LDAPについて

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 05/18 01:27 / Filesize : 285 KB / Number-of Response : 969
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

LDAPについて

1 名前：名無し君 [02/02/02 20:53]: 語りましょう。
私は俺はこんなものまでLDAPで管理している等々。。
241 名前：くまだ [03/08/10 01:16]: >>237

> > LDAP only, /etc/passwd onlyのentryを調べてみんさい。

> slapd 起動中では
> # getnet passwd LDAP_only_user
> LDAP_only_user:x:5000:250:LDAP_only_user:/home/LDAP_only_user:/bin/csh
> # getnet passwd passwd_only_user
> passwd_only_user:x:500:500:passwd_only_user:/home/passwd_only_user:/bin/bash
>
> 起動していないと、
> # getnet passwd LDAP_only_user
> ＃出力なし。
> # getnet passwd passwd_only_user
> passwd_only_user:x:500:500:passwd_only_user:/home/passwd_only_user:/bin/bash
>
> ちなみに、slapd を起動していないと、
> # su - passwd_only_user
> su: incorrect password
> で、ログインできないです。

pam の設定が問題なのでしょうか？
su の場合、pam の su と login ファイルに問題があるのでしょうか？

ldap.conf でしょうか？
242 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/08/10 21:53]: >>241
PAMの設定でしょ。間違いなく。
pam_stack使ってるだろーから/etc/pam.d/suとかはsystem-auth呼ぶようになっていれば問題ない。

accountのとこみたいな[ ]をauthとかにも書かないといけないんじゃないかな？　と思う。
「LDAPが落ちてるときはpam_ldapを無視する」としたいのに
現象としては「LDAPが落ちてるときは認証に失敗する」になっちゃってるんだから。
service_err=ignoreとsystem_err=ignoreがなんかそれっぽいし。

多分accountと同じ書き方で良いと思うけど、問題あるのかもしれない。

うーむ。PAMって良く分からん。
243 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/08/11 14:51]: >>242
> accountのとこみたいな[ ]をauthとかにも書かないといけないんじゃないかな？　と思う。
> 「LDAPが落ちてるときはpam_ldapを無視する」としたいのに
> 現象としては「LDAPが落ちてるときは認証に失敗する」になっちゃってるんだから。
> service_err=ignoreとsystem_err=ignoreがなんかそれっぽいし。
>
> 多分accountと同じ書き方で良いと思うけど、問題あるのかもしれない。

もしそうだとするとLDAPの落ちている時は、getent失敗するはずだけど…

>>240
とりあえず、core dumpさせるか、ltrace/straceでもして、
"Segementation Fault"の原因調べなよ。LDAPの設定はその後でしょ。
244 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/08/11 15:49]: >>243
> もしそうだとするとLDAPの落ちている時は、getent失敗するはずだけど…

getentは、nsswitch.confだから関係ないや…
245 名前：名無しさん＠お腹いっぱい。 [03/08/14 09:58]: ttp://www.fivesight.com/downloads/openldap.asp
ここにあるOpenLDAP for Windowsをリポジトリにしたいのだけれど。。。
ldifが無いのはどうすれば良いんだろう？
246 名前：名無しさん＠お腹いっぱい。 [03/08/14 11:07]: >>245
java.sun.com/products/jndi/tutorial/basics/prepare/content.html
ここにしたがって、schemaおよび必須entryのsetupしたら?

schemaの追加はOpenLDAPの場合は、(↑に書いてないけど)
/etc/(open)ldap/schemaに置いてrestartね。
247 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
248 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
249 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/09/15 02:36]: シングルサインオン機能付きのポータル画面を作っています。

認証＆シングルサインオン先のユーザ管理にOpenLDAPを使おうと
思っているのですが、既存のスキーマで実現するのは難しいでしょうか。

実現したい内容は
　○ 他人のパスワードが見えないこと。
　○ 複数のユーザID/パスワードが格納出来ること。
この２点です。

ObjectClassの作成も試みたのですが
ObjectIDの付与の仕方も分かりませんでした。

【環境】
OS Redhat7.3
LDAP openldap-2.0.27-2.7.3（RPM版）

解決の糸口だけでも教えて頂ければ幸いです。
250 名前：名無しさん＠お腹いっぱい。 [03/09/15 16:44]: あげ。
251 名前：名無しさん＠お腹いっぱい。 [03/09/16 00:22]: >>249
漏れも知りたい。
教えてエロい人。
252 名前：名無しさん＠お腹いっぱい。 [03/09/16 11:04]: >>249
シングルサインオンを実現するのはLDAPの役割じゃないです。
CGIでcookieを自前管理するか、Jakarta Tomcat, Strutsを使いなさい。

>　○ 他人のパスワードが見えないこと。

これはservlet側の行なうbindに合わせた
userPasswordのaccess controlで。(これはLDAP側のみの設計)

>　○ 複数のユーザID/パスワードが格納出来ること。

Strutsだったら、LDAP realmとroleの組合わせで。
253 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/09/16 20:16]: >>252
PHPじゃダメでせうか?
254 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/09/16 21:17]: >>252
レスありがとうございます。
また説明不足ですみません。

ポータル画面についてはjavaで実装しております。
偶然ですがStrutsも。。。

今はとりあえずと言うことでuidに
　services1：userid/passwd
services2：userid/passwd
と書いているのですが、いかんせんパスワードが
丸見えなのでなんとかしたいと思ってました。
またuidに格納すること自体適当ではないと考えてます。

ちょうどよいObjectClassでもあればと思ってるのですが
標準でそれっぽいのが見あたりませんでした。
（分かってないだけかもしれませんが。。。）

あとuserPasswordの復号化した物を取り出す事って可能なのでしょうか。
教えてくんですみませんが、よろしくです。
255 名前：名無しさん＠お腹いっぱい。 [03/09/17 08:44]: >>254
> ちょうどよいObjectClassでもあればと思ってるのですが
> 標準でそれっぽいのが見あたりませんでした。
> （分かってないだけかもしれませんが。。。）

userPassword属性持つobjectclassならなんでもいいよ。
topとextensibleObjectだけでもいい。
後はpersonとか、topとsimpleSecurityObjectとか。

UNIXなら、posixAccountにでもしておけば?
posixAccountならLDIF作成ツールがたくさん転がっているし。

> あとuserPasswordの復号化した物を取り出す事って可能なのでしょうか。
> 教えてくんですみませんが、よろしくです。

その必要はない。
bind operationを使って認証しなさい。(これは命令w)

httpd.apache.org/docs-2.0/ja/mod/mod_auth_ldap.html#operation
でも参考にして。searchしないでいきなりbindすればいいけどね。

> 偶然ですがStrutsも。。。

というか、LDAP realm使えよ…マニュアル読め
256 名前：名無しさん＠お腹いっぱい。 [03/09/24 13:49]: ldapサーバーを移行しようと思って、/var/lib/ldap/*
を移行元のマシンから移行先のマシンにコピーしました。
で、slapdを起動して ldapsearch -x とやると
result: 32 No such object
って出ます。移行って他にも作業が必要なんでしょうか？
slapd.conf, ldap.conf もぼちぼち書き換えたのですが。

移行元：Red Hat 7.3, openldap-2.0.27-2.7.3
移行先：Red Hat 9, openldap-2.0.27-8
257 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
258 名前：256 mailto:sage [03/09/24 23:54]: 自己解決しちった。
移行元のファイルは拡張子がgdbmで、移行先はdbbじゃないとダメらしい。
これってどっかで設定できるの？
まぁ結局ldifに出力してslapaddで移行したから関係ないんだけど。
259 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/09/25 00:24]: >>258
/etc/openldap/slapd.confで、
database gdbm
な。あとbdb(Berkley DB)な。

ま、そのためのLDIFだしね。> slapadd
dbのbinary copyはdbの内部formatに互換性がないといけないし。
260 名前：256 mailto:sage [03/09/25 00:59]: >>259
レスども。両方とも slapd.conf は
database ldbm
なんですよ。でも、作られるファイルの拡張子が違うんだよね。
ま、ちょっと調べた限りではldifにして移行するのがいいっぽいね。
ほかに方法ってあるのかな？
261 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/09/25 02:46]: >>260
すまん。まちがえた。
コンパイル時に、ldbm → bdb or gdbmを選ぶんだった。
rpmbuildし直しだな。それもdb libraryの内部formatのversionあわせんとイカン。
262 名前：名無しさん＠お腹いっぱい。 [03/10/03 16:54]: シェアウェアの売り込み＠LDAP-JP ｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━ !!!!!
263 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/05 00:28]: sambaのアカウントもLDAPで面倒見ちゃおうとsamba.schemaを使って
sambaAccountにあるridのエントリはすでにあるposixAccountのuidと同じにしちゃうつもりなんですが、
ridの内容を新たに作らずにuidNumberの値を参照させるってことできるんでしょうか。
同じ値を入れちゃえばいいだけなんだけど、それじゃ芸がないかなぁなんて思ってるんです。
264 名前：263 mailto:sage [03/10/05 00:28]: あ、openldapです。
265 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/05 18:58]: オレが聞きたいくらいだよ
266 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/05 22:06]: >>263
自分はiPlanet使いだからOpenLDAPはわからん。
iPlanetは属性値の共有が出来るとだけ言っておこう。

ただ、sambaの方は、challenge&responseだから、
password-storage-schemeをclearにしとかないといけない。
OpenLDAPにはないんじゃない?
267 名前：263 mailto:sage [03/10/05 23:00]: >>266
検索しててひっかかったaliasってやつでしょうか。
ま、共有できないんならそれはそれでも何とかなるんですが。

password-storage-schemeってなんすか?
もしかしてこのままやってみてもうまくいかないのかな?
チト不安を感じつつやっていってみます。
「やればわかるさー」ってね。
268 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/06 00:09]: >>267
えーと、APOPみたいなchallenge&responseをやるためには、
server/client双方で生パスワードを持っていないといけないです。
sambaもそうです。

ところが、通常のUNIX系認証では、
server側はcrypt(3)でひねられた文字列しか格納してません。
このスタイルのuserPassword属性値はchallenge&responseに使えないです。

"clear"は生パスワードのまま保存しろって設定です。
slapd.confだと、{CLEARTEXT}です。
269 名前： [03/10/07 14:05]: Debian GNU/Linux の migrationtools パッケージは古いです。
ユーザ名を UTF8 に変換する部分に問題があり、
ASCII ですらちゃんと変換してくれません。

unstable の Version 44-6 でも問題は解決されていませんので、
本家 www.padl.com から MigrationTools.tgz の Version 45 を
ダウンロードしたほうがいいでしょう。
270 名前： [03/10/07 14:15]: www.padl.com/download/MigrationTools.tgz
自分のメモのために…
271 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/07 23:42]: dn: cn=aho, dc=baka, dc=shine
というエントリは、必ず cn=aho という属性＆属性値を持っていないとダメ？
272 名前：RFC2251 [03/10/07 23:48]: Entries have names: one or more attribute values
from the entry form its relative distinguished name (RDN), which MUST
be unique among all its siblings. The concatenation of the relative
distinguished names of the sequence of entries from a particular
entry to an immediate subordinate of the root of the tree forms that
entry's Distinguished Name (DN), which is unique in the tree.

RFC2251 にはこのように書いてあります。
どんな属性=属性値のペアであっても、
DN の一部になることができるのでしょうか？
273 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/08 23:34]: >>271
はい。LDIF的には、cn: aho。
>>272
はい。
ただし、どの(複数の)objectclassに属しているかによって、どの属性を持てるかが決まります。

必要な属性を持つobjectclassを加えてしまえばいいですが、
STRUCTURAL classはただ一つだけです。他はAUXILIARY classじゃないと駄目です。
どんな属性でも突っ込める特殊なclassがあってextesibleclassですが、
serverのcheckに引っ掛からなくなるから、あんまり勧められませんね。
274 名前：263 mailto:sage [03/10/09 08:26]: みなさんにいろいろ教えていただいたんですが、未だちゃんとできていません。
sambaがldapサーバに話し掛けていないようで、
パスワードがどうとかエントリがどうとかいうLDAP以前の問題なんです。
ということでこれからsamba板にいってきまーす。
275 名前：名無しさん＠Ｍｅａｄｏｗ [03/10/09 17:57]: OpenLDAPのpam_mkhomedir.soに相当するような
ユーザホームディレクトリ自動作成をiplanetでやるには
どうしたらいいんでしょうか？
276 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/10 01:09]: >>275
そりゃ、OpenLDAPじゃなくて、PAMでしょ。
277 名前： [03/10/10 18:07]: つまり、pam_ldap と pam_mkhomedir を使え、と。
278 名前：slapd のユーザ [03/10/14 20:00]: みなさん、slapd をどんな権限で動かしていますか？
ユーザとグループは root:root ですか？
man slapd によると、次のような問題があるそうですが…

「特権ユーザでないユーザでslapdを実行した場合、
　passwd back-endsが暗号化されたパスワードに
　アクセスすることが出来なくなるようなシステムが存在すること、
　またいかなるシェル back-endsも指定されたその特権ユーザでない
　ユーザで実行されることに注意すべきです。」
279 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/14 20:56]: >>278
DES認証モードなYPをbackendにしている時も、rootじゃないと辛いわね。

本題についてはrootでしようがないわね。
shadow passwordをroot以外でも読めるよりましだわね。
280 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/14 20:58]: あ、backendをsaslauthdみたいなのに独立して実行させて、
それでroot以外のユーザでslapd動かすという手はあるかも。
ただ、backend作らないとね(w
281 名前：slapd のユーザ [03/10/14 21:07]: バックエンドを SQL にしてみるか…
ODBC/PostgreSQL とかで試してみるかな。
282 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/14 22:11]: >>281
SQLサーバの認証は?
userPassword属性をODBCで読まれるとまずいわけだが。
283 名前：slapd のユーザ [03/10/14 22:20]: >>282 IDENT でいいかと…
284 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/14 23:42]: ああ、local onlyだからidentで十分か。
SO_PEERCREDでユーザ特定できるもんね。
285 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/03 17:39]: おつかれさんです。

VAリナックス、OpenLDAPにおける同期レプリケーション機能等を公開
japan.linux.com/news/03/12/03/0625231.shtml
286 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/06 14:35]: これかな。

High-Available OpenLDAP
openldap-ha.sourceforge.net/
信頼性の高いLDAPシステムを構築する
openldap-ha.sourceforge.net/syncbackup.html.ja
287 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/12 00:22]: >>277
FreeBSDで、pam_mkhomedir.soに変わるものってあるんですか？
288 名前：名無しさん＠お腹いっぱい。 [03/12/19 05:08]: ユーザアカウントの一元管理としてNISを使うのと、
PAM+LDAPの組み合わせはどちらがいいと思いますか？
やっぱりこれからは認証の枠組みを超えて、
データの統合化を見据えて、無理やりにでもLDAPや
RDBを用いるべきなんですかね。
UNIXの構築運用を任されて、いま勉強しているところ
なんですが、判断に迷います。
289 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/19 06:10]: >>288
アカウントになにを含めるかが重要。単にUNIXでパスワードの認証だけを
すればいいのなら、今から構築するのでもNISでもOKじゃないの?

将来的にさまざまなユーザデータも入れたいとか、マルチOSになるとか
いう可能性があるのならLDAPにしたほうがいいけど。

それに、無理やりにでもという意味が不明。何で無理やりなの? どこが無理やりなの？
単にお前の知能が足りないだけじゃないの?
290 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/19 07:15]: >>289
UNIXの運用に関しては素人ですが、
ある組織のサーバー管理を任されました。
管理するアカウント数は130程度ですが、これが今後どう
変わっていくかは現時点では予測できません。
またユーザデータが将来どう使われるかも分りません。
現時点でのアカウント数から考えればNISを使ってシンプルな
構成にするのがよさそうですが、後からユーザー情報の一元管理が
求められた時に移行の手間がかかるのはやっかいかと思います。
そういう意味で「無理やり」にでも最初からデータ管理用の何かを
入れるべきなのかなと思っていました。
ディレクトリサービスはRDBとはまた違った概念なので、
それで何が出来るのか勉強しなくてはならないことは承知のうえです。
プロの方がどのようなケースでLDAPの採用を決めるのか
参考にさせて頂きたい、なと。
291 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/19 07:39]: >>290
NISのサーバは何にするの?
> SunはNISを将来サポートしなくなると思うが大丈夫か? (というか一時ハズレた)

組織の各subnetはどのくらい離れているの?
> NISはreplica serverへの同期はmap全体のみ。大丈夫か?

NISが喋れないclientはないか?
> Microsoftは、Service for UNIXをいつまでreleaseするのか?
> これからLDAPのmeta serverに移行していくことはないか?
> UNIX以外にLDAP clientが増える可能性があるか?

securityはどう考えるのか? snoopingはどうか?
> NIS+のDES認証modeは手軽でsecure。
> LDAPはちゃんと設計する必要がある。NISはmap単位のsecurity。

などを考えないといけませんな。
正直LDAPをsupportしてない古いclientがなければ、LDAPの方が簡単。
292 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/19 09:04]: >>291
丁寧なレスをありがとうございます。
docs.sun.com/db/doc/806-7089/6jg0449ic?l=ja&a=view
ここなどを読んで分ったような気になっていたので、教えて頂いたことが
とても難しく感じられます。時間的に少し余裕があるので、
OpenLDAPとSambaについて勉強するところから始めたいと思います。
293 名前：>>292 mailto:sage [03/12/19 10:24]: samba?
そのsubnetにWindowsはいるの? PDCは誰?
WindowsがいるとLDAPは難易度がかなり増す。
英語のドキュメント必読。

Service for UNIX使えばWindowsもNIS clientに出来る。
これは簡単。ホームのNFS mountもOK。
ただ95系はダメだわな。Service for UNIXないもん。
294 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/19 10:34]: >>291
NISとNIS+混同してる部分が多くないか、それ?
295 名前：>>292 mailto:sage [03/12/20 07:39]: >>294
たとえばどれ?
NISは"replica"って用語じゃなかったかな?
296 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/22 00:14]: >>290
FreeBSD+LDAPで、ユーザ管理をさせたかったのでいろいろ挑戦してみたが
以下の理由であきらめた

・adduserで簡単にユーザ追加ができない
・LDAPに直接ユーザを追加した場合のUIDとGIDの扱いが難しい
・ホームディレクトリの作成がされない
・FreeBSD5.1で、すでに問題が発生している

上記の問題は、OpenLDAPとSambaで対応できるが
まだ、試していないが問題が出そう・・・
297 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/22 00:18]: >>296
FreeBSDってNSSあるんですか?
この辺り笑えるくらい遅れてないですか?
298 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/22 10:20]: >>297
5系列にはあるよ。
まあ、今5系に手を出すのはLinuxの2.6系に手を出すのと同じくらい怖いけど。

ま、遅れてるところが気になったら移植よろしく。
299 名前：名無しさん＠お腹いっぱい。 [03/12/23 16:26]: OracleのユーザをOpenLDAPで管理（認証）することは可能？
300 名前：名無しさん＠お腹いっぱい mailto:sage [03/12/23 22:52]: >299
可能
301 名前：名無しさん＠お腹いっぱい。 [03/12/24 09:32]: >300
ホントですか？！
いろいろ調べたんですがどこにも載ってなくて・・
何か参考になる所があったら教えていただけませんか？
302 名前：300 mailto:sage [03/12/24 16:57]: >301
それはともかく、Oracle->LDAP認証にする意味は？
将来的にOracleを破棄する予定でしょうか？

そうでないなら、LDAP->Oracle連携でもいいような気がするけど。
->back SQLで
303 名前：名無しさん＠お腹いっぱい。 [03/12/24 17:21]: >302
やっぱりOracle->LDAPで認証はあまり意味がないのでしょうか？？
これにする理由は特にないのですが、可能なら試して見たいと
ただそれだけで・・・
304 名前：300 mailto:sage [03/12/24 18:27]: >303
なるほど、好奇心ということですね。

いや、普通に考えれば、ユーザ情報は、既存のＤＢに登録されているなら
それをＬＤＡＰから利用とかってことになるでしょ。（統合の際）
だから、そう思ったの。
305 名前：名無しさん＠お腹いっぱい。 [03/12/24 20:31]: >304
色々ありがとうございます。
OpenLDAPを勉強するにあたって参考にしたＨＰとかあるんですか？
306 名前：300 mailto:sage [03/12/25 01:28]: >305
基本は、ソース添付のドキュメントです。
いくつかのＨＰを見ましたが、その内容で動作しないものが多くて
結局ソースを追っかけながら確認。
おかげで、samba付属のスキーマのバグなどにも気づいて
対処できました。

この板だったかsamba板だかで、雑誌記事の誤りについて
触れられてからの追っかけなんで偉そうなことは言えませんが。
307 名前：名無しさん＠お腹いっぱい。 [03/12/25 08:25]: <306
何から何まですみません。。
どーいう場合にOpenLDAPを使えば一番有効に活用できるのでしょうか？
308 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/25 08:50]: 金がないのにLDAPサーバを立ち上げたい時。
OpenLDAPにしか実装されてない機能を使いたい時。
309 名前：300 mailto:sage [03/12/25 09:57]: >307

>308さんに書かれている理由が１つ。
あとは、１メーカの戦略に振り回されたく無いというのが一番大きい理由かな。

そうそう全入れ替えなんてできないからねぇ。
困ってないのに、サポートが受けられないから、バージョンアップしないと
いけないというのが一番腹立たしいもの。。

だから、OpenLDAPで統合した際に、BackSQLにはPostgreSQL使ったり
しています。（データ規模によって、標準のもの使ったりしますが）

Schemaも、各社の設定の矛盾調整で悩む羽目になったりするから、
OID取得しておくと便利。
310 名前：名無しさん＠お腹いっぱい。 [03/12/25 17:37]: OpenLDAPはセキュリティの強化に何か役立つ事がありますか？
311 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/25 18:24]: 例えば、NIS→(Open)LDAPならば、
きめ細かいaccess controlが可能、などと答えることもできるが、
単独一般論でsecurity強化ってことはない。どんなsystemでもね。
312 名前：名無しさん＠お腹いっぱい。 [03/12/25 18:33]: yokaichi.com/ro/
↑すごいよｗ
313 名前：名無しさん＠お腹いっぱい。 [03/12/25 23:18]: もともとOpenLDAPは何をするためのものなのだろう・・・
314 名前：名無しさん＠お腹いっぱい。 [04/01/16 00:18]: >>313
変なこと言うから、スレの流れとまっちゃったじゃねーか！
315 名前：名無しさん＠お腹いっぱい。 [04/01/19 15:54]: 質問させて下さい。
ldapsearchコマンドでOr結合の複数条件で検索を行う時、存在しない属性、
索引が付いていない属性があるとエラーで検索できないのですが、これを
「存在しない属性、索引が付いていない属性への検索は無視する」方法で
検索する事はできないでしょうか？
LDAPサーバの設定、又はコマンドの書き方が悪いのでしょうか？

例：存在しない属性とのOr検索
ldapsearch -h XXXXX -b "c=jp" "(|(mail=test*)(email=test*))" dn

# search result
search: 2
result: 19 Constraint violation

例：索引が付いていない属性とのOr検索
ldapsearch -h XXXXX -b "c=jp" "(|(telephonenumber=03*)(homePhone=03*))" dn

# search result
search: 2
result: 53 DSA is unwilling to perform
316 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/01/19 23:56]: >>315
> ldapsearch -h XXXXX -b "c=jp" "(|(mail=test*)(email=test*))" dn
> result: 19 Constraint violation

*の利用が認められてない属性なんじゃないの?

> ldapsearch -h XXXXX -b "c=jp" "(|(telephonenumber=03*)(homePhone=03*))" dn
> result: 53 DSA is unwilling to perform

limitに達しちゃってんでしょ。増やしなよ。
nsLookthroughLimitじゃない?

ちゃんと/var/ds5/*/logs/errorsみてね。
エラーメッセージもどういう意味かちゃんとドキュメント読めーッ！書いてあるぞ。
317 名前：こどちゃ♪ ● mailto:sage [04/01/25 23:04]: オライリーのLDAP本(LDAP -設定・管理・プログラミング-)
って本を買った。なかなか必要事項がまとまってて，マジお勧め。

www.ldapbrowser.com/index.php

ところで，Softerra LDAP Browserにはアトリビュート追加・編集機能
がついてないんだな。日本語化されてるならAdministratorを買っても
いいんだが，英語版のソフトを$145で買うのもなぁ。
318 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/01/25 23:23]: >>149
ところでそのLDAP Browser/Editorだけど，まともに動いた？
漏れのところではJavaがなかなか言う事を聞いてくれなくて
断念した。2.81も2.82b2も試行錯誤したが，同じ結果だった。

実装のスマートさは>>317のが一番なんだけどね。日本語…。
UTF-8対応はしてるんで，メニュー表示が英語なのを我慢して
使うしかないのかなぁ。
319 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/01/25 23:39]: 「実装のスマートさ」ってソースコード出してないじゃん。
320 名前：こどちゃ♪ ● mailto:sage [04/01/25 23:45]: で，LDAP Clientの話だが，PHPベースで結構おもろい
ものを見つけた。

LDAPNavigatorというやつ。
sourceforge.net/projects/ldapnavigator/

１年ほど新バージョンが出てないんだが，設定してみたら
案外すんなりと動いた。機能も最低限という感じでLDIF大量
流し込みとかには向かなさそうだが，それはそれでいいかと。

>>319
漏れが言ったのは，ソフトを作る上での考え方の話。
つまらん突込みをする位なら何か調べて情報提供ぐらいしろよ。
321 名前：149（たぶん） mailto:sage [04/01/25 23:52]: >>318
漏れのところ(MacOS X 10.3）では、2.82b2問題なく動きました。
たぶん10.2でも動いていたと思う。

こっちの方が、よさげ？
pegacat.com/jxplorer/
322 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/01/25 23:57]: >>320
> 漏れが言ったのは，ソフトを作る上での考え方の話。

そりゃ設計。
323 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/01/26 06:24]: >>322 > /dev/null
324 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/01/28 17:56]: >>322-323 ﾜﾛﾀ
325 名前：名無しさん＠お腹いっぱい。 [04/01/29 11:53]: 誰か、dhcpd.confの
host XXXX{
hardware ethernet xx:xx:xx:xx:xx:xx;
fixed-address 192.169.0.1;
}
の部分を、dhcpd.confに直接書き込むのではなく、LDAPに
持たせることをやったことある人って、いる？
326 名前：名無しさん＠お腹いっぱい。 [04/01/29 12:12]: >>325
www.kbs.twi.tudelft.nl/People/Staff/B.Sletterink/tools/
これ？
327 名前：名無しさん＠お腹いっぱい。 [04/01/31 00:06]: >>326
さんくす。
でもよくよく見てみたら、LDAPにdnを追加したり、dnを
書き換えたりするたびに、dhcpd.conf自体をその都度書き
換えてしまうから、ホスト数が数十くらいならOKかもしれ
ないけど、数百単位のホストで、しかもMacアドレスの改
廃が頻繁に行われるには、ちょっと向いていないかも。。
328 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/01/31 00:27]: Solaris使えば?
Mac OS X Serverはどうだったかな? entryはあってbootpには使ってんだけど。
329 名前：326 [04/01/31 02:47]: >>325
dhcpHWAddress: ethernet xx:xx:xx:xx:xx:xx;
dhcpStatements: fixed-address 192.169.0.1;

これでいけるかな？
330 名前：名無しさん＠お腹いっぱい。 [04/01/31 09:48]: DHCP鯖はここで
www.isc.org/index.pl?/sw/dhcp/
LDAP用のパッチはここ
www.lunytune.net/isc-ldap.html

dhcpd-conf-to-ldap.pl
をいじってコンパイル、インストール

/etc/dhcpd.conf　は
ldap-server "192.168.1.100";
ldap-port 389;
ldap-username "cn=xx,dc=xx,dc=xx";
ldap-password "";
ldap-base-dn "dc=xx,dc=xx";
ldap-method dynamic;

はこんな感じですね。

そんでもってdhcpServerが含まれるエントリは作成するのですが、
DHCP鯖は無条件にホスト名をcnとするので注意して下さい。
あとdhcpServiceが含まれたエントリを作成して鯖の動作を定義します。
最後にdhcpServer配下に個別のサービスを指定したエントリを追加
すれば完了です。
331 名前：名無しさん＠お腹いっぱい。 [04/02/02 23:09]: >>329,330
ありがとうございます！
ただ、会社で使っているのがfedora coreのため、パッチがある
dhcp-3.0.1rc11だと、makeが完了せず、エラー１でストップし
てしまいます。（rc12だと、問題なくmake installまでできるが、
その代わり、パッチが当てられない･･･）

で現在、rc12とrc11の差分を調べていて、どんどんドツボには
まっている状態です。。。

でも、patchのtarの中にあったReadmeなどのおかげで、dhcp用
のschemaを作ることができて、dhcpHostなどのobjectClassを
追加できるようにはなりました。。。
332 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/03 15:02]: NTLM のサポートはしてるけど。。

www.polarhome.com:793/manual/cyrus-sasl-2.1.10/sysadmin.html

>Q: Is NTLM supported?
>A: The NTLM mechanism is a non-standard, undocumented mechanism developed by
> Microsoft. It's included in the SASL distribution purely for sites that need it to interoperate
>with Microsoft clients (ie, Outlook) and/or servers (ie, Exchange); we don't support it.
> Don't enable it unless you know you need it.
333 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/03 15:10]: >>331
DHCP 3.0pl2はやってみましたか？

>で現在、rc12とrc11の差分を調べていて、どんどんドツボには
>まっている状態です。。。

調べてみたけどヘッダの差分が問題になっている気がする。
あくまで気がするというレベルだけどね。ニーズがあれば修正はすぐ
できるレベルだけど3.0pl2じゃだめかなぁ。
334 名前：331 [04/02/03 16:12]: うっかりしてまして、README.ldap の中に、
Makefile add -lldap to the LIBS= line
と書いてありました。。スミマセン･･一応、Make installまで
できましたが、現在、dhcpd.confと、LDAPのエントリ作成で
はまっています。
つまり。。。
dhcpd.confには、
　ldap-server "192.168.1.100";
　ldap-port 389;
　ldap-username "cn=xx,dc=xx,dc=xx";
　ldap-password "";
　ldap-base-dn "dc=xx,dc=xx";
　ldap-method dynamic;

だけを記述して、subnetやnetmask、option routerやrangeなどは、
dhcpServiceとか、dhcpSubnetとかに記述する･･･ってことなんでし
ょうかね･･･？
335 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/03 17:37]: >>334
README.ldapを参考に一通りやってみたら？
それとも参考にしてもできなかった？
336 名前：331 [04/02/03 21:57]: うまくいかなかった謎がちょっと解けました。
原因①　dhcpServiceの記述のケアレスミスがあった･･･
原因②　326で紹介していただいた、
　　　　ttp://www.kbs.twi.tudelft.nl/People/Staff/B.Sletterink/tools/
　　　　を先に当てると、/etc/init.dのdhcpのスクリプトを、
　　　　pythonを利用する版に書き換えてしまっていて、それを
　　　　引きずってしまっていた。。。

ので、明日、fedoraの再インストールから、きれいさっぱり
やり直してみようと思います。。。
337 名前：331 [04/02/05 22:16]: 何回か、Fedora再インストールから繰り返し、何とか、きちんと動作する
手順を見つけました。最終的に、pl2を使いました。

①LDAPのインストール（rpmで）
②pl2.tar.gz　の展開
③patchを当てる　（-p0付きで）
④contrib/dhcpd-conf-to-ldap.plのbaseDNを書き換え
　※ただし、なぜかpatchをしても、～.plができないので、
　　とりあえず失敗したときにできたものをcp
⑤Makefile.confの、LIB=　に、「-llber -lldap」を書き込み
⑥./configure -> make -> make install
⑦以下のファイルを適切に書き換える
　slapd.conf,ldap.conf,dhcpd.conf
⑧LDAPにエントリを追加
⑨touch /ver/state/dhcp/dhcpd.leases
　※dhcpd.confにsubnetの定義が無いと、LDAPに
　dhcpOptionsでエントリを追加していてもdhcpd
　起動時にno declarationで怒られる。
⑩/etc/init.d　にScriptが無いので、適当に持ってきてcp
⑪ldapとdhcpdを起動

ってな感じでした。とりあえず何とか･･。
ありがとうございました。
338 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/05 23:16]: ところでIPアドレス<->MACアドレスをLDAP上に置く目的は?
339 名前：今日のへぇ～ mailto:age [04/02/08 18:03]: LDAP is pronounced "えるだっ(　´,_ゝ`)ﾌﾟｯ"
340 名前：名無しさん＠お腹いっぱい。 [04/02/08 23:00]: >>338
Macアドレスでの、DHCP Client管理をやりたいんだけど、
追加や変更の頻度が高いので、直接dhcpd.confに書き
込んでしまうと、その都度dhcpdの再起動をしなければ
ならなくなるので、もし記載ミスで起動しなかった場合
の影響を考えると、LDAPに持たせるほうがいいかなぁ。。。
と。
341 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/09 15:37]: LDAPサーバが動いてないと機能しないシステムって
どうなんでしょうかね。
342 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/09 15:56]: >>341
そりゃ不安定要因が増すことになるけど、いまやNIS/NIS+の代わりにLDAP使う
時代だというのに、問題になるのか?
343 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/09 16:34]: >>342
LDAPがダウンしたらクライアントが巻き添えになる事が問題って
ことですよね。340さん
344 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/09 16:34]: 341さんだったｗ
345 名前：名無しさん＠お腹いっぱい。 [04/02/09 17:10]: Oracle Internet Directoryでldapsearchを使った検索時の
条件式の書き方について質問があります。

「田中某さん、又はABC会社所属」を検索したい時は
　'(|(cn=Tanaka*)(o=ABC*))'　で検索できるのですが、
上記の逆「田中某さんではなく、ABC会社所属でもない」を
検索するのに　'(!(|(cn=Tanaka*)(o=ABC*)))'　と指定すると
エラーになってしまいます。
　'(&(!(cn=Tanaka*))(!(o=ABC*)))'　とすると検索できます。

not演算子の書ける位置は決まりがあるのでしょうか？
346 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/09 23:05]: >>345
エラーメッセージはぁ?

それはともかく、LDAP的にはfilterに制限はない。
しかし、serverの方では実装ごとに制限や設定項目がある。
制限しないと、複雑なfilterでsearchするというDoSアタックを受けてしまう。

というわけでserver側にいろいろ設定するところがあるから、
その辺りをいじればなんとかなるかも。

Oracleのは触ったことがないから、こんなところで。(つづく)
347 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/09 23:18]: >>345
賢いfilter compilerでpre-compileしてない場合、

> 　'(&(!(cn=Tanaka*))(!(o=ABC*)))'　とすると検索できます。

こっちは、疑似コードで書くと、

foreach (@entrys) {
　 if ($_.cn !~ /Tanaka*/) {
　 if ($_.cn !~ /ABC*/) {
　 push(@result, $_);
　 }
　 }
}

とショートカット論理積で効率良く実行出来る。

> 検索するのに　'(!(|(cn=Tanaka*)(o=ABC*)))'　と指定すると

こっちは、(|(cn=Tanaka*)(o=ABC*))に該当する集合を作ってから、
その補集合をとる必要があって、結構な手間が。scopeがsubだと悲惨。
348 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/09 23:20]: で、さっきの話に戻るけど、
後者はOracleのサーバで設定された上限に引っ掛かるんだと思う。
349 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/10 00:34]: >>346

> 制限しないと、複雑なfilterでsearchするというDoSアタックを受けてしまう。

Oracle Internet Directoryでanonymous提供してるとこってある
かな～。
350 名前：345 mailto:sage [04/02/10 14:42]: >>346
'(!(|(cn=Tanaka*)(o=ABC*)))'を指定した場合、
oracleのbinにあるldapsearchを使うと下の答えを返してきます。
ldap_search: 制約違反です。

/usr/bin/ldapsearch　を使うと下の答えを返してきました。
result: 19 Constraint violation

'(&(!(cn=Tanaka*))(!(o=ABC*)))'を指定した場合は
どちらのldapsearchも該当する答えを返してきました。
351 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/10 14:49]: RFC 2251「Lightweight Directory Access Protocol (v3)」より
constraintViolation (19),

後はOracleのdocument調べなよ。
>>347に書いた理由から、iPlanetのserverだと nsslapd-lookthroughlimitに引っ掛かる。
352 名前：名無しさん＠お腹いっぱい。 [04/02/12 22:16]: 質問させてください。
OpenLDAPの2.1.26をRedhat Linux8.0にインストールしようとしています。
/usr/libに、regex.hがあるのに、configureで　
configure: error: POSIX regex.h requiredと言われてしまいます。

googleで探してみたりしましたが、一向に解決しなくてずっと足踏みです。
何か解決の糸口だけでもいいので、教えていただけませんでしょうか？
一度、Linux板で聞いてみましたが、聞き方が悪かったのか、スルーされてしまい、
こちらに流れ着いてきました。

OS依存の質問かもしれないので、板違いとおっしゃられるかもしれませんが、
何としてでも解決したいのです。
技術評論社のOpenLDAP入門という本を買って、バージョンもほぼ本の通りに
そろえてます。(BerkeleyDB4.1.25 OpenLDAP2.1.26など saslやkerberosは入れてない)
上記　よろしくお願いします。
353 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/12 22:27]: ${OPENLDAP}/include/ac/regex.hより、

#ifndef HAVE_REGEX_H
/* NO POSIX REGEX!!
you'll need to install a POSIX compatible REGEX library.
Either Henry Spencer's or GNU regex will do.

For NT: people.delphi.com/gjc/hs_regex.html
*/
#error "No POSIX REGEX available."

というわけでGNU regexをinstallすれ。後はくだ質 or Red Hatスレで。
354 名前：352 mailto:sage [04/02/12 22:34]: >>353
ありがとうございます。installしてみます。
355 名前：名無しさん＠お腹いっぱい。 [04/02/13 14:29]: NISサーバで出来てLDAPで出来ないことってなに？
356 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/13 15:47]: NISにしか対応していないクライアントの面倒をみること。
357 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/14 18:08]: >>356
最近のUNIXシステムならPAMのような機構が入ってるから，
困ることは少なそうね。LDAPモジュールを用意する手間はあるけど。
358 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/14 18:14]: PAM LDAPモジュールも今時のシステムには完備だけど、
なければwww.padl.comの奴が使える。NSS LDAPモジュールも込み。
359 名前：名無しさん＠お腹いっぱい。 [04/02/15 17:34]: このスレってどっちかというとデータベース板の方がいいよな。
スキーマ定義の話までいけば、RDBの使い方に関する難しさと
何も変わらんでしょ。
360 名前：名無しさん＠お腹いっぱい。 [04/02/15 19:29]: OpenLDAPで、基本？のアドレス帳を作ってます。
Windows側から検索もできるようになりました。
ひとつ質問なんですが、cn;Lang-ja:名前　などとして、iconv経由で
ldifを読み込ませて、LDAPBrowserとかでは日本語表示されますが、
OutLook expressとかで表示名を日本語にするにはどうすればいいんでしょ？
MozillaだとdisplayNameをに日本語にするといいらしいんですけど、
OEだとdisplayName;Lang-ja:として日本語の名前をつけても英語表示の
ままなんです。日本語表示にはどうすればいいの？
この質問は板違いですかね？
361 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/16 03:51]: >>359
ディレクトリシステム(データベースの一種)として
LDAPを考えるならデーターベース板扱いになるね。
けど，その段階に到達できない管理者も多くいるわけで。

また，認証システムとしてのLDAPなら，この板で
やるのが一番ましなのかな。Windowsでも使えるけど，
おまけ的扱いだしUNIXでの利用が一番多いかと。
362 名前：名無しさん＠お腹いっぱい。 [04/02/16 14:21]: LDAPでパスワード無しのユーザを認証をしている方いますか？
パスワード無しだとでたらめなユーザIDでも認証されません？
ネットでLDAP認証のサンプルソース（JAVA）を見るとLDAP認証前に
ユーザプログラムではじいてるようなのですが。。。
LDAP Browserもパースワード無しだと認証前にエラーとなります。
パスワード無しは無理なんですかね～

それともWin2003SvrのLDAPが駄目なんですかね？
363 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/17 09:31]: >>362
> パスワード無しだとでたらめなユーザIDでも認証されません？

この文の意味がわからん。(ので全体的な主旨が掴めない)

>>359
あなたの言っていること(リレイションベースのdirectory=RDB)は問題外。
364 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/17 09:32]: >>362
> LDAPでパスワード無しのユーザを認証をしている方いますか？

これが可能かどうかは、ldapsearchで簡単に調べられるでしょ。
365 名前：名無しさん＠お腹いっぱい。 [04/02/17 12:06]: >>363
www.geocities.co.jp/SiliconValley/4137/dir3/tcljava14.html
↑ここに書いてあるLDAP認証を参考にLDAP接続処理を作ったところ
　ユーザIDとパスワードに1文字以上設定されていればLDAPに存在しない
　ユーザ情報だと認証されないが
　ユーザIDもしくはパスワードが空白だと無条件で認証されてしまう。
　というかユーザIDとパスワードを指定しなくても認証できる。

　サーバのセキュリティはこれでもかってぐらいガチガチに固めて終いには
　管理者もログイン出来なくなり再インストールを余儀なくされました。。。

>>364
LDAPに一度繋いでからLDAP内を検索する方法ですか。。。
ワンクッションおかずにダイレクトに認証出来ると最高なのですが
でもありがとうございますldapsearchの方法も最終手段として検討してみます。

かれこれ1週間近く調べてますがLDAP認証を行っているプログラムで
パスワード無しを認めている処理が見当たりません。
駄目なんですかね～
セキュリティ的にはもちろん駄目ですけど。。。
366 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/17 12:10]: >>365
> 　ユーザIDもしくはパスワードが空白だと無条件で認証されてしまう。

「両方空」は"anonymous bind"でしょ。
禁止したければ、サーバ側のACLの設定で。

あなたは個人認証とbindがごっちゃになってる。

> >>364
> LDAPに一度繋いでからLDAP内を検索する方法ですか。。。

そうじゃなくて、

> LDAPでパスワード無しのユーザを認証をしている方いますか？

の真偽は、ldapsearchで簡単に調べられると言うこと。
367 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/17 12:11]: それから、LDAPの知識が足りないようだから、
LDAPのレベルで語ろうとせずに、何がやりたいかを語った方がいいと思う。
質問の意図や状況が良く分からない。
368 名前：名無しさん＠お腹いっぱい。 [04/02/17 13:21]: >>367
素人の質問に何度も答えて頂きありがとうございます。
ldapsearchについては私の早とちりだったみたいですいません。
調べ直します。

状況としては
現在Linux上で動いているシステムのログインに必要なIDとパスワードを
Win2003Svrで管理する為LDAPを使用していたのですが、
パスワードが空白だと登録されていないIDでも無条件に
ログインできる障害がありまして急遽対策していました。
時間が無いので暫定としてパスワード無しは認めないように対策しました。

将来的にパスワード無しのユーザも認証したいので
LDAP認証について引き続き調べてました。

LDAPもWin2003Svrも今回の障害対策で
初めて触ったのでわからないことだらけて行き詰ってました。

ldapsearchとACL
貴重なキーワードありがとうございます。
これを手がかりに自分で調べ直して見ます。

時間があれば基礎から勉強したほうがよさそうですね。。。
369 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/18 07:28]: >>368
> 現在Linux上で動いているシステムのログインに必要なIDとパスワードを
> Win2003Svrで管理する為LDAPを使用していたのですが、

これはどう認証しているの? PAM? 自前のprogram?
それがはっきりしないとLinux(LDAP client)側の問題か、
Windows 2003 server(LDAP server)側の問題かはっきりしないよね?

そもそも認証にbind operation使っているかどうかも定かじゃないわけだし。

> パスワードが空白だと登録されていないIDでも無条件に
> ログインできる障害がありまして急遽対策していました。

LDAP server側に問題があるなら、それはldapsearchで確認できる。

# 十中八九client側が自前のプログラムでそこに問題があるんだと思うが。

> 時間が無いので暫定としてパスワード無しは認めないように対策しました。

それはどうやって? LDAPとは関係なくその手前の段階の自前プログラムで?

> 将来的にパスワード無しのユーザも認証したいので
> LDAP認証について引き続き調べてました。

これは独立の問題なのね。こっちは問題ないと思うよ。
370 名前：名無しさん＠お腹いっぱい。 [04/02/20 09:06]: >>369
ご返信が遅くなり申し訳ございません。
別作業が忙しくなりLDAPの調査は中断しております。

ちなみに認証は自前のJAVAプログラムでJNDIを使っております。
パスワード無しは自前のプログラム内でLDAP認証前にはじくようにしました。

JNDIを使ってLDAP認証を行っているJAVAのソースをネットで検索すると
認証前にパスワード無しははじいているので
もしかするとJAVAのJNDIはパスワード無し駄目なのかな～
とも思ったりしますが
JAVAについても始めて日が浅いので検討違いかもしれません。。。

構築したActiveDirectoryにWindowsからログインする分には
パスワード無しのユーザもパスワード有りのユーザも
ちゃんと認証はされます。

しばらく別作業が忙しくLDAPについて調べる時間が無いので
時間が出来たら教えて頂いた情報を元にいろいろが角度から
原因を調べてみたいと思います。

どうもありがとうございました。
371 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/20 11:19]: >>370
> JNDIを使ってLDAP認証を行っているJAVAのソースをネットで検索すると
> 認証前にパスワード無しははじいているので
> もしかするとJAVAのJNDIはパスワード無し駄目なのかな～
> とも思ったりしますが

アプリのロジック、セキュリティポリシーとしては、パスワードなしのユーザを認めたくない。
しかし、JNDI+LDAPではパスワードなしのユーザを認証してしまう。
だから、事前に弾いている、と考えるのが自然では?
372 名前：名無しさん＠お腹いっぱい。 [04/02/21 00:22]: ActiveDirectoryからLDAPで引っ張ってユーザ認証（具体的にはsquid）させたい
んですがうまくいきません。
ActiveDirectoryインストールして、OU作ってその下にユーザを登録したんですが
他に何か作業が必要ですか？そもそもなんてDNで問い合わせれば良いかも確信が持てません・・・。
LDAPに関しては初心者なのでチンプンカンプンな事を言ってるかも知れませんが、
どなたかアドバイスを頂けませんか？
373 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/21 00:27]: >>372
> ActiveDirectoryインストールして、OU作ってその下にユーザを登録したんですが

どこに作ったの? Base DN分からなければ、

> 他に何か作業が必要ですか？そもそもなんてDNで問い合わせれば良いかも確信が持てません・・・。

DN分からないよね。DN分かったら、とりあえずldapsearchで認証してみれ
374 名前：名無しさん＠お腹いっぱい。 [04/02/21 00:43]: >>373
ありがとうございます。
BaseDNは example.comで登録しました。ホスト名はADです。
その下にtestってOU作ったんですが、問い合わせの際のDNは
OU=test,O=example,C=com　ですか？（汗
OU=test,DC=example,DC=com　ですか？（汗

あー恥ずかしい、勉強しますんで誰か良いURL教えてください。。。
375 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/21 01:14]: ou=test,dc=example,dc=comでしょ

www.wlug.org.nz/ActiveDirectoryAuthenticationNotes
376 名前：372 [04/02/21 01:53]: ドメインは実際には”ホゲ.co.jp”としてあります。
openldapではconfにBaseDNを記述するみたいですが、
ActiveDirectoryでBaseDNを確認する方法ってありますか？
377 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/21 02:18]: そりゃ、板違い。
www.microsoft.com/windows2000/techinfo/administration/activedirectory/adops.asp
378 名前：名無しさん＠お腹いっぱい。 [04/02/23 17:27]: >>371
何度もご意見ありがとうございます。
>アプリのロジック、セキュリティポリシーとしては、パスワードなしのユーザを認めたくない。
私も初めはそうかと思ったのですがサンプルソースからパスワードの未入力チェックを
外すと例のパスワード無しだと無条件で認証されてしまう現象が再現したので
どうなのかな～という状況です。

時間が出来たらいろいろ試して結論を出したいと思います。
結論が出たらご報告します。（4月以降になりそうですが。。。）
379 名前：初めてのLDAP [04/02/24 00:21]: どうもこんにちは。
今度、初めてLDAPを触ることになったものです。iPlanetを使っています。
教えて頂きたいのですが、Administratorなどの管理者用ユーザーでLDAP接続を
行った場合、他のユーザーのパスワードを取得することは可能でしょうか？
パスワードは「*****」みたいになっていて、パスワードを取得しても値が読め
ないのではないかと心配しています。（当方、作業環境が整っておらず、実際に実行
して調べることができないのです。（涙））
取得できるか、と取得した値が文字変換されていたりするのであれば、その変換方法
を教えてください。
超初心者なので的外れなことを言っていたらすいません。
何卒よろしくお願い致します。
380 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/24 09:07]: >>378
プログラム晒せや
>>379
password-storage-schemeがclearの場合用意。
それ以外の場合困難。
SSL使ってないならタッピング攻撃しただけでbindオペレーションのパスワードスルスル。
381 名前：名無しさん＠お腹いっぱい。 [04/02/24 17:52]: >>380
サンプルソースは365
382 名前：名無しさん＠お腹いっぱい。 [04/02/29 00:13]: ホームディレクトリが、
Solarisは/export/home/hiroyuki
Linuxは/home/hiroyuki
なんかの場合、LDAPにどのような形で格納するとよいですか?
383 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/29 01:09]: 同じパス名にしなさい。
384 名前：382 [04/02/29 15:30]: >>383
そういたします。リンクでも張っておきます。

もう一つ質問です。
LDAPサーバが落ちているときに別のサーバに問い合わせをするには
どうしたらいいでしょうか。

クライアント側の設定になると思いますが、
opensslのldap.confやsmb.confなどに設定を見つけられなくて。
385 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/29 16:02]: ldap.confのURIかHOSTのところに複数記述しておきなさい。

> 設定を見つけられなくて。

ちゃんとマニュアルを読みなさい。
386 名前：382 mailto:sage [04/02/29 18:25]: man ldap.confにしかと書いてありましたね。
これは失礼いたしました。

sambaの方も3.0なら
passdb backend = ldapsam:"ldap://master ldap://slave"
のような書き方ができるようです。
387 名前：名無しさん＠お腹いっぱい。 [04/03/01 10:09]: 名前解決にLDAP鯖を使おうとしてますが、
LDAPサーバーが動くホストのnsswitch.confとは
どんな感じになるでしょうか？見せていただけませんか？
388 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/01 10:47]: 使っているプラットフォームの板/スレに行った方がいいと思います。
389 名前：名無しさん＠お腹いっぱい。 [04/03/05 01:41]: 各サーバでログインシェルを変えたいときはどうやってんの?
390 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/05 01:55]: 同じパス名にしなさい。
391 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/07 00:36]: 統一した情報を LDAP に持たせるのが本来の目的なので
サーバ固有の情報を持たせようと考えるのは間違いなんですね、先生
392 名前：初心者です [04/03/17 14:14]: 別のPCのldapからslapcatでデータを取ってきて、
slapaddで追加したデータをldapsearchで検索できるのですか？
どうもうまくいかないのですが、
ちなみにこの2つのldapの環境は同じものです。
初歩的な質問で申し訳ないのですが、どなたか教えてください。
参考になるHPがありましたら、それもお願いします。
393 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/17 22:15]: >>392
> 初心者です
> どうもうまくいかないのですが、

どうやると、どううまくいかないんだい?
394 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/19 14:28]: どなたか、netmeeting用ILSサーバとして
openldapを稼動させている方、いませんか？
395 名前：名無しさん＠お腹いっぱい。 [04/03/20 02:04]: 現在
httpd-devel-2.0.48-1.2
httpd-2.0.48-1.2
httpd-manual-2.0.48-1.2
を、rpmでインストールしているんですが、このApache-2.0に
対応した、auth_ldapのありかをご存知の方いませんか？？？

auth_ldap-1.6.0をソースからインストールしても、make時に
怒られまくりで。。。。
396 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/20 02:59]: mod_authz_ldap
authzldap.othello.ch/
397 名前：名無しさん＠お腹いっぱい。 [04/03/20 17:35]: >>396
ありがとうございます。でもやっぱりMakeで怒られまくり。。。
fedoraの標準のApacheでやっているんですけど、いろいろ調べて
みたら、fedoraの場合は、ディレクトリ構造の問題か何かで、
小細工をする必要があるようで、
#./configure --with-apxs2=/usr/sbin/apxs --with-apr-include=/usr/include/apr-0

としてみたんですけど、やっぱりダメでした。。出直します。。
398 名前：名無しさん＠お腹いっぱい。 [04/03/23 22:07]: age
399 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/25 21:58]: 既出の質問かもしれませんが、どなたか情報をいただけませんでしょうか。

OpenLDAP と Windows Server 2003 の Active Directory の間でアカウントの
同期 (パスワードを含む) を行う方法はありますでしょうか。SUN なり富士通なり
NEC なりの商用 LDAP 製品と付属ソフト等を使えば出来る、という事はわかる
のですが、金銭的な余裕が無いため、OpenLDAP でなんとかならないか、と
考えております。Windows Server 2003 では InetOrgPerson がサポートされた
とかなんとか聞きましたので、もしかして何とかならないかな、とか考えています。
完全自動ではなくとも、運用でカバー出来るのであれば、それでも良いと考えています。
最低限、ユーザからみたらひとつのパスワード変更で両方のパスワードが変更
されるとうれしいです。
400 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/25 22:17]: >>399
最低限のところは、
Active Directoryの認証機能をUNIXenで利用する、ってお題でいいかな?

Active Directory側でKerberosを動かして、
PAMでpam_kerberos.so使うのが簡単じゃない?

pam_ldap.so使う手もあるけど、まあkerberosの方が簡単。
アカウント同期もやめておいた方がいい。
両方、理由はschemaが(ya
401 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/26 09:25]: >>399 www.amazon.co.jp/exec/obidos/ASIN/4274065502 でも嫁。

ADと pam_ldap でどーするかは書いている。もっとも、漏れも>>400に
同意見で、LDAPでアカウント動悸なんて(藁)って感じだが
402 名前：名無し mailto:sage [04/03/27 02:02]: MAC OSXもOpenLDAPで認証をかけたいと考えているのですが

OSX 10.2以降は大丈夫っぽいけど、10.1以前は
やっぱりOSX ServerをいれてNetInfo -> LDAP中継させる
必要がありますか？
403 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/27 02:18]: OpenLDAP用のNetInfo backendはread onlyですよ。
それから、10.1はLDAPあるけどbuggy。
10.2以降で出てるfixがmergeされているかどうかは知らない。
知る方法がない。Windows並のインチキリリースノート。
404 名前：402 mailto:sage [04/03/27 02:46]: >403

回答ありがとうございます。
NetInfo Backendがread onlyって、、
LDAPにユーザ情報があれば、（登録もLDAP上で行うこと前提で）
MAC OSX -> OSX Server -> OpenLDAPという形で認証可能ということでしょうか？

それとも、逆に
OSX Serverをメイン認証サーバにして、そのLDAPに、
Windows/Unixからの認証をさせる形になるのでしょうか？

（さすがにOSX Serverが動いているマシンが手元にないものですから）
405 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/27 03:37]: >>404
前段:
というかMac OS X Serverは必要ない。
で、Mac OS Xの古いLDAP Agentがbuggy。

後段:
というか君は>>399か?
まず、古いMac OS XにはPAMがない。古いFreeBSDにも。
だから、>>400の方法はダメ。

構成を書いてくれ。
406 名前：404 mailto:sage [04/03/27 04:36]: >405

>>399ではないです。
なるほど。じゃあ、古いMAC OSXはバージョンアップするのが一番ということですね。

MAC OSX Server云々は、OSX ServerがLDAP統合サービスサポートとあったので
MAC OSXクライアント認証をサーバのNetInfoで行い、このNetInfoサーバが
実体はLDAP参照ができるのかなと思ったせいです。

イメージとしては、NIS -> LDAP的な感じで。

FreeBSDのPAMサポートは、5.xからでしたよね。

MAC OSXクライアントのバージョンアップを無しで、というのは
やはり無理なのでしょうか？（1000台オーバあるもので）
407 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/27 09:29]: >>406
> MAC OSX Server云々は、OSX ServerがLDAP統合サービスサポートとあったので

Mac OS XとMac OS X Serverで、Open Directory関係に違いはない。

> MAC OSXクライアント認証をサーバのNetInfoで行い、このNetInfoサーバが
> 実体はLDAP参照ができるのかなと思ったせいです。

逆。NetInfoのdb fileを参照するOpenLDAP backendをAppleが提供。
メインがNetInfoで、LDAPの方がNetInfoを参照。

> MAC OSXクライアントのバージョンアップを無しで、というのは
> やはり無理なのでしょうか？（1000台オーバあるもので）

無理じゃない。ただAppleのリリースノート見ている限りでは、
bugがどうなっているのかさっぱり分からない。
408 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/27 09:32]: >>406
OpenLDAPで、LDAPサービスを立ち上げる。

これはMac OS X上でも、他のsystemでもいいが、
Mac OS Xの奴は、NetInfoのbackendを参照する設定になっているので、
これを辞めない限り、read onlyのまま。

各UNIXでNSS/PAMを設定する。Mac OS XはDirectory Accessで。

以上。
409 名前：399 mailto:sage [04/03/27 18:52]: お返事が遅くなりすみません。

>>400
AD の認証機能を利用するってのではダメで、別途 LDAP サーバを立てる必要があります。
PAM の Kerberos とか存在しないクライアントから LDAP サーバに認証かけることもありますので。

理由は、schema が、、、の続きはなんでしょうか？

>>401
書籍の情報、ありがとうございます。

他に調べて見ますと、acctsync (ttp://acctsync.sourceforge.net/) というものがありました。
どなたか、これを使ったことありますか？

# 今試してるんだけど、passwdHk-config をインストール時に、passwd.pl なるスクリプトが見つからない。
410 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/31 14:33]: すいません。
LDAP Browser\Editor v2.8.1を使用しているのですが
Valueが日本語場合正常に表示されません。
j2reのバージョンは1.4.2_03です。

何か情報をお持ちな方がいらっしゃいましたら
ご教授いただけるとありがたいです。
411 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/31 22:01]: >>409
パスワードのLDAPを使った共有がsambaのMLにサーベイされてます。

schemaって言って分からないと基礎的なところから勉強した方がいいです。
アカウント情報共有は一筋縄でいかないので。>>401の本がいい。
412 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/31 22:02]: >>410
ValueはちゃんとUnicodeになっていますか?
413 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/04/01 15:46]: ＞412さん
はい。
UNICODEにはなっています。データを入れる時にUTF8に変換しているので。
先輩のPCのLDAPBrowserではちゃんと表示されていますが
特に何も設定していないと言われたので困っている状態です。
414 名前：410 mailto:sage [04/04/01 15:59]: あ、、、↑は410の発言です。
415 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/04/01 16:31]: >>413
じゃあ、Javaのfontの設定の問題じゃない?
この板だからUNIX上で実行してるんだよね。
それなら、そのUNIX専用のスレで質問する方が手っ取り早いと思われ

Javaの日本語環境も完璧なやつから、
自分でfonts.propertiesいじらなければならないのまで多種多様だから。
416 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/04/01 16:32]: それから、
> 先輩のPCのLDAPBrowserではちゃんと表示されていますが
こういう情報は最初に書いてね。
417 名前：名無しさん＠お腹いっぱい。 [04/04/09 00:26]: Solaris9のldapclientで-a "defaultServerList=HostA HostB"
という感じで2つのサーバのIPアドレスを指定していますが
HostAが死んでる場合にHostBを見に行ってくれません。
何か他に設定ポイントがあるでしょうか。
418 名前：名無しさん＠お腹いっぱい。 [04/04/17 09:59]: すんません、質問させてください。
solaris と linux の間でのアカウントをLDAPに移行する場合、
事前にそれぞれのUID,GIDを統一する必要があるってことでOKですか？
419 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/04/17 10:33]: >>418
LDAP移行の問題じゃなくて、
アカウント情報統合の問題だから、当然。
420 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/04/17 10:37]: >>417
bindTimeLimitは幾つになってるの?
とりあえず、本当にsnoopでpacket飛んでないか調べたら?
421 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/04/17 10:44]: LDAPって読みは
「らだっぷ」でいいんですか？
422 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/04/17 10:53]: ○えるだっぷ
△えるでぃーえーぴー
423 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/04/17 10:56]: >>422
ありがとうございます。
１年ぐらいラダップって言ってました。
でも誰にも突っ込まれなかったです．．
424 名前：418 mailto:sage [04/04/17 11:04]: >>419
ありがとうございますた。
425 名前：名無しさん＠お腹いっぱい。 [04/06/06 12:50]: 基本的なことですが教えてください。

コンテナってなんですか？
426 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/06/06 17:02]: 何かを入れるobjectclass。
例えばou=People。
427 名前：名無しさん＠お腹いっぱい。 [04/06/17 22:37]: OpenLDAP 2.2.13 で --enable-phonetic を有効にしてコンパイル
しても、cn;lang-ja;phonetic とかが使えないみたいです。
確認したのは Fedora Core 2 です。

adding new entry "uid=hoge,ou=People,dc=2ch,dc=net"
ldapadd: update failed: uid=hoge,ou=People,dc=2ch,dc=net
ldap_add: Undefined attribute type (17)
additional info: cn;lang-ja;phonetic: unrecognized option

どうにかして使えるようにはならないんでしょうか？
おながいします。
428 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/06/18 07:26]: slapd.conf(5)のattributeoptions の所は読んだ?
それから2.2.13は古いねえ。
source取得して$(OPENLDAP)/tests/data/lang-out.ldifでテストしてね。
429 名前：427 mailto:sage [04/06/18 18:59]: >>428
レスありがとうございます。
slapd.confのattributeoptionsにlang- phoneticを
指定したら、正常に登録とか検索ができますた。
430 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/06/20 18:17]: Samba 3をメンバサーバで運用する場合、add userスクリプトを使って
ローカルにUNIXアカウントを作成しなくとも、DCのLDAPをFreeBSDから覗いて
動作可能だったりするのでしょうか？

認証にDCのLDAPとKerberosを使うのはいいけどローカルにUNIXアカウントも作る
ってのが不細工じゃないかなと思ってるわけで。
431 名前：430 mailto:sage [04/06/20 18:19]: ちなみにDCは2000 Serverです。
432 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/06/20 23:11]: >>430
www.samba.org/samba/docs/man/guide/unixclients.html#adssdm
は読みましたか?

それからDCはちゃんとWindowsのドメインコントローラって書いてね。
433 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/06/21 07:20]: >>432
ありがとうございます。

ドキュメント > Google ってことがよくわかりました。
434 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/07/13 19:47]: LDAP(OpenLDAP + RHELv2.1)にて、ユーザーアカウントを
ロックすることは可能ですか？

# passwd -l UserAccount

って crypt ハッシュの頭に '!' をくっ付け実現しているっぽい
んですが、LDAPだとこれが無視されてログイン可能なんです
435 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/07/14 20:51]: Red Hat Enterpriseなら、
shadowの有効期限の方でコントロール可能です。
man 5 ldapしてみてください。

もちろん、LDAPで管理可能です。
nis.schemaのshadowAccount objectclassです。
436 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/07/15 00:03]: >>435
なるほどshadowAccountを使えば良いんですね、助かりました～
437 名前：名無しさん＠お腹いっぱい。 [04/07/18 13:25]: ldapsearch しても作ったエントリが全然見えません。

例えば、

dn: dc=pakahoge,dc=co,dc=jp
dc: pakahoge
objectClass: dcObject

と記した test.ldif というファイルを作ります。その後

ldapadd -x -D "cn=root,dc=pakahoge,dc=co,dc=jp" -w password -f top.ldif

としてエントリを追加し、

ldapsearch -x -b "dc=pakahoge,dc=co,dc=jp" "objectclass=*"

としても、

version: 2

#
# filter: objectclass=*
# requesting: ALL
#

# search result
search: 2
result: 0 Success

# numResponses: 1

という結果になるだけです。どうしたんでしょう？
438 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/07/18 14:41]: バックエンドパーミッション
439 名前：名無しさん＠お腹いっぱい。 [04/07/18 14:49]: >>438
ありがとうございます。
とりあえずslapd.confのaccess行をとっぱらったら見えました。
まだ訳がわからないのですが勉強します。
440 名前：一応修正 mailto:sage [04/07/19 01:16]: >>435
> man 5 ldapしてみてください。

man 5 shadowの間違いでした。
441 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/07/30 00:12]: Solaris9でさ、
PADLのpam_ldapをコンパイルしようとしたら、
warningばっかりで、コンパイルできないんだけど。

誰か知ってる人いる？
442 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/07/30 03:45]: >>441
普通にコンパイルできて問題なく利用できている。
443 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/07/30 19:58]: warning ばっかりで error が無いならコンパイルできてそうに思えるが
444 名前：名無しさん＠お腹いっぱい。 [04/08/10 02:28]: >395
激しく亀レス。
ttp://www.muquit.com/muquit/software/mod_auth_ldap/mod_auth_ldap_apache2.html
にあった。

WBEL3.0 respin1 でかるーく動作確認した
445 名前：ななし mailto:sage [04/10/04 00:45:51]: openldap使用時に、idletimeoutの設定をかけるのは基本なのでしょうか。
デフォルトではidletimeoutしないようですが・・・。
446 名前：名無しさん＠お腹いっぱい。 [04/10/12 18:10:02]: WindowsのOutlookで使われてるアドレス帳のLDAP検索結果表示のスキーマを、OpenLDAPサーバで設定することはできますか？
Mozilla/Thunderbirdのアドレス帳用のスキーマはこちら↓を参考に取り込むことはできて、
www.mozilla.org/projects/thunderbird/specs/ldap.html
www.netpress.com/mozilla/ab2ldap_1/mozilla_op20.schema
同様に、Outlook用の*.schemaデータがあるとうれしいんですが。

ちなみにActiveDirectoryの user attributeの情報を見つけましたが、
www.kouti.com/tables/userattributes.htm
これから作ることも可能ですかね？
447 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/10/12 23:37:09]: >>445
用途による。

システム全般のldap.conf以外に、
NSS, PAM用のldap.confがあるのはそのため。
# debianだとlibnss-ldap.conf, pam_ldap.conf

>>446

攻めるならaddressBookContainer辺りからなんじゃないのかな?
msdn.microsoft.com/library/default.asp?url=/library/en-us/adschema/adschema/c_addressbookcontainer.asp
448 名前：446 mailto:sage [04/10/14 11:17:52]: openldapのcvsにmicrosoft.schemaがありました
www.openldap.org/devel/cvsweb.cgi/servers/slapd/schema/?hideattic=1&sortbydate=0
が、参考程度で利用できる状態ではないみたいです。
www.unav.es/cti/ldap-smb/draft-armijo-ldap-syntax-00.html
この辺↑も参考に、ごにょごにょいじって試してます。
449 名前：447 mailto:sage [04/10/14 22:53:46]: >>448
Mac OS X 10.4はそのscheme + OpenLDAPで頑張って、
Windowsのプライマリ・ドメイン・コントローラを目指しているみたい。
450 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/10/19 01:00:30]: 現状ActiveDirectoryが立ってる状態で
UNIXの認証をpam_ldap等用いてADのＬＤＡＰで統一することは可能でしょうか？
451 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/10/19 01:09:34]: 自己レスですが
UNIX認証方法のいろいろってスレみたらだいたいのことは書いてありました
142以降

スレ汚しｽﾏ
452 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/10/19 01:52:20]: あそこに書かなかったのは、
・Inside Active Directory
www.kouti.com/index.htm
・UNIX側でそれが許されれば、
kerberos認証で統一の方が簡単かも知れないこと。
くらい。
453 名前：名無しさん＠お腹いっぱい。 [04/10/27 01:44:32]: LDAPでmp3を管理しているという事を聞きますが、
具体的にはどういうシステムを構築しているのでしょうか？
単にmp3の情報を管理しているのか、それともＷＥＢベース
でmp3ジュークボックスソフトを構築しているのか、
興味がありますのでお教え願います。
454 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/10/28 20:04:58]: >>453

こんな感じか？
www.mizzy.org/web/mp3server.xhtml
455 名前：445 mailto:sage [04/10/31 06:10:28]: >>447
サーバ、クライアントともにRed Hat(RHEL3)で認証サーバとして
使っています。
PAM用の設定(ldap.conf)でidle_timelimitを短め（10秒）に
設定してはいるんですが、うまい事切れてはくれませんでした・・・。
uid引く様なプロセスが全てslapdに接続して接続しっぱなしに
なるので、今使っているopenldap(OS付属のrpm)だと同時接続数が
1024を超えると以後の接続が切られるので結構痛い状況なのです。

idletimeoutでサーバ側から切る、openldapの同時接続数（FD_SIZESET）
増やしてしのぐ、負荷分散する等色々考えられるとは思うのですが
どう思われますか？
456 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/10/31 07:17:26]: >>445
447 じゃないけど、それなら idletimeout 設定すればいいんじゃない?
それで何か不都合あれば別だけど。
あと FD_SIZESET って FD の最大値を決めてるんだよね?
1024 程度はまだまだ余裕なんでもっと増やしてもよいかも。
457 名前：445 mailto:sage [04/10/31 09:20:52]: 寝ぼけてました。
FD_SETSIZEの間違いです。orz

>>456
FD_SETSIZEの値がselect()で扱うFDの最大値として実装されているので、
とりあえずFD_SETSIZEを65535にして、実際の上限はulimitで2048に
して様子を見ています。

# _SC_OPEN_MAXでFD_SETSIZE以下の上限が制御できる様です

同じ用途で使われている方達も同じ様な状況になっているのでは
ないかと思い、どうされているのか気になって質問してみました。

ユーザ認証にldapを使う場合、DNSと同程度（以上？）に重要な位置付け
になるんだなぁ・・・と痛感しています。
458 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/10/31 10:57:43]: >>455
PAMとNSSを区別できていますか?
まあ状況から考えると、slapd.confでの設定が適切だと思いますが。
459 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/10/31 10:58:27]: それから、nscdを使うのも効果があります。
460 名前：445 mailto:sage [04/10/31 16:13:06]: >>458
> PAMとNSSを区別できていますか?
区別がついているかかなり怪しいのですが、
PAMは、実際のユーザ認証を提供するプロセス（login,su等）向け
NSSは、glibc経由でldapを使うプロセス（getpwnam,gwtpwuid等を
呼ぶプロセス全般）向けという理解でいます。

>>459
nscdは、NSS経由でldapを使うプロセスに対してキャッシュ機能を
提供するのでnscdを起動しておけばslapdへ逐一接続する事もなくなり
効果あり。といお話ですよね？

うちは、PAM経由のデーモンが沢山起動しているのでidletimeout
について検討していました。

とここまで考えた時点でふと思ったのですが、
・・・うちが特殊なだけか。orz
461 名前：458 mailto:sage [04/10/31 22:20:52]: >>460
なるほど。
多数の接続の要因になるのは自前のデーモンなんですね?
>>455を読んで、ごく一般的な利用かと思っていました。

idletimeoutで何とかなると思いますが、
それでも駄目なら、saslauthd経由に変更してはどうですか?
462 名前：名無しさん＠お腹いっぱい。 [04/11/19 22:54:33]: ldapのアカウント情報データベースをfingerで引こうとしたのですが、うまくできません
。

例えばユーザAxxyyz1を検索するとき
%ldapseach -h 192.168.1.2 -x -b 'dc=2ch,dc=university,dc=ac,dc=jp' 'uid=Axxyyz1'
は検索に引っかかり結果が正常に出力されます。
しかし、
%finger Axxyyz1
を実行するとslapdはdc=Axxyyz1...とそれっぽいパケットを吐くようですが
finger: Axxyyz1: no such userと出力されます。

関係しそうなソフト(ports)、OSは以下です。
nss_ldap-1.204_5
openldap-client-2.2.18
openldap-server-2.2.18
pam_ldap-1.7.6
FreeBSD-5.3Release-p1/i386

アカウント情報のldifは大学のデータベースをldapsearchで抜き取り、
ldapaddで加えました。抜いたldifの情報は以下のような情報です。
(たくさん略してます)

# extended LDIF
#
# LDAPv3
# base <dc=2ch,dc=university,dc=ac,dc=jp> with scope sub
# filter: (objectclass=*)
# requesting: *
#
463 名前：名無しさん＠お腹いっぱい。 [04/11/19 22:56:02]: dn: dc=university,dc=ac, dc=jp
objectClass: dcObject
objectClass: organization
dc: university
o: university

# 2ch.university.ac.jp
dn: dc=2ch,dc=university,dc=ac,dc=jp
objectClass: dcObject
objectClass: organization
o: 2ch University
dc: 2ch

# users, 2ch.university.ac.jp
dn: ou=users,dc=2ch,dc=university,dc=ac,dc=jp
objectClass: top
objectClass: organizationalUnit
ou: users

# groups, 2ch.university.ac.jp
dn: ou=groups,dc=2ch,dc=university,dc=ac,dc=jp
objectClass: top
objectClass: organizationalUnit
ou: groups
464 名前：名無しさん＠お腹いっぱい。 [04/11/19 22:56:54]: # students, groups, 2ch.university.ac.jp
dn: cn=students,ou=groups,dc=2ch,dc=university,dc=ac,dc=jp
objectClass: posixGroup
objectClass: top
cn: students
gidNumber: 10000

(略)

# Axxyyz1, users, 2ch.university.ac.jp
dn: uid=Axxyyzz,ou=users,dc=2ch,dc=university,dc=ac,dc=jp
uid: Axxyyz1
cn: nana shi
objectClass: account
objectClass: posixAccount
objectClass: top
uidNumber: 16011
gidNumber: 10000
gecos: nana shi
homeDirectory: /home/students/Axxyyz1
loginShell: /bin/csh

# Axxyyz2, users, 2ch.university.ac.jp
(以下略)
465 名前：名無しさん＠お腹いっぱい。 [04/11/19 22:57:53]: 設定したコンフィグファイルと内容は以下です。
/usr/local/etc/openldap/slapd.conf*********
include /usr/local/etc/openldap/schema/core.schema
include /usr/local/etc/openldap/schema/corba.schema
include /usr/local/etc/openldap/schema/cosine.schema
include /usr/local/etc/openldap/schema/inetorgperson.schema
include /usr/local/etc/openldap/schema/misc.schema
include /usr/local/etc/openldap/schema/nis.schema
include /usr/local/etc/openldap/schema/openldap.schema
pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args
sizelimit 5000
dbcachesize 50000000
database ldbm
suffix "dc=university, dc=ac, dc=jp"
rootdn "cn=Manager,dc=university, dc=ac, dc=jp"
rootpw {MD5}*
directory /var/db/openldap-data
index objectClass eq

/etc/nsswitch.conf************************
group: ldap files
hosts: files dns
networks: files dns
passwd: ldap files
466 名前：名無しさん＠お腹いっぱい。 [04/11/19 22:59:14]: /usr/local/etc/nss_ldap.conf(ln -s nss_ldap.conf ldap.conf)*****
host 192.168.1.2
base dc=2ch,dc=university,dc=ac,dc=jp
uri ldap://192.168.1.2/
ldap_version 3
port 389
nss_base_passwd ou=users,dc=2ch,dc=university,dc=ac,dc=jp?one
nss_base_group ou=groups,dc=2ch,dc=university,dc=ac,dc=jp?one
nss_map_attribute uidNumber uid
nss_map_attribute gidNumber gid
ssl off
timelimit 30
bind_timelimit 5
idle_timelimit 5

vipwで"+:::::::::"を追加しました。エディタで/etc/groupに"+::0:"を追加しました。
#slapd -u ldap -g ldap -d -1でslapdを起動させました。

どなたか是非語教授ください。よろしくお願いします。長文失礼しました。
467 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/11/20 01:06:24]: 長くて読む気しない。とりあえず、
$ getent passwd Axxyyz1
して、ltraceやtethereal -V追い掛けてみて。
468 名前：462-466 mailto:sage [04/11/22 02:10:45]: >>467
遅くなって申し訳ありません。レスありがとうございます。
fingerとgetpwentのソースを追いました。

途中で以下のような関数を呼び、
__nss_compat_getpwent_r(void *retval, void *mdata, va_list ap)

そいつがldapの関数を呼んで(関数ポインタにまかれて何の関数かわかりませんでした)
struct passwd構造体にアカウント情報を入れるようです。
大学ので行うときちんと格納される以下のように格納
__nss_compat_getpwent_r:USER=Axxyyz1
__nss_compat_getpwent_r:PASS=x
__nss_compat_getpwent_r:UID=16011
__nss_compat_getpwent_r:GID=10000
__nss_compat_getpwent_r:CHANG=(null)
__nss_compat_getpwent_r:CLASS=
__nss_compat_getpwent_r:GECOS=nana shi
__nss_compat_getpwent_r:HOMEDIR=/home/students/Axxyyz1
__nss_compat_getpwent_r:SHELL=/bin/csh
__nss_compat_getpwent_r:EXPIRE=(null)
__nss_compat_getpwent_r:FIELDS=(null)
で、成功を返します。
家から大学、家から自前のLDAPの場合は以下です。(値が入ってないところは略しました)
__nss_compat_getpwent_r:USER=Axxyyzz (データベースに格納されている最後のユーザー)
__nss_compat_getpwent_r:PASS=x
で、失敗を返します。
469 名前：462-466 mailto:sage [04/11/22 02:14:18]: このことより、
データベースが腐っててstruct passwdに必要な値を格納することができずに
エラーを返しているか、アクセス制御か何かやその他設定が悪くてうまく値を
得ることができなかったのかなと思うのですが原因はまだわかりません。
470 名前：462-466 [04/11/22 02:18:17]: あとは、パケットを見たところ
自前のLDAPサーバーは一応ホームディレクトリなどの情報も送っているようでした。
が、実際表示させると>>468のように入っていないようでした。
471 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/11/22 14:22:12]: 取得してからのmappingがおかしそうだから、
nss_ldap-1.204_5用のldap.confで、

#nss_map_attribute uidNumber uid

の辺りがどうなっているか調べてみれば?

# Debianだと/etc/libnss-ldap.confにあるね。
472 名前：462-466 mailto:sage [04/11/24 11:42:45]: >>471
レスありがとうございます。
その項目をコメントアウトすると、なにごともなかったかのように
きちんと読むようになりました。

ありがとうございました。
473 名前：467=471 mailto:sage [04/11/25 00:59:05]: ああ、直ったんだ。
最初「長くて読む気しない」って書いちゃったけど、
細かくて正確な調査報告があると問題点も分かりやすいね(w
474 名前：hehehe [04/11/26 21:38:43]: 330での、dhcpd.confのデータをldapに格納する件。
draft-ietf-dhc-ldap-schemaがベースだと思うけど
RFCにならずdeleteされてますよね。
その後の動向どなたか知りませんか?

最新のisc-dhcpに対するldap対応パッチってないのかな。
475 名前：467=471 mailto:sage [04/11/26 23:07:05]: home.ntelos.net/%7Emasneyb/
のpatchでどうよ? (使ったこと無いけどね)
476 名前：hehehe [04/11/27 00:16:25]: おぉ! 情報ありがとうございます。
週明けに職場の検証環境で試してみます。
477 名前：名無しさん＠お腹いっぱい。 [04/11/27 05:09:30]: www.asahi.com/national/update/1126/003.html
続報でたよ。

大手商社伊藤忠商事のＩＴ関連子会社
「伊藤忠テクノサイエンス」（東京）が約１６０億円分、
インターネット関連企業「ライブドア」（同）が
約１７億円分の取引に関与し、
テクノ社は計約１３億円、
ライブドアは計約５０００万円の手数料を得ていたという。
478 名前：名無しさん＠お腹いっぱい。 [04/12/05 22:04:07]: nsswitchとLDAPでNISはいらなくなりますか？
479 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/12/05 23:29:41]: はい。さらにpamを付け足せばね。
480 名前：名無しさん＠お腹いっぱい。 [04/12/22 01:33:41]: ずっと気になってること。「LDIF」てなんて発音する？
「えるでぃふ」？そのまま「えるでぃーあいえふ」？
481 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/12/22 09:51:45]: えるでぃふ
482 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/12/22 16:30:40]: OpenLDAPのコードの汚さにうんざりしてるんですが、
オープンソースで、これから育ちそうな競合はないものか？
483 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/12/22 17:19:01]: OpenBSDの人達にOpenOpenLDAPでも作ってもらいますか。
(SASLなんとかしてほしい...)
484 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/12/22 21:10:46]: >>482
mutex_lockとthreadpoolなんて、動いてるのが奇跡に近いコードになってるよな
1.2系の最初の頃はシンプルなコードだったのにな。。
485 名前：名無しさん＠お腹いっぱい。 [04/12/22 21:22:54]: LDAPってよくわかんねっす

なにができるのでしょうか？？
兄貴な方々おしえてくらさい
486 名前：名無しさん＠お腹いっぱい。 [04/12/23 01:47:57]: >>481
でもLDIFの読み方のってるHPとかないよねー。
影薄い(/・∀・)/
487 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/12/23 02:19:29]: >>485
簡易データベースです。
ネットワーク基本サービスの一部として働きます。
例えばアカウント情報、ブックマークレポジトリ。
488 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/12/23 02:44:38]: >>482
正直、現状ではない。

>>483
OpenBSDではLDAPは思い切り軽視されていて、userlandには当然OpenLDAPは入って
いないし、pamにすら対応していないし、それどころか man -k ldap しても
何も出てこないぐらいだから…
489 名前：名無しさん＠お腹いっぱい。 [04/12/23 23:47:17]: >>487 あにきー　ありがとです。　PostgresqlなどとはちがうDBなんすね
ラディウスのかわりになるですか？
490 名前：名無しさん＠お腹いっぱい。 [04/12/24 00:37:48]: >>489
> ラディウスのかわりになるですか？

ええ、LDAPもAAA(Authetication, Authorization and Accounting)やりますよ。

↓freeradiusのLDAP plugin
Radius authentication using LDAP
www.tldp.org/HOWTO/LDAP-Implementation-HOWTO/radius.html

最近は直接LDAPさーばに投げられるものも多いし。
491 名前：名無しさん＠お腹いっぱい。 [04/12/30 17:26:41]: OpenLDAPって数値を検索できる？
例えばuidNumberが1000以上2000以下なエントリーを抜き出したいです
492 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/12/30 17:59:22]: integerMatchで、greaterOrEqual, lessOrEqual
493 名前：名無しさん＠お腹いっぱい。 [05/01/06 15:36:24]: LDAPに登録されているアカウントにsuしようとすると、segmentation faultしてしまいます。
どこで落ちているのかstrace -o trace su - hogeで、
open("/usr/lib/libcrypto.so.0.9.7", O_RDONLY) = 3
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0\20E<\000"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0555, st_size=1161935, ...}) = 0
old_mmap(NULL, 990776, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xf69bc000
old_mmap(0xf6a99000, 73728, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0xdd000) = 0xf6a99000
old_mmap(0xf6aab000, 11832, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0xf6aab000
--- SIGSEGV (Segmentation fault) @ 0 (0) ---
+++ killed by SIGSEGV +++
となりました。

/etc/passwdにあるユーザにsuしたとき同じ部分を見てみると、
old_mmap(NULL, 990776, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 4, 0) = 0xf6998000
old_mmap(0xf6a75000, 73728, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 4, 0xdd000) = 0xf6a75000
old_mmap(0xf6a87000, 11832, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0xf6a87000
mprotect(0xf6ff9000, 3788, PROT_READ|PROT_WRITE) = 0
mprotect(0xf6ff9000, 3788, PROT_READ) = 0
mprotect(0xfee9f000, 4096, PROT_READ|PROT_WRITE|PROT_EXEC|PROT_GROWSDOWN) = 0
close(4) = 0

であることから、mprotectで問題がおきているだろうってのは解ったんですが。。。
そこからどうしたらいいのかわかりませんでした。

open-ldap-2.2.20
nss_ldap-277
pam_ldap-176
bdb-4.3.27

ldapsearchなどではちゃんと引けています。

アドバイスをよろしくおねがいします。
494 名前：名無しさん＠お腹いっぱい。 [05/01/07 05:13:10]: >>493
自己解決。

openldapのconfigureで、--enbale-cryptをしていました。それをはずしたらうまく動きました。
495 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/07 11:44:34]: つーか、/usr/lib/libcrypto.so.0.9.7をどうにかしないと…
496 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/07 13:38:18]: うみゅ。とりえあずOpenSSLのライブラリを入れなおすべきですな。
497 名前：名無しさん＠お腹いっぱい。 [05/01/11 17:32:54]: LDAPのAPIですが、
Filter設定してsearchとかやりますが、
SQLを指定してやる方法もあるのですか？
JAVAや.Netから使いたいんですが・・・
498 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/11 18:23:07]: >>497
SQLを指定ってあまりにも意味不明なんだけど
499 名前：名無しさん＠お腹いっぱい。 [05/01/11 19:46:23]: >>498
例えば
Select 属性 from 'LDAP://DC=xxx,・・・' where ・・・
とかのことなんですが。
RDBアクセスなんかでは、SQL文指定でStatementオブジェクト作成⇒
executeQuery()してResultSetを処理ってやるけど、
そんな風にできるんでしょうか？
500 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/11 22:29:05]: >>499
JavaならJNDI使え。知らないなら調べろ。
.netはよー知らんが、ActiveDirectoryとかにアクセスできるインターフェースがあるでしょ？

もしくは、OpenLDAPのバックエンドをRDBに（ぉ
501 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/12 00:01:54]: Sun One System Directory 5.2 を使ってます。
こんなエラーが出てログインできなくなってしまってしまったんですが、
このページのとおりやってみてもinvalid format になって解決できません。

swforum.sun.com/jive/thread.jspa?threadID=48144&tstart=0

ldapsearch の結果を元にldapmodifyを実行しても line2の
「cn=admin-serv-servername, cn=Administration Server, cn=Server Group,」
がinvalid format となってしまう。

同じようなエラーを経験した方いませんか？
502 名前：名無しさん＠お腹減った。 mailto:sage [05/01/12 00:32:48]: >>499
Novell から LDAP JDBC Driver ってのが出てるが。
登録すれば無償で取って来られたはず。
ttp://developer.novell.com/ndk/ldapjdbc.htm
503 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/12 04:26:28]: >>501
dn: cn=admin-serv-edog, cn=Netscape Administration Server, cn=Server Group, cn=edog.labnet.east.sun.com, ou=labnet.east.sun.com, o=NetscapeRoot
で一行であることは理解してますよね?

理解できてないとすると、(失敗した時に手に負えないという意味で)
かなり危険なことに手を出そうとしていることを念頭においてください。
504 名前：名無しさん＠お腹いっぱい。 [05/01/12 10:07:13]: >>500
今、JAVAではJNDI、.Netでは.NetのDirectoryアクセスクラスを
使ってやてるけど、SQL形式のインタフェースじゃないから
そういうのが無いかなぁっていうことでした。

>>502
なるほど、やはりJDBC経由になるってことですか。
それが自然ですね。

どうもです。
505 名前：名無しさん＠お腹いっぱい。 [05/01/12 21:25:07]: japan.internet.com/busnews/20050111/10.html

これってどうなの？→使ったことある人
506 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/12 21:55:57]: iPlanetがあぼ～んして以来、完全に忘れていたproductだなぁ。
507 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/13 11:38:14]: >>505
5年以上前はよかったよ。
今はどうかしらないけど、OpenLDAPの競合くらいにはすぐになると思うよ。
iPlanet(Sun)位になるには時間がかかると思う。
508 名前：名無しさん＠お腹減った。 mailto:sage [05/01/13 11:54:13]: こんなところで聞くのもなんだが、ldap-jp ml って終わったの？
サーバが止まってるみたいで、メール送っても、
途中でエラーになって帰ってくるのだが。
509 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/13 16:05:33]: 皆さんが考える、ユーザ認証システムをRDBMSではなく、
ディレクトリサービスを用いる決定的な理由を教えてください。

検索性能に特化していると言われてるけど、
DBと比べて性能差があるのでしょうか？
510 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/13 16:06:58]: >>509
ねえ、ボク。APIって言葉知ってる?
511 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/13 16:30:35]: はい、薄々ながらですが。
512 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/13 17:18:40]: 509は実装とインターフェースとの違いがまったく理解できてないんだろうな。
LDAP serverのbackendにRDBMS使う例だってあるというのに。
513 名前：509 mailto:sage [05/01/13 17:54:40]: >>510、512
レスありがとうございます。

バックエンドでRDBMSも使えることは知っております。
OpenLDAPにしても、Berkeley DBをバックエンドで使うんですよね？

にも関わらず、一般的な記事ではディレクトリサービスとRDBMSは
比較対照になっていて、しかも「ディレクトリサービスは検索に特化されている」
とされています。
"特化＝DBに比べて早い"or"特化＝更新に比べて検索が得意"のどっちなのかを
教えて頂きたかったのです。

また、"特化＝DBに比べて早い"とした場合、どうして性能差が出るのでしょうか？

「もっと勉強して出直して来い」なのかもしれませんが、
ご教授願います。
514 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/13 18:38:57]: そもそも、RDBMSを用いた認証って一般的なプロトコルが存在しないでそ。
各アプリがそれぞれのRDBMSに合わせた手法で独自にアクセスし、各アプリの独自の
形式で収納している。

LDAPを使う場合は、各アプリはLDAPプロトコルに則ってアクセスすればいいのだし、
スキーマも認証系ではだいたい決っているので、それにのっとれば各アプリが共通した
認証情報を使える。これはLDAPサーバのバックエンドになにが使われているだとか
速度がどうだとかはまったく関係ないインターフェース/プロトコルレベルの話。

そして、SQL系RDBMSよりもBerkeleyDBのほうがLDAPで用いるような単純な検索では
規模によっては速度的に有利だとかメンテも遥かに楽とかいうのはあるけど、
509はこのこととLDAPプロトコルの利点とを混同している。

余談。MySQLのバックエンドにBerkeleyDBを使いトランザクションを実現していた
時期もあったなぁ。いまはMySQLでトランザクションといえばInnoDBだから
最近の人には信じられないことだろうけど。
515 名前：509 mailto:sage [05/01/13 19:22:14]: >>514
レスありがとうございます。

> 509はこのこととLDAPプロトコルの利点とを混同している。
なるほど。結局はバックグラウンドの格納先の問題であって、
ディレクトリサービスがどうとかLDAPだからとかそう言う問題ではないのですね。
もし、SQL系RDBMSでディクレクトリサービスを管理するとなると
テーブル構成はどの様になるのでしょうか？

> LDAPサーバのバックエンドになにが使われているだとか
> 速度がどうだとかはまったく関係ないインターフェース/プロトコルレベルの話。
この部分に関してはうっすらではありますが、理解しておりました。
ただ、これだけだとLDAPに決定する理由にしてはもう一パンチ欲しいなぁと
思ってたんです。
でも、まだぼんやりではありますが、ご説明いただいた事を
考えると結構大きなパンチになりそうです。

もう少し、しっかり勉強してみます。

本当にありがとうございました。
516 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/13 19:49:10]: >>515
> もし、SQL系RDBMSでディクレクトリサービスを管理するとなると
> テーブル構成はどの様になるのでしょうか？

OpenLDAPのバックエンドにRDMBSが使えることは知っているのだから、
OpenLDAPのservers/slapd/back-sql/rdbms_depend/*/backsql_create.sqlを
参考にすればいいのに…
517 名前：501 mailto:sage [05/01/13 23:15:42]: >>503
ありがとう。動きました。

2chアク禁環境にいたのでレス遅れて申し訳ないです。
おかげで翌朝に解決できました。

仰るとおり理解してませんでした。。
自社に戻って技術文書もって帰りました。。勉強します。。
518 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/14 02:10:36]: >>509
> 皆さんが考える、ユーザ認証システムをRDBMSではなく、
> ディレクトリサービスを用いる決定的な理由を教えてください。

RDBMSじゃなくて、RDBの間違いだと思うが、

・ネットワークワイドな分散認証レポジトリの構築が容易。
・LDAPを中間層として構築すれば、レポジトリのRDB以降も行いやすい。
　つまりLDAPプロトコルが実装透明性を担う。
　LDAPを介したシステム組み合わせも容易。
・SASLを使うことができるので、LDAPプロトコルに閉じたまま、
　Kerberosを選ぶことができる。RDBではKerberosを扱う事はできない。
・認証の主体となることが多く、認証に関係することが多い、
ユーザのレポジトリはLDAPの専門分野である。
・認証RelemのレポジトリとしてもLDAPは優れている。
　schemeが既に多くつくられ、多くの場所で運用されている。

など。
519 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/14 02:12:24]: >>513
> にも関わらず、一般的な記事ではディレクトリサービスとRDBMSは
> 比較対照になっていて、しかも「ディレクトリサービスは検索に特化されている」
> とされています。

記者が馬鹿だから。
520 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/14 08:27:20]: >>513
たとえばどの記事よ。
521 名前：509 mailto:sage [05/01/14 10:17:53]: >>516
調べてみました。
ありがとうございました。

>>518
やっぱり、プロトコルやスキーマが標準化されている事って
かなり大きいんですね。
Kerberosですか。新たなメリットです！
調べてみます。

ありがとうございました。

>>519
RDBをバックエンドに使えるはずなのに、
検索に特化されているとかトランザクション機能が無いとか
書いてあるので、なんか仕掛けがあるのかと思ってました。

そもそもトランザクション機能がよくわかってないんですけど。。

>>520
とりあえず、これです。
ttp://www.atmarkit.co.jp/fnetwork/rensai/dirt02/01.html
ttp://japan.cnet.com/extra/sec/story/0,2000051084,20075807-2,00.htm
522 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/14 15:29:18]: >>518
schemaのtypo.した。
523 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/14 15:41:48]: >>521
トランザクション機能は全くないわけではありません。それに、

>>509
> ユーザ認証システム

として考えた場合は十分です。
ユーザ認証レポジトリとして考えてみると、
例えばdigital IDの生成の時には、若干トランザクション処理をする必要がありますが、
LDAPプロトコルとしてサポートしないだけで、
LDAPサーバを用いたユーザ認証レポジトリシステム、
しかもRDBと比較する程度の規模のもので、(iPlanet, Active Directory)
ちゃんとやってないもの方が少ないです。

そもそも(RDBでなく)RDBMSという「システム」と比べるべきなのは、
(RDBMSには認証機構やODBCなども入っていますから)
Sun Java System Directory Serverのような、
Directoryシステムであって、LDAPプロトコルでも、

>>509
> ディレクトリサービス

でもないですよね。RDBMSだってRDB部分だけ見ればほとんど何もないです。
524 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/14 15:43:58]: >>521
> とりあえず、これです。

読む記事が短かすぎます。
この記事を見るだけで出来ることは、この記事をまとめることくらいです。
それだってきっと見当違いになるでしょう。表面をなぞったものを読んだだけなので。
525 名前：509 mailto:sage [05/01/14 17:53:53]: >>523,524
レスありがとうございます。
知識がうすっぺらなんで、勘違いや混乱を起こしてしまうんですよね。

ディレクトリサービスとディレクトリシステム、
RDBとRDBMSをごっちゃにして考えてました。

最初の発言の『ユーザ認証システム』って言葉もユーザを認証する仕組み程度に
何気なく使っていました。
ので、『ユーザ認証レポジトリシステム』との区別がついておりません。。

『ユーザ認証レポジトリシステム』調べてきます。
526 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/14 18:03:01]: SunOne Directory ServerってもともとはNetscape Directory Serverだよね?

RedHatがNetscape Directory Serverをフリーにするってことは、昔の
SunOne Directory Serverと似たようなものが出てくるのかな? もっとも、
NetscapeはCommunicatorのソースがあの調子でMozillaでは結局一から作りなおす
ハメになったわけで、出てくるソースについてあんまり期待しちゃいけないのかも
しれないけど。とはいえ、さすがにOpenLDAPよりは奇麗だと期待したい。
527 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/19 19:43:46 ]: phpでLDAPにエントリを追加したいけど全然できません。
コマンドラインでは入るし、
ldap_add()に渡すデータ配列が間違っているだけのようなんだけど・・・。

Warning: ldap_add(): Unknown attribute in the data
と
Warning: ldap_add(): Add: Undefined attribute type

どっちが正解に近いエラーですか・・・。on_
528 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/19 23:42:31 ]: >>527
PHPはよく知らないので、外しているかも知れないけど、

> Warning: ldap_add(): Unknown attribute in the data

データに不明な属性が含まれています。
例えば, posixAccountオブジェクトクラスのオブジェクトに、
jpegPhoto属性が含めてしまっているような場合。
下に比べると、属性としては正しいものなんでしょう。

> Warning: ldap_add(): Add: Undefined attribute type

定義されてない属性がある。
例えば、gifPhoto属性なんてどこにもないよー、など。

LDAPのerror codeそのまんまの解釈をしてみました。
529 名前：528 mailto:sage [05/01/20 00:15:08 ]: > 528

ありがとうございます。
そう言われて、今ちょっと間違っていそうなところに気が付きました。
明日やって見ます。
530 名前：527 mailto:sage [05/01/20 10:14:27 ]: やっぱり出来なかった。

Warning: ldap_add(): Add: Object class violation
これはもっと正解に近い？
オブジェクトクラス違反
近そうとは思うけど、どうしたら・・・。
531 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/21 00:25:37 ]: >>530
> Warning: ldap_add(): Add: Object class violation

オブジェクトクラスそのものに関するエラーが起きたんだよ。

>>528の前者はオブジェクトクラスにはない属性を指定した場合。
こっちは、
・オブジェクトクラスの指定が全くない。
・存在しないオブジェクトクラスを指定した。
・複数のstructualオブジェクトクラスに属している。
などです。
532 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/25 11:19:29 ]: incubator.apache.org/directory/

これは期待していいのか？
533 名前：名無しさん＠お腹いっぱい。 [05/01/30 13:29:14 ]: OpenLDAPって数千件ほどのデータ更新をしようとすると10分くらいかかるんですが
こんなもんなんですか？
マシンは

Dell Power Edge 750
RHEL3 (smp)
P4 2.8Ghz (HT)
DDR 512MB
SATA 80GB * 2 RAID1

です。
534 名前：名無しさん＠お腹いっぱい。 [05/01/30 20:21:30 ]: OpenLDAP2 ってバグだらけだよな
オープンソースがうまくいかなかったときの悲惨さを見た
535 名前：名無しさん＠お腹いっぱい。 [05/01/30 23:10:44 ]: emacsでdviファイルをtexファイルに変換できるのでしょうか？できるのなら方法を教えて下さい。texファイルを消してしまいました！助けて下さい。。。お願いします。
536 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/31 10:46:59 ]: >>533
本当に更新に時間かかっているの?
更新ごとにやるindexのないattributeでの検索に時間かかっているって事はない?
537 名前：名無しさん＠お腹いっぱい。 [05/02/01 22:50:21 ]: >>534
OpenLDAPの採用を検討しているので気になりました。
バグで苦労した点を教えてくれないでしょうか。
538 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/02 00:16:16 ]: >>534 の脳がバグってるんだろ
539 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/02 04:47:49 ]: >>533
もし berkeley db を使ってるなら ldbm を試してみた方がいい。
並列に高い負荷がかかると、berkeley db と OpenLDAP の組み合わせ
はメチャメチャ遅くなることがある。
逆に負荷が軽ければ berkeley db を選んだ方がずっと速いことも
ある。あと、パラメータのチューニングでかなり性能は変わる。

ちなみに berkeley db と、とあるバージョンの OpenLDAP の
組み合わせで大量の更新を行なうと、データベースが壊れて
ldapsearch もできなくなったことがあった。(再現性あり)
ldbm にして回避したが。

上記の事情は、OpenLDAP のバージョンによってもコロコロ変わる。

更新が少なくて参照ばかりなら、そんなに問題はでないと思うけど、
大量の更新を行なう用途に OpenLDAP を使うのはやめた方が安全。
苦労すればなんとか解決はできるが。
540 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/03 00:48:24 ]: >>539
データ更新が頻発するシステムでOpenLDAPを置き換えるならどういう
選択肢があるんだろう。
541 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/03 02:27:12 ]: 素直にRDB使うとか?
542 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/04 08:02:02 ]: backendにRDBMS使うとか
543 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/10 13:03:25 ]: ldapのBDCへの複製をしたいと思ってるのですがうまくBDCへ伝播されません。。お知恵をお貸しくださいm(_ _)m
gentooをホストにPDCを構成し、認証にldap(2.1.30-r2)を使っています。BDC(debian slapd2.1.30-3)への複製を行いたいと思っています。
ttp://tsuttayo.sytes.net/samba/ldap/bdc/bdc.html ttp://tsuttayo.sytes.net/samba/ldap/bdc/pdc.html
上記2ページを参考に設定を行い、BDC側にはreplicaのbinddnでldapbrowserを使って接続し、値の書き換えなどができることを確認。

PDC側は、/var/lib/openldap-slurp/replica/slurpd.replogにmodifyのログが生成されているようでしたが、BDC側に変更が伝播していないようです。
ちなみにデバッグ(slurpd slapd.conf -d 255)で実行したログの後半（ここで停止。killしてもslurpdをとめられない…）最後にlocalhostに行ってるのが怪しいですがどうしていいものか…
Config: ** successfully added replica "hoge.localdomain:389"
Config: ** configuration file successfully read and parsed
begin replication thread for hoge.localdomain:389
Initializing session to ldap://hoge.localdomain
ldap_create
ldap_url_parse_ext(ldap://hoge.localdomain)
bind to hoge.localdomain:389 as uid=replica,ou=Users,dc=localdomain (simple)
ldap_simple_bind_s
ldap_sasl_bind_s
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection
ldap_int_open_connection
ldap_connect_to_host: TCP hoge.localdomain:389
ldap_create
ldap_simple_bind
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection
ldap_int_open_connection
ldap_connect_to_host: TCP 127.0.0.1:389
544 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/10 17:55:07 ]: localにslapdは立ち上がっているのか?
545 名前：543 mailto:sage [05/02/10 18:45:07 ]: >>544さん
PDC, BDCの両方で立ち上がってます。ldapsearch -x -h ホスト名　するとお互いにやってもずらーっと出るので大丈夫と思います。
>>543のログはPDCでのもので、hoge.localdomainがBDC側にあたります。
546 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/24 11:24:46 ]: >>539
うちでもBarkeleyDBよくぶっ壊れると思ってたんだけど、やっぱりか・・・
BackendにRDB使えるって聞くけど、あまり導入したという資料見ないし、
実績がどの程度とか、そのへんで二の足踏んでる。
547 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/27 15:34:10 ]: OpenLDAP以外にフリー&商用可のLDAPサーバって何があるの?
548 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/27 16:21:23 ]: >>505
549 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/17 14:26:09 ]: 下記のようにpam_ldap を　makeすると、エラーになりますが、 make install していいものでしょうか？
pam_ldap.c:3320: warning: dereferencing type-punned pointer will break strict-aliasing rules
pam_ldap.c:3357: warning: dereferencing type-punned pointer will break strict-aliasing rules
pam_ldap.c:3462: warning: dereferencing type-punned pointer will break strict-aliasing rules
pam_ldap.c:3477: warning: dereferencing type-punned pointer will break strict-aliasing rules
pam_ldap.c: In function `pam_sm_acct_mgmt':
pam_ldap.c:3694: warning: dereferencing type-punned pointer will break strict-aliasing rules
pam_ldap.c:3703: warning: dereferencing type-punned pointer will break strict-aliasing rules
gcc -DHAVE_CONFIG_H -DLDAP_REFERRALS -DLDAP_DEPRECATED -D_REENTRANT -g -O2 -Wall -fPIC -c md5.c
/usr/ccs/bin/ld -o pam_ldap.so -B dynamic -M ./exports.solaris -G -B group -lc pam_ldap.o md5.o -lldap -llber -lnsl -lcrypt -lresolv -lpam -ldl
ld: 重大なエラー: ライブラリ -llber: 見つかりません。
ld: 重大なエラー: ファイル処理エラー。pam_ldap.so へ書き込まれる出力がありません。
make: *** [pam_ldap.so] Error 1
550 名前：名無しさん＠お腹いっぱい。 [05/03/17 23:24:20 ]: >>549
make install以前にリンク失敗してるじゃない
551 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 13:21:47 ]: FC3 で slapd をデバックモードで起動すると、
2.5.13.1 (distinguishedNameMatch): matchingRu
leUse: ( 2.5.13.1 NAME 'distinguishedNameMatch' AP
PLIES ( dITRedirect $ associatedName $ secretary $
documentAuthor $ manager $ seeAlso $ roleOccupant
$ owner $ member $ distinguishedName $ aliasedObj
ectName $ namingContexts $ subschemaSubentry $ mod
ifiersName $ creatorsName ) )
2.5.13.0 (objectIdentifierMatch): matchingRul
eUse: ( 2.5.13.0 NAME 'objectIdentifierMatch' APPL
IES ( supportedApplicationContext $ supportedFeatu
res $ supportedExtension $ supportedControl ) )
slapd startup: initiated.
bdb_db_open: dbenv_open(/var/lib/ldap)
bdb(dc=my-domain,dc=com): Program version 4.2 doe
sn't match environment version
bdb_db_open: dbenv_open failed: Invalid argument
(22)
backend_startup: bi_db_open(0) failed! (22)
slapd shutdown: initiated
====> bdb_cache_release_all
slapd shutdown: freeing system resources.
bdb(dc=my-domain,dc=com): txn_checkpoint interfac
e requires an environment configured for the trans
action subsystem
bdb_db_destroy: txn_checkpoint failed: Invalid ar
gument (22)
slapd stopped.
connections_destroy: nothing to destroy.
とエラーになります原因教えて下さい
552 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 13:28:25 ]: デバッグモードでなければ動くの？
553 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 13:49:27 ]: >>551
database fileが壊れてます。
554 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 14:00:02 ]: >>553
Thanks

database fileを直して正常に動作させるにはどうすればいいでしょうか？
555 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 14:23:15 ]: 壊れたdatabase fileは破棄してください。
556 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 14:26:27 ]: それから>>539。
557 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 15:02:01 ]: >>556

lapd startup: initiated.
slapd starting

Thanks
558 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 17:00:35 ]: Solaris版のOpenLDAPは、

openldap/migration/migrate_common.ph

のような、マイグレートする、パールスクリプトがありません。
どこかで手に入りますか？
559 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 20:09:17 ]: >>558
Solarisでは、iPlanet使えよ。
560 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 20:10:27 ]: で、登録はldapaddent(1M)な。
561 名前：名無しさん＠お腹いっぱい。 [05/03/18 22:37:11 ]: iPlanetって有料でしょ？
562 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 23:29:26 ]: Solaris 9から付属です。
563 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/03/26(土) 01:26:47 ]: >>559

iplanet は資料が少ないよ。
それにPAMに関しても非常に少ない。
どうしていますか？
564 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/03/30(水) 21:09:00 ]: マニュアルを読む。キホソ
565 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/03/30(水) 23:10:19 ]: >>563
英語駄目な人?
ドキュメント凄く多いと思うんだけど。

PAMは何が知りたいの?
このスレでもずいぶんと書いているけども。
566 名前：名無しさん＠お腹いっぱい。 mailto:sage [UNIX時間(+0900)35年,2005/04/02(土) 20:30:30 ]: OpenLDAPダメポ，こんなにDB(ldbm)破損が発生するとは思いもしなかった・・・

壊れないバージョンってありますか(現在2.0.22)
567 名前：名無しさん＠お腹いっぱい。 mailto:sage [UNIX時間(+0900)35年,2005/04/03(日) 01:40:03 ]: ldbmってOpenLDAP自前のdbm libraryだよね。
2.0.Xって古すぎ。正直その頃のldbmってタコ。2.1.Xも駄目。
stableが2.2.24なんだから、もっと新しいの使ってよ。
www.openldap.org/software/download/
568 名前：566 mailto:sage [UNIX時間(+0900)35年,2005/04/03(日) 04:09:02 ]: バックエンドはbdbで安定してますかね>>551辺り見ると不安
Debian3.0はnscdもslapdも腐ってる参りましたわ・・・

stableを手ビルドして様子みます
569 名前：名無しさん＠お腹いっぱい。 mailto:sage [UNIX時間(+0900)35年,2005/04/03(日) 05:07:18 ]: packages.debian.org/unstable/net/slapd

>>567で言ったのは、「古い」ldbmは糞、ということ。
Berkley DBは、色々イヤらしいので勧めません。
Debianなら各バージョン揃っていると思いますが。
570 名前：566 mailto:sage [UNIX時間(+0900)35年,2005/04/03(日) 06:02:05 ]: なるほど最近のldbmはマシになってると言うことですか

現状woodyからunstableに上げることは厳しいので
packportせざるをえないのです・・・

1年近く運用し本格的に負荷がかかってこの有様
早く見極めるべきでしたね
571 名前：名無しさん＠お腹いっぱい。 mailto:sage [UNIX時間(+0900)35年,2005/04/03(日) 13:15:14 ]: Debianなんか選んだのがそもそもの間違い
572 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/04(月) 17:43:09 ]: Red Hatはdirectory server(旧netscape)をまだ公開せんのかな?
573 名前：名無しさん＠お腹いっぱい。 [2005/04/04(月) 22:56:42 ]: LDAPサーバに対してID・パスワードでの認証をVBで作ろうとしてます。
しかしuserPasswordが取得できないように設定してあります。

認証を実現するにはどのような方法がありますか？？
574 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/04(月) 23:57:09 ]: bindオペレーション

>>573
> userPasswordが取得

邪道
575 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/05(火) 03:27:29 ]: こんな人間が認証系作るってあぶねーなー
576 名前：名無しさん＠お腹いっぱい。 [2005/04/07(木) 11:01:49 ]: devfsとかprocfsとかみたいにldapfsがあればいいのに。
577 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/08(金) 00:58:54 ]: >>573
LDAPのBIND時に簡易認証しろよタコ
578 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/08(金) 23:17:10 ]: 本人がいないタイミングでそんなレスしても、
読んでるひとの気分を害するだけ。
574以上の情報があるわけでもなし。
579 名前：名無しさん＠お腹いっぱい。 [2005/04/15(金) 22:45:44 ]: >>577
釣られてんじゃねーよアホ
580 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/16(土) 07:35:33 ]: ldapって通信に暗号使うの？なりすまし対策は？
581 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/16(土) 08:54:56 ]: LDAPS
582 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/17(日) 17:57:43 ]: ldapsじゃなければユーザーやパスワードやじゃじゃ漏れってこと？
583 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/17(日) 20:48:53 ]: そうじゃじゃ
584 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/17(日) 20:50:37 ]: STARTTLS!
585 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/18(月) 01:05:54 ]: >>582
うーん、LDAPに閉じた話で言えばそういうことになるけど…

使っているスイッチにもよるよね。
スイッチでも間にタッピングされると覗かれるけど、
うちはポートのリンクアップ/ダウンで管理者にメール来るから…

まあ使っているのはldapsなんですけど…
586 名前：名無しさん＠お腹いっぱい。 [2005/04/18(月) 21:16:51 ]: ログインの認証とかldapのサーチとか
当たり前のようにsslなしだった
もうダメポ
587 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/18(月) 21:42:28 ]: 用途に即してれば、SSLなしでもOKだとおもうけど。
588 名前：名無しさん＠お腹減った。 mailto:sage [2005/04/18(月) 23:09:15 ]: ねえねえ、LDAP認証にSASLってあんまり使われてないの？
589 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/19(火) 00:52:37 ]: パスワード認証じゃなくて、
1. Kerberosとか公開鍵で認証して、
2. その権限でディレクトリのACLを働かせたい、
そういう時以外、SASLって特別いいことないし。
simple bind認証で十分でしょう。

逆に、2なしでKerberos認証したければ、単にKerberos使えばいい。
590 名前：名無しさん＠お腹いっぱい。 [2005/04/19(火) 09:48:30 ]: NISスレがないのにLDAPスレがある不思議
591 名前：名無しさん＠お腹減った。 mailto:sage [2005/04/19(火) 10:26:11 ]: いやいや、SSLなしじゃ、パスワードが…とかいうから、
SASL で DIGEST-MD5 とかでやらないの？って話なの。
592 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/19(火) 23:58:16 ]: SSLで十分。
593 名前：名無しさん＠お腹減った。 mailto:sage [2005/04/20(水) 00:54:31 ]: SSLって証明書とかどうしてんの？
594 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/20(水) 01:01:08 ]: SSLのスレで聞け。
595 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/20(水) 03:14:55 ]: オレオレ証明書
596 名前：名無しさん＠お腹いっぱい。 [2005/04/20(水) 07:14:45 ]: openssl req -new -x509 -keyout server.crt -out server.crt
597 名前：名無しさん＠お腹いっぱい。 [2005/04/21(木) 06:21:29 ]: openssl req -new -batch -x509 -rand /var/log/maillog:/var/log/httpd/access.log -nodes -newkey rsa:8192 -sha1 -days 365 -text -keyout server.crt -out server.crt -subj /C=JP/ST=ECHIGO/O=CHIRIMEN\ DON\'YA
598 名前：名無しさん＠お腹減った。 mailto:sage [2005/04/21(木) 13:03:01 ]: はいはい、クライアントからサーバまでの経路の暗号化がされてれば、十分ってことね。
SSLじゃなくても、ssh で port forwarding とか IPSecとかのVPNでもいい、と。
599 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 00:59:13 ]: スレ違いなんで、それ以上突っ込んだ話をして欲しければ、SSL/TLSスレで。
600 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 02:39:17 ]: LDAPのプロキシー？変換サーバ？見たいなのってありますか？
やりたい事は、
Client <--> LDAP変換proxy <--> 実LDAPサーバ
といった感じで、
・実LDAPサーバはいじりたくない。
・でも新たなアトリビュート等を加えたい
じゃ、間に変換Proxyを挟んで変えてやりゃ良いかなと。
それとも、そういう考え方が邪道？
601 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 02:55:54 ]: Solaris10ってLDAPサーバ付いてるの？iPlanet?
602 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 10:44:21 ]: >>600
製品ならSunが出してる。FreeやOpenSourceはないと思う。
名前ころころ変り中なんで代理店に聞いて。

>>601
うん。iPlanet → Sun ONE → Javaと名前だけが変っているけど。
603 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 15:53:22 ]: www.iconimaging.net/~jradford/sendmail/sendmail-ldap.html
この設定通りやった場合、ユーザー認証は、
/etc/passwd を見に行くのでしょうか？
それと、ldap をみにいくのでしょうか？
また、上の手順では、pam等いれていないのですが、
問題無いのでしょうか？
604 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 17:43:26 ]: それユーザ認証なんてやってないんですけど
605 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 19:42:12 ]: >>600

stone
606 名前：605 mailto:sage [2005/04/22(金) 19:44:06 ]: ごめ早とちりした，実LDAPで限定変更化のユーザーACL設定して
レプリカ設定するってのはどうだ？あんまりメリットなさそうだけど
607 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 20:53:06 ]: 不必要に複雑化してわけのわからない問題が次から次へと起きるだけだ。
608 名前：602 mailto:sage [2005/04/23(土) 01:22:45 ]: >>600
具体的にどういうのをやりたいの?
OpenLDAPなら、man 5 slapd-metaにあるような事できるけど、
何でもできるわけじゃないよ。半分遊びのつもりでやってみたことあるけど疲れます…
609 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/23(土) 21:52:10 ]: solaris 9 で、Open LDAP を使って、/etc/passwd ではなく、LDAP でユーザーを管理したいと考えています。
その際は、pamを使います。
pam には、最初からSolarisに入っている、pam と、PADL があります。どちらを使えばいいでしょうか？
また、うまくLDAPでユーザー管理できている方いらっしゃいますか？
610 名前：nanasi mailto:sage [2005/04/24(日) 03:47:04 ]: >>609
根拠はないが、PADLの方が楽な気がする。
611 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/24(日) 14:27:11 ]: >>609
昔あったPAMスレに書いたけど、落ちているのでもう一回。

Solaris付属のpam-ldapは、userPassword属性を取得して、
Solaris側でdecryptすることによって認証する。よって、
1. Solarisの対応しているcrypting schemeに利用が限られる。
2. bindするDNでuserPassword属性が読めないと駄目。(security上大きな制約)

一方、PADLのpam-ldapは、simple bindを使って認証を行うので、
1. crypting schemeの問題はLDAPに閉じ込めることができる。
認証する側はbind op.に対して単にDNとsecretを提供すればいい。
ADT抽象度が高い。
2. userPasswordは外部に出さない事が可能。
(iPlanetではcn=Directory Managerで読めてしまいますが)

ただし、現時点でSolaris 10では未検証。
612 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/24(日) 14:28:40 ]: >>610
>>611に書いたSolaris版の仕様が気にならないなら、
Solaris付属のpamでやった方が楽だと思いますよ。

仕様が問題であるなら、もう「楽」かどうかという問題ではなくなっていますし。
613 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/26(火) 19:45:09 ]: sendmail 8.13 とOpenLDAPについて質問
solaris に OpenLDAP をいれます。slapd を起動して、ユーザー情報を
取り込みます。

LDAP に登録されているユーザーから、メールを送受信したいと思います。
その際、sendmail にいろいろ、設定しないといけないと思います。
つまり、メールを受けた場合は、/etc/passwd では無く、LDAP のユーザーに格納するといった設定です。
この設定の方法を教えて下さい。
また、メールボックスは、LDAPユーザーの場合どこにできるのでしょうか？
（状況として、pamの設定は行っておりません）
アドバイスお願いします。
614 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/27(水) 00:15:04 ]: nss-ldapの設定。
615 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/27(水) 16:44:37 ]: >>613
> また、メールボックスは、LDAPユーザーの場合どこにできるのでしょうか？

MTAの設定の問題。
616 名前：名無しさん＠お腹いっぱい。 [2005/04/28(木) 15:00:45 ]: すいません。
LDAPでouを追加しようと以下のようになるんのですが
なんでなのでしょうか？
基本的なことで申し訳ないのですが
お教えいただけるとありがたいです。

[root@test _test]# ldapadd -x -D "cn=Manager,dc=hogehoge,dc=com" -w himitsu
dn: ou=sm,ou=Project,dc=hogehoge,dc=com
add: objectClass
objectClass: Project

adding new entry "ou=sm,ou=Project,dc=hogehoge,dc=com"
ldap_add: Undefined attribute type
additional info: add: attribute type undefined

ldif_record() = 17
617 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/28(木) 15:04:29 ]: >>616

dn: ou=Project,dc=hogehoge,dc=com
objectClass: organizationalunit
ou: Project

dn: ou=sm,ou=Project,dc=hogehoge,dc=com
objectClass: organizationalunit
ou: sm
618 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/29(金) 02:39:12 ]: 英文ちゃんと読めよ。
> add: attribute type undefined

rfc2849.txtもな。
619 名前：名無しさん＠お腹いっぱい。 [2005/05/21(土) 12:51:06 ]: CentOS4 でOpenLDAP サーバをインストールしたんですが
下記のエラーが出て起動できません。

slapd[2966]: slapd startup: initiated.
slapd[2966]: bdb_db_open: dc=hogehoge,dc=test,dc=jp
slapd[2966]: bdb_db_open: dbenv_open(/var/lib/ldap)
slapd[2966]: bdb(dc=hogehoge,dc=test,dc=jp): Berkeley DB library configured to support only DB_PRIVATE environments
slapd[2966]: bdb_db_open: dbenv_open failed: Invalid argument (22)
slapd[2966]: backend_startup: bi_db_open(0) failed! (22)
slapd[2966]: slapd shutdown: initiated
slapd[2966]: ====> bdb_cache_release_all
slapd[2966]: slapd shutdown: freeing system resources.
slapd[2966]: bdb(dc=hogehoge,dc=test,dc=jp): txn_checkpoint interface requires an environment configured for the transaction subsystem
slapd[2966]: bdb_db_destroy: txn_checkpoint failed: Invalid argument (22)
slapd[2966]: slapd stopped.
slapd[2966]: connections_destroy: nothing to destroy.

インストールしたパッケージは
db4-utils-4.2.52-7.1
db4-4.2.52-7.1
openldap-2.2.13-2
nss_ldap-226-1
openldap-clients-2.2.13-2
php-ldap-4.3.9-3.6
openldap-servers-2.2.13-2
です。
620 名前：619 [2005/05/21(土) 12:51:51 ]: /etc/ldap.con の内容

host hogehoge.test.jp
idle_timelimit 30
pam_min_uid 500
pam_password SSHA1
nss_base_passwd dc=hogehoge,dc=test,dc=jp?sub
nss_base_shadow dc=hogehoge,dc=test,dc=jp?sub
nss_base_group ou=Groups,dc=hogehoge,dc=test,dc=jp?one
ssl no
621 名前：619 [2005/05/21(土) 12:53:20 ]: /etc/openldap/ldap.conf の内容
HOST hogehoge.test.jp
BASE dc=hogehoge,dc=test,dc=jp
ssl no
pam_password SSHA

/etc/openldap/slapd.conf の内容
include/etc/openldap/schema/core.schema
include/etc/openldap/schema/cosine.schema
include/etc/openldap/schema/inetorgperson.schema
include/etc/openldap/schema/nis.schema

password-hash{SSHA}

pidfile/var/run/slapd.pid
argsfile/var/run/slapd.args

databasebdb
suffix"dc=hogehoge,dc=test,dc=jp"
rootdn"cn=Manager,dc=hogehoge,dc=test,dc=jp"
rootpw{SSHA}パスワード

directory/var/lib/ldap
index objectClass eq,pres
index ou,cn,mail,surname,givenname eq,pres,sub
index uidNumber,gidNumber,loginShell eq,pres
index uid,memberUid eq,pres,sub
index nisMapName,nisMapEntry eq,pres,sub
622 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/21(土) 13:59:31 ]: >>619
エラー内容からするとdb4が適合してないようなので、
修正がでるまではopenldapを適宜ビルドして回避するとか。
623 名前：619 mailto:sage [2005/05/21(土) 15:00:00 ]: 再構築＿|￣|●
Linux 経験約３週間ではハードルが高いです。
VMWare上のSL4 では下記のパッケージで動いてるのに・・・。

db4-utils-4.2.52-7.1
db4-4.2.52-7.1
nss_ldap-226-1
openldap-servers-2.2.13-2
openldap-clients-2.2.13-2
openldap-2.2.13-2

SL4は実機にはインストーで出来なかったんで CentOS4
（実機：Pentium MMX 166 MEM:80MB DISK:6GB）
を入れてるんですけど
db4-devel-4.2.52-7.1
openldap-devel-2.2.13-2
のパッケージは関係ないですよね。

あと、/var/lib/ldap の所有者とグループは ldap になってます。
他に情報があれば教えて下さい。
624 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/23(月) 08:27:07 ]: >>623
つーか、
> Berkeley DB library configured to support only DB_PRIVATE environments
をどうにかしろ！

A. db4をsrpmからコンパイルしなよ。
CentOS part 2 【RHEL Clone】
pc8.2ch.net/test/read.cgi/linux/1115030013/
B. bdbじゃなくてldbmを使う。man slapd.conf
625 名前：名無しさん＠お腹いっぱい。 [2005/05/23(月) 12:44:45 ]: >624
ありがとう。
bdb を ldbm にしたら起動出来るようになりました。
でも、ログをみたらBerkeley DB を使用してるんですね。
プロセスも３個も起動してるし…。

CentOS４とSL４ではコンパイル条件が違うみたい。
626 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/27(金) 16:23:59 ]: >>611
Sunスレの方で、話が出てるけど
pc8.2ch.net/test/read.cgi/unix/1114945256/202-
Sun版にしても、PADL版にしても、simple bind を使った
認証って、LDAP over SSL で使わないと、パスワードが
平文で流れるわけでセキュリティ的にチョー危ないんだね。

over SSL は当然って場合はｽﾏｿ
627 名前：611 mailto:sage [2005/05/27(金) 16:50:34 ]: simple bindじゃなくて、SASL bindだって、
平文で投げるschemeだと危ないから、SSLでやるのがいいね。
628 名前：626 mailto:sage [2005/05/27(金) 17:01:18 ]: やはりSSL大前提ですかあ。
どうも。
629 名前：611 mailto:sage [2005/05/27(金) 17:05:28 ]: あっちのスレでは、SSLは負荷高いなんて言っている人いるけど、
正直データベース本体の所が一番負荷高いです。
stunnel+LDAPサーバで比較してCPU利用率確かめたんで確かです。
OpenLDAPやiPlanetね。
630 名前：611 mailto:sage [2005/05/27(金) 17:08:21 ]: それから大前提って事はない。
平文じゃなければいいんだから。
ただPAM使うなら適当なPAMモジュールがないね。作らないと。
631 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/27(金) 17:22:27 ]: >>629
あっちのスレで話が出てる、SSL と、共有鍵ベースの IPsec の
比較はしました？ IPsec の方が軽いというのはありそうな
話だと思うんだけど。
SSL にしても IPsec にしても、データベース本体への CPU 負荷
は増えるので気になるところです。
632 名前：ディレクトリ統合したい [2005/05/31(火) 22:36:19 ]: メタディレクトリもここで語っていいでしょうか？
このジャンル書籍も少なくて。。。
どなたか運用されている方いらっしゃいます？
633 名前：名無しさん＠お腹いっぱい。 [2005/06/01(水) 00:22:16 ]: メタディレクトリでオープンソースってある?
DirXMLみたいなのだったら
XSLT + LDAPクライアントライブラリで作れそうな気がする。
634 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/01(水) 14:24:51 ]: >>632
Sunのやつならドキュメントがしっかりしているでしょう?
試したことはあるけど、運用はしてない。
結局、アカウント作成アプリで双方に作成、LDAPでの認証でパスワード共有という運用。
統合グループ管理は諦めました。(ACLの仕組みが全然違うし)

Mac OS 10.4がGUIDベースになってきたから、
この辺はどんどん進んでくるんでしょうね。

>>633
そもそもschemaをどう使っているか、Microsoftが公開してないから。
SunとAppleは業務提携したから、情報が出てくるけど。
635 名前：ディレクトリ統合したい [2005/06/01(水) 23:43:25 ]: >>633
>>634
レスさんくす

Sun の　Identity Managerで
でRDBをデータソースとして
ActiveDirectory、OpenLDAPのディレクトリ統合
できるかなと考えてました。
ただ値段が高いのね。３０００ユーザライセンス１０００万。

データ連携＋パスワード同期となるとIdentity Managerしかないかな。

jp.sun.com/products/software/identity/identity_mgr/

あと、MSのMIISもきになる。
636 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/02(木) 00:18:25 ]: Red Hat Directory Serverリリース。
合わせてフリー版のFedora Directory Serverも出た。
ttp://directory.fedora.redhat.com/
ソース、Linuxバイナリの他、Solarisバイナリもあり。
637 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/02(木) 12:34:05 ]: >>636
OpenLDAPはどうなるんだろうか？
638 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/02(木) 12:45:20 ]: >>636
Netscapeから買ったのだから当たり前と言えば当たり前だが、
Sun Java System Directory Serverとほとんど同じだな。

驚いたのはマニュアル類。これ、Sunからパクッただけじゃないの。
それとも、SunがNetscapeからマニュアルも引き継いだだけなのか。
639 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/03(金) 11:52:45 ]: >>635
Identity Managerの動くSunがあるなら、OpenLDAPはいらない。
LDAPサーバはSolarisに(NIS/NIS+の代わりとして)付いてくるから。
640 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/03(金) 11:53:54 ]: >>638
まあ、forkしたんで、*BSD同士みたいな関係。
641 名前：名無しさん＠お腹いっぱい。 [2005/06/09(木) 10:22:45 ]: NISの代わりにLDAP使いたいんですけど
どこの設定を変えたらいいですか？
NISからの以降ではなくLDAPを単独でインストールして
NISと同じように同じユーザ名、同じパスワードでログインしたいです。

OSはdebianです。
642 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/09(木) 10:27:06 ]: >>641
Red Hat系にしとけば簡単だったのに誰に騙されたのかなぁ
643 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/09(木) 10:36:29 ]: >>641
libpam-ldap
これかな？
644 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/09(木) 11:08:07 ]: >>641
えーと、
・debianでLDAPサーバを立ち上げる
・debianのアカウント情報をLDAPサーバで管理する
の両方って事ですか?

まあ前者のHOWTOはLinux板のdebianスレで聞いて貰うとして、
LDAPサーバに何を選ぶかは過去レスを参考に。

後者は、libnss-ldapとlibpam-ldapをinstallして、/etc/nsswitch.confを編集です。
nssはアカウント情報、pamは認証という分担です。(ﾊﾟｹｰｼﾞ名以外Linux共通)
645 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/09(木) 11:23:23 ]: Debian スレで聞いた方がよくね?
646 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/17(金) 18:07:53 ]: ここでもループしてる。。

ldapで環境がDebianだと→Debianに池→Debianでldap→ldapに池
647 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/17(金) 18:27:31 ]: Debian使うのやめればループから脱出出来るよ
648 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/17(金) 18:35:31 ]: それがDebクオリティ
649 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/17(金) 19:41:50 ]: UNIX認証方式いろいろ
ttp://pc8.2ch.net/test/read.cgi/unix/1028026566/

こちらもどうぞ
650 名前：644 mailto:sage [2005/06/17(金) 22:33:09 ]: >>646
あっちに答えといたから。

Debianはパッケージ名が独自なのはもちろん/etc/*ldap.confのファイル名も独自だから。
651 名前：名無しさん＠お腹いっぱい。 [2005/06/19(日) 06:41:43 ]: >650さん
641です。ありがとうございます！！
652 名前：名無しさん＠お腹いっぱい。 [2005/07/05(火) 16:16:03 ]: 使用しているLDAPサーバはiPlanetで、クライアントは
VS.NETのC#で作成しています。

ちょっと板違いだと思うのですが、
LDAPについてやり取りがあるのをここしか
見つけられなかったので質問させてください。

LDAPの接続でpathだけを指定した場合は成功するのですが、
username/passwordも指定すると、
「要求された認証方法はサーバがサポートしていません」
といわれます。
使用している関数はDirectoryEntry()です。

サーバにSSLを設定していないせいなのかなぁとも
考えたのですが、ここでのやり取りをみていると、
SSLがなくてもLDAPでユーザ認証ができそうに見えます。

SSLがなくてもLDAPでのユーザ認証は出来るものなのでしょうか？
653 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/05(火) 22:24:46 ]: SSL有無(SSLのclient/server認証を含んで)は、
LDAPのオペレーションの可否と完全に直交です。

ところでLDAPの認証というとbindオペレーションであることは理解していますか?
また、bindオペレーションは様々な認証方法をサポートしていることをご存じですか?
このスレは最初から読みましたか?
654 名前：名無しさん＠お腹いっぱい。 [2005/07/06(水) 00:13:39 ]: OpenLDAPでback-sqlにしてると、BD側の定義めんどくさすぎません？
3点セット(posixAccount,shadowAccout,posixGroup)のDBでの設定、どっかに無いですかね？
655 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 08:49:36 ]: >>653
ありがとうございます。

SSLがなくてもLDAPでのユーザ認証は出来るということですよね？

> ところでLDAPの認証というとbindオペレーションであることは理解していますか?

このスレを見つけるまでは、
「要求された認証方法はサーバがサポートしていません」
とエラーになるのはSSLのせいかな？と考えていました。

しかし、このスレを最初から読んで【bindオペレーション】がキーで
あるような所までは理解できました。
そこで念のため確認をさせて頂いた次第です。

VS.NETのDirectoryEntryクラスではbindというメソッドは存在せず、
どのように置き換えて考えれば良いのか考えている所です。

SSLは関係が無いということで少しすっきりできました。
ありがとうございます。
656 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 09:22:04 ]: >>655
置き換えるちゅーか、中で何をやっているのか理解しないと。
それからドキュメントのコンストラクタの所くらい読んだ方がいいぞ。

msdn.microsoft.com/library/default.asp?url=/library/en-us/cpref/html/frlrfSystemDirectoryServicesDirectoryEntryClassctorTopic.asp
msdn.microsoft.com/library/default.asp?url=/library/en-us/cpref/html/frlrfSystemDirectoryServicesAuthenticationTypesClassTopic.asp
msdn.microsoft.com/library/default.asp?url=/library/en-us/cpref/html/frlrfsystemdirectoryservices.asp

後は相手がActive Directoryだと仮定した初期設定になっているのが注意かな。
(schemaやACLが)

AuthenticationTypes Enumerationのそれぞれが、
LDAP上だとどんなオペレーションになっているかはこのスレでいいと思うけど、
APIの使い方はWindows板だな。
657 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 09:22:30 ]: ADSIを直接叩くって手もあるけど、LDAPの勉強が必要だなー
658 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 10:46:49 ]: >>654
OpenLDAP-POSTGRESQL HOWTOが一番詳しいんじゃないかな。
完全な設定はないけどね。
659 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 18:53:03 ]: DirectoryEntry()の使い方について教えてください。

pathだけを指定した場合は成功するのですが、
username/passwordも指定すると、
「要求された認証方法はサーバがサポートしていません」
とエラーになります。

何か解決策はあるのでしょうか？
660 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 21:26:11 ]: 取り合えずマニュアルを読んで、
AuthenticationTypes Enumeration
を理解しな。ただ使いたいだけならWindows板にでも行って。
661 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/08(金) 11:25:38 ]: ldapsearch(1)、
TLS_CACERTDIR /usr/share/ssl/certs/
を指定するととたんに遅くなるなあ。(たくさんCA certificateを抱えているため)

opensslみたいに/usr/share/ssl/certs/以下にあるhashを使って、
certificateを探すんじゃなくて、全てのファイルを読んでみるようだ…

$(OPENLDAP)/libraries/libldap/tls.cのget_ca_list()で、
SSL_load_client_CA_file()やってるなあ。
662 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/15(金) 20:49:59 ]: OpenLDAP の Backend を Mysql にしたら安定するかな？
速度とかはどうなんでしょうか？

使われている方はいらっしゃいますか？
663 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/28(木) 06:45:29 ]: Cisco Secure ACS と OpenLDAP を組み合わせて使っているかたは
いらっしゃいます？
664 名前：名無しさん＠お腹いっぱい。 [2005/08/09(火) 22:49:21 ]: ActiveDirectoryはLDAPを話せるという認識だったのですが
それは誤りなんでしょうか？
（ADもopenLDAPも外からみたら同じようにできると思ってました。）
わざわざADとLDAPを同期させるためのソフトもありますし。。
665 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/10(水) 02:23:22 ]: そうです。どちらもLDAP v3プロトコルです。
ただし、OSの利用しているLDAP schemaが違うのです。

つまり、各OSのユーザ、グループ、認証エンティティのデータ構造が違うのです。

UNIX群とWindowsが違うのはもちろん、Mac OS Xも違います。
ただし全般的にWindowsに歩み寄りをみせる方向のようです。
666 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/10(水) 03:13:53 ]: >>657
どうもありがとう御座います。

何でこんなことを質問したかと言うと、統合認証基盤としてLDAPサーバの導入を検討してるの
ですが、業者がSunOneDirectoryとADを導入してそれぞれをSUNのソフトで同期させるという
構成を提案してきたからなんです。
ADもLDAPを話せるのであれば、ADだけ導入してSunOneDirectoryは必要ないのではと
思ったのですが、何か事情があるのでしょうか？業者に聞いたところ、ADだけだとうまく外部と
連携ができない場合がある（具体的にはNISの統合だったかな？？）と言ってました。
ちょっと疑問を持つような回答だったのでここで質問させて頂きました。

ま、きちんとした提案書はまだなので、それをもらった段階で細かく確認するつもりですが。
667 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/10(水) 08:22:36 ]: >>666
> 何か事情があるのでしょうか？

>>665に書いたでしょ。

> 業者がSunOneDirectoryとADを導入してそれぞれをSUNのソフトで同期させるという
> 構成を提案してきたからなんです。

たぶん技術的にも信頼できる業者だと思います。
その構成以外にソリューションはないはずだし、そもそも運用できるところが少ないから。
668 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/12(金) 02:51:43 ]: >>667
うーん。自分、良くわかってないかも知れません。
スキーマが違くても外からうまく聞けば良いだけかと思ってました。
なのでLDAPプロトコルが話せればADでもなんとかなるのかなぁと。

>UNIX群とWindowsが違うのはもちろん、Mac OS Xも違います。
こうなのであれば、ADとSunOneDirectoryだけでは対応できない
（openLDAP　on OSXが必要な）場面もあるのでしょうか？
さらにそれらを同期して・・・。なんか難しいですね。

ADだけでLDAPサーバを賄えない事情があるんですね。もう少し勉強してみます。
669 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/12(金) 10:08:19 ]: はい、かなり知識不足だから、
もっとレイヤーの高いところで、何がやりてくて、何ができるのかということを、
業者の方に教えを乞いながら、詰めていった方がいいと思います。

LDAPプロトコルとかschemaとか、理解してないことをあれこれ云って、
背伸びしてもろくなことはないですよ。
670 名前：名無しさん＠お腹いっぱい。 mailto:ついつい揚げ足を...sage [2005/08/12(金) 13:55:31 ]: >>669
> LDAPプロトコル

背伸びは（・Ａ・）ｲｸﾅｲ!!
671 名前：668 mailto:sage [2005/08/12(金) 17:04:19 ]: WEBページを色々みてみました。

ttp://www.atmarkit.co.jp/fnetwork/rensai/dirt02/01.html
このページの下の方に
>　これらのデメリットにあげたような互換性の問題を解決する決定的な
>策はまだありません。対策としては、LDAPを利用するアプリケーションが
>LDAPを操作する時のオブジェクトクラスの指定や属性の指定を変更で
>きるように実装していくしかないでしょう。
とありますが、現段階では変更できないアプリが結構あるのでしょうか？

>スキーマが違くても外からうまく聞けば良いだけかと思ってました。
前にこう書いた時は、アプリ側で当たり前の様に変更できると思ってました。

アプリ側でサーバのLDAPスキーマに対応している必要があるということであってますか？
だとしたら現在アプリ側が対応しているLDAPスキーマで一番多いものは何なのでしょう？
672 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/12(金) 18:17:58 ]: あなたの場合、統合認証ということなので、
アプリだけの問題じゃなくて、OSの問題も含まれ、
そっちの方が大きいはずです。OSは書き換えられないですよね。
673 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/12(金) 18:52:56 ]: >>670の馬鹿っぷりに泣けた
674 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/16(火) 23:36:04 ]: openldap のサーバに名刺のデータを溜め込んで、マックの「アドレスブック」で
検索して利用している方、おられませんか？

マックの「アドレスブック」で検索をかけると；

Aug 16 23:18:01 gw slapd[23104]: conn=66 op=1 SRCH
attr=givenName sn cn mail telephoneNumber facsimileTelephoneNumber
o title ou buildingName street l st postalCode c jpegPhoto mobile co pager
destinationIndicator labeledURI IMHandle

とサーバのログにでるので、こんだけの種類のアトリビュートを
「アドレスブック」は表示可能なんだとおもうんですが、これらの名刺データを
ldapadd する方法がわかりません。
inetOrgPerson に含まれるアトリビュートを ldapadd することは出来るのですが、
例えば、buildingName を mail と同じ DN にぶっ込む方法がわかりません。。

なんか根本的にわかってないのかとも思ってますが。。。

何かヒントをくださいませんでしょうか。
675 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/17(水) 15:55:33 ]: > 674

RFC1274
676 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/17(水) 19:18:31 ]: >675

ヒントありがとうございます。
がんばってみますw
677 名前：名無しさん＠お腹いっぱい。 [2005/08/18(木) 06:55:15 ]: OpenLDAP2.3 ってどうなんでしょう？
2.2の方が安定しているのでしょうか？
678 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/18(木) 10:14:25 ]: >>674
buildingNameがどのObjectClassの属性か把握しておられるでしょうか?
また当該DNはそのObjectClassのオブジェクトでしょうか?
679 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/18(木) 10:15:20 ]: >>674
それからやってみて失敗したのだろうから、エラーメッセージを書いた方がいいのでは?

> inetOrgPerson に含まれるアトリビュートを ldapadd することは出来るのですが、
> 例えば、buildingName を mail と同じ DN にぶっ込む方法がわかりません。。
680 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/19(金) 08:29:44 ]: Directory Administrator を使ってる人はいますか？
使ってる人がいたら、どうやって設定すればいいか教えて下さい。

まず、ldapsearch -D "cn=Manager,dc=example,dc=com" -H ldaps://ldap.example.com -W では、まったく問題なくアクセスできています。しかし、以下の Profile Settings だと Can't contact LDAP server と言われて何もできません。

Server address: ldap.example.com:636
Security: Enable TLS on this connection をチェック
Search root: dc=example,dc=com
DN/User ID: cn=Manager,dc=example,dc=com
Password: *******

DN には cn=Manager とか Manager も試しましたが同じ結果でした。

サーバ側のログには

slapd[13821]: conn=2544 fd=23 ACCEPT from IP=w.x.y.z:41191 (IP=0.0.0.0:636)
slapd[13821]: conn=2544 fd=23 closed

とあって、アクセス自体はしているようですが、それ以上のことはしてないようです。
681 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/19(金) 08:55:43 ]: >>680
> Can't contact LDAP server

だと、TCPレベル、TLSレベルでの問題ですから、

> DN には cn=Manager とか Manager も試しましたが同じ結果でした。

は関係ないです。(ここが問題なら別のエラーになる)

etherealで調べてみては? etherealならある程度TLSも追えますから。
682 名前：674 mailto:sage [2005/08/27(土) 04:25:34 ]: ちょっと前に質問させていただいてからじたばたしていたのですが、
openldapのschema ディレクトリに勝手なファイルを置いたり、
そいつをslapd.confでincludeしてやったりすると、「問われているものへの答え」
が用意できるポイ感じを何となく把握しつつあります。
thunderbirdのアドレス帳(LDAPサーバが参照できます)で全部の欄に返事を
返せるように細工しようとしているんですが、

Aug 27 04:07:45 gw slapd[7326]: conn=1 op=1 SRCH attr=modifytimestamp
xmozillausehtmlmail description notes custom4 custom3 custom2 custom1
birthyear homeurl workurl nscpaimscreenname countryname company o
departmentnumber department orgunit ou title countryname zip postalcode
region st locality l streetaddress postofficebox carphone cellphone mobile
pagerphone pager facsimiletelephonenumber fax homephone
telephonenumber xmozillasecondemail mail xmozillanickname displayname
commonname cn surname sn givenname

てのをよく見ていただくと、countrynameてのが２つあります。
アドレス帳での項目としては、勤務先住所としての国名と自宅の国名と２つ
あるにはあるんですが、同じ属性名で問いかけるというのはやっぱこれは
thunderbird の不具合ですか？
それとも「順番」って概念があるのかな？
683 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/27(土) 07:16:43 ]: LDAPのobjectの属性空間はフラットです。

ちなみにthunderbirdのアドレス帳には、
勤務先/自宅のスイッチがありませんか? (つまり排他的)
684 名前：674 mailto:sage [2005/08/27(土) 23:39:12 ]: ちなみに、thunderbirdのアドレス帳には、
勤務先/自宅のスイッチはありません。
只で手に入るので、よければご自分でご確認くださいw
685 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/28(日) 05:28:00 ]: お前もソースくらい読め。

nsAbLDAPProperties.cppでcountrynameが二回出ているからだろ?
bStoreLocAsHomeは未だ実装途中らしいし、
そもそもHome関係は今だPropertyすら定義されてないな。
homeurl, homephoneなどを除いて。
686 名前：674 mailto:sage [2005/08/31(水) 00:19:45 ]: >>685
ほー　そうでござったかw
ありがトン
687 名前：名無しさん＠お腹いっぱい。 [2005/09/13(火) 00:36:52 ]: スレ違いだったらご容赦ください。
（PHP4でLDAPで情報を取ってくるプログラムなのですが）
階層は、
DC--root
|--CN=Admin
|--OU=Fruits
|----+-CN=orange
|----+-CN=apple
|----+-CN=banana
|--OU=Animal
|----+-CN=cat
|----+-CN=dog
|----+-CN=bird
このようになっています。

まず、LDAP接続は一応うまくいっています。（$dsはコネクトID）
ldap_bind($ds, "CN=Admin,DC=root,DC=local", $password)

次に検索です。
$dn = "OU=Fruits,DC=root,DC=local";
$filter = "(CN=*)";
$sr=ldap_search($ds, $dn, $filter);
これだと、リストで「orange,apple,banana」が取れます。問題ありません。

しかし、
$dn = "DC=root,DC=local";
$filter = "(OU=*)";
$sr=ldap_search($ds, $dn, $filter);
これだと「 Can't contact LDAP server」というようなエラーになってしまいます。
期待するリストは「Fruits,Animal」です。
何が原因かわかりません。DC直下は検索できないのでしょうか？ユーザの権限のせいでしょうか？
長くなってしまい恐縮ですがアドバイス頂けたら幸いです。
688 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/13(火) 01:17:17 ]: >>687
> これだと「 Can't contact LDAP server」というようなエラーになってしまいます。

「というような」じゃなくて、ldap_error()の返す文字列を正確に。
689 名前：名無しさん＠お腹いっぱい。 [2005/09/13(火) 01:36:04 ]: 202.184.38.107
690 名前：687 [2005/09/13(火) 18:02:01 ]: LDAP-Errno: 81
LDAP-Error: Can't contact LDAP server

こんな感じです。
691 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/13(火) 18:47:59 ]: LDAPサーバ側のログは見た？
できればログレベルを上げて
692 名前：名無しさん＠お腹いっぱい。 [2005/09/13(火) 21:20:57 ]: そんなのあるんですか。知りませんでした。
Windows Server2003です。
確かにあってもおかしくないですね。調べてみます。
693 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/14(水) 00:51:35 ]: >>690
「というような」じゃなくて、そのままだったわけか。

このエラーが出る時は、bindまでいっていません。
SSL handshakeも含めた接続の失敗。
もちろんまだ検索もしてないので、

> DC直下は検索できないのでしょうか？ユーザの権限のせいでしょうか？

ではありません。
サーバのログ観ても分からなければ、etherealでpacket captureすることをお勧めします。
694 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/14(水) 00:56:18 ]: そういやPHP4動いているマシンでldapsearchで試してみなよ。
695 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/14(水) 00:57:23 ]: Windowsなら板違いじゃね？
696 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/14(水) 01:26:05 ]: キニシナイ（AA略
697 名前：名無しさん＠お腹いっぱい。 [2005/09/16(金) 08:09:44 ]: PHPのLDAP関数では、Windows認証ってできますか？
DNを指定するのではなく…。
698 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/16(金) 09:50:26 ]: Windows認証って何やねん! (w
699 名前：名無しさん＠お腹いっぱい。 [2005/09/16(金) 10:17:35 ]: www.atmarkit.co.jp/fdotnet/aspnet/aspnet18/aspnet18_01.html
700 名前：名無しさん＠お腹いっぱい。 [2005/09/16(金) 10:57:19 ]: LDAP って「えるだっぷ」ってよむ？「えるでぃーえーぴぃ」？
701 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/16(金) 14:29:48 ]: えるだっぷでDNをしていしないってなんだよ
すれちがいいたちがいだろ
702 名前：名無しさん＠お腹いっぱい。 [2005/09/16(金) 23:14:32 ]: レベルの低い人は来ないでください
703 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/16(金) 23:19:55 ]: >>699
このスレで>>698の反応は正しい。
LDAP、左端の　|　にすら引っかからん。

www.microsoft.com/JAPAN/developer/library/jpiis/core/iiabasc.htm#challenge
704 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/17(土) 02:52:15 ]: >>702
ここはゆにっくす板のえるだっぷスレ(w
705 名前：名無しさん＠お腹いっぱい。 [2005/09/22(木) 20:04:15 ]: Ｏｐｅｎｌｄａｐで相互証明証明書使って暗号通信する
サンプルサイトとかないのかな
706 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/23(金) 09:11:34 ]: www.openldap.org/pub/ksoper/OpenLDAP_TLS_howto.html
707 名前：名無しさん＠お腹いっぱい。 [2005/09/24(土) 21:01:57 ]: すみません。

master :
replogfile /usr/local/openldap/var/slapd.replog
replica host=rep.test.net:389
binddn="cn=Replicator, ou=People, dc=somedomain, dc=net"
bindmethod=simple credentials=xxxxxx

slave :
updatedn "cn=Replicator, ou=People, dc=somedomain, dc=net"
updateref ldap://master.test.net

と設定して、
slurpd -f slapd.conf -d -1
として、起動したところ、うまくいきません。

Replica rep.test.net:389, skip repl record for xxxxxx (not mine)

原因は、slapd.replog にreplica:行が書き込まれていないことがわかりました。
replica:行を手で書いて、slurpdを起動するとうまくいきました。

どうすればreplica:行が書き込まれるのかお分かりの方お教え願います。

openldap-2.0.25です。
708 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/30(金) 07:02:26 ]: sambaのパスワードとsshログイン用のパスワードを
同じものを使うにはsmbldap-passwdを使うと思うのですが
Windowsクライアントから簡単にできる方法はありますか？
709 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/30(金) 13:07:31 ]: > Windowsクライアントから
PuttyやTeraTermでsshログインしてsmb.confとOpenLDAPの設定をする。
710 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/12(水) 01:51:37 ]: openldap で、コーユーことが出来るんじゃないかと思うんですが、
アホな上に知らんことが多すぎて苦戦中です。
「それ無理」か「ちゃんとやれば出来る」か、どっちか知ってる人
教えてくだされ。

【基本】
メールクライアントで使うアドレス帳サーバを作る。
但し、アドレス帳サーバを利用可能なパスワード（とID）ってものがある。
アドレス帳サーバの利用者は自分のパスワードをバラしたら殺されるという
ルールがあってこのルールは成立していると見なしてよい。

【だいたいの感じ】
LDAP参照できる大概のメールクライアントは、LDAPサーバの指定を
する欄に「バインド識別名」とかいうのがあるんで、こいつがIDに相当
すると思われる。
手元のサンダーバードで試した限りだと、バインド識別名を指定しておくと
確かにパスワードを聞いてくる。

【ここら辺が具合悪い】
アドレスサーバが提供するデータ（メルアドとか）は、
ou=data,dc=hoge みたいなところに格納して、
アドレスサーバが利用可能なユーザのマスタは
ou=user,dc=hoge みたいなところに格納して、
検索ベースは ou=data,dc=hoge
バインド識別子は cn=user01,ou=user,dc=hoge
とかにすりゃあええんじゃと思うんですが、、、
正解でしょうか？
そもそも無理な話なんだったら早々にあきらめたいとおもって。。。
711 名前：名無しさん＠お腹いっぱい。 [2005/10/13(木) 14:50:07 ]: inetOrgPerson、posixAccount オブジェクトクラスを使って
cn=user01,ou=user,dc=hoge
にメルアドとパスワードを持たせる。

で、どうよ？
712 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/13(木) 23:56:38 ]: いや、そういう話ではなくて、
「電話帳に載ってる人の集合」と「電話帳をみる権利のある人の集合」
を別々にしたいんです。
電話帳に載ってるけど自分では電話帳見れない人とか
電話帳に載ってて、自分もその電話帳見れる人とか
電話帳に自分は載ってないけど、電話帳みることは出来る人とか。。。
713 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 00:00:57 ]: 普通に出来るが、早々と諦めてはどうか?
714 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 01:29:23 ]: >712
おたく、コーユー仕事に向いてないと思うよ。
早々にあきらめたほがいいと思うよ。
715 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 01:56:39 ]: 別にお金貰ってやってる訳じゃないんですがw

色々やってみて、

ou=data,dc=hoge,dc=hoge
の下に cn=yamada とか cn=tanaka
とか作って、こいつらにはパスワードを持たせないで、

ou=user,dc=hoge,dc=hoge
の下に cn=taro とか cn=jiro
とか作って、こいつらにパスワード持たせると、
思ったよーになるんだけど、
やっぱ本当は slapd.conf に access <what> by <who> <access> を
さくっと定義したいんだけど。。。どーやってもうまく行かん。

かね貰ってやってる奴、５０万やるからここに答え書いてみろw
716 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 02:23:33 ]: >715
君ならやれるよ。
ガンバ！
717 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 02:24:16 ]: /etc/shadow に書いてあるような
$1$foo$bar
ってのを
{MD5}hogehoge
に変換する方法はありますか？
718 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 10:03:27 ]: {MD5}foobarで終了なんじゃないの?
719 名前：715 mailto:sage [2005/10/17(月) 12:10:53 ]: 　　　　　　　　　　　　　　　　　　　　 .∧､ｽﾁｬ　∧＿∧　　／￣￣￣￣￣￣￣￣￣￣
　　　　　　　　　　　　　　　　　　　／⌒ヽ＼　　（　ﾟ,_ゝﾟ）＜　お前はもう用なしだ
　　　　　　　　　　　　　　　　　　 |( ● )|　i＼／　　　　＼＼＿＿＿＿＿＿＿＿＿＿
　　　　　　　　　　　　　　　　　　＼＿ノ　^i | ./＼　　　/￣＼　
　　　　　　　　　　　　　　　　　　　　|＿|,-''iつl￣￣＼　/　ヽ　＼_
　　　　　∧＿∧　　　　　　　　　　[__|_|／〉￣￣￣￣￣￣　＼＿_）、
　　　／（´Д｀　）ヽ　　　　　　→　　　[ニニ〉＼　　　　　　　　　　　＼
　　ｍn´（＿（＿nｍ　　　　　　　　　　└―i'|＼||￣￣￣￣￣￣￣||￣
　￣￣￣ /＼　￣￣　　　　　　　　　　　　　||　 ||￣￣￣￣￣￣￣||
／￣￣￣　　￣￣￣￣￣￣＼　　　　　　　　 .||　　　　　　　　　　.||
|　　○○お願いします　　　　 |　　　　　　　　　　　　××後

　　　　　Before　　　　　　　　　　　　　　　　　After
720 名前：715(ほんもの) mailto:sage [2005/10/17(月) 19:56:09 ]: ttp://sapiens.wustl.edu/~sysmain/info/openldap/openldap_configure_acl.html

読んだらわかった。さくっとできたYO!
これで５０万は高いなw　５００円くらいか？
721 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/17(月) 19:59:47 ]: 715は sapiens.wustl.edu/~sysmain に50万支払うように。
722 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/17(月) 23:29:53 ]: >715
LDAPスキルあげる前に、ヒューマンスキルあげるのが先のようだなｗ

いや、マジで
723 名前：名無しさん＠お腹いっぱい。 [2005/10/18(火) 01:20:50 ]: とりあえず、

$ id test
uid=18000(test) gid=18000(test) groups=18000(test)

まで、できた、眠い、寝る
724 名前：名無しさん＠お腹いっぱい。 [2005/11/10(木) 00:48:25 ]: どうもです。
openldapやredhat directory serverには、active directoryの「権限委譲」みたいな機能ってあるのでしょうか？
たとえばある特定のouはそのouに所属するユーザーアカウントで追加も削除もできるとか、
そういう意味での「管理負荷の分散」が可能でしょうか？
725 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/10(木) 01:17:51 ]: >>724
どのDNによるアクセスにも、(つまりどのDNでbindしていても)
他の全てのDNに対する権限を設定できます。
非常に自由度が高いです。

www.redhat.com/docs/manuals/dir-server/ag/7.1/acl.html#997355

> ある特定のouは、

というのは以下の意味でしょうか?
uid=*,ou=People,dc=sub,dc=sample,dc=com という形でのワイルドカード指定が可能です。
主体の方(userdn=)も客体の方(target=)もです。

ちなみにOpenLDAPより、iPlanet起源のRed Hat～がお勧めです。
Fedora～ってのは無保証版なんでしょうかね?
directory.fedora.redhat.com/wiki/Main_Page
726 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/10(木) 01:20:19 ]: >>725
> 非常に自由度が高いです。

ただアクセスコントロールモデルなので、
one-time rightのようなタイプの委譲は出来ませんが。
(Machのportにあるような)
727 名前：名無しさん＠お腹いっぱい。 [2005/11/10(木) 23:58:33 ]: ありがとうございます。

>>725

> > ある特定のouは、
>
> というのは以下の意味でしょうか?
> uid=*,ou=People,dc=sub,dc=sample,dc=com という形でのワイルドカード指定が可能です。
> 主体の方(userdn=)も客体の方(target=)もです。
とすると、そのouの「管理者」なるものを任命して、
そのouに関する管理は押し付けることもできてしまいます？
そうすると上級の管理者にとって負担が減るので、とても助かるんです。

> ちなみにOpenLDAPより、iPlanet起源のRed Hat～がお勧めです。
> Fedora～ってのは無保証版なんでしょうかね?
> directory.fedora.redhat.com/wiki/Main_Page
これは実績あるのでしょうか？
ま、iPlanetという出自がすでに実績なのかもしれませんが、
SunJavaとはどういう関係なんでしょうね...
728 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/11(金) 07:03:36 ]: >>727
そのための階層構造、アクセスコントロールです。> 分散管理

Sun Javaは、iPlanet Directory Server→Sun ～→Sun Java ～という名前の変遷です。
iPlanetのLDAPサーバの分岐の一つです。Java ～のLinux版もあります。
www.sun.com/software/products/directory_srvr_ee/index.xml

それぞれのドキュメントを眺めて貰うと分かりますが、iPlanet系は殆んど同じです。
Red HatのはNetscape Dir～として実績のあるものです。
729 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/11(金) 07:08:52 ]: ちなみにアクセスコントロールしたい場合は、
アクセスコントロールルールの設定方法をよく検討して導入した方がいいです。
ルールを直接editするのが平気な人はなんでもいいと思うけれど、
GUIでやりたい人はちゃんとお金を出した製品を選びましょう。

私はLDIF編集/生成, Net::LDAP叩き派なのでその辺の製品情報は分かりません。
# iPlanetではルールを記述したaci属性を対象エントリに付ける。
730 名前：724/727 [2005/11/11(金) 07:51:18 ]: >>728
>>729
なるほどです。
参考にさせていただきます。
ありがとうございます。
731 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/17(木) 08:46:05 ]: Sun ONE Directory Server 5.1のSP4って、
SP3と違って、patch形式になってないなあ。
/usr/iplanet/ds5を指定すると、上書きだよ…
IPLT*なpackageの立場は一体?
732 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/18(金) 10:42:24 ]: docs.sun.comのマニュアルに
「LDAPサーバーをそのクライアントとして使用することはできない」
って書いてあるのですが、これってSolarisだけじゃなくて
一般的にそうなのでしょうか。
733 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/18(金) 10:48:35 ]: LDAPのクライアントにはなれるよ。
NSSを設定すると、鶏と卵問題が出てきて駄目。
ただし、マスターサーバ以外はマスタサーバを利用すれば問題なし。
一般的ではない。
734 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/18(金) 12:50:09 ]: NIS+ もそうだったね。移行しようとがんばったのずいぶん昔だなぁ...
735 名前：732 mailto:sage [2005/11/18(金) 13:29:48 ]: >>733
NSSでLDAPを使ってユーザとグループを一括管理しようと
思っていたのだけど、起動に必要なものはすべてfilesに
書いておいて、エンドユーザのユーザとグループだけ
LDAPに入れるのでもだめ?
736 名前：733 mailto:sage [2005/11/18(金) 15:34:36 ]: /etc/rc2.d/S71ldap.client
/etc/rc2.d/S72directory
なんで、この辺もいじる必要がありますよ。
S71, S72のrcの依存関係に注意する必要があります。

patchあてたり、色々面倒なんで、自分のところはLDAPサーバは専用に。
737 名前：732 mailto:sage [2005/11/18(金) 16:14:15 ]: >>736
thx。
結構いろいろ絡んでくるんですね。
専用LDAPサーバにします。

# 実はSolarisじゃなくてNetBSDなのです。
738 名前：733 mailto:sage [2005/11/19(土) 01:25:04 ]: >>737
え!? じゃあOpenLDAPなの?
NetBSDはまともにいじったことないけど楽勝だと思うよ。
iPlanetやSun Javaでも、Linuxだと問題ないし。

Solarisのクライアントサイドでのポリシーの問題だから。
739 名前：732 mailto:sage [2005/11/19(土) 02:24:47 ]: >>738
情報小出しでごめんなさい。

NetBSD + OpenLDAP + nss_ldap + pam_ldapなのです。

でもやっぱり専用LDAPサーバにします。
740 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/19(土) 08:52:49 ]: OpenLDAP、あんまり安定してないから気をつけてね。
NetBSDじゃ他に選択肢ないだろうから仕方ないけど。
データを毎日LDIFでバックアップ取っておいた方がいい。
741 名前：732 mailto:sage [2005/11/19(土) 11:21:16 ]: >>740 了解。
742 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/19(土) 11:26:38 ]: 運用するなら>>551前後を読んどいた方がいいと思う。
743 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/19(土) 11:27:26 ]: LinuxエミュレータでiPlanetやRed Hatって選択肢はないのかね? > NetBSD
744 名前：732 mailto:sage [2005/11/19(土) 17:54:01 ]: 「実はユーザが自分と妻の2人だけ」

とかいまさら言えない。
745 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/19(土) 20:57:28 ]: ああ、Enterprise用途ならば(ry
746 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/20(日) 05:39:08 ]: Tochan and Kachan Enterprise
747 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/24(木) 21:42:43 ]: 現在LDAPサーバ構築に向けて現在勉強中です。
まだ完全に理解し切れていない点が有るのですが、一つ質問させて下さい。

サーバAとサーバBが有って、両方とも同じLDAPサーバを参照し、
objectClass: posixAccount を使い、認証を行っているとします。
その中にhogeとfugaのuid（アカウント）があるとします。

この時、サーバAにはhogeとfuga。サーバBにはhogeだけを認証させたい…
そんな場合、何処でアクセス制限（認証制限）をかける事になるのでしょうか？

まさかサーバ毎に
access to dn.base="uid=hoge,ou=Users,dc=exsample,dc=com"
by peername="192.168.1.1" read
by peername="192.168.1.2" read
access to dn.base="uid=fuga,ou=Users,dc=exsample,dc=com"
by peername="192.168.1.1" read
のように一つ一つ記述して行く必要が有るのでしょうか？

そもそも考え方が間違っている場合は参考になるサイトなどを
教えていただければ幸いです。よろしくお願い致します。
748 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/25(金) 11:49:42 ]: かなり異常な要求だから、列挙するしかないでしょ?

セキュリティ上、サーバ側で拒否する必要はなくて、
クライアント側で制限できればいいのなら、
NSS/PAMのldap.confでfilter書けばいいけども。
749 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/25(金) 12:00:31 ]: filterにかけるための属性を定義して、
サーバ側でアクセスコントロールのルールに使えばいい。

というか、↓はちゃんと読んでいるの?
www.openldap.org/doc/admin23/slapdconf2.html#Access%20Control
750 名前：ななし mailto:sage [2005/11/26(土) 06:13:23 ]: >>747
hostAttribute書いてサーバ側でフィルタするだけでも
良い気がするけど。
751 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/28(月) 11:10:18 ]: >>748-750
レスありがとうございました。
三つをそれぞれ詳しく調べてどれが最善かしっかりと考えてみようと思います。

また詰まった際はご教授いただけると幸いです。
752 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/28(月) 11:23:16 ]: >751
結果を発表していただけると幸いです。
753 名前：名無しさん＠お腹いっぱい。 [2005/12/01(木) 16:48:55 ]: dn:< file:///tmp/xxx
といったURIスキームによる値を持つ属性を持ったエントリを追加しようとすると,
ldapmodify: invalid format (line x) entry: "......"
と言われてしまいます.

代わりに
dn: test
という値を持たせると問題ありませんでした.
また,別のマシンに同様のフォーマットによるエントリを追加したところ,
これも,問題ありませんでした.

もちろん /tmp/xxx は存在しています.
検索エンジンに「file:///」と入力しても「file」としてしか扱ってもらえず,
ヒントの探しようがなくて困っています.
何か考えられる原因はありますでしょうか.
よろしくお願いいたします.
754 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/01(木) 16:56:18 ]: どこのldapmodifyなのか、バージョンくらい書けばあ?
755 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/02(金) 01:11:02 ]: directory.fedora.redhat.com/wiki/FDS10Announcement
756 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/02(金) 11:41:29 ]: 失礼しました.
OpenLDAP 2.3.11 のldapmodifyです.
757 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/02(金) 22:33:22 ]: OpenLDAPね。

>>753
dnは駄目。
attr: <file://パス名というformatで。空白は厳密に。
758 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/03(土) 13:14:46 ]: ネットワークセキュリティ Expert 3って雑誌にLDAPの話題がたくさん載ってた。
どこらへんがセキュリティなのかわからんけど。
759 名前：753 mailto:sage [2005/12/07(水) 10:48:05 ]: レス遅れまして,申し訳ありません.

>>757
レスありがとうございます.
formatをそのようにしたところ,ちゃんと読み込んでくれました.
手持ちの文献には, "dc:< file:///" と書かれており,
また,別のPCでは,そのformatで読み込んでくれたので,
全く気づきませんでした.
同じOpenLDAPなのに,違う動作をしたのが解せないのですが,
動いたからいいや,という感じです.

本当にありがとうございました.

あと dn: ではなく dc: でした.
760 名前：753 mailto:sage [2005/12/07(水) 11:33:25 ]: attr: <file://path にすると,
"<file://path" という文字列をbase64エンコーディングしたものが
値になってしまうんですけど……
761 名前：753 mailto:sage [2005/12/08(木) 16:17:05 ]: 追加です.
attr:< file:///tmp/xxx
は,前述の通りで,未だエラーが返ってきます.

しかし, (current is /<dir>)
attr:< file://./../tmp/xxx
とすると,読み込んでくれました.

ちなみに
attr:< file://../tmp/xxx
では読み込んでくれませんでした.
762 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/10(土) 00:50:37 ]: >>758
Radiusやら、PKIやらに応用すれば、ネットワークセキュリティ話になるな。
さらにそれを応用した話にも繋がるし。
それを前提にした、LDAP話を持ち出しても、別におかしくはあるまい。

このスレの主流となるOpenLDAPとは、関連が薄そうなﾖｶｰﾝ
763 名前：758 [2005/12/10(土) 21:38:35 ]: >>762
RadiusやらPKIの話はないけど、OpenLDAPでUNIXアカウントとメールアカウント(qmail-ldap)
とOpenSSHの公開鍵とautofsのマップ定義管理してたよ。というか買った。
最後までLDIFを1回も書かないところが良かった。他にもSambaとかApacheとかとも
連携してるって書いたあったのでその話も気になった。
あと、証明書関連ってことで自己認証局の作り方も載っててちょっと得した気分。

でも、他の記事に比べると浮きまくりｗ。SSLやTLSを使ってるから有りなのか？
そんなわけでこのスレと一応関連するんでないかな。見かけたら見てみると良いよ。
764 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/13(火) 12:07:04 ]: 先日の IW でも Security Day で
LDAP のセミナーがあったね。
internetweek.jp/program/shosai.asp?progid=T24

最近は NEC が samba 絡みでなんかやってるけど、
流行ってるんだろうかなあ？
765 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/13(火) 12:40:41 ]: NECは独自のLDAP製品持って、
マルチプラットフォーム連携やっている。

東大もMac OS Xに、NECのファイルサーバ、LDAPサーバじゃなかったかな。
前はWindows TSEも動かしていたし。
766 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/14(水) 04:40:26 ]: ちょうど同じようなネタが @IT に
www.atmarkit.co.jp/flinux/rensai/apache2_06/apache06a.html

肝心の LDAP の設定が殆どなんも書いてないや…
767 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/14(水) 07:30:41 ]: > ここでは本文に先行してLDAPのインストールまで行います。ただし、今回はイ
> ンストールを行うだけであり、設定については次回に解説します。
768 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/22(木) 22:07:23 ]: LDAPでLinuxマシンのユーザ認証を行わせる所まで出来ました。
次にldapに登録されているユーザでrootになれるユーザ（su 出来るユーザ）
を限定しようと考えているのですが、pamのwheelを使う方法で
上手く行きません。何か良いアドバイスを頂けませんでしょうか？

/etc/pam.d/su
+auth required /lib/security/pam_wheel.so group=wheel

/etc/login.defs
+SU_WHEEL_ONLY yes

/etc/group
+wheel:x:10:root,user1

変更点は以上の通りです。
769 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/23(金) 08:39:45 ]: sudoにしろ。
それからwheelグループをLDAP上に置かないならスレ違い。
770 名前：名無しさん＠お腹いっぱい。 [2005/12/29(木) 01:40:01 ]: WindowsとLinuxのクライアントが混在した環境でログイン認証を統一したいと
思っているんですが、LDAPで可能でしょうか？　現在はWinではAcriveDirectory、
Linuxは各マシンごとにpasswdでやってます。

ネット上で探したところDCをWindowsでなくSambaでつくってやればできそうなのは
なんとなくわかりましたが、WindowsのDCでやらせるのは無理でしょうか？
771 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/29(木) 01:53:20 ]: 無理じゃないが面倒くさい。たぶんおまえの手にはおえない。
772 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/29(木) 15:23:19 ]: ttp://www.google.co.jp/search?q=Active/Directory+linux

ググったらめちゃひっかかるやん。がんばれ
773 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/29(木) 15:57:56 ]: winbindでがんばる
774 名前：名無しさん＠お腹いっぱい。 [2006/01/01(日) 00:19:50 ]: くだ質っぽいが質問させてください。
環境はFreeBSD6.0、portsからopenldap-sasl-server-2.3.11を入れました
いつの間にかslapdの起動にやたらと時間がかかるようになってしまいました
デバッグ情報を表示させてみたら
ldap_create
ldap_url_parse_ext(ldap://127.0.0.1)
ldap_create
ldap_url_parse_ext(ldap://127.0.0.1)
ldap_simple_bind
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP 127.0.0.1:389
ldap_new_socket: 9
ldap_prepare_socket: 9
ldap_connect_to_host: Trying 127.0.0.1:389
ldap_connect_timeout: fd: 9 tm: 30 async: 0
ldap_ndelay_on: 9
ldap_connect_timeout: timed out
ldap_close_socket: 9
ldap_unbind
とタイムアウトしてるようなんですが
何故タイムアウトしているのかよくわかりません
775 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/03(火) 19:49:59 ]: $ telnet 127.0.0.1 389
776 名前：774 mailto:sage [2006/01/09(月) 01:43:08 ]: nsswitch.confからldapを消したらタイムアウトしなくなった
slapdがlistenする前にnssを見に行ってるのだろうか
でも設定をいじった記憶も無いしなにがなんだか
777 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/09(月) 10:13:44 ]: hosts: files ldap

として、filesの方に最低限のhost記述がないから、
slapdが立ち上げ時に必要としているホスト名解決ができないんでしょ。

鶏卵問題ですな。(passwd, group, shadowかもしれませんが)
778 名前：初心者 [2006/01/16(月) 20:25:02 ]: NISからOpenLDAPに移行しようとしているのですが、
現在、UNIXにあるデータをLDAPと連携させるには
何を使えばいいですか？
ちなみにFreeBSD5.3を使っています。

やはり、nss_ldapとpam_ldapでしょうか？
779 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/16(月) 20:41:55 ]: >>778
> NISからOpenLDAPに移行しようとしているのですが、

は

> やはり、nss_ldapとpam_ldapでしょうか？

でいいとして、

> 現在、UNIXにあるデータをLDAPと連携させるには

というのは何? 何のデータ?
780 名前：初心者 mailto:sage [2006/01/16(月) 21:23:58 ]: レスありがとうございます。
データはUNIXユーザの情報です。
認証がかかったときに
そこに見に行くようにしたいのですが。
781 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/16(月) 21:29:08 ]: NISとの連携なのか、NISからの移行なのかはっきりして。

LDAPだけでいいなら、つまり完全移行なら、
NISからテキストデータベースを持ってきて、
migrationtoolでLDAPサーバに登録して。
782 名前：名無しさん＠お腹いっぱい。 [2006/01/17(火) 00:06:35 ]: filterの書式で、

(|(attr=a*)(attr=b*)(attr=c*)...(attr=z*)(attr=A*)...(attr=Z*))

このfilterはもっと短くできますか？
短くしたfilterを教えてください。
783 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 00:59:19 ]: extensibleMatchに使える特殊なマッチルールを持っているサーバで、
attr型のSYNTAXがそのマッチでない限り、駄目です。

attrの定義でSYNTAX, EQUALITY, SUBSTRを調べてください。

まあ十中八九駄目ですが。
784 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 15:19:18 ]: 初カキコですいません。
ちょっと質問です。
FreeBSD5.3RELESEでOpenLDAPを使って
RADIUS認証をやりたいんですが、
RADIUS鯖でユーザ認証させても

radtest ... ... localhost 0 ...
とテストコマンドを使っても

access reject packet from host 127.0.0.1:1812

って出るですが、
いろんなサイトの設定を試してもできません。
LDAPにRADIUS用の特殊なオブジェクトクラスとかあるんでしょうか？
何か原因があればぜひ教えていただきたいです。
ちなみに、
OpenLDAP-sasl-server2.2.17、FreeRADIUS1.0.1を使用しています。
785 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 15:42:04 ]: とりあえずな、freeradiusのusersファイルにローカルユーザ登録して試しな。

で、次にFreeRADIUSのLDAP RLMモジュールの設定な。

それから"access reject" packetってのは、
radiusプロトコルでの応答パケットの種類な。
アクセス拒否、つまり認証失敗ってこった。
786 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 16:01:47 ]: レスありがとうございます。
ローカルユーザは認証成功しました。

＞次にFreeRADIUSのLDAP RLMモジュールの設定な
についてですが、それはradius.confにあるmodulesの
ところのやつですか？
787 名前：784 mailto:sage [2006/01/17(火) 17:02:23 ]: すいません、違いますね。
調べてわかりました。

しかし、そのLDAP RLMモジュールの設定をどこですればいいのか
がわからないです。
788 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 17:07:08 ]: そう。全部話していると切りがないから、

${FREERADIUS}/doc/rlm_ldap
${FREERADIUS}/doc/ldap_howto.txt

読んで分からないところを聞いて。
789 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 17:07:59 ]: >>787
radius"d".confだって。
${FREERADIUS}/doc/rlm_ldapをちゃんと読め。
790 名前：784 mailto:sage [2006/01/17(火) 19:27:41 ]: >>789
すいません、radiusd.confでした。

>>788
どのファイルも英語でわからないとこだらけですが、
rlm_ldapとradiusd.confの設定内容で
例えば、basednやaccess_attrなんかは
同じ内容にしなきゃだめですよね？

portをとりあえず636から389にしたんですが
結局だめでした。
791 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 19:33:28 ]: rlm_ldapが設定ファイルだと思っている?
もう一回良く読み直して。翻訳サイトで翻訳できるでしょ。

英語ドキュメント駄目そうなら、明日朝一で、
LDAP -設定・管理・プログラミング
www.amazon.co.jp/exec/obidos/ASIN/4274065502/
を購入。
792 名前：784 mailto:sage [2006/01/17(火) 22:48:43 ]: またしても勘違いしてました・・・。

書いてあることはわかるんですが、
実際どうすればいいかがわかんないですね・・・＾＾；

default_profileには、何を指定してやればいいんですか？
radiusprofileっていうオブジェクトクラスを使ってるエントリでは
ないんですか？？
793 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/18(水) 01:34:37 ]: default_profileがLDAP上に必要なの?
usersに書くんじゃダメなの?
794 名前：784 mailto:sage [2006/01/18(水) 16:55:49 ]: usersに書くんですか？

むぅ・・・よくわからんですね。

一応昨日はいろいろ設定して、認証通ったんですが
今日PC起動したらまた認証失敗するようになりましたorz

本買ったほうがいいですかね・・・。
795 名前：名無しさん＠お腹いっぱい。 [2006/02/02(木) 04:14:53 ]: FreeBSDでLDAPやってるのですが、
nss_ldapで作られるはずの/lib/libnss_ldap.soが見当たりません。
nss_ldap内にあるnss_ldap.soとはまた違うものですよね？
796 名前：795 mailto:sage [2006/02/02(木) 04:15:56 ]: sage
797 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/02(木) 08:57:02 ]: >>795
> nss_ldapで作られるはずの
> nss_ldap内にある

意味が分かりません。
798 名前：795 mailto:sage [2006/02/02(木) 19:35:36 ]: ＞797
説明がへたで申し訳ないです。
nss_ldapをコンパイルすると、
libnss_ldap.soが作られるようなのですが。
それに値するものがほかにあるかと思いまして。
799 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/02(木) 20:03:51 ]: 謝る必要はないです(w

FreeBSDは新しくないと、name service switchがよろしくないです。
例えば、5.xの最新など。4は利用出来ません。5.1辺りも怪しい。
www.freebsd.org/releases/5.1R/todo.html ←こういう段階。

6はどうか知りませんが(調べてません)、5.xは{nss,pam}_ldapは入ってません。

www.abk.nu/~nabe/document/openldap.htm
あたりを参考にしてはどうですか?

FreeBSDはこの辺が遅れていると思います。
CVS先端のgetaddrinfoもnssに基づいてないし。
800 名前：795 mailto:sage [2006/02/02(木) 21:30:38 ]: >>799
そうなのですか・・
この間、６を入れたばかりだったんです。
新しい方がいいってわけでもないのですね。
もうちょっと、勉強してみます。
ありがとうございました☆
801 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/02(木) 21:53:47 ]: getaddrinfoについてはCVS先端「でも」nssじゃないという話をしたつもりで、
新しい「方が」ダメだと言ったつもりはない。
get*by*()系は5.xからnssになっているはずです。
FreeBSDの詳しいことはFreeBSDスレできいてねん。
802 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/03(金) 09:51:01 ]: LinuxサーバをLDAP対応にしたんだけど、useraddでローカルに
アカウントを追加しないので、全てのサーバの/home配下に一から
それぞれのユーザのホームディレクトリを作らないといけない…。

凄く怠いんだけど、何か対処法とか良い案有りますか？

ログイン時に/home配下にホームディレクトリが有るかどうかを
確認して、無ければ作る…と言う処理をさせるのが一番無難？
803 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/03(金) 10:32:56 ]: >>802
> useraddでローカルにアカウントを追加しないので、全てのサーバの/home配下
> に一からそれぞれのユーザのホームディレクトリを作らないといけない…。

よくわからん。
ホームは、各ホストでそれぞれ別のローカルディスク上に作りたい、ってこと?
pam_mkhomedirってのがあるから、各ホストの/etc/pam.dのloginやsshに書いて。
# つーかこれLDAP関係ないじゃん。

NFSでホームを共有するなら、LDAPにautomountのtable持ちなよ。
804 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/03(金) 11:13:03 ]: >>803
レスありがとう。
そうか…普通それぞれのユーザのホームディレクトリって
NFSとかで共有するのが普通なんだね…。

俺はご指摘の通りそれぞれのローカルディスクにホームディレクトリ
を作りたいとって事でした。pam_mkhomedirで対処します。

NFS導入も後々考えてみます。
確かにLDAPと関係ないね…。なのに親切にありがとう。
805 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/04(土) 15:37:18 ]: Postfixでバーチャルドメイン、アカウントと認証はLDAPで管理したいのですが、どのようにやればよいのでしょうか？
806 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/04(土) 15:49:28 ]: www.kobitosan.net/postfix/trans-2.1/jhtml/LDAP_README.html
www.kobitosan.net/postfix/ML/arc.3/msg00555.html

認証ってのはどういうことですか? SMTP AUTHですか?
807 名前：名無しさん＠お腹いっぱい。 [2006/03/06(月) 04:45:04 ]: /etc/openldap/slapd.conf
と
/etc/openldap/lapd.conf
の違いを教えてください
808 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/06(月) 06:14:18 ]: slapd.conf: サーバの設定
ldap.conf: クライアントの設定
lapd.conf: しらね
809 名前：名無しさん＠お腹いっぱい。 [2006/03/18(土) 13:55:32 ]: samba と ldap を連携させる時って、 ldap に入っている
あらゆるアカウントが samba が動いているマシンでシステム認証できないといけないの？
810 名前：809 mailto:sage [2006/03/18(土) 20:05:37 ]: >>809 のようなことはないようです。では。
811 名前：名無しさん＠お腹いっぱい。 [2006/03/24(金) 12:54:44 ]: LDAPをユーザアカウント管理に使うようにすると、
サーバ名があちこちの設定ファイル（~/.ldaprcも含む）に埋め込みになるから、
サーバ名変える事態が起きると死ねない？
NISだとカーネル内にドメイン名を持ってて、
ドメイン名から勝手にサーバ探してくれるけど、
LDAPでうまくサーバ探してくれる方法ってないだろうか？
812 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/24(金) 13:38:52 ]: >>811
どうやったらそういうことになるのか分からん。
以下ぐらいしか設定する箇所無いと思うんだけど…。

/etc/openldap/
/etc/ldap.conf
/etc/nsswitch.conf
/etc/pam.d/system-auth
/etc/libuser.conf
813 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/24(金) 14:11:21 ]: 原則的にはそうだけど、
メールのルーティングにLDAP見てたとか、courierで見てたとか、
apacheで見てたとか、
LDAPに情報を集積すればするほど、
サーバ名を書く例外的な設定ファイルが増えて、
サーバ名変わることなんとまずないし、
そのうち忘れられて、更新漏れ、引き継ぎ漏れが心配なのよ。
心配しすぎ？
814 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/24(金) 14:15:47 ]: DNSを変えて解決、という訳にはいかないのか…？
815 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/24(金) 15:07:00 ]: 組織改変とかがあるとDNS的にサーバ名が変わるわけで
816 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/24(金) 15:47:30 ]: openldapの基本的な設定や、データの入力の仕方など、初めての人にわかりやすく解説している
サイトを教えてください
817 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/24(金) 16:19:27 ]: 　　　　　　, イ)ィ　-─ ──- ､ﾐヽ
　　　　ノ／,．-‐'"´ ｀ヾj ii /　 Λ
　　　 ,ｲ／／ ^ヽj(二ﾌ'"´￣｀ヾ､ﾉｲ{
　　ノ/,／ミ三ﾆｦ´　　　　　　　ﾞ､ﾉi!
　　{V /ミ三二,ｲ　, 　／,　　 ,＼　 Yｿ
　　ﾚ'/三二彡ｲ　 .:ィこﾗ　 ;:こﾗ　j{
　　V;;;::. ;ｦヾ!V　　　ｰ '′　i ｰ '　ｿ
　　 Vﾆﾐ( 入　､　　　　r　　j　　,′
　　　ヾﾐ､｀ゝ　　｀ｰ--‐'ゞﾆ<‐-イ
　　　　　ヽ　ヽ　　　　 -''ﾆﾆ‐　 /
　　　　 |　　｀､　　　　 ⌒　 ,/
　　　　　|　　　＞┻━┻'r‐'´
　　　　　　ヽ＿　　　　 |
　　　　　　　　　ヽ＿＿」　　　

　　ググレカス [ Gugurecus ]
　　（ 2006 ～没年不明）
818 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/24(金) 18:32:32 ]: >>813
dnのドメイン名は、DNSのドメイン名と一致しなくてもいいから、
別にLDAPのdnはそのままでいいんじゃない？

あとはフルdn(dc=mydomain,dc=jp)をldap.confに書いておけば、
以下のように省略してldapsearchとかが出来るって知ってる？
ldapsearch -x -b cn=testuser

>>816
LDAPはそう簡単じゃないし、最近は分かりやすい解説書が出てるから、
解説書買って読むのがいいと思われ。
819 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/24(金) 22:42:28 ]: お前は次に「お薦めの解説書ってどれ？」と言う。
820 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/25(土) 01:36:12 ]: まあ最初はこれでしょ。

LDAP -設定・管理・プログラミング
www.amazon.co.jp/exec/obidos/ASIN/4274065502/
821 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/25(土) 01:46:42 ]: >>813
それぞれのサーバの振る舞いを理解して、適切なドキュメンテーションをしてください。
たとえばapacheのauth_ldapやpostfixも別個にサーバ記述できますしね。

>>811
ホストのドメイン名をNISのドメイン名に使うのはshell scriptのお仕事。
822 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/27(月) 10:45:14 ]: おそくなったがレスいろいろありがと。
基本は楽観と、ドキュメントしっかりやるという方向でなんとかしやす。
823 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/09(日) 22:25:51 ]: LDAPでTelnetでのLogonユーザ認証をさせたいのですが、この場合、
LDAP管理者の権限は必要になるのでしょうか？
Apacheでの認証の場合は下記URLに従うと管理者のID、パスワードは必要なかったので、
Telnetでも同様に認証できないかと思っています。
ttp://www.atmarkit.co.jp/flinux/rensai/apache2_07/apache07b.html
LDAPサーバの管理は別のところで、聞きにくいですがパスワードは一本化したいのです。
このような構成を構築した方、おられませんでしょうか？
824 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/09(日) 23:46:10 ]: いる
825 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/09(日) 23:48:00 ]: pam_ldapでtelnetの設定しろ
826 名前：823 mailto:sage [2006/04/10(月) 21:34:44 ]: とりあえずできました。
ldap.confにはHOST、BASEを設定で認証成功。
ただし、LDAP側にposixAccount関連のエントリが無いためローカルに
利用するユーザを作る必要がありました。
今回は、限定ユーザ用のTelnetサーバだったから良かったけど、
LDAP登録ユーザ内の不特定多数だと対応できない。
LDAP側にエントリない場合に、HomeDirectoryとかUID、GIDを
補完してやる方法はないですか？
827 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/10(月) 23:30:13 ]: >>826の状況は、
pamはOKだけど、nssで駄目ということだから、
ローカルユーザを作って回避したって事ね。nsswitch.confでfilesを入れて。

> LDAP側にエントリない場合に、HomeDirectoryとかUID、GIDを
> 補完してやる方法はないですか？

ちゃんとLDAP上に作れ。それが一番簡単。
他の方法は、結局はローカルユーザ作るのと同じだから、(二重管理という意味で)
LDAP上でちゃんとやる以外の方法を模索する意味はない。
828 名前：823 mailto:sage [2006/04/11(火) 23:46:00 ]: >>827
ldapの管理が親会社のWindowsの方を見てるところなんで、
ちゃんと作ってもらうのは難しいですよ。とほほ。
nss_map_attributeとかで何とかなりそうな雰囲気があるんですが。
829 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/12(水) 05:58:15 ]: >>828
> nss_map_attributeとかで何とかなりそうな雰囲気があるんですが。

ローカルユーザ作るより大変じゃん。
830 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/12(水) 22:39:40 ]: >>829
なんで？サーバ一台なら定義してしまえばpam_mkhomedirなんかで勝手に処理できるじゃん
831 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/13(木) 05:56:24 ]: >>830
元のLDAPサーバはいじれないのに(>>828)、
nss_map_attributeでどう解決するんですか?
832 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/15(土) 23:38:04 ]: >>831
代替となるような項目が定義されてると思ったんだろーな。
GIDなんかは固定的な値を使えればいいかもな。
．．．できるんだろーか？
833 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/16(日) 11:14:57 ]: そのmapする先の属性がないとな…
uidNumberなんか絶対にないし。
あったら、SunやAppleやNetwareが苦労してないって。
834 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/16(日) 15:02:48 ]: LDAPなら電話番号を使うなんてできんか？
そうか、無理か。
835 名前：名無しさん＠お腹いっぱい。 mailto:age [2006/04/29(土) 21:48:50 ]: Red Hat Directory Server(昔の Netscape Directory Server)みたいに
導入と管理が簡単ならいいんだけどね。
OpenLDAP 環境を構築するのが意外とメンドイ
836 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/30(日) 00:08:34 ]: つーか安定性も機能も足りないし。
837 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/30(日) 06:15:08 ]: Sun の Directory Server はどうよ？
838 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/30(日) 10:57:04 ]: Netscape→iPlanet系は全部まともでしょ。
OpenLDAPはきつい
839 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/30(日) 12:37:16 ]: Fedora Directory Serverもまともなのか？
840 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/30(日) 22:43:51 ]: Netscape ～ → Red Hat ～ → Fedora ～でいまやOpenSource。
841 名前：名無しさん＠お腹いっぱい。 [2006/05/05(金) 19:26:17 ]: 乙
842 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/10(水) 11:27:43 ]: OpenLDAPを１～２週間稼動していると、
勝手に異常終了して落ちてるんだけど。
エラーコードもでないからさっぱり。

>835-838
OpenLDAPって安定性ないのか？
843 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/10(水) 11:43:01 ]: オレの見てるとこは Samba の認証やらしてるけど落ちないよ。今 51days。
人数知れてるから負荷はかかってないけどね。
844 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/10(水) 11:57:54 ]: 俺んとこもsamba+Linuxのアカウント管理にOpenLDAP使ってるけど
特に問題ないなあ。3ヶ月ぐらい動いてる。
845 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/10(水) 17:31:56 ]: うちもsambaからsubversionなど、LDAPで認証できるもの
ぜんぶをOpenLDAPで運用してる。で、いまuptimeをみたら
236 daysって出た。半年以上。一度も落ちたことないよ。
846 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/10(水) 22:55:11 ]: OpenLDAPはおもいきり負荷をかけるとすぐコケるな。
あと、よくバックエンドのDBが壊れる。
847 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/10(水) 23:28:21 ]: BDB以外でも駄目ですか?
848 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/10(水) 23:47:06 ]: うちBDBをバックエンドにしててホントへこむくらいよく壊れる。
お勧めのバックエンドがあったら教えてくれー。
849 名前：846 mailto:sage [2006/05/11(木) 00:19:38 ]: >>847
まともに使い込んだのはBDBだけだから他は分からない。
あと、コケてたのはOSがLinuxだったせいかもしれぬ。
850 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/11(木) 00:38:25 ]: Linuxなら、SunかRed HatからNetscape直系のヤツ持ってきなよ。
FreeBSDとかなら、OpenLDAPでも仕方ないけど。
851 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/11(木) 08:08:06 ]: おーぷんそーすニナッタンジャナイノ?
852 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/11(木) 08:56:33 ]: まだportsにもないでしょ?
コンパイル成功するのかねえ
853 名前：842 mailto:sage [2006/05/11(木) 10:36:21 ]: >843-845
こちらは、クライアント、サーバともにSolaris9で、
smtp/popサーバのアカウント管理、認証として動いてます。
slapdのCPU使用率5%未満なんだけど、
スパムやら定期受信で常にアクセスはあります。
ずーっと何かしら負荷がかかってるから落ちるのか・・・。
ソース覗いて調査中。
あとメモリが、slapd起動中どんどん減っていくんだけど、これが原因か？。
この減り方だと１～２週間も持たないですけど。

>846-849
BDBはよく壊れますね。
LDAPデータ更新後、すぐ停止起動とかやると高確率で壊れます。
854 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/11(木) 11:14:13 ]: RHEL3でアカウント数10万人で１～２年運用してるけど、
１回もOpenLDAP落ちたり壊れたりしたことないよ。
855 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/11(木) 14:09:38 ]: 壊れるって言ってる奴はしょっちゅうフリーズするようなOS使ってるんだよ
856 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/11(木) 14:17:21 ]: 操作が良く分からなくっていい加減なコマンドたたいて
いじってたらおかしくなってしょっちゅうアボーンするように…
857 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/11(木) 18:00:45 ]: まとめ

＊OpenLDAP自体の信頼性はべつに低くない >854 >843-845
858 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/11(木) 18:27:08 ]: むしろ壊れると言っている人のバークレイDBのバージョンが気になるね。
859 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/11(木) 21:05:12 ]: >>853
メモリが減ってゆくのはUnix系OSとして正しいとゆーか普通の動作だが、
OpenLDAPにはメモリリークするバグを抱えたバージョンもあったな

>>854がユーザにLDAPアドレス帳を提供してThunderbirdを使わせても
大丈夫なんだろうか
860 名前：854 mailto:sage [2006/05/11(木) 23:32:04 ]: SMTP、POP、Web認証ぐらいにしか使ってない。
いろんなデーモンが動いてるけど、OpenLDAPの負荷はそれほど高くないかも。

LDAPアドレス帳はさすがにクラスタ組まないと厳しそうな予感。
861 名前：848 mailto:sage [2006/05/12(金) 01:01:15 ]: うちの環境は RHEL3+OpenLDAP2.2.13+BDB4.2。
slurpdで複製しているスレイブサーバが
ファイルI/Oの負荷が高い状態で、大量の更新(200ユーザくらいの追加)がかかると
だんまりになってしまい、再起動するとDBが壊れているという状況。
組み合わせるBDBのバージョンによっても問題が起こるという話もあるとのことなんだけど、
どのバージョンのBDBが鬼門なのかも分からずゲンナリな状態。
862 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/12(金) 11:53:44 ]: >859
そうでしたね。ある程度消費して止まりました。

>848
こちらは
Solaris9+OpenLDAP2.3.17+BDB4.2です。
試験時に大量の更新後(約1000件)、停止/起動かけますと、壊れてしまいます。
約30分後に再起動だと壊れないです。あと10件ぐらいでも壊れないです。
だんまりになったことは無いですね。
863 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/12(金) 12:32:36 ]: slurpdの有無は無関係？
864 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/12(金) 13:19:35 ]: BDB のチューニングはどのくらいの使用負荷から必要ですか？
865 名前：名無しさん＠お腹いっぱい。 [2006/05/13(土) 11:50:29 ]: >>861
RHEL 使ってるんなら Fedora Directory Server にしたらいいんジャマイカ
866 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/14(日) 09:20:27 ]: Red Hat Directory Serverは有料なんかな? free trialがあるくらいだから。
867 名前：名無しさん＠お腹いっぱい。 [2006/05/16(火) 23:06:13 ]: Openldapでpam_ldap,nss_ldapでユーザ認証しているんだが、一般ユーザには
ldapsearch 等で格納されている情報を検索されたくないんですが、
slapd.confのアクセス制限で、最後の　by * read を　by * auth とかに
すると、マシンにログインできなくなってしまうのです。
なんか良い方法あったらおしえてくらはい。/usr/bin/ldapsearchの実行パーミッ
ション変えてもホームディレクトリとかにバイナリおかれたり、プログラム
書かれたら意みないので。

access to attrs=userPassword
by self write
by dn="cn=Manager,dc=hoge" write
by anonymous auth
by * none

access to *
by dn="cn=Manager,dc=hoge" write
by self write
by * read
868 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/16(火) 23:41:08 ]: ファイルのオーナとかそれに伴うパーミッションのチェックをするには、
/etc/passwd相当の情報は一般ユーザでも読めなきゃいけないんじゃないのかな?
passwd(一般ユーザが読める)とshadow(一般ユーザ読めない)に分かれている理由を考えてみれば納得できるかと。
869 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/17(水) 00:22:18 ]: >>867
試したことないんだが、
nscdをHOME環境変数設定して起動して、
$HOME/ldap.confでbinddn, bindpwを
"cn=Manager,dc=hoge"にしてみてはどうよ?

nscdはrootで動かして、HOME=~root、設定は~root/ldap.confがいいかな?
870 名前：名無しさん＠お腹いっぱい。 [2006/05/17(水) 23:20:50 ]: >>868
確かに
>>869
これは、デフォルトbindをManagerにするってー事？
nscdがどうして関係するのか未熟者なのでわかりません。。
871 名前：868 mailto:sage [2006/05/18(木) 06:49:10 ]: >>869
nscdがManager権限でldapにアクセスしてれば、
nscdを使うプログラムからは、Manager権限でしか見えないものも見えるってことですか。
うまくいけば面白そうですね。

話は少し変わるけど、nscdを見に行くプログラムと直接ldapと話をしようとするプログラムがあるけど、
nscdを見に行くようなプログラムってどうやって書くんでしょう。
(CかPerlで具体的なコードが分かるとうれしい)
nscdを見に行ってくれないプログラムがnscdを見に行ってくれるようにする方法なんかも分かるとかなりうれしいんだけど。
872 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/18(木) 08:12:30 ]: >>871
get*by*()を使う。

強制nscdの方法はない。

ただFreeBSDはよくわかってない。
getaddrinfo()がnss/nscdは無視しているし。
873 名前：名無しさん＠お腹いっぱい。 [2006/05/20(土) 03:12:17 ]: 腐ったOSで、DB回してれば何時か自然に転ぶって、爺ちゃんが言ってた。
874 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/20(土) 11:33:04 ]: なるほど、FreeBSDでバークレイDBを使ってはいけないわけですね。
875 名前：871 mailto:sage [2006/05/20(土) 11:48:13 ]: >>872
gethostbynameとかbyaddrくらいしか使ったことがないんですが、
ユーザ認証するときは具体的にどんなget*by*()になるんでしょう。

ヘボい質問で情けないですが、教えてやってください。
876 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/20(土) 13:15:16 ]: ユーザ認証じゃなくて、ユーザデータベースでしょ。

getpwent
getpwnam
getpwuid

getgrent
getgrnam
getgrgid

この辺でしょ。*by*じゃないけど…

認証は、pam_ldap使えば、auth(bindオペレーション)だけ許可しとけばOK。
877 名前：名無しさん＠お腹いっぱい。 [2006/05/20(土) 21:38:50 ]: Novell eDirectory はどうですか？
Solaris や Linux でも使えるようですが
www.novell.com/products/edirectory/
878 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/20(土) 23:54:35 ]: eDirectoryというか、eDirectoryを中心としたOESはよく出来てると思った。
ちょっと触っただけで、使い込んだわけじゃないけど。
879 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/21(日) 07:23:16 ]: 一番歴史古いからね。
880 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/03(土) 06:10:44 ]: Fedora Directory Serverが公開されてるけど、どんな感じですか?
「サーバの構築が楽になっただけ」という声もありますが
881 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/03(土) 11:52:23 ]: Fedora使ってないので、他のデストリでコンパイルしようとしたら、
へんちくりんな独自build機構で苦労した…

*BSDへのポートは時間がかかりそうだな。
882 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/06(火) 11:03:52 ]: 何だかんだ言ってもActive Directoryは親切設計だった
883 名前：名無しさん＠お腹いっぱい。 [2006/06/06(火) 20:47:14 ]: MS の文書見ても、バックアップ、リカバリがよく見えない気もするが ...
884 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/06(火) 21:29:45 ]: novellのがいい。
885 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/08(木) 22:44:48 ]: >>884
同意。やっぱノーベルがいい。
886 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/10(土) 13:28:16 ]: >>885
そう書かれると何か飴作ってる会社みたいだ。
887 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/10(土) 14:17:54 ]: オレはノーベルというと乾電池だなw。
888 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/10(土) 15:55:00 ]: ノーベルといえばノーベル賞だな。
ダイナマイトってことか。
889 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/10(土) 17:19:38 ]: マイトガイ小林旭
890 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/10(土) 17:58:06 ]: マジレスすると、正式表記はノーベルじゃなくてネベル。
891 名前：890 mailto:sage [2006/06/10(土) 17:59:44 ]: >>890
うわ間違えた。

×ネベル
○ノベル
892 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/10(土) 18:44:55 ]: どれの正式表記? 乾電池?
893 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/10(土) 18:45:29 ]: 正式表記はネスレ。
894 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/10(土) 21:57:07 ]: >>892 Nobellの方。
895 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/10(土) 22:00:32 ]: b?
896 名前：894 mailto:sage [2006/06/11(日) 00:21:12 ]: >>894-895 orz
s/Nobell/Novel/
897 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/11(日) 02:46:59 ]: >>896
Novell!!
898 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/11(日) 03:54:23 ]: >>889
この板にいる人の年齢がわかるレスだな
「熱き心に」を歌いたくなってきた
899 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/11(日) 22:14:33 ]: Nestle
900 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/12(月) 09:45:28 ]: LDAPの標準認証って、
userPasswordに {crypt} と {SSHA} が混在してる状況でも、
LDAPサーバ側がユーザの暗号化方式に応じて認証可否を返してくれるもの？

それとも、システム全体で暗号化方式を統一しておく必要があります？
901 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/12(月) 10:04:54 ]: それはLDAPの仕様じゃなくて、
LDAPサーバの実装仕様によるけれど、
統一しておかないといけないサーバに遭遇したことはないです。
OpenLDAP, iPlanet, Fedora, Netscape, Novell, Active Directoryなど

ただしbasic認証じゃなくて、
自分でuserPassword属性を取得してcrypt()で認証しようとするクライアントが、
結構多いので要注意です。例えばSolarisのpam_ldap。
902 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/13(火) 09:24:35 ]: >>898
１５０トン。
903 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/13(火) 10:43:50 ]: >>902
よろしければどんな車に乗っているのかお聞かせ下さい。
＃個人的にはコルトが欲しいです。
904 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/13(火) 19:06:09 ]: 赤いトラクター以外に何か有るとでも言うのだろうか？
905 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/15(木) 10:23:39 ]: 俺はお前だぜ～♪
906 名前：902 [2006/06/16(金) 16:20:23 ]: はのこほペットにシタクッテっ・・・

それはいい。
OpenLDAP2.4ってな、何時マトモに使えるんだｺﾞﾗ。
907 名前：名無しさん＠お腹いっぱい。 [2006/06/18(日) 09:30:11 ]: 俺はもう OpenLDAP で構築しようとは思わなくなった…
悪いけどプロダクトの質が低いし手間かかりすぎ
908 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/18(日) 09:58:34 ]: NISのほうが楽そうだな
909 名前：名無しさん＠お腹いっぱい。 [2006/06/23(金) 00:55:59 ]: UltraPossum使っている人いる？
冗長構成が良さそうだが、いまいち設定の仕方がよくわからない。
VA以外じゃつかってないのか？
910 名前：名無しさん＠お腹いっぱい。 [2006/06/23(金) 02:58:31 ]: >>907
そうだね。マトモに使うのは楽じゃないかもね。
プロジェクトを進めている学校の質に依存する。
911 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/23(金) 13:42:43 ]: X.500 なんてもうきっぱり捨てて、BIND 改造して使おうぜ。
912 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/24(土) 00:23:57 ]: >>911
Kitchen Sink BINDキタコレwww
913 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/25(日) 19:23:28 ]: それなんてhesiod？
914 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/24(火) 21:20:45 ]: OpenldapでBIND認証させたユーザに
ある特定のOU配下のみに変更権限を与えることはできますか？
915 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/30(月) 22:17:12 ]: 出来ます。
www.openldap.org/doc/admin23/slapdconf2.html#Access%20Control
916 名前：914 mailto:sage [2006/11/01(水) 00:21:47 ]: >915
ありがとうございます。
試し見てみますね
917 名前：名無しさん＠お腹いっぱい。 [2006/11/24(金) 03:16:46 ]: openldap サーバ兼クライアント(CentOS 4.4)で、
authconfig をいろいろ書き換えながら ldap ログイン設定をしているのですが、
○ ldap://xxx/ でログインはOK
○ TLS無効時、id [username on ldap] は読める
× TLS有効時、ldaps://xxx/ でログインがだめ
× TLS有効時、id [username on ldap] が読めない
○ TLS有効時、ldapsearch ldaps://xxx/ は読める
な状態に陥っています。
なにから疑えばいいでしょうか。
(/etc/ldap.conf の TLS_REQCERT never は駄目？)
918 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/24(金) 09:47:13 ]: 要するに、
素のLDAP操作(ldapsearch)はOKだが、
pam_ldap, nss_ldapが駄目だということだから、
CentOSのpam_ldap, nss_ldapのパケージに、
専用のLDAP設定ファイルがないか調べてください。

DebianやRHEにはあります。
Libraryが後から読み込むので、
基本設定が、pam_ldap, nss_ldap専用の設定で上書きされます。

それからidコマンドを実行しながら、
etherealでldap, ldapsのパケットを解析してみるのも吉。
919 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/24(金) 13:39:22 ]: >>917
echo "TLS_REQCERT allow" >> /etc/openldap/ldap.conf

で行くんじゃないかな。/etc/ldap.confとはまた別ものだよ。
920 名前：917 [2006/11/24(金) 19:46:51 ]: slapd loglevel 256 を tail -f | grep -E "389|636" でみながら試行錯誤したところ、

ssl start_tls だとつながらない

だったので、authconfig 後に
----------
/etc/ldap.conf に URI ldaps と tls_reqcert never 明記
/etc/ldap.conf から ssl start_tls 追放
/etc/openldap/ldap.conf に URI ldaps と tls_reqcert never 明記
----------
にしたところ、
openldap サーバ兼クライアント(CentOS 4.4)
openldap クライアント(CentOS 4.4)
で無事動きました。

start_tls と ldaps は内部的になにがちがうのでしょうか？
921 名前：名無しさん＠お腹いっぱい。 [2006/11/25(土) 01:03:47 ]: こういう記事があったよ。

www.linux.or.jp/JF/JFdocs/LDAP-Implementation-HOWTO/ssl.html
Note: Start-TLS は、クライアントが要求したときだけ TLS を有効にする
ことができるようにします。この方法だと、単独の LDAP ポートをセキュアな
接続とそうでない接続の両方に使うことが可能です。
922 名前：917 [2006/11/25(土) 15:09:24 ]: uri 外して ssl on でも動きました。> 921

start_tls だと pam_ldap は 389 を使おうとする
start_tls の pam_ldap 636 は何故か必ず失敗する(tls_reqcert never のせい？)
ので、
ssl on
か
uri ldaps://
で636強制が必要、
という事のようです。
923 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/25(土) 15:15:57 ]: ldap に限った事じゃないけど、start tls って最初は平文で接続してから ssl に
切り替える物だから、いきなり ssl ポートに接続してもセッションは張れないよ。
924 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/25(土) 16:09:07 ]: start_tlsはldapポートのまま、tlsネゴシエイトを始めるのね。
要するにアプリケーション層でtlsをコントロールする。
ldapsはセッション層でtls、ldapプロトコルは関与しない。
925 名前：917 [2006/11/25(土) 16:09:33 ]: start_tls で 389 に接続後、Port 389 のままで SSL になる、という意味でしょうか？
「その場合 SSL が機能していること」はログのどこらへんに注目すればいいでしょうか。
926 名前：917 mailto:sage [2006/11/25(土) 16:19:13 ]: ちょっと言葉たらずでした。
start_tls 「暗号化されてて安心」の確認は、ログのどこみればいいでしょうか。

これまでやったのはopenladap の
loglevel 256（ポート番号しかわからない感じ）
と
loglevel -1 (大量に出るので何みればいいのかわからない)
の２つです。
927 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/25(土) 16:28:58 ]: >>925
そうです。

安心したいなら、パケットキャプチャーするのがいいかと。

ログで見たければ、LDAP_DEBUG_STATS。
starttls.cのstarttls_extop()で、
Statslog( LDAP_DEBUG_STATS, "%s STARTTLS\n",
op->o_log_prefix, 0, 0, 0, 0 );
してる。
928 名前：917 mailto:sage [2006/11/25(土) 17:06:48 ]: loglevel -1 の grep -i tls で
start_tls の id を行うと、
connection_read(12): unable to get TLS client DN error=49 id=【seq】
がかえってきました。
pam_ldap の start_tls は失敗しているようです。
929 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/25(土) 17:37:46 ]: ここ良く読め。
www.openldap.org/doc/admin23/tls.html
ここもかな。
www.openldap.org/doc/admin23/sasl.html
930 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/23(土) 23:13:15 ]: OpenLDAPで構築したサーバと、
SolarisのネイティブLDAPを使ったクライアント。
この組み合わせは無理？
931 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/24(日) 00:57:17 ]: >>930
LDAPv3であってれば大丈夫じゃない?
経験的に、OpenLDAPのサーバはあまり使いたくないですが。
932 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/24(日) 10:00:04 ]: >>931
・OpenLDAP を使いたくない理由
・お勧めするDirectory Server
をご教授願いたい
933 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/24(日) 13:38:26 ]: >>930
Solarisのldapclient manualで設定すれば問題なくLinuxで動いてるOpeｎLDAPサーバのクライアントになれるよ。
4年運用してるけど特に問題ない。
934 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/24(日) 14:18:55 ]: >>932
931じゃないが、
・パフォーマンス悪い。結構バグがある。
・Netscape直系のヤツ。iPlanet, Sun Java, Red Hatなど。
935 名前：931 mailto:sage [2006/12/24(日) 22:16:11 ]: >>930
あ、そこに食いつかれるとは思っていませんでした。
使いたくない理由は
・負荷が高いときの動作が怪しいこと
・BDBのハッシュだけがこわれてエントリをことごとく「ない」と応えられて痛い目をみた
お勧め…というか、仕事のシステムで変えられるならこれに変えてみたいというのは
・Sun Java
・Fedora Directory Server
かな。
936 名前：名無しさん＠お腹いっぱい。 [2006/12/24(日) 22:22:38 ]: 同じく931じゃないが。
ヘヴィーな使い方をする場合にOpenLDAPを選択するというのは、
地雷原に突っ込むようなものだ。
軽く使うだけならOpenLDAPでもOK
937 名前：931 mailto:sage [2006/12/24(日) 22:30:21 ]: あ、FedoraもバックエンドはBDBでした。
ということで、候補からはずしておきます。
(憧れだけで調べてなかったもので…)
938 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/24(日) 23:08:42 ]: Berkeley DBが悪いんじゃなくて、
OpenLDAPの排他制御に問題があるように感じる。
他にもBerkeley DBを多用するアプリで問題出たことないから。
939 名前：名無しさん＠お腹いっぱい。 [2006/12/24(日) 23:14:16 ]: OpenLDAPってそんなに問題あるの？
おれの所はSunとつきあいが長いんでSunJava Directory一辺倒だけど。
世の中OpenLDAPがデファクトになりつつあるんで流されようかなと日和って
きたんだが。SambaやWindows連携で良く使われているしさ。
940 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/24(日) 23:15:26 ]: (931ですが、あまり意味がないので名無しにします)
>>938
MovableTypeとかsubversionとかみてると「やっぱりBDBか?」とおもってしまうんですよぉ。
先入観ですかねぇ。
941 名前：名無しさん＠お腹いっぱい。 [2006/12/24(日) 23:20:35 ]: openldapを数百万ユーザ規模で動かしてるとこって、かなり
手を入れてるってことなのか。使い方にもよると思うけど、
何ユーザくらいで問題が出たりしてるの？数千くらいだったら
軽いかな？
942 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/24(日) 23:23:28 ]: そいつらは問題出てるんですか?
spamassassinがperl5の連想配列/libbdb4.4のtieを使ってるんです。
日に万を越えるメールを処理してますが壊れたこと無いですね。
943 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/24(日) 23:24:59 ]: >>941
VA LinuxがOpenLDAPだけど、
あそこはBackup復旧アプリを付けて出してるよ。
944 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 00:47:13 ]: >>942
直接痛い目にあったわけじゃないですが、結構出てるみたいですよ。
ぐぐってみてください。
私が一番痛い目にあったのはpostfixで宛先の存在を見るようにしてて、
ハッシュが壊れたときにことごとく「ない」と応えてメールを全部叩き落しちゃったこと。
5分くらいで以上に気づいたけど、1000通くらいの被害を出しました。
壊れるタイミングは更新時だけみたい。
ユーザ数は1万弱でメール配送量は1日20000弱。ほとんどがspamですが…。
945 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 01:34:04 ]: 942です。

>>944
ごめん。それはOpenLDAPの事例だよね。
>>942ではアンカー付けなかったけど、>>940への問いかけのつもりでした。

OpenLDAPでは、自分もハッシュ壊れを体験してます。
幸い導入前の負荷テストだったので、OpenLDAPは外しました。
DefaultのBerkeley DBしか試してないけど、テストで駄目ならもう信用できないしね。
946 名前：ななし mailto:sage [2006/12/25(月) 05:54:20 ]: >>941
数十万エントリで2年運用しているけど
特に問題ないなぁ
947 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 07:22:28 ]: ApacheDSとかプンディレとか使ってる人いらっしゃいますか？
948 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 09:28:28 ]: >>947
プンディレってSun Java Directoryとは別系統なのかなあ？
ApacheDSもちょい興味あり。
949 名前：名無しさん＠お腹いっぱい。 mailto:age [2006/12/25(月) 10:15:05 ]: OpenDSはJavaで書いてあるから、
Netscape直系のSun Java Directory Serverとは全く違うだろ。
Sun Java Directory Servderの"Java"には意味がないし。
950 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 11:04:19 ]: Sunは最終的にはOpenDSでJavaDSを置き換える
つもりなのかなぁ？

ApacheDSもJavaだよね？
ちょい試してみようかな。
951 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 11:06:21 ]: てかSunて最近何でも名前にJavaて付けるよな。
952 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 11:26:07 ]: >>950
blogs.sun.com/DirectoryManager/entry/introducing_the_opends_directory_service
https://opends.dev.java.net/public/docs/OpenDS-FAQ.html
読む限りでは、置き換えるつもりらしいね。
953 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 11:38:53 ]: ASFは結構仕事早いから、ApacheDSとプンディレ、
どっちがデファクトスタンダードになるかな…。
954 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 11:42:51 ]: >>953

ApacheDSはもう1.0リリースされてるしね。
使ってみた人います？
955 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 11:57:51 ]: OpenDSも社内で一年かけた上でこの夏に公開したらしいぞ。
まだまじめに評価してないけど、(すぐに飛び付くのは時間の無駄なので)
動いてはいるよ。
956 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 12:14:52 ]: >>951
最近はオープンソース化してOpenを付けるのが流行。

プンソラ
プンディレ
プングルオン
…
957 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 13:19:40 ]: でもLDAPクライアントになるソフトウェアに
OpenLDAPライブラリを使って書かれたものが多い
限り、OpenLDAPは捨てられないのか…。

>>956
プンソラとプンディレはよく聞くけど、
プングルオンはさすがに聞いたことないぞwww
958 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 13:25:47 ]: プングルってなに? オープングルメオンパレード?
959 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 13:30:51 ]: >>958
マジレスすると、OpenSSO

…だよな？？？
960 名前：名無しさん＠お腹いっぱい。 mailto:age [2006/12/25(月) 13:42:46 ]: >>957
OpenLDAPのライブラリは、
基本部分は、RFC1823 "The LDAP Application Program Interface"
他にはRFCにならなかったdraft、本の少しのOpenLDAP独自拡張。
LDAP関連のRFC draft writerとOpenLDAPのmemberはかなり重なっている。

だからアプリがOpenLDAPのlibldapに依存ってことはほとんどない。
TLS使ったときに、OpenSSLをどういうprofileで使うか、
あたりは潜在的に依存していることがあるだろうけど。
961 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 14:01:16 ]: >>960
OpenDSとかApacheDSとか丸々Javaで書かれた
LDAPシステムだと、libldap自体用意できないから、
OpenLDAPみたいなCやCXXで書かれたLDAPシステムは
捨てられないのかな？程度の意味です。

分かりにくくてごめん。
962 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 14:06:02 ]: >>959
おお、Open Web Single Sign-On、知らなんだ。プングルオンw
963 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 14:08:43 ]: >>961
OpenLDAP のサーバーの、Berkeley DB は悪くなくて更新のとこ、とかいう文脈で、
なぜ OpenLDAP クライアントの C++ のライブラリを捨てなきゃならんという話になるのか?
964 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 14:26:49 ]: >>963

よくわからんが、OpenLDAPの更新の話からは
ぶったぎれてて、単純にプンディレ使うんだったら
クライアントも含めてOpenLDAP捨てて全部
プンディレに移行したいってことじゃね？
965 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 14:38:22 ]: ・LDAPはprotocolだけでなくAPIもRFCになっている。

・OpenDSはclientライブラリ作ってない
・OpenLDAPは、DSMLも喋れるJLDAPってのを書いてる
・Sun JDKは、JNDIにLDAP Service Providerを持っている

・mod_ldap, nss_ldapの需要があるからCのライブラリは誰かが維持する。
966 名前：名無しさん＠お腹いっぱい。 mailto:age [2006/12/25(月) 14:40:30 ]: >>965
> ・OpenLDAPは、DSMLも喋れるJLDAPってのを書いてる

↓これ。クライアントライブラリね。
www.openldap.org/jldap/overview.html

ちなみにOpenDSもDSMLをサポートしてる。(これはサーバ側)
967 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 15:11:33 ]: >>966
こんなの作ってたんだ…知らアッー！！！んかった。
968 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/26(火) 09:47:44 ]: Contributed by Novell.

以前はOpenLDAPのサイトに載せていながら、
結局 Novell のところでユーザ登録しないと取得できなかったような。

com.novell.* なパッケージもあるし、ほとんどソースが変更されて無いようなので、
「OpenLDAPが書いてる」っていうより、メンテしてるぐらいかな。

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef