トップページunix
298コメント101KB

OpenLDAP

■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。2007/08/02(木) 01:24:49
なぜないのだ、この話題?
0090名無しさん@お腹いっぱい。2008/01/09(水) 01:24:23
>>89
ぜんぜん違う。
とりあえず、Becky!作ったやつに死ねって言っといて。
aliasオブジェクトクラスって、シンボリックリンクみたいなもんだから。
0091492008/01/09(水) 01:29:38
>>90
やっぱり...。orz
シンボリックっぽく使えることは確認できました。
0092492008/01/09(水) 02:15:16
たびたびすみません。以下のサイトの addressbooks.schema にそのものズバリ
beckyAddressBookExtension があり、ニックネームが使えるようになりました。

ttp://hatuka.nezumi.nu/log/2003/05/ldap_attributes.html

が、LDAP アドレス帳だとニックネームからの補完が効きませんでした。Becky! のバカ..。
板違いになってきたので、この辺で失礼いたします。
0093名無しさん@お腹いっぱい。2008/01/09(水) 08:36:12
いや、特定のソフトに対する事例ではあるけど決して無関係ではない希ガス
LDAP関連のスレッドって少ないし、助かるわ
0094名無しさん@お腹いっぱい。2008/01/09(水) 13:08:11
ネットウエアのほうがシングルログオンは優秀かも?
0095名無しさん@お腹いっぱい。2008/01/10(木) 12:58:55
NDS?
0096名無しさん@お腹いっぱい。2008/01/18(金) 14:20:29
LDAPとVBの連携についてmsdn.microsoft以外に言及してるサイトって無いかな。
ADSI-VB-LDAPで認証システムを構築したいのだが
0097412008/01/22(火) 15:10:29
>41のpdf流れちゃったけどまだ需要ある?
0098名無しさん@お腹いっぱい。2008/01/22(火) 16:25:27
あーゆーのこそまとめを作ってageといてくれ
0099742008/01/22(火) 17:11:09
今さくらとcoreserverで実証している最中なのdeath-you

どっちにしろオイラはヘタレSEなので大したのはできないだろうけど、
.asiaドメインが取れるようになったら本気出す
0100名無しさん@お腹いっぱい。2008/01/22(火) 17:11:59
んが、中途半端にコテが残ってた
恥ずかしいから見ちゃヤだー
0101名無しさん@お腹いっぱい。2008/01/25(金) 16:25:33
今日はOpenLDAPのMLが活発に議論しているみたいだね

やっぱBDBは飛ぶ機能がついていたんだな
0102名無しさん@お腹いっぱい。2008/01/25(金) 17:05:43
どういうこと?
BDBのバグが原因?
ML読まずにカキコ
0103名無しさん@お腹いっぱい。2008/01/28(月) 09:04:02
LDAP-ML 247番より引用
==========
> > ちなみに、どんな問題があるのでしょう。
> > 「かなり」ということなんで結構致命的なのかと...

http://www.osstech.co.jp/techinfo/openldap
にも少し書いてありますが、
http://www.openldap.org/software/download/OpenLDAP/openldap-release/openldap-2.2.30.tgz
のCHANGESを一度読んでみてください。気を失いそうになります。

そして本当にデータを喪失した方も結構います。
==========

osstech.co.jp のページの下部に
>BerkeleyDB (BDB)のバージョンを最新の 4.5.20にし、最新パッチを適用しています。高負荷で
>データが破壊する、ハングアップする、リカバリできないなどの多くの不具合を修正しています。

という恐ろしい一文が。
0104名無しさん@お腹いっぱい。2008/01/28(月) 13:28:11
怖〜〜〜〜
0105名無しさん@お腹いっぱい。2008/01/28(月) 13:33:54
恐ろしくなったので今ldifで全部書き出して保存した
0106名無しさん@お腹いっぱい。2008/01/28(月) 13:39:11
え、まだbdb使っている人いるの?
規定バックエンドがそうだから仕方ないのかなあ。
0107名無しさん@お腹いっぱい。2008/01/28(月) 13:47:01
>>106
俺,既定のまま.
まぁユーザは内輪だけだから10人ちょっとなんだけど.
ちゃんとしたRDBを使った方がいいかなぁ.
0108名無しさん@お腹いっぱい。2008/01/28(月) 14:45:02
オイラの職場に導入されたのもBDB使ってる……
既に100人オーダーで使ってるが大丈夫だろうか。

csvファイルを useradd.pl とかいうスクリプトで放り込むのダリーなぁ
ldapaddさせてくれ全く
0109名無しさん@お腹いっぱい。2008/01/28(月) 17:52:06
>>108
> csvファイルを useradd.pl とかいうスクリプトで放り込むのダリーなぁ
> ldapaddさせてくれ全く

どういうこと?
0110名無しさん@お腹いっぱい。2008/01/29(火) 08:50:45
>109
ldapクライアントの知識が無い癖に誰かに吹き込まれて「LDAPでいこうガッハッハ」とか
言い出した社長のために、ソフト納入会社がperlを組んでくれたのですよ。
ldifをldapaddで放り込むのではなく、csvでデータ作成してそれをperlに与えて
エントリを作成したり修正したりせなならんのです

オイラとしては使い慣れたldapadd -x -D "cn=root,dc=example,dc=com" 〜〜 の
方がずっと使いやすいのだがにゃーと。
01111092008/01/29(火) 18:57:44
つまんない愚痴かよw

マルチエントリの属性や外部データがない限りCSVで十分だろ。
知識ない人もWordで作れるし。
0112名無しさん@お腹いっぱい。2008/01/30(水) 00:30:39
>>110
LDAPの参考書の1行目にも「リレーショナルデータベースでは無いので〜」
と書いてあるではないか。社長の考えは間違ってないぞ。
0113名無しさん@お腹いっぱい。2008/01/30(水) 11:46:06
一応、LDAPのデータは「リレイション」だよ。DAPと違って、LDAPはトランザク
ションが最小限しかないから、RDBとはいいがたいけど。ただ>>112が何を言
おうとしているのかはさっぱり分からない。



0114名無しさん@お腹いっぱい。2008/02/06(水) 12:24:20
 LDAPはあくまでプロトコル体系でしょ。 そのデータベースはバックエンドで
一般的なRDBも使えるのは知ってる。 現に Postgresql(UNIXodbc)のバック
エンドなんてのもあるしね。 BDBの難点は、やたらバージョン更新があるのに
バージョンアップするときの互換性がないとこかな。 4.x だけでも4.0〜4.6まで
いろいろありすぎ。

 いったんLDIFに出せばいいっていう話はあるのだけど、バイナリ互換のほうが
楽でいいと思う。 バイナリ互換性を追い求めちゃいけないのかな。
Postgresql+UnixODBCだって水物っぽかった時期に触って徒労に終わったし。
0115名無しさん@お腹いっぱい。2008/02/06(水) 12:45:48
relation from FOLDOC

1. <mathematics> A subset of the product of two sets, R : A x B. If
(a, b) is an element of R then we write a R b, meaning a is related to
b by R. A relation may be: reflexive (a R a), symmetric (a R b => b R
a), transitive (a R b & b R c => a R c), antisymmetric (a R b & b R a
=> a = b) or total (a R b or b R a).

リレイション = 関係型データベースの「関係」
←→関数型データベース
0116名無しさん@お腹いっぱい。2008/02/08(金) 11:10:59
bdb使わなければ変なバグは出ないの?
bdbじゃなかったら何がお勧めなの?
0117名無しさん@お腹いっぱい。2008/02/08(金) 12:41:44
>116
日本語大丈夫?
0118名無しさん@お腹いっぱい。2008/02/28(木) 00:11:10
bdbって、4.0〜4.6まであってどれつこたらええかわからん
0119名無しさん@お腹いっぱい。2008/02/28(木) 00:38:18
悪いこと言わないから他のにしなよ。
マイナーバージョン違いでも平気でデータのバイナリ互換性ないしw
0120名無しさん@お腹いっぱい。2008/03/01(土) 22:44:42
slapd.confのbind_policyをsoftにしたらslapdの起動が凄く高速化したんですが弊害ってないんですかね?
0121名無しさん@お腹いっぱい。2008/03/07(金) 12:52:24
bdbさえ使わなければyumでldapのバージョン上げる度におかしなエラーに遭遇しないのかい?
0122名無しさん@お腹いっぱい。2008/03/07(金) 18:17:19
BDBから離れたらゆっくり眠れる保証があるんですか
0123名無しさん@お腹いっぱい。2008/03/07(金) 21:04:51
そういう方向の約束は難しいんだが、
・bdbバックエンドを使って、
・毎日のバックアップも取ってない
そのような人間はゆっくり眠れないはずだ、
という共通認識が出来上がっている。

バックアップはちゃんとdb_dump使わないとまずいです。
LDAPのオペレーションの方でやるか。
0124名無しさん@お腹いっぱい。2008/03/10(月) 11:19:06
>122
だからガノタは巣に帰れと
0125名無しさん@お腹いっぱい。2008/03/12(水) 13:33:09
ldapのクライアント側を変更しないでserverだけ変更することってできるの?
0126名無しさん@お腹いっぱい。2008/03/12(水) 15:14:04


意味が。
0127名無しさん@お腹いっぱい。2008/03/13(木) 02:31:59
>>125
この前サーバに張ってあった備品シールをはがした。
0128名無しさん@お腹いっぱい。2008/03/13(木) 02:32:47
>>127
クライアントからのリクエストには問題なく答えましたか?
0129名無しさん@お腹いっぱい。2008/03/13(木) 11:02:57
>>123
バックアップするなら、ldif ファイルをとる方が、バージョンアップに耐えるからいい。
0130名無しさん@お腹いっぱい。2008/03/27(木) 10:07:00
tokutei.asia
0131名無しさん@お腹いっぱい。2008/04/01(火) 00:44:47
LDAPサーバにアカウントが2つあります。

アカウント aaa uid=20000,gid=20000
アカウント bbb uid=0,gid=0

LDAP経由でアカウントaaaはログインできるのに、アカウントbbbは Login incorrectとなってログインできません。
ldapsearch ではアカウントaaa,bbbとも結果が返ってきます。

クライアントのOSは、RHEL4.6 です。
書いていて気付きました。rootでのログインを禁止していたことに。

0132名無しさん@お腹いっぱい。2008/04/01(火) 00:49:34
>>131
おめw
0133名無しさん@お腹いっぱい。2008/04/01(火) 09:13:26
ぷぎゃーw
0134名無しさん@お腹いっぱい。2008/04/01(火) 18:40:51
心温まるレスだな
0135名無しさん@お腹いっぱい。2008/04/19(土) 00:17:23
OpenLDAP に興味を持っているんですけど、
認証サーバーが一台、ログインホスト3台という環境で、
特定のユーザーが1台のホストからだけログインするような設定も可能なんですよね?

○図
認証サーバー(OpenLDAP)
 |
 +ホスト1
 +ホスト2
 +ホスト3 ← ユーザーはこのホストからだけログインさせたい。
0136名無しさん@お腹いっぱい。2008/04/19(土) 00:59:42
そのお題ならLDAP上にアカウント情報を置く必要ないと思うが、
どうしてもLDAP上に置くなら、
・別のbase DNにする
・pam_filterで弾く
などの方法がある。
0137名無しさん@お腹いっぱい。2008/04/29(火) 03:54:47
ものごっつ初歩的な質問で申し訳ないんですけど、
2.3.x 系と 2.4.x 系は何が違うか書いてあるページがあったら教えてください。
うまく探せませんでした。英語でも若干おっけーです。
0138名無しさん@お腹いっぱい。2008/04/29(火) 06:31:18
tar玉のCHANGESを読んで。
それから二桁目奇数は開発バージョン。
0139名無しさん@お腹いっぱい。2008/04/29(火) 13:24:39
>>138
万能な回答ですねw
0140名無しさん@お腹いっぱい。2008/05/17(土) 23:28:51
LDAPサーバ構築、頭痛い
0141名無しさん@お腹いっぱい。2008/05/18(日) 02:14:39
LDAPの構築ってどれくらいで「大規模」って呼ばれるんでしょ?
0142名無しさん@お腹いっぱい。2008/05/19(月) 00:14:32
>>141
> LDAPの構築

ここからして意味がわからん
0143名無しさん@お腹いっぱい。2008/05/20(火) 17:35:40
意味わかるだろ
0144名無しさん@お腹いっぱい。2008/05/20(火) 20:47:05
東大は3万件というがあれはNECのEDSだからなあ
1万もエントリがあれば大規模なんじゃない?
0145名無しさん@お腹いっぱい。2008/05/28(水) 01:27:17
エントリ一万で大規模か。基準がよくわからないが。パスワードポリシー使っている人います?色々調べたんだが中々良い文献が無いな。英語はよめん!
0146名無しさん@お腹いっぱい。2008/05/29(木) 07:11:17
何が知りたいの?
0147名無しさん@お腹いっぱい。2008/05/29(木) 11:10:02
Debian Etch で slapd 動かしてみたんだけど、

× ldapsearch -x -H ldap://localhost uid=hogehoge
× ldapsearch -x -H ldap://localhost uidNumber=1000
○ ldapsearch -x -H ldap://localhost cn=hogehoge
○ ldapsearch -x -H ldap://localhost loginShell=/bin/false

この違いはどこから来るの?フィルターとして使える、
使えないはどこで決められているのでしょうか?
0148名無しさん@お腹いっぱい。2008/05/29(木) 11:34:09
うぉぉ
uid=punipuni にして uid=hogehoge に戻したら検索できるようになった。
何が起こってるんだ・・・
0149名無しさん@お腹いっぱい。2008/05/29(木) 11:41:36
slapindex で直った・・
なんだったんだ。
俺の午前中を返せ。
0150名無しさん@お腹いっぱい。2008/05/29(木) 22:07:25
> 制限
> データベースの一貫性を保証したいのであれば、
> slapindex を実行している間は slapd(8) の実行を中断してください。

この辺りはちゃんと守ってますか?
0151名無しさん@お腹いっぱい。2008/05/29(木) 22:07:53
それからbdb(Berkley DB)を使ってませんか?
0152名無しさん@お腹いっぱい。2008/05/30(金) 02:00:29
ユーザ7000人のシステムでインデックスをデフォルトのままで動かしたら、処理重いよね?
nscdも使わない設計なんだけど、やばくない?
0153名無しさん@お腹いっぱい。2008/05/30(金) 07:55:10
ユーザ数に対しては最高でもログのオーダーだが、
アクセス数に対してはリニアオーダー。
0154名無しさん@お腹いっぱい。2008/05/30(金) 13:29:56
何のための slurpd だよ
0155名無しさん@お腹いっぱい。2008/05/30(金) 23:28:06
>>153
意味がわからん
LDAPで日本語って普通に使える?特別な設定やパッケージ必要?
0156名無しさん@お腹いっぱい。2008/05/31(土) 18:54:11
年中無休発狂妄想爆裂憤死寸前粘着真性キチガイ包茎池沼病気猿男(狂猿)◆QfF6cO2gD6による気違いカキコの続き:

初心者もOK! FreeBSD質問スレッド その95
http://pc11.2ch.net/test/read.cgi/unix/1210728872/706-708,710,712

706 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 16:24:19
AAとコピペばっか

707 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 16:25:33
アク禁報告を誰もしてないのが不思議w
してても無視されてるのか

708 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 16:31:15
>>704
假性ですが何か?

710 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 17:45:14
粘着キチガイ男(狂犬)をアク禁にしたらリアルに無差別殺人起こす可能性が高いからな。

712 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/05/31(土) 17:59:51
ビビって書き込み止めたのか?と煽ってみる
--------------------------------------------------------------------------------------------
UNIX板のあちこちのスレッドを荒らしている凶悪メンヘラ・真性キチガイ猿粘着◆QfF6cO2gD6。
いつも荒らしを憎むようなレスをするが、実際に荒らしているのは自分。
気色の悪い年中無休発狂粘着真性キチガイ包茎池沼病気猿男(狂猿)◆QfF6cO2gD6があちこちのスレに
遂に理解できないような基地害カキコをし始めた!気持ちが悪い…。
0157名無しさん@お腹いっぱい。2008/06/03(火) 10:47:13
すいません、この辺を見ながらLDAPに挑戦しているのですが↓
http://www.atmarkit.co.jp/flinux/rensai/linuxtips/907ldapentrie.html

ldapaddを実行したら command not found て…
前項で yum install openldap-servers でインストールは済んでるんですが
他にインストール必要なものって有ったりしますか
0158名無しさん@お腹いっぱい。2008/06/03(火) 11:03:06
つ yum search openldap-
0159名無しさん@お腹いっぱい。2008/06/05(木) 01:21:03
path通してないとかいうオチじゃないよね?
0160名無しさん@お腹いっぱい。2008/06/12(木) 20:59:48
クライアント計算機にログインしたときは,LDAP で認証& NFS なホームを automount
できるところまで設定してます.
この状況で,さらに,www サーバにログインする際は,LDAP で認証& www サーバ上の
ディレクトリを,ホームディレクトリとしたいのですが,これは設定したらいいのでしょう?
ヒントをくださいませ.
0161名無しさん@お腹いっぱい。2008/06/12(木) 22:47:39
>>160
wwwサーバでautomount動かさなきゃいいだろ。
ホームをNFSマウントしなければいい。
01621602008/06/13(金) 04:33:15
説明がたりなくてすみません.

www サーバとその他のサーバで,ホームディレクトリのパスが同じなら(どちらの場合も
ユーザ hoge のホームが /home/hoge だったら),うまくいくのは確認してます.
(そもそも,これは LDAP が期待した動作?ごまかしてるだけな気が)

いまは,NFS,www サーバ のユーザ hoge の$HOME は以下のように異なっています.
NFS: /home/foo/bar/hoge
www サーバ: /home/hoge
これで,www サーバに LDAP 認証でログインすると,$HOMEは NFS のホームとなっていて,
「ホームがない!」といわれて,ログイン直後のカレントディレクトリが "/" になります.
こういうとき,どう解決するのでしょうか??
0163名無しさん@お腹いっぱい。2008/06/13(金) 05:53:10
mount --bindするとかシンボリックリンクはるとかで解決できないかな?

ldapとは関係ない気がするけど。
0164名無しさん@お腹いっぱい。2008/06/13(金) 08:04:51
>>162
LDAPは何も期待してないぞ。
あんたが勝手な期待してるだけ。

OpenLDAPならshell DBで、filterする手もあるが、
どう考えてもパスを合わせた方が楽で、自然。
0165名無しさん@お腹いっぱい。2008/06/14(土) 16:17:47
インスコ、初期設定までして、最上位ツリーとマネージャー登録したのですが、ldapsearchでエントリが表示されず、エラーコード32が表示されています。
登録時にエラーはなかったのですが、なぜマネージャーすら表示できないんでしょうか?
slap.confはデフォルトの使ってます。
0166名無しさん@お腹いっぱい。2008/06/14(土) 18:26:48
よくあるのは、サーチベースを指定していない場合だけれど、どうでしょうか
0167名無しさん@お腹いっぱい。2008/06/15(日) 02:27:15
>>165
エラーコードの意味は調べてあるの? 調べてあるの? あるの?
0168名無しさん@お腹いっぱい。2008/06/16(月) 03:11:18
しつもんします
version2.3.39のopenldapでLDAPのつかいかたを学習中です

SASL/gssapi認証をためしているのですが
slapd.confのrootdnの行を
rootdn uid=ほげ,cn=<realm名>,cn=gssapi,cn=auth
としてldapmodifyなどをつかってほげがエントリを修正しようとすると
"Insufficient access (50)"のエラーになります。


...なのですがslapd.confのrootdnの行からcn=<realm名>を消して
rootdn uid=ほげ,cn=gssapi,cn=auth
とすると、ldapmodifyなどの修正は問題なく成功します

これは既定の動作なのでしょうか?
それともやっぱり何かまちがってるでしょうか?
01691682008/06/16(月) 03:32:26
..slapd.confで

sasl-realm <realm名>

を設定することで期待していた動作になりました
ども お騒がせしました
0170名無しさん@お腹いっぱい。2008/06/18(水) 01:27:15
>>166-167
自己解決してましたがレスどうも。
ベースの設定でした。
ldap.confいじるなんて俺の数ある情報源には無かった。w
ログ見て、ベースが空欄になっているのはわかっていたのですが、まさかldap.confとは。
0171名無しさん@お腹いっぱい。2008/06/20(金) 09:15:09
ldapsearchならオプションで指定できるが。
0172名無しさん@お腹いっぱい。2008/06/21(土) 00:52:51
オプションでできるけど、いちいち指定するのがめんどい。話変わるけど、root以外でslapd起動している人います?
-u 付けてroot以外で動かしたら挙動がおかしくなったよ。各ファイルの権限も問題ないのだが。
0173名無しさん@お腹いっぱい。2008/06/21(土) 07:19:27
問題ないです。
01741722008/06/22(日) 19:20:11
以下のようなエラーが出ています。
ldapsearchすら受付てくれない。
ログインはかなり待てばログインできます。
nss_ldap、PAMのなんかが悪いってことは解ったのですが、rootなら問題なくて、
一般ユーザで起動すると駄目っていう現象がいまいちわかりません。。。

nss_ldap: failed to bind to LDAP server ldap://xxx: Can't contact LDAP server
sshd[29793]: nss_ldap: failed to bind to LDAP server ldap://xxx: Can't contact LDAP server
sshd[29793]: nss_ldap: reconnecting to LDAP server (sleeping 4 seconds)...
0175名無しさん@お腹いっぱい。2008/06/22(日) 21:00:17
サーバ接続エラーがあればまずチェックすることがあるよな
172のふざけた返事から察するに本物のバカっぽいが
0176名無しさん@お腹いっぱい。2008/06/22(日) 21:12:16
>>174
> 一般ユーザで起動すると
< 一般ユーザでログインすると

でしょ。
rootはpam_unixにnss_fileだから。
0177名無しさん@お腹いっぱい。2008/06/24(火) 00:10:25
なんか、slapdが起動してなさそうなエラーですね。
かなり待てばうんぬんは、ldap→filesな感じでしょうか。
01781722008/06/26(木) 01:18:36
slapdは起動しています。psで見た結果です。
新たに判明したのが、しばらく放置すれば正常に
使えます。
0179名無しさん@お腹いっぱい。2008/06/26(木) 01:46:37
ログは読めない人なの?
エラーコードも調べられなかったみたいだし。
0180名無しさん@お腹いっぱい。2008/06/26(木) 08:36:36
psで確認する程度の能力で自己解決なんてムリか
教えたって学習しないだろうから相手にするだけあほらしいよ
金払ってみてもらいなさい
0181名無しさん@お腹いっぱい。2008/06/30(月) 02:22:53

何様www
0182名無しさん@お腹いっぱい。2008/06/30(月) 11:03:28
本当のことを言われて悔しい低能さんですか?
0183名無しさん@お腹いっぱい。2008/07/01(火) 12:21:26
なんでここは高圧的な人が多そうなのかね
0184名無しさん@お腹いっぱい。2008/07/01(火) 14:17:22
タダで手取り足取り何でもかんでも教えてもらおうというクズをやさしく扱えといわれても困る
0185名無しさん@お腹いっぱい。2008/07/04(金) 00:55:38
それはわかるけど、口が悪い。一言多い。
0186名無しさん@お腹いっぱい。2008/07/04(金) 13:31:23
>>165
> エラーコード32が表示されています。

これがnoSuchObjectだって分かったのかなあ。
検索の結果がないんじゃないから、
bindしているDNがおかしいか、base DNがおかしいかどっちかって、
すぐに分かるんだけど。"Object"の意味が分かっていれば。
0187名無しさん@お腹いっぱい。2008/07/09(水) 03:11:40
で?
0188名無しさん@お腹いっぱい。2008/07/11(金) 13:51:09
現在,LDAP で MD5 パスワードを使って認証しています.
LDAP に格納されたハッシュ済みのパスワードを,
HTTP のダイジェスト認証にも使うことは可能でしょうか?


0189名無しさん@お腹いっぱい。2008/07/11(金) 13:59:40
>>188
いいえ
■ このスレッドは過去ログ倉庫に格納されています