LDAPについて

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 05/18 01:27 / Filesize : 285 KB / Number-of Response : 969
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

LDAPについて

1 名前：名無し君 [02/02/02 20:53]: 語りましょう。
私は俺はこんなものまでLDAPで管理している等々。。
177 名前：172 [03/05/14 23:40]: >>176
$filterは"objectclass=*"とかでない？
178 名前：176 mailto:sage [03/05/15 00:18]: 「これくらい」と書いている通り、そこいらへん適当だよ!
179 名前：177 [03/05/15 00:28]: >>178
>適当
それだと動かないYO（ｗ

でもとりあえず>>174は176のサンプルに感謝するように。
あとはphp.netのサンプルやマニュアルで勉強だな。
180 名前：176 mailto:sage [03/05/15 00:40]: 適当でスマソ!

でも、>>171 位のプログラムなら、このスレッドの中でも適当(wに作れそうじゃ
ん。とりあえず>>171 は自分の欲しい仕様をダラダラ書いたら？

レスに収まらなくなってきたら、どこかのWikiサーバに一時間借りして、ソー
スや仕様書、コメント等を書かせてもらっても良いだろうし。

如何～
181 名前：171 [03/05/15 23:10]: 日本語の姓名をKEYにしてLDAPサーバにKEYごとに問い合わせを行う。
filterはmail=xxx@xxxx.com
この結果をCSVに落とす。
もちろん、EUCもしくはSJISで。
182 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/05/15 23:29]: >>171
おいおい、「filter」の意味わかってる？
もうちょっと LDAP の勉強した方がいいんじゃない？

ところで、最近の国内の LDAP 周辺の事情に疎いんだけど、
LDAP 情報ポータルサイトみたいなんってあるのかな？
>>180 で思ったんだけど、
LDAP 初心者でもとっつきやすそうな Wiki サイトとかあると良いのかな、なんて。
183 名前：171 [03/05/16 22:59]: ホントだ。ないっているだろう。いってきます
184 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
185 名前：名無しさん＠お腹いっぱい。 [03/06/03 20:51]: 最新のOpenLDAPについて勉強出来る日本語サイト、おしえて！
186 名前：名無しさん＠お腹いっぱい。 [03/06/04 22:13]: >185

無い(いやマジで)。

書籍ならば UNIX USER 2002/1 の特集とか先月と今月の Software Design
とか。o'reilly の「LDAP system Administraion」(洋書)を買うとか。
↑ OpenLDAP の事しか書いてないぞ、これ。。。

まだ見てないけど 5/2 に出たばかりの
「Understanding and Deploying LDAP Directory Services 2nd Edition」
に期待大(こいつも洋書だ)。
でも 936 ページもあるらしいので人一人死なすには十分。
187 名前：名無しさん＠お腹いっぱい。 [03/06/07 17:58]: と言う訳で「Understanding and Deploying LDAP Directory Services 2nd Edition」
が届いた。何なの、この辞書のような装いは...。
188 名前：名無しさん＠Ｅｍａｃｓ mailto:sage [03/06/07 18:48]: RDBの概念から実際のソフトウェアの扱いまでを一冊に
納めようとしたら、それぐらいの分量になりそうだけど
そんな感じの本なの？
189 名前：名無しさん＠Ｅｍａｃｓ [03/06/07 22:45]: >188

日本の LDAP ML で和訳が進行していたらしい(そして頓挫？）本の 2nd Edition な
んでそれなりの本じゃないかな。

出版元(ADDISON-WESLEY)の紹介ページで Table of Contents 見てもよー分からん。

www.awprofessional.com/catalog/product.asp?product_id={0A213C17-EE78-4AC2-9D72-812B36E94742}
190 名前：名無しさん＠お腹いっぱい。 [03/06/12 10:27]: ディレクトリに人のエントリを格納し、この人は a, b, c のアプリを利用で
き、この人は b, c, d のアプリが利用できるといった制御をするためにはサー
バ側での実現方法、アプリ側での認証方法はどのようにしたら良いでしょう
か？
191 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/06/12 10:40]: アプリを動かすplatformは?
192 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/06/12 10:53]: scheme/schema
science.2ch.net/test/read.cgi/math/1011949239/
193 名前：名無しさん＠お腹いっぱい。 [03/06/12 11:07]: >191

アプリは Windows, UNIX 上での Perl, PHP, Java, VB 等様々です。

ユーザ認証を行うには uid, password で bind して成功/失敗をチェックすれば
良いのではと考えてます。
その後ユーザが利用出来るアプリを制限するところがピンときません。
194 名前：名無しさん＠お腹いっぱい。 [03/06/12 11:35]: >>193
アプリが全部自作なら、
アプリ自身が実行しているユーザが利用可能であるか、directory情報を見て、
自分で制御すればいいと思います。終了するなど。

自作じゃないなら、local systemのauthorization systemを使って、
実行可能/不可能を制御すればいいです。
グループをdirectoryで管理して、グループに対するアクセス許可を行なう。

Authentication systemとauthorization systemの区別が
はっきりしてないからピンと来ないということはないですか?
LDAPはauthenticationしかやってくれないので、
authorizationは別途実現してやる必要があります。

上の2例の場合、authenticationはログオン/イン時に行なわれます。

アノニマスログオン/インが許可されている環境で、
authenticationも絡めて行ないたい場合は、
(つまりlocal systemのauthenticationを信頼しない場合)
アプリごとにou=アプリ名を作って、
その中にcn=ユーザ名を作成、(パスワードはCoSで共有する)
アプリで認証する時のbaseDNをこのouを指定する、などの方法があります。
cn=ユーザ名があるユーザが利用可能なユーザ。
195 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/06/12 11:39]: ちなみに、
> この人は a, b, c のアプリを利用でき、
> この人は b, c, d のアプリが利用できるといった制御
は、authorization(=アクセス制御)です。
196 名前：名無しさん＠お腹いっぱい。 [03/06/12 13:33]: >194
なんとなく見えてきました。

authorization を行う為の手段は明確には定められていない。
それは各アプリが任意の方法を用いて各自で判断しなさいと。

>アプリごとにou=アプリ名を作って、
>その中にcn=ユーザ名を作成、(パスワードはCoSで共有する)
>アプリで認証する時のbaseDNをこのouを指定する、などの方法があります。

この方法の場合、各アプリで個別に必要になる属性を
ou=アプリ 1, ou=アプリ 2, ou=アプリ 3 に格納し、パスワードのような共通属性は
Cos で ou=人のようなエントリ以下とひも付けすると言う事ですね。

ユーザ A がアプリ 1 を利用しようとした場合、
アプリ 1 は ou=アプリ 1 を baseDN として cn, password で bind してみる。
→ 成功/失敗をチェック！

従ってユーザ A はアプリ1, 2, 3 を、ユーザ B はアプリ 2 を、ユーザ C は
アプリ 2, 3 を利用出来るようにしたいなら

ou=人には ... cn=ユーザ A, cn=ユーザ B, cn=ユーザ C (共通属性を格納)
ou=アプリ 1 には ... cn=ユーザ A (固有の属性を格納)
ou=アプリ 2 には ... cn=ユーザ A, cn=ユーザ B, cn=ユーザ C (固有の属性を格納)
ou=アプリ 3 には ... cn=ユーザ A, cn=ユーザ C (固有の属性を格納)

の各エントリを作ってあげれば authentication & authorization が行なえ
ると言う事でよいでしょうか？
197 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/06/12 15:40]: >>189
鵜飼さんの日記にも出てた。
Understanding and Deploying LDAP Directory Services , Second Edition
198 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/06/12 16:33]: >>196
> authorization を行う為の手段は明確には定められていない。

明確に定められてないどころか関知しません。
LDAPはauthentication serviceとdirectory serviceを提供するだけです。

DITに対するaccessのauthorizationについては、
serverごとに実装されていて、またいろいろな標準提案もありますが。

> (ずばっと省略)

そんな感じでいいんじゃないでしょうか。
もちろんこれはひとつの方法に過ぎませんが。
199 名前：名無しさん＠お腹いっぱい。 [03/06/13 15:35]: 最近 SunONE Directory Server に興味津々なんですが、製品を購入した際に付いてくる
マニュアルは docs.sun.com にあるもの以外何かありますでしょうか？

あれだけではとても利用(運用)は無理と思いまして。。。

Solaris9 に付いてくるのはひょっとしてソフトだけでマニュアル無しとか？
200 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/06/13 18:08]: CD-ROMだけだから、(今時紙のマニュアルはない)
docs.sun.com/db/prod/s1dirsrvにあるのと同じだよ。

wwws.sun.com/software/download/products/3e5beea5.html
にtrial版があるからdownloadしてみなよ。

LDAPさえ分かれば運用は簡単だよ。
201 名前：<sage> [03/06/13 19:04]: >200

ところで今米国Sunのサイト見に行ったらいつの間にやら 5.2 が出てますね。
wwws.sun.com/software/products/directory_srvr/home_directory.html

4.xであったWindowsNTとの連携が復活しているようで。
ActiveDirectoryとの連携はMeta-Directoryを使えと言う事かな。
Roleを使った際、バーチャル属性のフィルタでの使用はサポートになってい
るんでしょうか？
202 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
203 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
204 名前：SPARC [03/06/14 01:17]: DTCって会社がSolaris互換のCPU出してるみたいだけど、
実際どうなのかなぁ？知ってる人いたら教えて。。。
速いの？
205 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/06/14 01:28]: >>204
で、それのどこがLDAPと関係があるの?
206 名前：名無しさん＠お腹いっぱい。 [03/06/14 18:36]: > 200
パッケージを買うと紙のマニュアルがついてますよ。
ウェブにあるものと同じことには変わりないけど。

> 201
まだ5.2はモノが出ていないですよ。最新は5.1SP2。

また、NT/Actiove Dorectoryとの同期は、もともと
5.2に含まれる予定でしたが、別プロダクトとして
出てくるらしいです。

wwws.sun.com/software/products/identity_synch/index.html
207 名前：名無しさん＠お腹いっぱい。 [03/06/15 22:46]: OpenLDAPって結構不安定だなぁ・・・
208 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/06/15 23:45]: ・・・と、使わないうちから妄想しています。
209 名前：novell [03/06/16 21:25]: eDirectory　あげ
210 名前：名無しさん＠お腹いっぱい。 [03/06/16 22:30]: コーディングのお供に
mypage.odn.ne.jp/home/dongrico
211 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
212 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
213 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
214 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
215 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/08/03 15:48]: 職場でldapでいろいろなユーザの認証を管理しようとしてテストしているのですが、
暗号化パスワードが作成できないんです、
$ slappasswd -h "{CRYPT}" -s passwd -c "%s"
としても
Password generation failed.
と怒られてしまいます。
$ slappasswd -h "{MD5}" -s passwd
などはちゃんとできるのですが、原因がわかりません。
どなたか原因を知っている方、同じような現象になった方はいらっしゃらないでしょうか?
環境は
openldap-2.1.21
FreeBSD 4.7-RELEASE
です
216 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/08/05 02:01]: ソルトはどうしたよ?
slapd.confのpassword-crypt-salt-formatのところ読んでみなよ。
217 名前：215 mailto:sage [03/08/05 11:38]: >>216
slapd.confには
password-crypt-salt-format "%.2s"
や
password-crypt-salt-format "$1$%.8s"
などと書いてはみたのですが、うまくいかないんです。
slpapasswd の -c で salt のフォーマットを指示しても slapd.conf の
この指定って関係するんでしょうか?
218 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/08/05 12:32]: >>217
じゃ、-DSLAPD_CRYPTなしでcompileされたんでしょ?
get_scheme()に失敗してるんだよ。

Bind認証時にdecryptするのはserver側だから、
crypt(3)がMD5のFreeBSDでは、(のはず)
DESは使えなくても構わないと思うけど。

しかしどうして{DES}ってのがないんだろう…
{CRYPT}/crypt(3)はシステムごとに違うのに…
219 名前：215 mailto:sage [03/08/05 18:22]: >>218
コンパイルしたのが私じゃないので確認しなきゃいけないんですが、
おそらくコンパイル時に --enable-crypt していないんじゃないかと思い始めています。
(slapd.conf に password-hash {CRYPT} と書いたら
password scheme "{CRYPT}" not available と怒られたのがきっかけ)

FreeBSDはcryptが(ディフォルトでは)MD5ってことも今日やっと理解しました。
{MD5}と{CRYPT}があったんでてっきり{CRYPT}はDESだと思い込んでいたんです。
ということで「{MD5}でやればいい」としたいところなんですが、
LDAPで管理しようと思っている現在NISで流れているpasswdがDESなんですよ。
うーん、login.confを書き換えちゃおうかなぁ。
220 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/08/05 21:03]: うん、slapdはちゃんとしたerror messageだすんだけど、
slappasswdは、Password generation failed.とPassword verification failed.だけだから。

> LDAPで管理しようと思っている現在NISで流れているpasswdがDESなんですよ。
> うーん、login.confを書き換えちゃおうかなぁ。

というか、bind認証を使うつもりなら、
slapdでDESが喋れるようにしないと今のパスワード移行できないわな。
nss_ldap的な利用しかしないんならいいけど。(LDAPの価値半減)
普通はauth_ldap, pam_ldap的な使い方したいわな。

つまりコンパイルし直しが必要。しかも-DSLAPD_CRYPTでcompileすると
MD5なFreeBSDのcrypt(3)じゃなくて、DESなcrypt(3)使うようにしないと。
大昔のFreeBSDは差し換えlibraryがあってそれ入れ替えるだけだったけど、今はしらん。

LDAPつーかcrypt(3)の話だな(w
221 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/08/05 21:56]: >>220
FreeBSD の crypt(3) は salt の種類に応じてよしなに DES と MD5 を処理しわけてくれるような。
222 名前：215 mailto:sage [03/08/05 22:51]: >>220
同意

>>221
おぉ。
ということはslapdでcryptを使えるようにさえしておけば
DESとMD5の両方を混在できるってことなんですか!?(←質問ではなく感動を表す疑問形です ^^;)
それならユーザの負荷なしにDESなパスワードファイルからMD5にこっそり移行、
というのもできそうですね。(それが嬉しいかって聞かれると…そうでもないかな)
明日、早速ためしてみます。

あ、業務が終わってからの作業ですので、ここでの報告は明日の今くらいの時間になります。
(知ってることだから報告しなくていいってのはご勘弁を)
223 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/08/06 08:19]: >>222
> ということはslapdでcryptを使えるようにさえしておけば
> DESとMD5の両方を混在できるってことなんですか!?(←質問ではなく感動を表す疑問形です ^^;)

いや、{CRYPT}だけじゃまずい。password-crypt-salt-formatは固定だから、

>>221
> FreeBSD の crypt(3) は salt の種類に応じてよしなに DES と MD5 を処理しわけてくれるような。

こういうわけにはイカンでしょ。{MD5}「も」利用可能にしておかないと。
224 名前：215 mailto:sage [03/08/06 22:40]: >>223
ご忠告いただいたのですが、イチかバチかやってみたところ
うまく行っちゃいました。
password-crypt-salt-format がなんであれ(たとえ設定していなくても)、
MD5なパスワードでもDESなパスワードでも認証できました。
ってことはpassword-crypt-salt-formatってのは何のとき使うんだろ?
ldappasswordでパスワードを変更したときなのかな?

時間があれば明日の昼休みにでも確認しておきます。
(なんで今日やっとかなかったんだろ、反省。)

とりあえず「うまくいきそう」です(^^)。
225 名前：215 mailto:sage [03/08/06 23:02]: ×ldappassword
○ldappasswd
226 名前：名無しさん＠お腹いっぱい。 [03/08/07 03:01]: >>224
なぬ～!

つーか、お前それ、-DSLAPD_CRYPTありでcompileされてるじゃん…
lutils_passwd_schemeが{CRYPT}でもOKなんだから。

# slappasswdだけ-DSLAPD_CRYPTなしでcompileされたのかな…

> ldappasswdでパスワードを変更したときなのかな?

しかもpassword modify extended operation使われた時だけな。
Modify operationだと、client側でcryptするから。
227 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
228 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
229 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
230 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
231 名前：215 mailto:sage [03/08/07 07:19]: >>226
cryptなしでコンパイルしたことを確認して、昨日コンパイルしなおしたんです。
すみません、書いてませんでした。
232 名前：くまだ [03/08/08 11:10]: RH8+openldap 2.1.22　を使っています。
LDAP サービスが起動していないとローカルユーザ（root 含む）が
ssh、su でログインできなくなってしまいます。なぜでしょうか？
/etc/nsswitch.conf は
　passwd: files nisplus ldap
　shadow: files nisplus ldap
　group: files nisplus ldap
/etc/pamd.d/system-auth は
　#%PAM-1.0
　# This file is auto-generated.
　# User changes will be destroyed the next time authconfig is run.
　auth required /lib/security/pam_env.so
　auth sufficient /lib/security/pam_unix.so likeauth nullok
　auth sufficient /lib/security/pam_ldap.so use_first_pass
　auth required /lib/security/pam_deny.so
　account required /lib/security/pam_unix.so
　account [default=bad success=ok user_unknown=ignore service_err=ignore syste
m_err=ignore] /lib/security/pam_ldap.so
　password required /lib/security/pam_cracklib.so retry=3 type=
　password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shadow
　password sufficient /lib/security/pam_ldap.so use_authtok
　password required /lib/security/pam_deny.so
　session required /lib/security/pam_limits.so
　session required /lib/security/pam_unix.so
　session optional /lib/security/pam_ldap.so
ldap.conf は
　host LDAPServerIP
　base　dc=hoge,dc=co,dc=jp
　pam_password md5
　ssl no
です。
233 名前：くまだ [03/08/08 11:11]: すいません。くまだです。
あと、pam.d　フォルダは
/usr/share/doc/nss_ldap-198/pam.d
にもありますが、/etc/pam.d とどちらが生かされるのでしょうか？
また、ldap.conf　ファイルが
/etc/openldap/ldap.conf
にもありますが、/etc/ldap.conf とどちらが有効なのでしょうか？
234 名前：ショーン [03/08/08 13:11]: 始めて投稿します。いろいろと調べたのですが解りませんでしたので宜しくお願いします。
CSVについてですがOS:soralis8 cvsのバージョン:cvs-jp-1.11.1p1-3tar.gzを解凍しインストール
したのですがmakeを実行した時に下記のエラーが出てしまいました。
gcc -DHAVE_CONFIG_H -I. -I. -I.. -I. -I../lib -I../diff -I../zlib -Iyes/include -g -O2
-c `test -f server.c || echo './'`server.c
server.c:31: krb5.h: ファイルもディレクトリもありません。
*** Error code 1
make: Fatal error: Command failed for target `server.o'
Current working directory /opt/src/cvs-1.11.1p1/src
*** Error code 1
make: Fatal error: Command failed for target `all'
Current working directory /opt/src/cvs-1.11.1p1/src
*** Error code 1
make: Fatal error: Command failed for target `all-recursive'
Current working directory /opt/src/cvs-1.11.1p1
*** Error code 1
make: Fatal error: Command failed for target `all'

対処方法が解らないのですが対処ご伝授お願いします。
235 名前：ショーン [03/08/08 14:29]: 申し訳ございません。記述するコーナーを間違えました。
本当にすいませんです。
236 名前：ショーン [03/08/08 14:30]: 上記のないようですが誠に申し訳ございません。記述するコーナーを間違えました。
本当にすいませんです。
237 名前：名無しさん＠お腹いっぱい。 [03/08/08 14:44]: >>232
とりあえず、getent passwd usrnameで、
LDAP only, /etc/passwd onlyのentryを調べてみんさい。

> /usr/share/doc/nss_ldap-198/pam.d

これはdocの下だから単なるサンプル。

> また、ldap.conf　ファイルが/etc/openldap/ldap.confにもありますが、
> /etc/ldap.conf とどちらが有効なのでしょうか？

Pam/nssでは後者。前者はOpenLDAPのclient関係だけで有効。
PADLのPam/nss moduleが、LDAP libraryはOpenLDAPのを使って、
ってのがRed Hat Linux 9のLDAP module関係。(8もたぶん同じ)

/usr/lib/libldap.so.2→/etc/openldap/ldap.conf
/lib/security/pam_ldap.so→/etc/ldap.conf

pam_ldapはlibldap呼び出しているけど、/etc/ldap.confの設定をoverrideする。

ところでauthconfig使ってますか?
238 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/08/08 14:45]: >>231
> cryptなしでコンパイルしたことを確認して、昨日コンパイルしなおしたんです。

なぬ～(w
239 名前：くまだ [03/08/08 16:38]: >>232
ご回答ありがとうございます。

> とりあえず、getent passwd usrnameで、
> LDAP only, /etc/passwd onlyのentryを調べてみんさい。

slapd 起動中にでは
# getnet passwd LDAP_only_user
LDAP_only_user:x:5000:250:LDAP_only_user:/home/LDAP_only_user:/bin/csh
# getnet passwd passwd_only_user
passwd_only_user:x:500:500:passwd_only_user:/home/passwd_only_user:/bin/bash

起動していないと、
# getnet passwd LDAP_only_user
＃出力なし。
# getnet passwd passwd_only_user
passwd_only_user:x:500:500:passwd_only_user:/home/passwd_only_user:/bin/bash

ちなみに、slapd を起動していないと、
# su - passwd_only_user
su: incorrect password
で、ログインできないです。

> pam_ldapはlibldap呼び出しているけど、/etc/ldap.confの設定をoverrideする。
> ところでauthconfig使ってますか?
はい、使っています。
詳細なクライアントの設定をするならば、/etc/ldap.conf に設定すればよいのですね。
240 名前：名無しさん＠お腹いっぱい。 [03/08/08 17:40]: 初めまして。どうしてもわからないことがありましたので投稿させて頂きます。現在、RedHat8.0、OpenLDAP-2.1.22を使用し、以下のような構成でLDAPサーバを3台構築しております。

ldap1.aaa.hoge.co.jp、ldap1.bbb.hoge.co.jp、ldap1.ccc.hoge.co.jp

この3台で以下のような関係でリファラル機能を実現したいのですが、そこで手こずっています。以下に各LDAPサーバへのreferralの設定を示します。

1.ldap1.aaa.hoge.co.jpのリファラルの設定
上位参照サーバ：ldap1.bbb.hoge.co.jp
下位参照サーバ：ldap1.ccc.hoge.co.jp

2.ldap1.bbb.hoge.co.jpのリファラルの設定
上位参照設定：ldap1.ccc.hoge.co.jp
下位参照設定：ldap1.aaa.hoge.co.jp

3.ldap1.ccc.hoge.co.jp
上位参照設定：ldap1.aaa.hoge.co.jp
下位参照設定：ldap1.bbb.hoge.co.jp

しかしこの下位参照設定エントリを追加した直後、LDAPユーザやローカルユーザへのsuやログイン等ができなくなってしまいます。
ちなみにsuしたときに"Segmentation fault"というメッセージが表示されれます。
何か対策がありましたらご教授ください。
241 名前：くまだ [03/08/10 01:16]: >>237

> > LDAP only, /etc/passwd onlyのentryを調べてみんさい。

> slapd 起動中では
> # getnet passwd LDAP_only_user
> LDAP_only_user:x:5000:250:LDAP_only_user:/home/LDAP_only_user:/bin/csh
> # getnet passwd passwd_only_user
> passwd_only_user:x:500:500:passwd_only_user:/home/passwd_only_user:/bin/bash
>
> 起動していないと、
> # getnet passwd LDAP_only_user
> ＃出力なし。
> # getnet passwd passwd_only_user
> passwd_only_user:x:500:500:passwd_only_user:/home/passwd_only_user:/bin/bash
>
> ちなみに、slapd を起動していないと、
> # su - passwd_only_user
> su: incorrect password
> で、ログインできないです。

pam の設定が問題なのでしょうか？
su の場合、pam の su と login ファイルに問題があるのでしょうか？

ldap.conf でしょうか？
242 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/08/10 21:53]: >>241
PAMの設定でしょ。間違いなく。
pam_stack使ってるだろーから/etc/pam.d/suとかはsystem-auth呼ぶようになっていれば問題ない。

accountのとこみたいな[ ]をauthとかにも書かないといけないんじゃないかな？　と思う。
「LDAPが落ちてるときはpam_ldapを無視する」としたいのに
現象としては「LDAPが落ちてるときは認証に失敗する」になっちゃってるんだから。
service_err=ignoreとsystem_err=ignoreがなんかそれっぽいし。

多分accountと同じ書き方で良いと思うけど、問題あるのかもしれない。

うーむ。PAMって良く分からん。
243 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/08/11 14:51]: >>242
> accountのとこみたいな[ ]をauthとかにも書かないといけないんじゃないかな？　と思う。
> 「LDAPが落ちてるときはpam_ldapを無視する」としたいのに
> 現象としては「LDAPが落ちてるときは認証に失敗する」になっちゃってるんだから。
> service_err=ignoreとsystem_err=ignoreがなんかそれっぽいし。
>
> 多分accountと同じ書き方で良いと思うけど、問題あるのかもしれない。

もしそうだとするとLDAPの落ちている時は、getent失敗するはずだけど…

>>240
とりあえず、core dumpさせるか、ltrace/straceでもして、
"Segementation Fault"の原因調べなよ。LDAPの設定はその後でしょ。
244 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/08/11 15:49]: >>243
> もしそうだとするとLDAPの落ちている時は、getent失敗するはずだけど…

getentは、nsswitch.confだから関係ないや…
245 名前：名無しさん＠お腹いっぱい。 [03/08/14 09:58]: ttp://www.fivesight.com/downloads/openldap.asp
ここにあるOpenLDAP for Windowsをリポジトリにしたいのだけれど。。。
ldifが無いのはどうすれば良いんだろう？
246 名前：名無しさん＠お腹いっぱい。 [03/08/14 11:07]: >>245
java.sun.com/products/jndi/tutorial/basics/prepare/content.html
ここにしたがって、schemaおよび必須entryのsetupしたら?

schemaの追加はOpenLDAPの場合は、(↑に書いてないけど)
/etc/(open)ldap/schemaに置いてrestartね。
247 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
248 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
249 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/09/15 02:36]: シングルサインオン機能付きのポータル画面を作っています。

認証＆シングルサインオン先のユーザ管理にOpenLDAPを使おうと
思っているのですが、既存のスキーマで実現するのは難しいでしょうか。

実現したい内容は
　○ 他人のパスワードが見えないこと。
　○ 複数のユーザID/パスワードが格納出来ること。
この２点です。

ObjectClassの作成も試みたのですが
ObjectIDの付与の仕方も分かりませんでした。

【環境】
OS Redhat7.3
LDAP openldap-2.0.27-2.7.3（RPM版）

解決の糸口だけでも教えて頂ければ幸いです。
250 名前：名無しさん＠お腹いっぱい。 [03/09/15 16:44]: あげ。
251 名前：名無しさん＠お腹いっぱい。 [03/09/16 00:22]: >>249
漏れも知りたい。
教えてエロい人。
252 名前：名無しさん＠お腹いっぱい。 [03/09/16 11:04]: >>249
シングルサインオンを実現するのはLDAPの役割じゃないです。
CGIでcookieを自前管理するか、Jakarta Tomcat, Strutsを使いなさい。

>　○ 他人のパスワードが見えないこと。

これはservlet側の行なうbindに合わせた
userPasswordのaccess controlで。(これはLDAP側のみの設計)

>　○ 複数のユーザID/パスワードが格納出来ること。

Strutsだったら、LDAP realmとroleの組合わせで。
253 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/09/16 20:16]: >>252
PHPじゃダメでせうか?
254 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/09/16 21:17]: >>252
レスありがとうございます。
また説明不足ですみません。

ポータル画面についてはjavaで実装しております。
偶然ですがStrutsも。。。

今はとりあえずと言うことでuidに
　services1：userid/passwd
services2：userid/passwd
と書いているのですが、いかんせんパスワードが
丸見えなのでなんとかしたいと思ってました。
またuidに格納すること自体適当ではないと考えてます。

ちょうどよいObjectClassでもあればと思ってるのですが
標準でそれっぽいのが見あたりませんでした。
（分かってないだけかもしれませんが。。。）

あとuserPasswordの復号化した物を取り出す事って可能なのでしょうか。
教えてくんですみませんが、よろしくです。
255 名前：名無しさん＠お腹いっぱい。 [03/09/17 08:44]: >>254
> ちょうどよいObjectClassでもあればと思ってるのですが
> 標準でそれっぽいのが見あたりませんでした。
> （分かってないだけかもしれませんが。。。）

userPassword属性持つobjectclassならなんでもいいよ。
topとextensibleObjectだけでもいい。
後はpersonとか、topとsimpleSecurityObjectとか。

UNIXなら、posixAccountにでもしておけば?
posixAccountならLDIF作成ツールがたくさん転がっているし。

> あとuserPasswordの復号化した物を取り出す事って可能なのでしょうか。
> 教えてくんですみませんが、よろしくです。

その必要はない。
bind operationを使って認証しなさい。(これは命令w)

httpd.apache.org/docs-2.0/ja/mod/mod_auth_ldap.html#operation
でも参考にして。searchしないでいきなりbindすればいいけどね。

> 偶然ですがStrutsも。。。

というか、LDAP realm使えよ…マニュアル読め
256 名前：名無しさん＠お腹いっぱい。 [03/09/24 13:49]: ldapサーバーを移行しようと思って、/var/lib/ldap/*
を移行元のマシンから移行先のマシンにコピーしました。
で、slapdを起動して ldapsearch -x とやると
result: 32 No such object
って出ます。移行って他にも作業が必要なんでしょうか？
slapd.conf, ldap.conf もぼちぼち書き換えたのですが。

移行元：Red Hat 7.3, openldap-2.0.27-2.7.3
移行先：Red Hat 9, openldap-2.0.27-8
257 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
258 名前：256 mailto:sage [03/09/24 23:54]: 自己解決しちった。
移行元のファイルは拡張子がgdbmで、移行先はdbbじゃないとダメらしい。
これってどっかで設定できるの？
まぁ結局ldifに出力してslapaddで移行したから関係ないんだけど。
259 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/09/25 00:24]: >>258
/etc/openldap/slapd.confで、
database gdbm
な。あとbdb(Berkley DB)な。

ま、そのためのLDIFだしね。> slapadd
dbのbinary copyはdbの内部formatに互換性がないといけないし。
260 名前：256 mailto:sage [03/09/25 00:59]: >>259
レスども。両方とも slapd.conf は
database ldbm
なんですよ。でも、作られるファイルの拡張子が違うんだよね。
ま、ちょっと調べた限りではldifにして移行するのがいいっぽいね。
ほかに方法ってあるのかな？
261 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/09/25 02:46]: >>260
すまん。まちがえた。
コンパイル時に、ldbm → bdb or gdbmを選ぶんだった。
rpmbuildし直しだな。それもdb libraryの内部formatのversionあわせんとイカン。
262 名前：名無しさん＠お腹いっぱい。 [03/10/03 16:54]: シェアウェアの売り込み＠LDAP-JP ｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━ !!!!!
263 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/05 00:28]: sambaのアカウントもLDAPで面倒見ちゃおうとsamba.schemaを使って
sambaAccountにあるridのエントリはすでにあるposixAccountのuidと同じにしちゃうつもりなんですが、
ridの内容を新たに作らずにuidNumberの値を参照させるってことできるんでしょうか。
同じ値を入れちゃえばいいだけなんだけど、それじゃ芸がないかなぁなんて思ってるんです。
264 名前：263 mailto:sage [03/10/05 00:28]: あ、openldapです。
265 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/05 18:58]: オレが聞きたいくらいだよ
266 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/05 22:06]: >>263
自分はiPlanet使いだからOpenLDAPはわからん。
iPlanetは属性値の共有が出来るとだけ言っておこう。

ただ、sambaの方は、challenge&responseだから、
password-storage-schemeをclearにしとかないといけない。
OpenLDAPにはないんじゃない?
267 名前：263 mailto:sage [03/10/05 23:00]: >>266
検索しててひっかかったaliasってやつでしょうか。
ま、共有できないんならそれはそれでも何とかなるんですが。

password-storage-schemeってなんすか?
もしかしてこのままやってみてもうまくいかないのかな?
チト不安を感じつつやっていってみます。
「やればわかるさー」ってね。
268 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/06 00:09]: >>267
えーと、APOPみたいなchallenge&responseをやるためには、
server/client双方で生パスワードを持っていないといけないです。
sambaもそうです。

ところが、通常のUNIX系認証では、
server側はcrypt(3)でひねられた文字列しか格納してません。
このスタイルのuserPassword属性値はchallenge&responseに使えないです。

"clear"は生パスワードのまま保存しろって設定です。
slapd.confだと、{CLEARTEXT}です。
269 名前： [03/10/07 14:05]: Debian GNU/Linux の migrationtools パッケージは古いです。
ユーザ名を UTF8 に変換する部分に問題があり、
ASCII ですらちゃんと変換してくれません。

unstable の Version 44-6 でも問題は解決されていませんので、
本家 www.padl.com から MigrationTools.tgz の Version 45 を
ダウンロードしたほうがいいでしょう。
270 名前： [03/10/07 14:15]: www.padl.com/download/MigrationTools.tgz
自分のメモのために…
271 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/07 23:42]: dn: cn=aho, dc=baka, dc=shine
というエントリは、必ず cn=aho という属性＆属性値を持っていないとダメ？
272 名前：RFC2251 [03/10/07 23:48]: Entries have names: one or more attribute values
from the entry form its relative distinguished name (RDN), which MUST
be unique among all its siblings. The concatenation of the relative
distinguished names of the sequence of entries from a particular
entry to an immediate subordinate of the root of the tree forms that
entry's Distinguished Name (DN), which is unique in the tree.

RFC2251 にはこのように書いてあります。
どんな属性=属性値のペアであっても、
DN の一部になることができるのでしょうか？
273 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/08 23:34]: >>271
はい。LDIF的には、cn: aho。
>>272
はい。
ただし、どの(複数の)objectclassに属しているかによって、どの属性を持てるかが決まります。

必要な属性を持つobjectclassを加えてしまえばいいですが、
STRUCTURAL classはただ一つだけです。他はAUXILIARY classじゃないと駄目です。
どんな属性でも突っ込める特殊なclassがあってextesibleclassですが、
serverのcheckに引っ掛からなくなるから、あんまり勧められませんね。
274 名前：263 mailto:sage [03/10/09 08:26]: みなさんにいろいろ教えていただいたんですが、未だちゃんとできていません。
sambaがldapサーバに話し掛けていないようで、
パスワードがどうとかエントリがどうとかいうLDAP以前の問題なんです。
ということでこれからsamba板にいってきまーす。
275 名前：名無しさん＠Ｍｅａｄｏｗ [03/10/09 17:57]: OpenLDAPのpam_mkhomedir.soに相当するような
ユーザホームディレクトリ自動作成をiplanetでやるには
どうしたらいいんでしょうか？
276 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/10 01:09]: >>275
そりゃ、OpenLDAPじゃなくて、PAMでしょ。
277 名前： [03/10/10 18:07]: つまり、pam_ldap と pam_mkhomedir を使え、と。

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef