OpenLDAP
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
2007/08/02(木) 01:24:49005149
2007/10/15(月) 21:43:56OS は Solaris9 で、ソースからコンパイルして入れてます。
ご指摘の内容は一度確認していましたが、alias がコメントアウトされている
ようで、なぜ?と思って質問しました。
ほとんどコメントアウトされているように見えましたが、唯一そうでなかった
のが misc.schema の
DESC 'NIS mail alias'
でした。さすがにこれは違いますね..。
他のコメントを見たら alias は OBJECT-CLASS として定義してあるようで..
このあたりで分からず...。もうちょっと勉強続けてみます。
0052名無しさん@お腹いっぱい。
2007/10/17(水) 23:18:59ファイルを直接編集せずに
authconfig-tuiを使用したほうが良いとおもわれ
centos5の場合は不要なはずですが以前のOSだと
/etc/pam.d/system-authを以下のように編集する必要があり
account [default=bad success=ok user_unknown=ignore service_err=ignore system_err=ignore authinfo_unavail=ignore] /lib/security/pam_ldap.so
authinfo_unavail=ignoneが必要
0053名無しさん@お腹いっぱい。
2007/10/17(水) 23:42:53ありがとう
ずっと探していた情報でした。
pam_filterを使うとは思いませんでした。
そういう観点ではpam_groupdnも良いかも
groupOfUniqueNamesクラスを使用するから
apacheのベーシック認証と似た感じになるし
0054名無しさん@お腹いっぱい。
2007/10/25(木) 18:24:59CMSも併せてやってるんだが、ブログが形になってきたら
pdf補完したほうがいいかね、やっぱり
0055名無しさん@お腹いっぱい。
2007/10/27(土) 11:07:02この場合、コンシューマslapdに書き込みをしようとした場合、
うまくプロバイダslapdにredirectされるものなのでしょうか?
slurpdを使うときはupdatednに書いたDNを使って
マスタ側に書き込んでくれるようなのですが...。
0056名無しさん@お腹いっぱい。
2007/11/09(金) 00:41:54LDAP導入しなくても
LAN内のみ閲覧可能なWEBサーバディレクトリに
mail toをhtmlに書いておけばいいんじゃないのか
とか思ったりしたんだ
0057名無しさん@お腹いっぱい。
2007/11/09(金) 09:05:340058名無しさん@お腹いっぱい。
2007/11/11(日) 18:17:27LDAPアドレス帳検索の方が一般的なメールクライアントで対応しているので楽
あとLDAPを構築しておけば他の用途にも使える(NASのアクセス認証、WWW認証等)
その駄案はてめぇのオナニーだけにしておけ
0059名無しさん@お腹いっぱい。
2007/11/12(月) 09:09:56意味がさっぱりわからなかったw
0060名無しさん@お腹いっぱい。
2007/11/13(火) 23:14:16よくあるLDAPサーバの構築例だと、必ずといっていいほどLDAPサーバが
DMZに置かれているのですが、何故でしょうか?
ユーザ情報を扱う以上、LAN内に置いておいた方が安全だと思うのですが。
この構造だと、LDAPサーバを乗っ取られたが最後のように思えます。
それとも、「DMZには置くが、グローバルIPは振らない」という意味でしょうか?
0061名無しさん@お腹いっぱい。
2007/12/02(日) 13:22:21この状態でたとえば chown 0:0 myfile
などとすると,LDAP サーバに問い合わせに行きます.
そのために LDAP サーバが死んでいると root での
ファイル操作に支障をきたします.
libnss に必要のない lookup はさせないようには
できないのでしょうか?
0062名無しさん@お腹いっぱい。
2007/12/02(日) 18:04:05うちは、レプリカサーバを認証サーバ用にDMZに立ち上げてる。
Radiusサーバも一緒に。
認証のdelegateサービスを想定してなければ、大体はあなたの言う通りだと思う。
ただし、mail aliasをLDAPに置いて、round robinのpostfixに参照させるなど、
使い道はたくさんあると思う。apacheが/~usernameの参照に使ったり。
そもそも共通のdirectory基盤としてLDAPが出て来たんだから、
初期はより外にという状況が多かった。
今はdirectory基盤としてLDAPは当たり前なんだから、
あなたの言うような内側のみの案件がどんどん増えているんだと思う。
10年くらい前だと、内側のみならNIS/NIS+/NetInfoで十分って話だった。
0063名無しさん@お腹いっぱい。
2007/12/02(日) 18:09:08それchownの問題。
0は最初から数字なのに、
0ってユーザがいなければ、数字と思う
ってロジック。アプリが引くんだからsearchしないと仕方がない。
rootって指定して、/etc/passwdには+を最後に書けば、引きにいかない。
0064名無しさん@お腹いっぱい。
2007/12/02(日) 18:21:52なるほど,chown の問題でしたか.
Ubuntu を使っているのですが
(すみません,Linux板にLDAP関連のスレがなかったので)
起動時に X がらみで開いたソケットのオーナーを
chown で切り替えようとするんですよ.
鯖なので X サーバ自体は入れてないんですが,
PHP 関係ののパッケージを入れて依存関係で勝手に
入ってきた x11-common っていうパッケージに含まれる
起動スクリプトがなぜか X 関係のソケットを作成しようとするようで・・・
0065名無しさん@お腹いっぱい。
2007/12/02(日) 19:47:00rootと同じuid, gidで。
0066名無しさん@お腹いっぱい。
2007/12/02(日) 20:59:47いろいろと挙動を調べてみると、なぜか必要もないの
gid じゃなくて groups を調べようとしているようです。
なので group を全部舐めようとしているみたい。
0067ID:dTDEeRzx
2007/12/04(火) 13:05:03http://pc11.2ch.net/test/read.cgi/linux/1195800848/106-107
106 名前:login:Penguin[sage] 投稿日:2007/12/04(火) 11:24:32 ID:dTDEeRzx
うpだてでOpenLDAPのデータが吹っ飛んだ
BDBが壊れたかも
107 名前:login:Penguin[sage] 投稿日:2007/12/04(火) 12:18:11 ID:9Fjx+2mB
>>106
うちも消えた
/etc/openldap/schema/dnszone.schema
のパーミッションも変更されててldapが起動できなかった
オイラ達の外にもCentOS + OpenLDAPで何かう゛にゃってなった人いる?
0068名無しさん@お腹いっぱい。
2007/12/04(火) 13:26:39Netscape系のFedora Directory Serverを使える環境の人は、
そっち使った方が安心だよ。OpenLDAP壊れすぎ。
0069名無しさん@お腹いっぱい。
2007/12/06(木) 08:43:47レスありがとうございます。納得です。
DAPが必要な状況というのが、そもそも僕が思ってるよりも大規模なネットワークでの話だったんですね。
ActiveDirectoryと対比させて考えていたのでサッパリ分かってませんでした。
0070名無しさん@お腹いっぱい。
2007/12/06(木) 10:05:29X.500みたいな広域サービスがLDAPの元になってますから。
(X.500のディレクトリアクセスプロトコルが「DAP」)
小規模なら階層構造の必要がほとんどないですよね。
0071名無しさん@お腹いっぱい。
2007/12/08(土) 13:20:550072名無しさん@お腹いっぱい。
2007/12/13(木) 10:11:44/var/lib/ldap
以下を消してもリセットされません
ldapadd
で新しくデータを入れなおししようとしても
そのエントリーはすでにある
と言われます
どうすればリセットできるのでしょうか?
0073名無しさん@お腹いっぱい。
2007/12/13(木) 10:22:200074名無しさん@お腹いっぱい。
2007/12/13(木) 11:42:27id <LDAPで作成されたアカウント>
でちゃんとユーザは認識されてるけど、ldapツリーの中に作成した
posixGroupはシステム側で認識しないのかな?
o=example,c=jp
├ ou=Groups (organizationalUnit)
| └ cn=ldapUsers (posixGroup gid=10000)
└ ou=People (organizationalUnit)
└ cn=hoge (account, posixAccount uid=10000)
てな状況です。「id hoge」すると uid は hoge(10000) って出るけど
gidやgroupsは 10000 と表示されるだけなんですな。
ちゃんとgroupaddしてやらなきゃいかんのでしょうか。
007574
2007/12/13(木) 11:43:55ボーっと書いてました。すいません。
0076名無しさん@お腹いっぱい。
2007/12/13(木) 14:18:39次にldap.confのnss_base_groupあたり
007774
2007/12/13(木) 15:42:27あー!ありがとうございます
nsswichを files ldap にだけして首ひねってましたわ
0078名無しさん@お腹いっぱい。
2007/12/13(木) 16:03:58どう訂正したか詳しく書いとけ。
後からこのスレ読んだヤツが助かるだろ。
007974
2007/12/13(木) 17:12:28→ group: files ldap
/etc/ldap.conf の nss_base_group のコメントアウトを解除して
→ nss_base_group ou=Groups,o=example,c=jp
(LDAPツリーの構造は >>74 参照)
とした訳ですハイ。この結果システム側がldapツリーから
グループをきちんと認識できるようになったですよ。
# chown hoge:ldapUsers /home/hoge
しても「ldapUsersなんてグループはねーよバーカバーカ」と怒られません。
0080名無しさん@お腹いっぱい。
2007/12/26(水) 09:18:51メモ
ttp://www.sailing-notes.com/2007/12/centos51openlda.html
0081名無しさん@お腹いっぱい。
2007/12/26(水) 12:48:13何打よその地雷(w
0082名無しさん@お腹いっぱい。
2008/01/06(日) 10:46:41持たせることができますが,userPassword 属性はだけ特別な
意味を持ちますよね?たとえば slapd への接続のときには
この属性の値によって認証します.
この属性名は固定なのでしょうか?
それとも設定によっては他の属性を slapd への接続時の
認証情報として使うことができるのでしょうか?
0083名無しさん@お腹いっぱい。
2008/01/06(日) 10:57:08organizationalRole として追加すると userPassword 属性がありません.
このような特殊なエントリは一般ユーザの(POSIXアカウントの)
エントリとは別にしたいのですが,どうすればいいのでしょうか?
LDAP に対する操作は主として phpldapadmin で行っています.
0084名無しさん@お腹いっぱい。
2008/01/07(月) 09:32:16レプリケーションするのに管理者権限ないと、
access to attrs=userPassword
by self write
by anonymous auth
by * none
とかだった場合にuserPasswordがレプリケートされなかったりしない(・ω・)?
by xxxx とか書いて特定のアカウント「xxxx」にアクセス権限つけたりできたっけか?
というかそもそも管理者dnって posixAccount と別に作れない?
cn=ldapRoot,dn=example,dn=com みたいなdnでさ。
0085名無しさん@お腹いっぱい。
2008/01/07(月) 16:53:50ldap.conf に記述する rootdn と rootpw でLDAPプロバイダに
接続しちゃえばいいんじゃない?TLS 使って ldaps アクセスするような形で。
暗号化するとは言えルートDN使うのはよくないんだろうけど。
0086名無しさん@お腹いっぱい。
2008/01/07(月) 20:52:23RFC2829, Authentication Methods for LDAP
に"simple bind"での認証での記述でも、
RFC3062, LDAP Password Modify Extended Operation
でも、userPassword属性について言及してます。
ただ、必ずuserPassword属性でなければいけない(MUST)というわけではありません。
まず、userPassword属性は、
基本的に生パスワードテキストを前提としているため、
暗号化されたパスワードテキストを使う場合に、
RFC3112, LDAP Authentication Password Schema
で、authPassword属性を"simple bind"で使う場合の定義が行われています。
また、NIS schema(RFC2307)では、userPassword属性で、
暗号化されたパスワードテキストを使う場合を定義しています。
それからWindowsは違う属性を使うケースがあります。
ただし、ほとんどのLDAPサーバ実装では、
"simple bind"でどの属性を使うか固定しているので、
利用しているLDAPサーバのドキュメントを参照してください。
OpenLDAPはslapdの設定で行うことはできません。
ただしback-*を書けば可能です。
0087名無しさん@お腹いっぱい。
2008/01/07(月) 20:58:00organizationalRoleは、STRUCTURALクラスなので、
そのクラスのオブジェクトに属性を付加したいとなると、
その属性を持ったAUXILIARYクラスを加えることになります。
# 全てのLDAPオブジェクトは、
# ただ一つのSTRUCTURALクラスに必ず属さなければいけません。
# 加えて0以上のAUXILIARYクラスに属することが可能です。
userPassword属性だけを持ったAUXILIARYクラスは、
simpleSecurityObjectクラスです。core.schemaにあります。
0088名無しさん@お腹いっぱい。
2008/01/07(月) 21:01:38>>86
二行目先頭: に→の
> OpenLDAPは〜はできません。
「slapd.confの設定だけでuserPassword属性以外の属性を使うこと」
back-*というのは、Cで書くサーバのaddonです。
008949
2008/01/08(火) 23:25:22やりたいことは、uid=foo,ou=People,dc=example,dc=com に
"alias: f" を追加したいだけなのですが、以下のように 2 つ登録すれば
よいのでしょうか? 試してみたのですが、これもうまくいきません..。
# foo, People, example.com
dn: uid=foo,ou=People,dc=example,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
uid: foo
cn: foo
o: huga
uidNumber: 1000
homeDirectory: /home/foo
mail: foo@example.com
sn: dummy
gidNumber: 310
# f, People, example.com
dn: cn=f,ou=People,dc=example,dc=com
objectClass: alias
objectClass: extensibleObject
cn: f
aliasedObjectName: uid=foo,ou=People,dc=example,dc=com
0090名無しさん@お腹いっぱい。
2008/01/09(水) 01:24:23ぜんぜん違う。
とりあえず、Becky!作ったやつに死ねって言っといて。
aliasオブジェクトクラスって、シンボリックリンクみたいなもんだから。
009249
2008/01/09(水) 02:15:16beckyAddressBookExtension があり、ニックネームが使えるようになりました。
ttp://hatuka.nezumi.nu/log/2003/05/ldap_attributes.html
が、LDAP アドレス帳だとニックネームからの補完が効きませんでした。Becky! のバカ..。
板違いになってきたので、この辺で失礼いたします。
0093名無しさん@お腹いっぱい。
2008/01/09(水) 08:36:12LDAP関連のスレッドって少ないし、助かるわ
0094名無しさん@お腹いっぱい。
2008/01/09(水) 13:08:110095名無しさん@お腹いっぱい。
2008/01/10(木) 12:58:550096名無しさん@お腹いっぱい。
2008/01/18(金) 14:20:29ADSI-VB-LDAPで認証システムを構築したいのだが
009741
2008/01/22(火) 15:10:290098名無しさん@お腹いっぱい。
2008/01/22(火) 16:25:27009974
2008/01/22(火) 17:11:09どっちにしろオイラはヘタレSEなので大したのはできないだろうけど、
.asiaドメインが取れるようになったら本気出す
0100名無しさん@お腹いっぱい。
2008/01/22(火) 17:11:59恥ずかしいから見ちゃヤだー
0101名無しさん@お腹いっぱい。
2008/01/25(金) 16:25:33やっぱBDBは飛ぶ機能がついていたんだな
0102名無しさん@お腹いっぱい。
2008/01/25(金) 17:05:43BDBのバグが原因?
ML読まずにカキコ
0103名無しさん@お腹いっぱい。
2008/01/28(月) 09:04:02==========
> > ちなみに、どんな問題があるのでしょう。
> > 「かなり」ということなんで結構致命的なのかと...
http://www.osstech.co.jp/techinfo/openldap
にも少し書いてありますが、
http://www.openldap.org/software/download/OpenLDAP/openldap-release/openldap-2.2.30.tgz
のCHANGESを一度読んでみてください。気を失いそうになります。
そして本当にデータを喪失した方も結構います。
==========
osstech.co.jp のページの下部に
>BerkeleyDB (BDB)のバージョンを最新の 4.5.20にし、最新パッチを適用しています。高負荷で
>データが破壊する、ハングアップする、リカバリできないなどの多くの不具合を修正しています。
という恐ろしい一文が。
0104名無しさん@お腹いっぱい。
2008/01/28(月) 13:28:110105名無しさん@お腹いっぱい。
2008/01/28(月) 13:33:540106名無しさん@お腹いっぱい。
2008/01/28(月) 13:39:11規定バックエンドがそうだから仕方ないのかなあ。
0107名無しさん@お腹いっぱい。
2008/01/28(月) 13:47:01俺,既定のまま.
まぁユーザは内輪だけだから10人ちょっとなんだけど.
ちゃんとしたRDBを使った方がいいかなぁ.
0108名無しさん@お腹いっぱい。
2008/01/28(月) 14:45:02既に100人オーダーで使ってるが大丈夫だろうか。
csvファイルを useradd.pl とかいうスクリプトで放り込むのダリーなぁ
ldapaddさせてくれ全く
0109名無しさん@お腹いっぱい。
2008/01/28(月) 17:52:06> csvファイルを useradd.pl とかいうスクリプトで放り込むのダリーなぁ
> ldapaddさせてくれ全く
どういうこと?
0110名無しさん@お腹いっぱい。
2008/01/29(火) 08:50:45ldapクライアントの知識が無い癖に誰かに吹き込まれて「LDAPでいこうガッハッハ」とか
言い出した社長のために、ソフト納入会社がperlを組んでくれたのですよ。
ldifをldapaddで放り込むのではなく、csvでデータ作成してそれをperlに与えて
エントリを作成したり修正したりせなならんのです
オイラとしては使い慣れたldapadd -x -D "cn=root,dc=example,dc=com" 〜〜 の
方がずっと使いやすいのだがにゃーと。
0111109
2008/01/29(火) 18:57:44マルチエントリの属性や外部データがない限りCSVで十分だろ。
知識ない人もWordで作れるし。
0112名無しさん@お腹いっぱい。
2008/01/30(水) 00:30:39LDAPの参考書の1行目にも「リレーショナルデータベースでは無いので〜」
と書いてあるではないか。社長の考えは間違ってないぞ。
0113名無しさん@お腹いっぱい。
2008/01/30(水) 11:46:06ションが最小限しかないから、RDBとはいいがたいけど。ただ>>112が何を言
おうとしているのかはさっぱり分からない。
0114名無しさん@お腹いっぱい。
2008/02/06(水) 12:24:20一般的なRDBも使えるのは知ってる。 現に Postgresql(UNIXodbc)のバック
エンドなんてのもあるしね。 BDBの難点は、やたらバージョン更新があるのに
バージョンアップするときの互換性がないとこかな。 4.x だけでも4.0〜4.6まで
いろいろありすぎ。
いったんLDIFに出せばいいっていう話はあるのだけど、バイナリ互換のほうが
楽でいいと思う。 バイナリ互換性を追い求めちゃいけないのかな。
Postgresql+UnixODBCだって水物っぽかった時期に触って徒労に終わったし。
0115名無しさん@お腹いっぱい。
2008/02/06(水) 12:45:481. <mathematics> A subset of the product of two sets, R : A x B. If
(a, b) is an element of R then we write a R b, meaning a is related to
b by R. A relation may be: reflexive (a R a), symmetric (a R b => b R
a), transitive (a R b & b R c => a R c), antisymmetric (a R b & b R a
=> a = b) or total (a R b or b R a).
リレイション = 関係型データベースの「関係」
←→関数型データベース
0116名無しさん@お腹いっぱい。
2008/02/08(金) 11:10:59bdbじゃなかったら何がお勧めなの?
0117名無しさん@お腹いっぱい。
2008/02/08(金) 12:41:44日本語大丈夫?
0118名無しさん@お腹いっぱい。
2008/02/28(木) 00:11:100119名無しさん@お腹いっぱい。
2008/02/28(木) 00:38:18マイナーバージョン違いでも平気でデータのバイナリ互換性ないしw
0120名無しさん@お腹いっぱい。
2008/03/01(土) 22:44:420121名無しさん@お腹いっぱい。
2008/03/07(金) 12:52:240122名無しさん@お腹いっぱい。
2008/03/07(金) 18:17:190123名無しさん@お腹いっぱい。
2008/03/07(金) 21:04:51・bdbバックエンドを使って、
・毎日のバックアップも取ってない
そのような人間はゆっくり眠れないはずだ、
という共通認識が出来上がっている。
バックアップはちゃんとdb_dump使わないとまずいです。
LDAPのオペレーションの方でやるか。
0124名無しさん@お腹いっぱい。
2008/03/10(月) 11:19:06だからガノタは巣に帰れと
0125名無しさん@お腹いっぱい。
2008/03/12(水) 13:33:090126名無しさん@お腹いっぱい。
2008/03/12(水) 15:14:04意味が。
0127名無しさん@お腹いっぱい。
2008/03/13(木) 02:31:59この前サーバに張ってあった備品シールをはがした。
0128名無しさん@お腹いっぱい。
2008/03/13(木) 02:32:47クライアントからのリクエストには問題なく答えましたか?
0129名無しさん@お腹いっぱい。
2008/03/13(木) 11:02:57バックアップするなら、ldif ファイルをとる方が、バージョンアップに耐えるからいい。
0130名無しさん@お腹いっぱい。
2008/03/27(木) 10:07:000131名無しさん@お腹いっぱい。
2008/04/01(火) 00:44:47アカウント aaa uid=20000,gid=20000
アカウント bbb uid=0,gid=0
LDAP経由でアカウントaaaはログインできるのに、アカウントbbbは Login incorrectとなってログインできません。
ldapsearch ではアカウントaaa,bbbとも結果が返ってきます。
クライアントのOSは、RHEL4.6 です。
書いていて気付きました。rootでのログインを禁止していたことに。
0132名無しさん@お腹いっぱい。
2008/04/01(火) 00:49:34おめw
0133名無しさん@お腹いっぱい。
2008/04/01(火) 09:13:260134名無しさん@お腹いっぱい。
2008/04/01(火) 18:40:510135名無しさん@お腹いっぱい。
2008/04/19(土) 00:17:23認証サーバーが一台、ログインホスト3台という環境で、
特定のユーザーが1台のホストからだけログインするような設定も可能なんですよね?
○図
認証サーバー(OpenLDAP)
|
+ホスト1
+ホスト2
+ホスト3 ← ユーザーはこのホストからだけログインさせたい。
0136名無しさん@お腹いっぱい。
2008/04/19(土) 00:59:42どうしてもLDAP上に置くなら、
・別のbase DNにする
・pam_filterで弾く
などの方法がある。
0137名無しさん@お腹いっぱい。
2008/04/29(火) 03:54:472.3.x 系と 2.4.x 系は何が違うか書いてあるページがあったら教えてください。
うまく探せませんでした。英語でも若干おっけーです。
0138名無しさん@お腹いっぱい。
2008/04/29(火) 06:31:18それから二桁目奇数は開発バージョン。
0139名無しさん@お腹いっぱい。
2008/04/29(火) 13:24:39万能な回答ですねw
0140名無しさん@お腹いっぱい。
2008/05/17(土) 23:28:510141名無しさん@お腹いっぱい。
2008/05/18(日) 02:14:390142名無しさん@お腹いっぱい。
2008/05/19(月) 00:14:32> LDAPの構築
ここからして意味がわからん
0143名無しさん@お腹いっぱい。
2008/05/20(火) 17:35:400144名無しさん@お腹いっぱい。
2008/05/20(火) 20:47:051万もエントリがあれば大規模なんじゃない?
0145名無しさん@お腹いっぱい。
2008/05/28(水) 01:27:170146名無しさん@お腹いっぱい。
2008/05/29(木) 07:11:170147名無しさん@お腹いっぱい。
2008/05/29(木) 11:10:02× ldapsearch -x -H ldap://localhost uid=hogehoge
× ldapsearch -x -H ldap://localhost uidNumber=1000
○ ldapsearch -x -H ldap://localhost cn=hogehoge
○ ldapsearch -x -H ldap://localhost loginShell=/bin/false
この違いはどこから来るの?フィルターとして使える、
使えないはどこで決められているのでしょうか?
0148名無しさん@お腹いっぱい。
2008/05/29(木) 11:34:09uid=punipuni にして uid=hogehoge に戻したら検索できるようになった。
何が起こってるんだ・・・
0149名無しさん@お腹いっぱい。
2008/05/29(木) 11:41:36なんだったんだ。
俺の午前中を返せ。
0150名無しさん@お腹いっぱい。
2008/05/29(木) 22:07:25> データベースの一貫性を保証したいのであれば、
> slapindex を実行している間は slapd(8) の実行を中断してください。
この辺りはちゃんと守ってますか?
■ このスレッドは過去ログ倉庫に格納されています