- 1 名前:名無し君 [02/02/02 20:53]
- 語りましょう。
私は俺はこんなものまでLDAPで管理している等々。。
- 151 名前:名無しさん@お腹いっぱい。 [03/04/01 00:49]
- 期待 age
- 152 名前:あぼーん mailto:あぼーん [あぼーん]
- あぼーん
- 153 名前:名無しさん@お腹いっぱい。 [03/04/16 17:33]
- FreeBSD 上で OpenLDAP 2.0.25 を使って、ちょっとした LDAP クライアント
を書いています。LDAP サーバとの通信に SSL を利用したいのですが、
具体的に、どの API を使えば良いのでしょう?
ldap_init() した後に ldap_set_option() で LDAP_OPT_X_TLS をセット
(値は LDAP_OPT_X_TLS_HARD) すれば良いのかなぁ? と思ってやってみた
のですが、ldap_simple_bind_s() でエラーになってしまいます。
ldap_perror() で確認すると
additional info: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure
というメッセージが出力されます。
これ自体はOpenSSL のエラーメッセージのようなので、何か SSL の設定
のようなものが必要なのでしょうか?
- 154 名前:名無しさん@お腹いっぱい。 mailto:sage [03/04/17 01:36]
- >>153
サーバは SSL 対応してるの?サーバのログは?
- 155 名前:153 [03/04/17 11:05]
- >>154
debug レベルで syslog を取ると
Apr 17 11:00:48 XXXXXX slapd[9936]: connection_read(10): TLS accept error error=-1 id=1, closing
って出てます。SSL を全然理解してないんですが、
サーバ側で SSL を使うための設定をしないといけない
んですよね。その辺から勉強してきます。
- 156 名前:山崎渉 mailto:(^^) [03/04/17 11:45]
- (^^)
- 157 名前:名無しさん@お腹いっぱい。 mailto:sage [03/04/17 21:06]
- >>155
サーバの設定から見直すのであれば、自分で書いたクライアントの前に、
ldapsearch などのツールの TLS オプションで確認するといいかもしれない。
- 158 名前:名無しさん@お腹いっぱい。 [03/04/19 01:56]
- age
- 159 名前:あぼーん mailto:あぼーん [あぼーん]
- あぼーん
- 160 名前:名無しさん@お腹いっぱい。 mailto:sage [03/05/01 10:51]
- PostgreSQL勉強して(゚д゚)ウマー
だたんだけど
LDAP勉強したら(゚д゚)ウマー
になりますか?
- 161 名前:名無しさん@お腹いっぱい。 mailto:sage [03/05/01 13:00]
- >>160
まずは、まるで用途が違うってことをお勉強しましょう。
- 162 名前:名無しさん@お腹いっぱい。 mailto:sage [03/05/01 21:33]
- はーい
- 163 名前:名無しさん@お腹いっぱい。 [03/05/08 04:59]
- もりage
- 164 名前:あぼーん mailto:あぼーん [あぼーん]
- あぼーん
- 165 名前:名無しさん@お腹いっぱい。 [03/05/08 11:57]
- >>160
最近、openldapdは、backendにPostgreSQL使えるけど、あれどうなんだろうな?
- 166 名前:名無しさん@お腹いっぱい。 mailto:sage [03/05/08 12:25]
- >>165
RDBで特有のデータ構造のためだけじゃなくて、
トランザクション管理をまかせるためにも使えるんだから
別にいいんでないの?
- 167 名前:名無しさん@お腹いっぱい。 mailto:sage [03/05/08 12:29]
- >>166
うん、調子いいのかなと
- 168 名前:名無しさん@お腹いっぱい。 mailto:sage [03/05/08 15:10]
- >>165
OpenLDAP で back-sql 使ってバックエンドに RDBMS 使えるのは、別に最近の
ことじゃないですが…
んで、バックエンドに RDMBS 使うのは帯にも襷にも長すぎるっていうのは確かでせう。
- 169 名前:名無しさん@お腹いっぱい。 [03/05/13 21:58]
- windows用のクライアントってないの?
- 170 名前:名無しさん@お腹いっぱい。 mailto:sage [03/05/13 23:03]
- >>169
いっぱいあるよ。スレ違いだから教えないけど。
- 171 名前:名無しさん@お腹いっぱい。 [03/05/14 22:08]
- LDAPサーバから検索してその結果をcsvに落としたい。
複数回サーバには問い合わせます。
なんかいいプログラム等ないですか?
- 172 名前:名無しさん@お腹いっぱい。 [03/05/14 22:14]
- >>171
そりくらい自分で書け!
Cが無理ならPHPだ。
あ、ってかシェルスクリプト駆使するだけでもできる罠
- 173 名前:名無しさん@お腹いっぱい。 mailto:sage [03/05/14 22:15]
- >>171
ldapsearch
- 174 名前:名無しさん@お腹いっぱい。 [03/05/14 22:34]
- BASE64でデコード+UTF-8変換も結構めんどい。
既存ではないの?
- 175 名前:あぼーん mailto:あぼーん [あぼーん]
- あぼーん
- 176 名前:名無しさん@お腹いっぱい。 mailto:sage [03/05/14 22:49]
- >>174
PHPならコード変換を含めこれくらいでできるよね?
$host="ldapserver";
$port="389";
$dn="dc=hoge,dc=jp";
$filter="*";
$ds=ldap_connect($host,$port);
$r=ldap_bind($ds);
$sr=ldap_search($ds,$dn,$filter);
$entries=ldap_get_entries($ds,$sr);
for ($i=0;$i<$entries["count"];$i++) {
$sn=$entries[$i]["sn"][0];
$givenName=$entries[$i]["givenName"][0];
echo mb_convert_encoding("$sn,$givenName\n","SJIS","UTF-8");
}
ldap_close($ds);
- 177 名前:172 [03/05/14 23:40]
- >>176
$filterは"objectclass=*"とかでない?
- 178 名前:176 mailto:sage [03/05/15 00:18]
- 「これくらい」と書いている通り、そこいらへん適当だよ!
- 179 名前:177 [03/05/15 00:28]
- >>178
>適当
それだと動かないYO(w
でもとりあえず>>174は176のサンプルに感謝するように。
あとはphp.netのサンプルやマニュアルで勉強だな。
- 180 名前:176 mailto:sage [03/05/15 00:40]
- 適当でスマソ!
でも、>>171 位のプログラムなら、このスレッドの中でも適当(wに作れそうじゃ
ん。とりあえず>>171 は自分の欲しい仕様をダラダラ書いたら?
レスに収まらなくなってきたら、どこかのWikiサーバに一時間借りして、ソー
スや仕様書、コメント等を書かせてもらっても良いだろうし。
如何〜
- 181 名前:171 [03/05/15 23:10]
- 日本語の姓名をKEYにしてLDAPサーバにKEYごとに問い合わせを行う。
filterはmail=xxx@xxxx.com
この結果をCSVに落とす。
もちろん、EUCもしくはSJISで。
- 182 名前:名無しさん@お腹いっぱい。 mailto:sage [03/05/15 23:29]
- >>171
おいおい、「filter」の意味わかってる?
もうちょっと LDAP の勉強した方がいいんじゃない?
ところで、最近の国内の LDAP 周辺の事情に疎いんだけど、
LDAP 情報ポータルサイトみたいなんってあるのかな?
>>180 で思ったんだけど、
LDAP 初心者でもとっつきやすそうな Wiki サイトとかあると良いのかな、なんて。
- 183 名前:171 [03/05/16 22:59]
- ホントだ。ないっているだろう。いってきます
- 184 名前:あぼーん mailto:あぼーん [あぼーん]
- あぼーん
- 185 名前:名無しさん@お腹いっぱい。 [03/06/03 20:51]
- 最新のOpenLDAPについて勉強出来る日本語サイト、おしえて!
- 186 名前:名無しさん@お腹いっぱい。 [03/06/04 22:13]
- >185
無い(いやマジで)。
書籍ならば UNIX USER 2002/1 の特集とか先月と今月の Software Design
とか。o'reilly の「LDAP system Administraion」(洋書)を買うとか。
↑ OpenLDAP の事しか書いてないぞ、これ。。。
まだ見てないけど 5/2 に出たばかりの
「Understanding and Deploying LDAP Directory Services 2nd Edition」
に期待大(こいつも洋書だ)。
でも 936 ページもあるらしいので人一人死なすには十分。
- 187 名前:名無しさん@お腹いっぱい。 [03/06/07 17:58]
- と言う訳で「Understanding and Deploying LDAP Directory Services 2nd Edition」
が届いた。何なの、この辞書のような装いは...。
- 188 名前:名無しさん@Emacs mailto:sage [03/06/07 18:48]
- RDBの概念から実際のソフトウェアの扱いまでを一冊に
納めようとしたら、それぐらいの分量になりそうだけど
そんな感じの本なの?
- 189 名前:名無しさん@Emacs [03/06/07 22:45]
- >188
日本の LDAP ML で和訳が進行していたらしい(そして頓挫?)本の 2nd Edition な
んでそれなりの本じゃないかな。
出版元(ADDISON-WESLEY)の紹介ページで Table of Contents 見てもよー分からん。
www.awprofessional.com/catalog/product.asp?product_id={0A213C17-EE78-4AC2-9D72-812B36E94742}
- 190 名前:名無しさん@お腹いっぱい。 [03/06/12 10:27]
- ディレクトリに人のエントリを格納し、この人は a, b, c のアプリを利用で
き、この人は b, c, d のアプリが利用できるといった制御をするためにはサー
バ側での実現方法、アプリ側での認証方法はどのようにしたら良いでしょう
か?
- 191 名前:名無しさん@お腹いっぱい。 mailto:sage [03/06/12 10:40]
- アプリを動かすplatformは?
- 192 名前:名無しさん@お腹いっぱい。 mailto:sage [03/06/12 10:53]
- scheme/schema
science.2ch.net/test/read.cgi/math/1011949239/
- 193 名前:名無しさん@お腹いっぱい。 [03/06/12 11:07]
- >191
アプリは Windows, UNIX 上での Perl, PHP, Java, VB 等様々です。
ユーザ認証を行うには uid, password で bind して成功/失敗をチェックすれば
良いのではと考えてます。
その後ユーザが利用出来るアプリを制限するところがピンときません。
- 194 名前:名無しさん@お腹いっぱい。 [03/06/12 11:35]
- >>193
アプリが全部自作なら、
アプリ自身が実行しているユーザが利用可能であるか、directory情報を見て、
自分で制御すればいいと思います。終了するなど。
自作じゃないなら、local systemのauthorization systemを使って、
実行可能/不可能を制御すればいいです。
グループをdirectoryで管理して、グループに対するアクセス許可を行なう。
Authentication systemとauthorization systemの区別が
はっきりしてないからピンと来ないということはないですか?
LDAPはauthenticationしかやってくれないので、
authorizationは別途実現してやる必要があります。
上の2例の場合、authenticationはログオン/イン時に行なわれます。
アノニマスログオン/インが許可されている環境で、
authenticationも絡めて行ないたい場合は、
(つまりlocal systemのauthenticationを信頼しない場合)
アプリごとにou=アプリ名を作って、
その中にcn=ユーザ名を作成、(パスワードはCoSで共有する)
アプリで認証する時のbaseDNをこのouを指定する、などの方法があります。
cn=ユーザ名があるユーザが利用可能なユーザ。
- 195 名前:名無しさん@お腹いっぱい。 mailto:sage [03/06/12 11:39]
- ちなみに、
> この人は a, b, c のアプリを利用でき、
> この人は b, c, d のアプリが利用できるといった制御
は、authorization(=アクセス制御)です。
- 196 名前:名無しさん@お腹いっぱい。 [03/06/12 13:33]
- >194
なんとなく見えてきました。
authorization を行う為の手段は明確には定められていない。
それは各アプリが任意の方法を用いて各自で判断しなさいと。
>アプリごとにou=アプリ名を作って、
>その中にcn=ユーザ名を作成、(パスワードはCoSで共有する)
>アプリで認証する時のbaseDNをこのouを指定する、などの方法があります。
この方法の場合、各アプリで個別に必要になる属性を
ou=アプリ 1, ou=アプリ 2, ou=アプリ 3 に格納し、パスワードのような共通属性は
Cos で ou=人 のようなエントリ以下とひも付けすると言う事ですね。
ユーザ A がアプリ 1 を利用しようとした場合、
アプリ 1 は ou=アプリ 1 を baseDN として cn, password で bind してみる。
→ 成功/失敗をチェック!
従ってユーザ A はアプリ1, 2, 3 を、ユーザ B は アプリ 2 を、ユーザ C は
アプリ 2, 3 を利用出来るようにしたいなら
ou=人には ... cn=ユーザ A, cn=ユーザ B, cn=ユーザ C (共通属性を格納)
ou=アプリ 1 には ... cn=ユーザ A (固有の属性を格納)
ou=アプリ 2 には ... cn=ユーザ A, cn=ユーザ B, cn=ユーザ C (固有の属性を格納)
ou=アプリ 3 には ... cn=ユーザ A, cn=ユーザ C (固有の属性を格納)
の各エントリを作ってあげれば authentication & authorization が行なえ
ると言う事でよいでしょうか?
- 197 名前:名無しさん@お腹いっぱい。 mailto:sage [03/06/12 15:40]
- >>189
鵜飼さんの日記にも出てた。
Understanding and Deploying LDAP Directory Services , Second Edition
- 198 名前:名無しさん@お腹いっぱい。 mailto:sage [03/06/12 16:33]
- >>196
> authorization を行う為の手段は明確には定められていない。
明確に定められてないどころか関知しません。
LDAPはauthentication serviceとdirectory serviceを提供するだけです。
DITに対するaccessのauthorizationについては、
serverごとに実装されていて、またいろいろな標準提案もありますが。
> (ずばっと省略)
そんな感じでいいんじゃないでしょうか。
もちろんこれはひとつの方法に過ぎませんが。
- 199 名前:名無しさん@お腹いっぱい。 [03/06/13 15:35]
-
最近 SunONE Directory Server に興味津々なんですが、製品を購入した際に付いてくる
マニュアルは docs.sun.com にあるもの以外何かありますでしょうか?
あれだけではとても利用(運用)は無理と思いまして。。。
Solaris9 に付いてくるのはひょっとしてソフトだけでマニュアル無しとか?
- 200 名前:名無しさん@お腹いっぱい。 mailto:sage [03/06/13 18:08]
- CD-ROMだけだから、(今時紙のマニュアルはない)
docs.sun.com/db/prod/s1dirsrvにあるのと同じだよ。
wwws.sun.com/software/download/products/3e5beea5.html
にtrial版があるからdownloadしてみなよ。
LDAPさえ分かれば運用は簡単だよ。
- 201 名前:<sage> [03/06/13 19:04]
- >200
ところで今米国Sunのサイト見に行ったらいつの間にやら 5.2 が出てますね。
wwws.sun.com/software/products/directory_srvr/home_directory.html
4.xであったWindowsNTとの連携が復活しているようで。
ActiveDirectoryとの連携はMeta-Directoryを使えと言う事かな。
Roleを使った際、バーチャル属性のフィルタでの使用はサポートになってい
るんでしょうか?
- 202 名前:あぼーん mailto:あぼーん [あぼーん]
- あぼーん
- 203 名前:あぼーん mailto:あぼーん [あぼーん]
- あぼーん
- 204 名前:SPARC [03/06/14 01:17]
- DTCって会社がSolaris互換のCPU出してるみたいだけど、
実際どうなのかなぁ?知ってる人いたら教えて。。。
速いの?
- 205 名前:名無しさん@お腹いっぱい。 mailto:sage [03/06/14 01:28]
- >>204
で、それのどこがLDAPと関係があるの?
- 206 名前:名無しさん@お腹いっぱい。 [03/06/14 18:36]
- > 200
パッケージを買うと紙のマニュアルがついてますよ。
ウェブにあるものと同じことには変わりないけど。
> 201
まだ5.2はモノが出ていないですよ。最新は5.1SP2。
また、NT/Actiove Dorectoryとの同期は、もともと
5.2に含まれる予定でしたが、別プロダクトとして
出てくるらしいです。
wwws.sun.com/software/products/identity_synch/index.html
- 207 名前:名無しさん@お腹いっぱい。 [03/06/15 22:46]
- OpenLDAPって結構不安定だなぁ・・・
- 208 名前:名無しさん@お腹いっぱい。 mailto:sage [03/06/15 23:45]
- ・・・と、使わないうちから妄想しています。
- 209 名前:novell [03/06/16 21:25]
- eDirectory あげ
- 210 名前:名無しさん@お腹いっぱい。 [03/06/16 22:30]
- コーディングのお供に
mypage.odn.ne.jp/home/dongrico
- 211 名前:あぼーん mailto:あぼーん [あぼーん]
- あぼーん
- 212 名前:あぼーん mailto:あぼーん [あぼーん]
- あぼーん
- 213 名前:あぼーん mailto:あぼーん [あぼーん]
- あぼーん
- 214 名前:あぼーん mailto:あぼーん [あぼーん]
- あぼーん
- 215 名前:名無しさん@お腹いっぱい。 mailto:sage [03/08/03 15:48]
- 職場でldapでいろいろなユーザの認証を管理しようとしてテストしているのですが、
暗号化パスワードが作成できないんです、
$ slappasswd -h "{CRYPT}" -s passwd -c "%s"
としても
Password generation failed.
と怒られてしまいます。
$ slappasswd -h "{MD5}" -s passwd
などはちゃんとできるのですが、原因がわかりません。
どなたか原因を知っている方、同じような現象になった方はいらっしゃらないでしょうか?
環境は
openldap-2.1.21
FreeBSD 4.7-RELEASE
です
- 216 名前:名無しさん@お腹いっぱい。 mailto:sage [03/08/05 02:01]
- ソルトはどうしたよ?
slapd.confのpassword-crypt-salt-formatのところ読んでみなよ。
- 217 名前:215 mailto:sage [03/08/05 11:38]
- >>216
slapd.confには
password-crypt-salt-format "%.2s"
や
password-crypt-salt-format "$1$%.8s"
などと書いてはみたのですが、うまくいかないんです。
slpapasswd の -c で salt のフォーマットを指示しても slapd.conf の
この指定って関係するんでしょうか?
- 218 名前:名無しさん@お腹いっぱい。 mailto:sage [03/08/05 12:32]
- >>217
じゃ、-DSLAPD_CRYPTなしでcompileされたんでしょ?
get_scheme()に失敗してるんだよ。
Bind認証時にdecryptするのはserver側だから、
crypt(3)がMD5のFreeBSDでは、(のはず)
DESは使えなくても構わないと思うけど。
しかしどうして{DES}ってのがないんだろう…
{CRYPT}/crypt(3)はシステムごとに違うのに…
- 219 名前:215 mailto:sage [03/08/05 18:22]
- >>218
コンパイルしたのが私じゃないので確認しなきゃいけないんですが、
おそらくコンパイル時に --enable-crypt していないんじゃないかと思い始めています。
(slapd.conf に password-hash {CRYPT} と書いたら
password scheme "{CRYPT}" not available と怒られたのがきっかけ)
FreeBSDはcryptが(ディフォルトでは)MD5ってことも今日やっと理解しました。
{MD5}と{CRYPT}があったんでてっきり{CRYPT}はDESだと思い込んでいたんです。
ということで「{MD5}でやればいい」としたいところなんですが、
LDAPで管理しようと思っている現在NISで流れているpasswdがDESなんですよ。
うーん、login.confを書き換えちゃおうかなぁ。
- 220 名前:名無しさん@お腹いっぱい。 mailto:sage [03/08/05 21:03]
- うん、slapdはちゃんとしたerror messageだすんだけど、
slappasswdは、Password generation failed.とPassword verification failed.だけだから。
> LDAPで管理しようと思っている現在NISで流れているpasswdがDESなんですよ。
> うーん、login.confを書き換えちゃおうかなぁ。
というか、bind認証を使うつもりなら、
slapdでDESが喋れるようにしないと今のパスワード移行できないわな。
nss_ldap的な利用しかしないんならいいけど。(LDAPの価値半減)
普通はauth_ldap, pam_ldap的な使い方したいわな。
つまりコンパイルし直しが必要。しかも-DSLAPD_CRYPTでcompileすると
MD5なFreeBSDのcrypt(3)じゃなくて、DESなcrypt(3)使うようにしないと。
大昔のFreeBSDは差し換えlibraryがあってそれ入れ替えるだけだったけど、今はしらん。
LDAPつーかcrypt(3)の話だな(w
- 221 名前:名無しさん@お腹いっぱい。 mailto:sage [03/08/05 21:56]
- >>220
FreeBSD の crypt(3) は salt の種類に応じてよしなに DES と MD5 を処理しわけてくれるような。
- 222 名前:215 mailto:sage [03/08/05 22:51]
- >>220
同意
>>221
おぉ。
ということはslapdでcryptを使えるようにさえしておけば
DESとMD5の両方を混在できるってことなんですか!?(←質問ではなく感動を表す疑問形です ^^;)
それならユーザの負荷なしにDESなパスワードファイルからMD5にこっそり移行、
というのもできそうですね。(それが嬉しいかって聞かれると…そうでもないかな)
明日、早速ためしてみます。
あ、業務が終わってからの作業ですので、ここでの報告は明日の今くらいの時間になります。
(知ってることだから報告しなくていいってのはご勘弁を)
- 223 名前:名無しさん@お腹いっぱい。 mailto:sage [03/08/06 08:19]
- >>222
> ということはslapdでcryptを使えるようにさえしておけば
> DESとMD5の両方を混在できるってことなんですか!?(←質問ではなく感動を表す疑問形です ^^;)
いや、{CRYPT}だけじゃまずい。password-crypt-salt-formatは固定だから、
>>221
> FreeBSD の crypt(3) は salt の種類に応じてよしなに DES と MD5 を処理しわけてくれるような。
こういうわけにはイカンでしょ。{MD5}「も」利用可能にしておかないと。
- 224 名前:215 mailto:sage [03/08/06 22:40]
- >>223
ご忠告いただいたのですが、イチかバチかやってみたところ
うまく行っちゃいました。
password-crypt-salt-format がなんであれ(たとえ設定していなくても)、
MD5なパスワードでもDESなパスワードでも認証できました。
ってことはpassword-crypt-salt-formatってのは何のとき使うんだろ?
ldappasswordでパスワードを変更したときなのかな?
時間があれば明日の昼休みにでも確認しておきます。
(なんで今日やっとかなかったんだろ、反省。)
とりあえず「うまくいきそう」です(^^)。
- 225 名前:215 mailto:sage [03/08/06 23:02]
- ×ldappassword
○ldappasswd
- 226 名前:名無しさん@お腹いっぱい。 [03/08/07 03:01]
- >>224
なぬ〜!
つーか、お前それ、-DSLAPD_CRYPTありでcompileされてるじゃん…
lutils_passwd_schemeが{CRYPT}でもOKなんだから。
# slappasswdだけ-DSLAPD_CRYPTなしでcompileされたのかな…
> ldappasswdでパスワードを変更したときなのかな?
しかもpassword modify extended operation使われた時だけな。
Modify operationだと、client側でcryptするから。
- 227 名前:あぼーん mailto:あぼーん [あぼーん]
- あぼーん
- 228 名前:あぼーん mailto:あぼーん [あぼーん]
- あぼーん
- 229 名前:あぼーん mailto:あぼーん [あぼーん]
- あぼーん
- 230 名前:あぼーん mailto:あぼーん [あぼーん]
- あぼーん
- 231 名前:215 mailto:sage [03/08/07 07:19]
- >>226
cryptなしでコンパイルしたことを確認して、昨日コンパイルしなおしたんです。
すみません、書いてませんでした。
- 232 名前:くまだ [03/08/08 11:10]
- RH8+openldap 2.1.22 を使っています。
LDAP サービスが起動していないとローカルユーザ(root 含む)が
ssh、su でログインできなくなってしまいます。なぜでしょうか?
/etc/nsswitch.conf は
passwd: files nisplus ldap
shadow: files nisplus ldap
group: files nisplus ldap
/etc/pamd.d/system-auth は
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required /lib/security/pam_env.so
auth sufficient /lib/security/pam_unix.so likeauth nullok
auth sufficient /lib/security/pam_ldap.so use_first_pass
auth required /lib/security/pam_deny.so
account required /lib/security/pam_unix.so
account [default=bad success=ok user_unknown=ignore service_err=ignore syste
m_err=ignore] /lib/security/pam_ldap.so
password required /lib/security/pam_cracklib.so retry=3 type=
password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shadow
password sufficient /lib/security/pam_ldap.so use_authtok
password required /lib/security/pam_deny.so
session required /lib/security/pam_limits.so
session required /lib/security/pam_unix.so
session optional /lib/security/pam_ldap.so
ldap.conf は
host LDAPServerIP
base dc=hoge,dc=co,dc=jp
pam_password md5
ssl no
です。
- 233 名前:くまだ [03/08/08 11:11]
- すいません。くまだです。
あと、pam.d フォルダは
/usr/share/doc/nss_ldap-198/pam.d
にもありますが、/etc/pam.d とどちらが生かされるのでしょうか?
また、ldap.conf ファイルが
/etc/openldap/ldap.conf
にもありますが、/etc/ldap.conf とどちらが有効なのでしょうか?
- 234 名前:ショーン [03/08/08 13:11]
- 始めて投稿します。いろいろと調べたのですが解りませんでしたので宜しくお願いします。
CSVについてですがOS:soralis8 cvsのバージョン:cvs-jp-1.11.1p1-3tar.gzを解凍しインストール
したのですがmakeを実行した時に下記のエラーが出てしまいました。
gcc -DHAVE_CONFIG_H -I. -I. -I.. -I. -I../lib -I../diff -I../zlib -Iyes/include -g -O2
-c `test -f server.c || echo './'`server.c
server.c:31: krb5.h: ファイルもディレクトリもありません。
*** Error code 1
make: Fatal error: Command failed for target `server.o'
Current working directory /opt/src/cvs-1.11.1p1/src
*** Error code 1
make: Fatal error: Command failed for target `all'
Current working directory /opt/src/cvs-1.11.1p1/src
*** Error code 1
make: Fatal error: Command failed for target `all-recursive'
Current working directory /opt/src/cvs-1.11.1p1
*** Error code 1
make: Fatal error: Command failed for target `all'
対処方法が解らないのですが対処ご伝授お願いします。
- 235 名前:ショーン [03/08/08 14:29]
- 申し訳ございません。記述するコーナーを間違えました。
本当にすいませんです。
- 236 名前:ショーン [03/08/08 14:30]
- 上記のないようですが誠に申し訳ございません。記述するコーナーを間違えました。
本当にすいませんです。
- 237 名前:名無しさん@お腹いっぱい。 [03/08/08 14:44]
- >>232
とりあえず、getent passwd usrnameで、
LDAP only, /etc/passwd onlyのentryを調べてみんさい。
> /usr/share/doc/nss_ldap-198/pam.d
これはdocの下だから単なるサンプル。
> また、ldap.conf ファイルが/etc/openldap/ldap.confにもありますが、
> /etc/ldap.conf とどちらが有効なのでしょうか?
Pam/nssでは後者。前者はOpenLDAPのclient関係だけで有効。
PADLのPam/nss moduleが、LDAP libraryはOpenLDAPのを使って、
ってのがRed Hat Linux 9のLDAP module関係。(8もたぶん同じ)
/usr/lib/libldap.so.2→/etc/openldap/ldap.conf
/lib/security/pam_ldap.so→/etc/ldap.conf
pam_ldapはlibldap呼び出しているけど、/etc/ldap.confの設定をoverrideする。
ところでauthconfig使ってますか?
- 238 名前:名無しさん@お腹いっぱい。 mailto:sage [03/08/08 14:45]
- >>231
> cryptなしでコンパイルしたことを確認して、昨日コンパイルしなおしたんです。
なぬ〜(w
- 239 名前:くまだ [03/08/08 16:38]
- >>232
ご回答ありがとうございます。
> とりあえず、getent passwd usrnameで、
> LDAP only, /etc/passwd onlyのentryを調べてみんさい。
slapd 起動中にでは
# getnet passwd LDAP_only_user
LDAP_only_user:x:5000:250:LDAP_only_user:/home/LDAP_only_user:/bin/csh
# getnet passwd passwd_only_user
passwd_only_user:x:500:500:passwd_only_user:/home/passwd_only_user:/bin/bash
起動していないと、
# getnet passwd LDAP_only_user
#出力なし。
# getnet passwd passwd_only_user
passwd_only_user:x:500:500:passwd_only_user:/home/passwd_only_user:/bin/bash
ちなみに、slapd を起動していないと、
# su - passwd_only_user
su: incorrect password
で、ログインできないです。
> pam_ldapはlibldap呼び出しているけど、/etc/ldap.confの設定をoverrideする。
> ところでauthconfig使ってますか?
はい、使っています。
詳細なクライアントの設定をするならば、/etc/ldap.conf に設定すればよいのですね。
- 240 名前:名無しさん@お腹いっぱい。 [03/08/08 17:40]
- 初めまして。どうしてもわからないことがありましたので投稿させて頂きます。現在、RedHat8.0、OpenLDAP-2.1.22を使用し、以下のような構成でLDAPサーバを3台構築しております。
ldap1.aaa.hoge.co.jp、ldap1.bbb.hoge.co.jp、ldap1.ccc.hoge.co.jp
この3台で以下のような関係でリファラル機能を実現したいのですが、そこで手こずっています。以下に各LDAPサーバへのreferralの設定を示します。
1.ldap1.aaa.hoge.co.jpのリファラルの設定
上位参照サーバ:ldap1.bbb.hoge.co.jp
下位参照サーバ:ldap1.ccc.hoge.co.jp
2.ldap1.bbb.hoge.co.jpのリファラルの設定
上位参照設定:ldap1.ccc.hoge.co.jp
下位参照設定:ldap1.aaa.hoge.co.jp
3.ldap1.ccc.hoge.co.jp
上位参照設定:ldap1.aaa.hoge.co.jp
下位参照設定:ldap1.bbb.hoge.co.jp
しかしこの下位参照設定エントリを追加した直後、LDAPユーザやローカルユーザへのsuやログイン等ができなくなってしまいます。
ちなみにsuしたときに"Segmentation fault"というメッセージが表示されれます。
何か対策がありましたらご教授ください。
- 241 名前:くまだ [03/08/10 01:16]
- >>237
> > LDAP only, /etc/passwd onlyのentryを調べてみんさい。
> slapd 起動中では
> # getnet passwd LDAP_only_user
> LDAP_only_user:x:5000:250:LDAP_only_user:/home/LDAP_only_user:/bin/csh
> # getnet passwd passwd_only_user
> passwd_only_user:x:500:500:passwd_only_user:/home/passwd_only_user:/bin/bash
>
> 起動していないと、
> # getnet passwd LDAP_only_user
> #出力なし。
> # getnet passwd passwd_only_user
> passwd_only_user:x:500:500:passwd_only_user:/home/passwd_only_user:/bin/bash
>
> ちなみに、slapd を起動していないと、
> # su - passwd_only_user
> su: incorrect password
> で、ログインできないです。
pam の設定が問題なのでしょうか?
su の場合、pam の su と login ファイルに問題があるのでしょうか?
ldap.conf でしょうか?
- 242 名前:名無しさん@お腹いっぱい。 mailto:sage [03/08/10 21:53]
- >>241
PAMの設定でしょ。間違いなく。
pam_stack使ってるだろーから/etc/pam.d/suとかはsystem-auth呼ぶようになっていれば問題ない。
accountのとこみたいな[ ]をauthとかにも書かないといけないんじゃないかな? と思う。
「LDAPが落ちてるときはpam_ldapを無視する」としたいのに
現象としては「LDAPが落ちてるときは認証に失敗する」になっちゃってるんだから。
service_err=ignoreとsystem_err=ignoreがなんかそれっぽいし。
多分accountと同じ書き方で良いと思うけど、問題あるのかもしれない。
うーむ。PAMって良く分からん。
- 243 名前:名無しさん@お腹いっぱい。 mailto:sage [03/08/11 14:51]
- >>242
> accountのとこみたいな[ ]をauthとかにも書かないといけないんじゃないかな? と思う。
> 「LDAPが落ちてるときはpam_ldapを無視する」としたいのに
> 現象としては「LDAPが落ちてるときは認証に失敗する」になっちゃってるんだから。
> service_err=ignoreとsystem_err=ignoreがなんかそれっぽいし。
>
> 多分accountと同じ書き方で良いと思うけど、問題あるのかもしれない。
もしそうだとするとLDAPの落ちている時は、getent失敗するはずだけど…
>>240
とりあえず、core dumpさせるか、ltrace/straceでもして、
"Segementation Fault"の原因調べなよ。LDAPの設定はその後でしょ。
- 244 名前:名無しさん@お腹いっぱい。 mailto:sage [03/08/11 15:49]
- >>243
> もしそうだとするとLDAPの落ちている時は、getent失敗するはずだけど…
getentは、nsswitch.confだから関係ないや…
- 245 名前:名無しさん@お腹いっぱい。 [03/08/14 09:58]
- ttp://www.fivesight.com/downloads/openldap.asp
ここにあるOpenLDAP for Windowsをリポジトリにしたいのだけれど。。。
ldifが無いのはどうすれば良いんだろう?
- 246 名前:名無しさん@お腹いっぱい。 [03/08/14 11:07]
- >>245
java.sun.com/products/jndi/tutorial/basics/prepare/content.html
ここにしたがって、schemaおよび必須entryのsetupしたら?
schemaの追加はOpenLDAPの場合は、(↑に書いてないけど)
/etc/(open)ldap/schemaに置いてrestartね。
- 247 名前:あぼーん mailto:あぼーん [あぼーん]
- あぼーん
- 248 名前:あぼーん mailto:あぼーん [あぼーん]
- あぼーん
- 249 名前:名無しさん@お腹いっぱい。 mailto:sage [03/09/15 02:36]
- シングルサインオン機能付きのポータル画面を作っています。
認証&シングルサインオン先のユーザ管理にOpenLDAPを使おうと
思っているのですが、既存のスキーマで実現するのは難しいでしょうか。
実現したい内容は
○ 他人のパスワードが見えないこと。
○ 複数のユーザID/パスワードが格納出来ること。
この2点です。
ObjectClassの作成も試みたのですが
ObjectIDの付与の仕方も分かりませんでした。
【環境】
OS Redhat7.3
LDAP openldap-2.0.27-2.7.3(RPM版)
解決の糸口だけでも教えて頂ければ幸いです。
- 250 名前:名無しさん@お腹いっぱい。 [03/09/15 16:44]
- あげ。
- 251 名前:名無しさん@お腹いっぱい。 [03/09/16 00:22]
- >>249
漏れも知りたい。
教えてエロい人。
|
 |
