさん＠お腹いっぱい。 2011/04/28(木) 13:37:03.32]

いつからこうなってたの?
http://www.ldap-jp.org/

[0286 名無しさん＠お腹いっぱい。 2011/04/28(木) 14:20:29.15]

騙されたんだよ

[0287 名無しさん＠お腹いっぱい。 2011/04/28(木) 18:17:28.54]

というか存在意義ありましたか?
OpenLDAPサポートする会社あるから、
なにか助けて欲しければそこに頼めばいいし。
中の人同じだしw

[0288 名無しさん＠お腹いっぱい。 2011/04/28(木) 18:27:23.63]

単にドメインの期限切れた後に
よそに取られただけでしょ?

[0289 名無しさん＠お腹いっぱい。 2011/04/28(木) 18:32:09.61]

http://web.archive.org/*/http://www.ldap-jp.org/
で見ると、
2007/03/31 前の状態
2007/12/23-2008/04/24 アクセス不可
2009/03/05 今の状態

[0290 名無しさん＠お腹いっぱい。 2011/04/28(木) 18:34:26.00]

つーかこっちじゃん。
http://www.ldap.jp/

[0291 名無しさん＠お腹いっぱい。 2011/06/23(木) 15:33:39.62]

Debian(squeeze)でldap+kerberosを利用した認証を
出来るようになりましたが、ldapのposixAccountを継
承したエントリのhost属性をチェックして、マシンへの
ログインを制限することが出来ません。

/etc/libnss-ldap.confで
pam_check_host_attr yes
pam_fileter host=<ホストのFQDN>
を記述してやれば良いのかと思ったのですが間違っ
ているのでしょうか？

LDAPサーバで、ユーザアカウントのエントリのhost
属性を、わざと間違ったものにして試してみるのです
が、ログイン出来てしまうのです。

objectClass: extensibleObject
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: posixAccount
objectClass: top
cn: ***
gidNumber: ***
homeDirectory: ***
sn: ***
uid: ***
uidNumber: ***
loginShell: ***
host: <間違ったホストのFQDN>

[0292 名無しさん＠お腹いっぱい。 2011/06/23(木) 16:43:01.12]

>>291
> pam_check_host_attr yes
> pam_fileter host=<ホストのFQDN>

この２つは別の機能です。

前者は、
host: !拒絶するホスト名
host: 許可するホスト名
host: *
でホスト指定できます。大文字小文字は区別しません。
比較する文字列はgethostname(2)で得られたものです。
最初の一つにマッチするか、後の２つにマッチしないと認証失敗して、
"Access denied for this host"のログを吐きます。
だから、pam_check_host_attrがyesのホストでは、
host属性がないアカウントは一切ログインできなくなります。

後者は、アカウントを検索する時のfilter指定です。
検索失敗すると"pam_ldap: ldap_search_s 〜"のログを吐きます。

これ以外にデバッグログを得る方法はありません。
(Debianのパッケージ版についてはよく知らないが、オリジナルのソースでは)

[0293 名無しさん＠お腹いっぱい。 2011/06/23(木) 16:48:36.15]

>>291
> /etc/libnss-ldap.confで

上にも書いたようにDebian系はよく知らないのですが、
書く場所を間違えているということはないですか。
つまりpam_check_host_attrがyesになってないのでは?

[0294 291 2011/06/23(木) 20:26:52.44]

/etc/libnss-ldap.conf
/etc/pam_ldap.conf
の両方とも

pam_filterをコメント
pam_check_host_attrをyes

にしてLDAPの当該エントリのhost属性を消去してみましたが
やはりログイン出来てしまいます。
/var/log/auth.logを見ているのですが、

ログにはpam_krb5とpam_unixのものしかでてこないのはおか
しいのでしょうか？通常pam_ldapもログに現れますか？

[0295 名無しさん＠お腹いっぱい。 2011/06/24(金) 11:35:29.63]

そりゃおかしいね。

[0296 291 2011/06/24(金) 17:05:38.07]

LDAP+gssapi(Kerberos)による認証の場合、pam_krb5で
ユーザ認証をし、pam_unixでユーザのuidやgidなどの
取得を試み、失敗したらログインさせないように動くよう
です。
KerberosにはあってLDAPに無いユーザでログインしよう
とするとgetpwnam(<ユーザ名>)で識別できなかったとい
うエラーがログに記録されます。

この時にpam_filterのチェックは行われるのかと思ったの
ですが、やってくれない。

[0297 名無しさん＠お腹いっぱい。 2011/06/24(金) 17:50:41.49]

>>296
> KerberosにはあってLDAPに無いユーザで

エントリがなかったら、そもそもhost属性も付けられないよね。

[0298 291 2011/06/24(金) 21:11:06.78]

>>297
認証時の動きを見たくて試したときの話しです。

Kerberos使わずにLDAPに認証もやらせれば出来るのですかね。
LDAPとKerberosを合わせた場合の資料が少ないのですよね。