OpenLDAP
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
2007/08/02(木) 01:24:490248名無しさん@お腹いっぱい。
2009/06/23(火) 23:01:260249名無しさん@お腹いっぱい。
2009/07/05(日) 02:08:430250名無しさん@お腹いっぱい。
2009/07/05(日) 17:26:41ADでUNIX、Linux管理できるのか?
0251名無しさん@お腹いっぱい。
2009/07/05(日) 18:54:08バージョンアップするたびに検証する必要があるな、MS製品の場合。
0252名無しさん@お腹いっぱい。
2009/08/13(木) 21:46:400253名無しさん@お腹いっぱい。
2009/12/27(日) 01:32:38mailしか使えないユーザー objcetClass=mailResipient
sshでログインできるユーザー objcetClass=posixUser
squidにだけアクセスできるユーザー objcetClass=inetOrgPerson
0254名無しさん@お腹いっぱい。
2009/12/27(日) 02:55:56mail spoolもそのシステムには存在しないのでしょうか?
squidにだけアクセスできるというのはどういう意味ですか?
squidでユーザ認証はしますか?
0255名無しさん@お腹いっぱい。
2009/12/27(日) 05:55:19みたいなものを書き足せばメールアドレスだけ使えるユーザーになるのではないかと思いました
0256名無しさん@お腹いっぱい。
2009/12/27(日) 06:22:050257名無しさん@お腹いっぱい。
2009/12/27(日) 09:17:46質問に全部答えろw
mail spoolはなくていいの?
0258名無しさん@お腹いっぱい。
2009/12/27(日) 17:36:31むしろ、どうして関係あるといいたいのだね?
0259名無しさん@お腹いっぱい。
2009/12/27(日) 19:25:10お前には聞いてないw
0260名無しさん@お腹いっぱい。
2009/12/27(日) 20:56:53質問に全部答えろ
mail spool はどうして関係してるの?
0261名無しさん@お腹いっぱい。
2009/12/27(日) 21:01:480262名無しさん@お腹いっぱい。
2009/12/28(月) 03:21:570263名無しさん@お腹いっぱい。
2009/12/28(月) 03:29:230264名無しさん@お腹いっぱい。
2009/12/28(月) 07:38:130265名無しさん@お腹いっぱい。
2010/01/16(土) 17:49:45ldapsearch -x -b 'dc=localdomain' '(&(objectClass=posixGroup)(memberUid=hoge))'
のようにして、特定のposixAccountが属するposixGroupの一覧は得られますが、
逆に、特定のposixGroupに属するposixAccountの一覧を得るにはどのようにすればよいのでしょうか?
0266名無しさん@お腹いっぱい。
2010/01/16(土) 23:07:241. posixGroupとposixAccountの関係をきちんとツリー構造にする。
同じposixAccountのコピーだらけになってしまう点が難。aliasは(以下略
2. posixAccountのdescriptionなどにグループ名を含ませて検索に利用する。
オレオレ仕様な点が難。
もし>>41氏のまとめにヒントがありましたら、ぜひ再アップを希望致します。
0267名無しさん@お腹いっぱい。
2010/01/17(日) 02:33:500268名無しさん@お腹いっぱい。
2010/01/17(日) 07:16:24ありがとうございます。
なのですが、uidのみの一覧ではなく、uidを含むposixAccount全体の一覧を得たい感じです。
どうやらmemberof overlayという仕組みが目的に近いようです。
全く未知の分野なので暫く地下に潜ります。
失礼しました。
0269名無しさん@お腹いっぱい。
2010/01/17(日) 10:14:27ldapsearch -x -b 'dc=localdomain' "(&(objectClass=posixAccount)(uid=$i))"
done
0270名無しさん@お腹いっぱい。
2010/02/23(火) 01:14:431.3.6.1.3 Experimental
を使っておけば問題ないのでしょうか?
0271名無しさん@お腹いっぱい。
2010/02/23(火) 01:38:18でもバージョン2.3以降からその行が消えています。謎です。
0272名無しさん@お腹いっぱい。
2010/02/24(水) 00:58:07それはExperimental RFCで定義されているOID用。
割り当てて貰うか、いいのを探すか。
>>271
よくない使い方を勧めれば削除されて当然。
0273名無しさん@お腹いっぱい。
2010/03/22(月) 10:39:040274名無しさん@お腹いっぱい。
2010/05/24(月) 03:24:190275名無しさん@お腹いっぱい。
2010/05/24(月) 03:44:22ソースもってきたらちゃんと書いてありました僕が馬鹿でした
0276名無しさん@お腹いっぱい。
2010/07/15(木) 16:03:460277名無しさん@お腹いっぱい。
2010/10/02(土) 22:43:100278名無しさん@お腹いっぱい。
2010/10/09(土) 20:45:512004年ごろにLPIC Level 3にLDAPの試験が用意されると聞いて
受験してみようと思いつつ、もう6年経ってしまった。
0279名無しさん@お腹いっぱい。
2010/10/09(土) 22:10:18なければマ板がいいんじゃない?
0280名無しさん@お腹いっぱい。
2010/10/10(日) 11:51:55この前取ったよ、301。
資格本だけじゃあ無理だった、、管理者権限とかSambaでバックアンドデータベースに
指定したときのパスワード不整合時の現象とか調べるべき最初の対応とか
実機構築しないと知りえない無理な内容が満載っだったさ・・
>>279
資格全般板にあるけど、資格本何がいい?とかこの資格取る意味あるの?とか
そんな話ばかり・・
0281名無しさん@お腹いっぱい。
2010/10/10(日) 13:31:110282名無しさん@お腹いっぱい。
2010/10/10(日) 18:00:36別に資格なんて取らなくても仕事できるんだし、何威張ってんだ?
0283名無しさん@お腹いっぱい。
2010/11/11(木) 15:34:22互いに別の環境で動かす場合、ldap用のpamモジュールとnssモジュールが必要なのは
Sambaサーバが起動している環境のみですよね。
0284名無しさん@お腹いっぱい。
2010/11/11(木) 16:57:44pamは認証を、nssはユーザ情報を取り扱います。
0285名無しさん@お腹いっぱい。
2011/04/28(木) 13:37:03.32http://www.ldap-jp.org/
0286名無しさん@お腹いっぱい。
2011/04/28(木) 14:20:29.150287名無しさん@お腹いっぱい。
2011/04/28(木) 18:17:28.54OpenLDAPサポートする会社あるから、
なにか助けて欲しければそこに頼めばいいし。
中の人同じだしw
0288名無しさん@お腹いっぱい。
2011/04/28(木) 18:27:23.63よそに取られただけでしょ?
0289名無しさん@お腹いっぱい。
2011/04/28(木) 18:32:09.61で見ると、
2007/03/31 前の状態
2007/12/23-2008/04/24 アクセス不可
2009/03/05 今の状態
0290名無しさん@お腹いっぱい。
2011/04/28(木) 18:34:26.00http://www.ldap.jp/
0291名無しさん@お腹いっぱい。
2011/06/23(木) 15:33:39.62出来るようになりましたが、ldapのposixAccountを継
承したエントリのhost属性をチェックして、マシンへの
ログインを制限することが出来ません。
/etc/libnss-ldap.confで
pam_check_host_attr yes
pam_fileter host=<ホストのFQDN>
を記述してやれば良いのかと思ったのですが間違っ
ているのでしょうか?
LDAPサーバで、ユーザアカウントのエントリのhost
属性を、わざと間違ったものにして試してみるのです
が、ログイン出来てしまうのです。
objectClass: extensibleObject
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: posixAccount
objectClass: top
cn: ***
gidNumber: ***
homeDirectory: ***
sn: ***
uid: ***
uidNumber: ***
loginShell: ***
host: <間違ったホストのFQDN>
0292名無しさん@お腹いっぱい。
2011/06/23(木) 16:43:01.12> pam_check_host_attr yes
> pam_fileter host=<ホストのFQDN>
この2つは別の機能です。
前者は、
host: !拒絶するホスト名
host: 許可するホスト名
host: *
でホスト指定できます。大文字小文字は区別しません。
比較する文字列はgethostname(2)で得られたものです。
最初の一つにマッチするか、後の2つにマッチしないと認証失敗して、
"Access denied for this host"のログを吐きます。
だから、pam_check_host_attrがyesのホストでは、
host属性がないアカウントは一切ログインできなくなります。
後者は、アカウントを検索する時のfilter指定です。
検索失敗すると"pam_ldap: ldap_search_s 〜"のログを吐きます。
これ以外にデバッグログを得る方法はありません。
(Debianのパッケージ版についてはよく知らないが、オリジナルのソースでは)
0293名無しさん@お腹いっぱい。
2011/06/23(木) 16:48:36.15> /etc/libnss-ldap.confで
上にも書いたようにDebian系はよく知らないのですが、
書く場所を間違えているということはないですか。
つまりpam_check_host_attrがyesになってないのでは?
0294291
2011/06/23(木) 20:26:52.44/etc/pam_ldap.conf
の両方とも
pam_filterをコメント
pam_check_host_attrをyes
にしてLDAPの当該エントリのhost属性を消去してみましたが
やはりログイン出来てしまいます。
/var/log/auth.logを見ているのですが、
ログにはpam_krb5とpam_unixのものしかでてこないのはおか
しいのでしょうか?通常pam_ldapもログに現れますか?
0295名無しさん@お腹いっぱい。
2011/06/24(金) 11:35:29.630296291
2011/06/24(金) 17:05:38.07ユーザ認証をし、pam_unixでユーザのuidやgidなどの
取得を試み、失敗したらログインさせないように動くよう
です。
KerberosにはあってLDAPに無いユーザでログインしよう
とするとgetpwnam(<ユーザ名>)で識別できなかったとい
うエラーがログに記録されます。
この時にpam_filterのチェックは行われるのかと思ったの
ですが、やってくれない。
0297名無しさん@お腹いっぱい。
2011/06/24(金) 17:50:41.49> KerberosにはあってLDAPに無いユーザで
エントリがなかったら、そもそもhost属性も付けられないよね。
0298291
2011/06/24(金) 21:11:06.78認証時の動きを見たくて試したときの話しです。
Kerberos使わずにLDAPに認証もやらせれば出来るのですかね。
LDAPとKerberosを合わせた場合の資料が少ないのですよね。
■ このスレッドは過去ログ倉庫に格納されています