LDAPについて

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 05/18 01:27 / Filesize : 285 KB / Number-of Response : 969
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

LDAPについて

1 名前：名無し君 [02/02/02 20:53]: 語りましょう。
私は俺はこんなものまでLDAPで管理している等々。。
127 名前：名無しさん＠お腹いっぱい。 mailto:age [03/01/27 08:43]: age 沈みやすいなぁ、ここ
128 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
129 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/01/27 11:45]: >>127
ネタないの?
130 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/01/30 14:08]: RedHat7.3 + OpenLDAP2.1.12 + BDB4.1.24 です。

インストール後、
ldapadd -x -D "cn=admin, dc=." -w パス
とし、
dn: dc=.
objectClass: dcObject
dc: .

だと登録不可で、

dn: dc=.
objectClass: domain
dc: .

だと登録可能です。

RPMでOpenLDAPをインストールしたときは、dcObject で出来たのですが、
何か変更があったのでしょうか？

ちなみにエラーは、
adding new entry "dc=."
ldapadd: update failed: dc=.
ldap_add: Object class violation (65)
additional info: no structural object class provided
といわれます。
131 名前：名無しさん＠お腹いっぱい。 [03/01/30 14:08]: age忘れ。
132 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/01/31 00:52]: スキーマをインクルードしてないとかはないよね？
133 名前：130 [03/02/01 01:05]: 長文なので分割します。

スキーマはインクルードしてあります。

スキーマ見て分かったのですが、
objectclass ( 1.3.6.1.4.1.1466.344 NAME 'dcObject'
DESC 'RFC2247: domain component object'
SUP top AUXILIARY MUST dc )
と書いてあり、
どうも AUXILIARY というタイプは単体で objectClass を指定できないみたいですね。
134 名前：130 [03/02/01 01:06]: objectclass ( 2.5.6.4 NAME 'organization'
DESC 'RFC2256: an organization'
SUP top STRUCTURAL
MUST o
(略)
のような、STRUCTURAL というタイプと一緒に登録するとできました。
下記は登録可です。

dn: dc=.
objectClass: dcObject
objectClass: organization
dc: .
o: hogehoge

バージョン 2.0.27 だと、
dn: dc=.
objectClass: dcObject
dc: .
のみで登録できたのですが。
なんか仕様が変わったのですね。

おさわがせしました。
135 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/02/17 13:22]: 保守 sage
136 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/02/22 04:37]: どこかに、vpopmailでのLDAPの利用を日本語で解説しているページないですかねぇ。
137 名前：名無しさん＠お腹いっぱい。 [03/02/23 01:38]: LDAPプロキシってないですか？
HTTPプロキシと同じ機能のLDAP板的なもの。
探したのですが、見つかりませんでした・・
138 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/02/23 01:59]: >>137
delegate
139 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/02/25 02:21]: >137
別に tis fwtk の plug-gw で構わんと思うが?
fwtk じゃなくても汎用の tcp relay プログラムなら
ぐぐってみればたくさん引っかかるぞ。
140 名前：名無しさん＠Ｅｍａｃｓ [03/03/09 14:00]: LDAPに参加させるマシンはグループIDなんかは貼りなおしですか？
141 名前：名無しさん＠お腹いっぱい。 [03/03/12 16:43]: LDAPでファイル権限も操作できます？
LDAPで認証したユーザに対して、このファイルは見れるがこっちのファイルは見れない、とか。
142 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/03/12 19:08]: >>141
OSによるとしかいいようがないけど。
143 名前：名無しさん＠お腹いっぱい。 [03/03/12 21:44]: >>142
申し訳ない。UNIX系です。たぶんそらりす。
144 名前：名無しさん＠お腹いっぱい。 [03/03/13 00:37]: >>141 の書きっぷり（謎）を見ると、OSによらずできると思うが、
まぁ、そらりすなら、尚更できるんでないの？
145 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/03/13 01:33]: >>143
とりあえず、これでも読んでSolarisのACLについてお勉強
docs.sun.com/db/doc/816-4883/6mb2joasn?a=view#secfile-37
146 名前：山崎渉 mailto:（＾＾） [03/03/13 16:30]: （＾＾）
147 名前：名無しさん＠ギブアップ [03/03/17 13:18]: メタディレクトリを構築するのに参考になる本や Web ページ何か無いでしょうか？
148 名前：名無しさん＠お腹いっぱい。 [03/03/18 10:59]: LDIFのGUI編集が行えるツールなどはないでしょうか？
例えば500人分追加でデータを格納する時にLDIFを直接編集するのは正直辛いので・・・。
ツールでなくとも「こういう手法なら楽になるよ」などの意見があれば是非教えていただきたいです。
もしくは既存DBやCSV形式の変換などでもありがたいです。
よろしくお願いします。
149 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/03/19 13:52]: >>148
こんなんでいいのかな？

LDAP Browser/Editor
www.iit.edu/~gawojar/ldap/index.html
150 名前： mailto:sage [03/03/31 21:14]: いまから LDAP で遊びます。
逐次報告します。
151 名前：名無しさん＠お腹いっぱい。 [03/04/01 00:49]: 期待 age
152 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
153 名前：名無しさん＠お腹いっぱい。 [03/04/16 17:33]: FreeBSD 上で OpenLDAP 2.0.25 を使って、ちょっとした LDAP クライアント
を書いています。LDAP サーバとの通信に SSL を利用したいのですが、
具体的に、どの API を使えば良いのでしょう?

ldap_init() した後に ldap_set_option() で LDAP_OPT_X_TLS をセット
(値は LDAP_OPT_X_TLS_HARD) すれば良いのかなぁ? と思ってやってみた
のですが、ldap_simple_bind_s() でエラーになってしまいます。

ldap_perror() で確認すると

　additional info: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure

というメッセージが出力されます。
これ自体はOpenSSL のエラーメッセージのようなので、何か SSL の設定
のようなものが必要なのでしょうか?
154 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/04/17 01:36]: >>153
サーバは SSL 対応してるの？サーバのログは？
155 名前：153 [03/04/17 11:05]: >>154
debug レベルで syslog を取ると

Apr 17 11:00:48 XXXXXX slapd[9936]: connection_read(10): TLS accept error error=-1 id=1, closing

って出てます。SSL を全然理解してないんですが、
サーバ側で SSL を使うための設定をしないといけない
んですよね。その辺から勉強してきます。
156 名前：山崎渉 mailto:（＾＾） [03/04/17 11:45]: （＾＾）
157 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/04/17 21:06]: >>155
サーバの設定から見直すのであれば、自分で書いたクライアントの前に、
ldapsearch などのツールの TLS オプションで確認するといいかもしれない。
158 名前：名無しさん＠お腹いっぱい。 [03/04/19 01:56]: age
159 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
160 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/05/01 10:51]: PostgreSQL勉強して(ﾟдﾟ)ｳﾏｰ
だたんだけど
LDAP勉強したら(ﾟдﾟ)ｳﾏｰ
になりますか？
161 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/05/01 13:00]: >>160
まずは、まるで用途が違うってことをお勉強しましょう。
162 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/05/01 21:33]: はーい
163 名前：名無しさん＠お腹いっぱい。 [03/05/08 04:59]: もりage
164 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
165 名前：名無しさん＠お腹いっぱい。 [03/05/08 11:57]: >>160
最近、openldapdは、backendにPostgreSQL使えるけど、あれどうなんだろうな?
166 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/05/08 12:25]: >>165
RDBで特有のデータ構造のためだけじゃなくて、
トランザクション管理をまかせるためにも使えるんだから
別にいいんでないの？
167 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/05/08 12:29]: >>166
うん、調子いいのかなと
168 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/05/08 15:10]: >>165
OpenLDAP で back-sql 使ってバックエンドに RDBMS 使えるのは、別に最近の
ことじゃないですが…
んで、バックエンドに RDMBS 使うのは帯にも襷にも長すぎるっていうのは確かでせう。
169 名前：名無しさん＠お腹いっぱい。 [03/05/13 21:58]: windows用のクライアントってないの？
170 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/05/13 23:03]: >>169
いっぱいあるよ。スレ違いだから教えないけど。
171 名前：名無しさん＠お腹いっぱい。 [03/05/14 22:08]: LDAPサーバから検索してその結果をcsvに落としたい。
複数回サーバには問い合わせます。
なんかいいプログラム等ないですか？
172 名前：名無しさん＠お腹いっぱい。 [03/05/14 22:14]: >>171
そりくらい自分で書け！
Cが無理ならPHPだ。

あ、ってかシェルスクリプト駆使するだけでもできる罠
173 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/05/14 22:15]: >>171
ldapsearch
174 名前：名無しさん＠お腹いっぱい。 [03/05/14 22:34]: BASE64でデコード＋UTF-8変換も結構めんどい。
既存ではないの？
175 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
176 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/05/14 22:49]: >>174
PHPならコード変換を含めこれくらいでできるよね？

$host="ldapserver";
$port="389";
$dn="dc=hoge,dc=jp";
$filter="*";
$ds=ldap_connect($host,$port);
$r=ldap_bind($ds);
$sr=ldap_search($ds,$dn,$filter);
$entries=ldap_get_entries($ds,$sr);
for ($i=0;$i<$entries["count"];$i++) {
$sn=$entries[$i]["sn"][0];
$givenName=$entries[$i]["givenName"][0];
echo mb_convert_encoding("$sn,$givenName\n","SJIS","UTF-8");
}
ldap_close($ds);
177 名前：172 [03/05/14 23:40]: >>176
$filterは"objectclass=*"とかでない？
178 名前：176 mailto:sage [03/05/15 00:18]: 「これくらい」と書いている通り、そこいらへん適当だよ!
179 名前：177 [03/05/15 00:28]: >>178
>適当
それだと動かないYO（ｗ

でもとりあえず>>174は176のサンプルに感謝するように。
あとはphp.netのサンプルやマニュアルで勉強だな。
180 名前：176 mailto:sage [03/05/15 00:40]: 適当でスマソ!

でも、>>171 位のプログラムなら、このスレッドの中でも適当(wに作れそうじゃ
ん。とりあえず>>171 は自分の欲しい仕様をダラダラ書いたら？

レスに収まらなくなってきたら、どこかのWikiサーバに一時間借りして、ソー
スや仕様書、コメント等を書かせてもらっても良いだろうし。

如何～
181 名前：171 [03/05/15 23:10]: 日本語の姓名をKEYにしてLDAPサーバにKEYごとに問い合わせを行う。
filterはmail=xxx@xxxx.com
この結果をCSVに落とす。
もちろん、EUCもしくはSJISで。
182 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/05/15 23:29]: >>171
おいおい、「filter」の意味わかってる？
もうちょっと LDAP の勉強した方がいいんじゃない？

ところで、最近の国内の LDAP 周辺の事情に疎いんだけど、
LDAP 情報ポータルサイトみたいなんってあるのかな？
>>180 で思ったんだけど、
LDAP 初心者でもとっつきやすそうな Wiki サイトとかあると良いのかな、なんて。
183 名前：171 [03/05/16 22:59]: ホントだ。ないっているだろう。いってきます
184 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
185 名前：名無しさん＠お腹いっぱい。 [03/06/03 20:51]: 最新のOpenLDAPについて勉強出来る日本語サイト、おしえて！
186 名前：名無しさん＠お腹いっぱい。 [03/06/04 22:13]: >185

無い(いやマジで)。

書籍ならば UNIX USER 2002/1 の特集とか先月と今月の Software Design
とか。o'reilly の「LDAP system Administraion」(洋書)を買うとか。
↑ OpenLDAP の事しか書いてないぞ、これ。。。

まだ見てないけど 5/2 に出たばかりの
「Understanding and Deploying LDAP Directory Services 2nd Edition」
に期待大(こいつも洋書だ)。
でも 936 ページもあるらしいので人一人死なすには十分。
187 名前：名無しさん＠お腹いっぱい。 [03/06/07 17:58]: と言う訳で「Understanding and Deploying LDAP Directory Services 2nd Edition」
が届いた。何なの、この辞書のような装いは...。
188 名前：名無しさん＠Ｅｍａｃｓ mailto:sage [03/06/07 18:48]: RDBの概念から実際のソフトウェアの扱いまでを一冊に
納めようとしたら、それぐらいの分量になりそうだけど
そんな感じの本なの？
189 名前：名無しさん＠Ｅｍａｃｓ [03/06/07 22:45]: >188

日本の LDAP ML で和訳が進行していたらしい(そして頓挫？）本の 2nd Edition な
んでそれなりの本じゃないかな。

出版元(ADDISON-WESLEY)の紹介ページで Table of Contents 見てもよー分からん。

www.awprofessional.com/catalog/product.asp?product_id={0A213C17-EE78-4AC2-9D72-812B36E94742}
190 名前：名無しさん＠お腹いっぱい。 [03/06/12 10:27]: ディレクトリに人のエントリを格納し、この人は a, b, c のアプリを利用で
き、この人は b, c, d のアプリが利用できるといった制御をするためにはサー
バ側での実現方法、アプリ側での認証方法はどのようにしたら良いでしょう
か？
191 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/06/12 10:40]: アプリを動かすplatformは?
192 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/06/12 10:53]: scheme/schema
science.2ch.net/test/read.cgi/math/1011949239/
193 名前：名無しさん＠お腹いっぱい。 [03/06/12 11:07]: >191

アプリは Windows, UNIX 上での Perl, PHP, Java, VB 等様々です。

ユーザ認証を行うには uid, password で bind して成功/失敗をチェックすれば
良いのではと考えてます。
その後ユーザが利用出来るアプリを制限するところがピンときません。
194 名前：名無しさん＠お腹いっぱい。 [03/06/12 11:35]: >>193
アプリが全部自作なら、
アプリ自身が実行しているユーザが利用可能であるか、directory情報を見て、
自分で制御すればいいと思います。終了するなど。

自作じゃないなら、local systemのauthorization systemを使って、
実行可能/不可能を制御すればいいです。
グループをdirectoryで管理して、グループに対するアクセス許可を行なう。

Authentication systemとauthorization systemの区別が
はっきりしてないからピンと来ないということはないですか?
LDAPはauthenticationしかやってくれないので、
authorizationは別途実現してやる必要があります。

上の2例の場合、authenticationはログオン/イン時に行なわれます。

アノニマスログオン/インが許可されている環境で、
authenticationも絡めて行ないたい場合は、
(つまりlocal systemのauthenticationを信頼しない場合)
アプリごとにou=アプリ名を作って、
その中にcn=ユーザ名を作成、(パスワードはCoSで共有する)
アプリで認証する時のbaseDNをこのouを指定する、などの方法があります。
cn=ユーザ名があるユーザが利用可能なユーザ。
195 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/06/12 11:39]: ちなみに、
> この人は a, b, c のアプリを利用でき、
> この人は b, c, d のアプリが利用できるといった制御
は、authorization(=アクセス制御)です。
196 名前：名無しさん＠お腹いっぱい。 [03/06/12 13:33]: >194
なんとなく見えてきました。

authorization を行う為の手段は明確には定められていない。
それは各アプリが任意の方法を用いて各自で判断しなさいと。

>アプリごとにou=アプリ名を作って、
>その中にcn=ユーザ名を作成、(パスワードはCoSで共有する)
>アプリで認証する時のbaseDNをこのouを指定する、などの方法があります。

この方法の場合、各アプリで個別に必要になる属性を
ou=アプリ 1, ou=アプリ 2, ou=アプリ 3 に格納し、パスワードのような共通属性は
Cos で ou=人のようなエントリ以下とひも付けすると言う事ですね。

ユーザ A がアプリ 1 を利用しようとした場合、
アプリ 1 は ou=アプリ 1 を baseDN として cn, password で bind してみる。
→ 成功/失敗をチェック！

従ってユーザ A はアプリ1, 2, 3 を、ユーザ B はアプリ 2 を、ユーザ C は
アプリ 2, 3 を利用出来るようにしたいなら

ou=人には ... cn=ユーザ A, cn=ユーザ B, cn=ユーザ C (共通属性を格納)
ou=アプリ 1 には ... cn=ユーザ A (固有の属性を格納)
ou=アプリ 2 には ... cn=ユーザ A, cn=ユーザ B, cn=ユーザ C (固有の属性を格納)
ou=アプリ 3 には ... cn=ユーザ A, cn=ユーザ C (固有の属性を格納)

の各エントリを作ってあげれば authentication & authorization が行なえ
ると言う事でよいでしょうか？
197 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/06/12 15:40]: >>189
鵜飼さんの日記にも出てた。
Understanding and Deploying LDAP Directory Services , Second Edition
198 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/06/12 16:33]: >>196
> authorization を行う為の手段は明確には定められていない。

明確に定められてないどころか関知しません。
LDAPはauthentication serviceとdirectory serviceを提供するだけです。

DITに対するaccessのauthorizationについては、
serverごとに実装されていて、またいろいろな標準提案もありますが。

> (ずばっと省略)

そんな感じでいいんじゃないでしょうか。
もちろんこれはひとつの方法に過ぎませんが。
199 名前：名無しさん＠お腹いっぱい。 [03/06/13 15:35]: 最近 SunONE Directory Server に興味津々なんですが、製品を購入した際に付いてくる
マニュアルは docs.sun.com にあるもの以外何かありますでしょうか？

あれだけではとても利用(運用)は無理と思いまして。。。

Solaris9 に付いてくるのはひょっとしてソフトだけでマニュアル無しとか？
200 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/06/13 18:08]: CD-ROMだけだから、(今時紙のマニュアルはない)
docs.sun.com/db/prod/s1dirsrvにあるのと同じだよ。

wwws.sun.com/software/download/products/3e5beea5.html
にtrial版があるからdownloadしてみなよ。

LDAPさえ分かれば運用は簡単だよ。
201 名前：<sage> [03/06/13 19:04]: >200

ところで今米国Sunのサイト見に行ったらいつの間にやら 5.2 が出てますね。
wwws.sun.com/software/products/directory_srvr/home_directory.html

4.xであったWindowsNTとの連携が復活しているようで。
ActiveDirectoryとの連携はMeta-Directoryを使えと言う事かな。
Roleを使った際、バーチャル属性のフィルタでの使用はサポートになってい
るんでしょうか？
202 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
203 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
204 名前：SPARC [03/06/14 01:17]: DTCって会社がSolaris互換のCPU出してるみたいだけど、
実際どうなのかなぁ？知ってる人いたら教えて。。。
速いの？
205 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/06/14 01:28]: >>204
で、それのどこがLDAPと関係があるの?
206 名前：名無しさん＠お腹いっぱい。 [03/06/14 18:36]: > 200
パッケージを買うと紙のマニュアルがついてますよ。
ウェブにあるものと同じことには変わりないけど。

> 201
まだ5.2はモノが出ていないですよ。最新は5.1SP2。

また、NT/Actiove Dorectoryとの同期は、もともと
5.2に含まれる予定でしたが、別プロダクトとして
出てくるらしいです。

wwws.sun.com/software/products/identity_synch/index.html
207 名前：名無しさん＠お腹いっぱい。 [03/06/15 22:46]: OpenLDAPって結構不安定だなぁ・・・
208 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/06/15 23:45]: ・・・と、使わないうちから妄想しています。
209 名前：novell [03/06/16 21:25]: eDirectory　あげ
210 名前：名無しさん＠お腹いっぱい。 [03/06/16 22:30]: コーディングのお供に
mypage.odn.ne.jp/home/dongrico
211 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
212 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
213 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
214 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
215 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/08/03 15:48]: 職場でldapでいろいろなユーザの認証を管理しようとしてテストしているのですが、
暗号化パスワードが作成できないんです、
$ slappasswd -h "{CRYPT}" -s passwd -c "%s"
としても
Password generation failed.
と怒られてしまいます。
$ slappasswd -h "{MD5}" -s passwd
などはちゃんとできるのですが、原因がわかりません。
どなたか原因を知っている方、同じような現象になった方はいらっしゃらないでしょうか?
環境は
openldap-2.1.21
FreeBSD 4.7-RELEASE
です
216 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/08/05 02:01]: ソルトはどうしたよ?
slapd.confのpassword-crypt-salt-formatのところ読んでみなよ。
217 名前：215 mailto:sage [03/08/05 11:38]: >>216
slapd.confには
password-crypt-salt-format "%.2s"
や
password-crypt-salt-format "$1$%.8s"
などと書いてはみたのですが、うまくいかないんです。
slpapasswd の -c で salt のフォーマットを指示しても slapd.conf の
この指定って関係するんでしょうか?
218 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/08/05 12:32]: >>217
じゃ、-DSLAPD_CRYPTなしでcompileされたんでしょ?
get_scheme()に失敗してるんだよ。

Bind認証時にdecryptするのはserver側だから、
crypt(3)がMD5のFreeBSDでは、(のはず)
DESは使えなくても構わないと思うけど。

しかしどうして{DES}ってのがないんだろう…
{CRYPT}/crypt(3)はシステムごとに違うのに…
219 名前：215 mailto:sage [03/08/05 18:22]: >>218
コンパイルしたのが私じゃないので確認しなきゃいけないんですが、
おそらくコンパイル時に --enable-crypt していないんじゃないかと思い始めています。
(slapd.conf に password-hash {CRYPT} と書いたら
password scheme "{CRYPT}" not available と怒られたのがきっかけ)

FreeBSDはcryptが(ディフォルトでは)MD5ってことも今日やっと理解しました。
{MD5}と{CRYPT}があったんでてっきり{CRYPT}はDESだと思い込んでいたんです。
ということで「{MD5}でやればいい」としたいところなんですが、
LDAPで管理しようと思っている現在NISで流れているpasswdがDESなんですよ。
うーん、login.confを書き換えちゃおうかなぁ。
220 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/08/05 21:03]: うん、slapdはちゃんとしたerror messageだすんだけど、
slappasswdは、Password generation failed.とPassword verification failed.だけだから。

> LDAPで管理しようと思っている現在NISで流れているpasswdがDESなんですよ。
> うーん、login.confを書き換えちゃおうかなぁ。

というか、bind認証を使うつもりなら、
slapdでDESが喋れるようにしないと今のパスワード移行できないわな。
nss_ldap的な利用しかしないんならいいけど。(LDAPの価値半減)
普通はauth_ldap, pam_ldap的な使い方したいわな。

つまりコンパイルし直しが必要。しかも-DSLAPD_CRYPTでcompileすると
MD5なFreeBSDのcrypt(3)じゃなくて、DESなcrypt(3)使うようにしないと。
大昔のFreeBSDは差し換えlibraryがあってそれ入れ替えるだけだったけど、今はしらん。

LDAPつーかcrypt(3)の話だな(w
221 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/08/05 21:56]: >>220
FreeBSD の crypt(3) は salt の種類に応じてよしなに DES と MD5 を処理しわけてくれるような。
222 名前：215 mailto:sage [03/08/05 22:51]: >>220
同意

>>221
おぉ。
ということはslapdでcryptを使えるようにさえしておけば
DESとMD5の両方を混在できるってことなんですか!?(←質問ではなく感動を表す疑問形です ^^;)
それならユーザの負荷なしにDESなパスワードファイルからMD5にこっそり移行、
というのもできそうですね。(それが嬉しいかって聞かれると…そうでもないかな)
明日、早速ためしてみます。

あ、業務が終わってからの作業ですので、ここでの報告は明日の今くらいの時間になります。
(知ってることだから報告しなくていいってのはご勘弁を)
223 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/08/06 08:19]: >>222
> ということはslapdでcryptを使えるようにさえしておけば
> DESとMD5の両方を混在できるってことなんですか!?(←質問ではなく感動を表す疑問形です ^^;)

いや、{CRYPT}だけじゃまずい。password-crypt-salt-formatは固定だから、

>>221
> FreeBSD の crypt(3) は salt の種類に応じてよしなに DES と MD5 を処理しわけてくれるような。

こういうわけにはイカンでしょ。{MD5}「も」利用可能にしておかないと。
224 名前：215 mailto:sage [03/08/06 22:40]: >>223
ご忠告いただいたのですが、イチかバチかやってみたところ
うまく行っちゃいました。
password-crypt-salt-format がなんであれ(たとえ設定していなくても)、
MD5なパスワードでもDESなパスワードでも認証できました。
ってことはpassword-crypt-salt-formatってのは何のとき使うんだろ?
ldappasswordでパスワードを変更したときなのかな?

時間があれば明日の昼休みにでも確認しておきます。
(なんで今日やっとかなかったんだろ、反省。)

とりあえず「うまくいきそう」です(^^)。
225 名前：215 mailto:sage [03/08/06 23:02]: ×ldappassword
○ldappasswd
226 名前：名無しさん＠お腹いっぱい。 [03/08/07 03:01]: >>224
なぬ～!

つーか、お前それ、-DSLAPD_CRYPTありでcompileされてるじゃん…
lutils_passwd_schemeが{CRYPT}でもOKなんだから。

# slappasswdだけ-DSLAPD_CRYPTなしでcompileされたのかな…

> ldappasswdでパスワードを変更したときなのかな?

しかもpassword modify extended operation使われた時だけな。
Modify operationだと、client側でcryptするから。
227 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef