LDAPについて

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 05/18 01:27 / Filesize : 285 KB / Number-of Response : 969
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

LDAPについて

1 名前：名無し君 [02/02/02 20:53]: 語りましょう。
私は俺はこんなものまでLDAPで管理している等々。。
241 名前：くまだ [03/08/10 01:16]: >>237

> > LDAP only, /etc/passwd onlyのentryを調べてみんさい。

> slapd 起動中では
> # getnet passwd LDAP_only_user
> LDAP_only_user:x:5000:250:LDAP_only_user:/home/LDAP_only_user:/bin/csh
> # getnet passwd passwd_only_user
> passwd_only_user:x:500:500:passwd_only_user:/home/passwd_only_user:/bin/bash
>
> 起動していないと、
> # getnet passwd LDAP_only_user
> ＃出力なし。
> # getnet passwd passwd_only_user
> passwd_only_user:x:500:500:passwd_only_user:/home/passwd_only_user:/bin/bash
>
> ちなみに、slapd を起動していないと、
> # su - passwd_only_user
> su: incorrect password
> で、ログインできないです。

pam の設定が問題なのでしょうか？
su の場合、pam の su と login ファイルに問題があるのでしょうか？

ldap.conf でしょうか？
242 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/08/10 21:53]: >>241
PAMの設定でしょ。間違いなく。
pam_stack使ってるだろーから/etc/pam.d/suとかはsystem-auth呼ぶようになっていれば問題ない。

accountのとこみたいな[ ]をauthとかにも書かないといけないんじゃないかな？　と思う。
「LDAPが落ちてるときはpam_ldapを無視する」としたいのに
現象としては「LDAPが落ちてるときは認証に失敗する」になっちゃってるんだから。
service_err=ignoreとsystem_err=ignoreがなんかそれっぽいし。

多分accountと同じ書き方で良いと思うけど、問題あるのかもしれない。

うーむ。PAMって良く分からん。
243 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/08/11 14:51]: >>242
> accountのとこみたいな[ ]をauthとかにも書かないといけないんじゃないかな？　と思う。
> 「LDAPが落ちてるときはpam_ldapを無視する」としたいのに
> 現象としては「LDAPが落ちてるときは認証に失敗する」になっちゃってるんだから。
> service_err=ignoreとsystem_err=ignoreがなんかそれっぽいし。
>
> 多分accountと同じ書き方で良いと思うけど、問題あるのかもしれない。

もしそうだとするとLDAPの落ちている時は、getent失敗するはずだけど…

>>240
とりあえず、core dumpさせるか、ltrace/straceでもして、
"Segementation Fault"の原因調べなよ。LDAPの設定はその後でしょ。
244 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/08/11 15:49]: >>243
> もしそうだとするとLDAPの落ちている時は、getent失敗するはずだけど…

getentは、nsswitch.confだから関係ないや…
245 名前：名無しさん＠お腹いっぱい。 [03/08/14 09:58]: ttp://www.fivesight.com/downloads/openldap.asp
ここにあるOpenLDAP for Windowsをリポジトリにしたいのだけれど。。。
ldifが無いのはどうすれば良いんだろう？
246 名前：名無しさん＠お腹いっぱい。 [03/08/14 11:07]: >>245
java.sun.com/products/jndi/tutorial/basics/prepare/content.html
ここにしたがって、schemaおよび必須entryのsetupしたら?

schemaの追加はOpenLDAPの場合は、(↑に書いてないけど)
/etc/(open)ldap/schemaに置いてrestartね。
247 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
248 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
249 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/09/15 02:36]: シングルサインオン機能付きのポータル画面を作っています。

認証＆シングルサインオン先のユーザ管理にOpenLDAPを使おうと
思っているのですが、既存のスキーマで実現するのは難しいでしょうか。

実現したい内容は
　○ 他人のパスワードが見えないこと。
　○ 複数のユーザID/パスワードが格納出来ること。
この２点です。

ObjectClassの作成も試みたのですが
ObjectIDの付与の仕方も分かりませんでした。

【環境】
OS Redhat7.3
LDAP openldap-2.0.27-2.7.3（RPM版）

解決の糸口だけでも教えて頂ければ幸いです。
250 名前：名無しさん＠お腹いっぱい。 [03/09/15 16:44]: あげ。
251 名前：名無しさん＠お腹いっぱい。 [03/09/16 00:22]: >>249
漏れも知りたい。
教えてエロい人。
252 名前：名無しさん＠お腹いっぱい。 [03/09/16 11:04]: >>249
シングルサインオンを実現するのはLDAPの役割じゃないです。
CGIでcookieを自前管理するか、Jakarta Tomcat, Strutsを使いなさい。

>　○ 他人のパスワードが見えないこと。

これはservlet側の行なうbindに合わせた
userPasswordのaccess controlで。(これはLDAP側のみの設計)

>　○ 複数のユーザID/パスワードが格納出来ること。

Strutsだったら、LDAP realmとroleの組合わせで。
253 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/09/16 20:16]: >>252
PHPじゃダメでせうか?
254 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/09/16 21:17]: >>252
レスありがとうございます。
また説明不足ですみません。

ポータル画面についてはjavaで実装しております。
偶然ですがStrutsも。。。

今はとりあえずと言うことでuidに
　services1：userid/passwd
services2：userid/passwd
と書いているのですが、いかんせんパスワードが
丸見えなのでなんとかしたいと思ってました。
またuidに格納すること自体適当ではないと考えてます。

ちょうどよいObjectClassでもあればと思ってるのですが
標準でそれっぽいのが見あたりませんでした。
（分かってないだけかもしれませんが。。。）

あとuserPasswordの復号化した物を取り出す事って可能なのでしょうか。
教えてくんですみませんが、よろしくです。
255 名前：名無しさん＠お腹いっぱい。 [03/09/17 08:44]: >>254
> ちょうどよいObjectClassでもあればと思ってるのですが
> 標準でそれっぽいのが見あたりませんでした。
> （分かってないだけかもしれませんが。。。）

userPassword属性持つobjectclassならなんでもいいよ。
topとextensibleObjectだけでもいい。
後はpersonとか、topとsimpleSecurityObjectとか。

UNIXなら、posixAccountにでもしておけば?
posixAccountならLDIF作成ツールがたくさん転がっているし。

> あとuserPasswordの復号化した物を取り出す事って可能なのでしょうか。
> 教えてくんですみませんが、よろしくです。

その必要はない。
bind operationを使って認証しなさい。(これは命令w)

httpd.apache.org/docs-2.0/ja/mod/mod_auth_ldap.html#operation
でも参考にして。searchしないでいきなりbindすればいいけどね。

> 偶然ですがStrutsも。。。

というか、LDAP realm使えよ…マニュアル読め
256 名前：名無しさん＠お腹いっぱい。 [03/09/24 13:49]: ldapサーバーを移行しようと思って、/var/lib/ldap/*
を移行元のマシンから移行先のマシンにコピーしました。
で、slapdを起動して ldapsearch -x とやると
result: 32 No such object
って出ます。移行って他にも作業が必要なんでしょうか？
slapd.conf, ldap.conf もぼちぼち書き換えたのですが。

移行元：Red Hat 7.3, openldap-2.0.27-2.7.3
移行先：Red Hat 9, openldap-2.0.27-8
257 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
258 名前：256 mailto:sage [03/09/24 23:54]: 自己解決しちった。
移行元のファイルは拡張子がgdbmで、移行先はdbbじゃないとダメらしい。
これってどっかで設定できるの？
まぁ結局ldifに出力してslapaddで移行したから関係ないんだけど。
259 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/09/25 00:24]: >>258
/etc/openldap/slapd.confで、
database gdbm
な。あとbdb(Berkley DB)な。

ま、そのためのLDIFだしね。> slapadd
dbのbinary copyはdbの内部formatに互換性がないといけないし。
260 名前：256 mailto:sage [03/09/25 00:59]: >>259
レスども。両方とも slapd.conf は
database ldbm
なんですよ。でも、作られるファイルの拡張子が違うんだよね。
ま、ちょっと調べた限りではldifにして移行するのがいいっぽいね。
ほかに方法ってあるのかな？
261 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/09/25 02:46]: >>260
すまん。まちがえた。
コンパイル時に、ldbm → bdb or gdbmを選ぶんだった。
rpmbuildし直しだな。それもdb libraryの内部formatのversionあわせんとイカン。
262 名前：名無しさん＠お腹いっぱい。 [03/10/03 16:54]: シェアウェアの売り込み＠LDAP-JP ｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━ !!!!!
263 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/05 00:28]: sambaのアカウントもLDAPで面倒見ちゃおうとsamba.schemaを使って
sambaAccountにあるridのエントリはすでにあるposixAccountのuidと同じにしちゃうつもりなんですが、
ridの内容を新たに作らずにuidNumberの値を参照させるってことできるんでしょうか。
同じ値を入れちゃえばいいだけなんだけど、それじゃ芸がないかなぁなんて思ってるんです。
264 名前：263 mailto:sage [03/10/05 00:28]: あ、openldapです。
265 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/05 18:58]: オレが聞きたいくらいだよ
266 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/05 22:06]: >>263
自分はiPlanet使いだからOpenLDAPはわからん。
iPlanetは属性値の共有が出来るとだけ言っておこう。

ただ、sambaの方は、challenge&responseだから、
password-storage-schemeをclearにしとかないといけない。
OpenLDAPにはないんじゃない?
267 名前：263 mailto:sage [03/10/05 23:00]: >>266
検索しててひっかかったaliasってやつでしょうか。
ま、共有できないんならそれはそれでも何とかなるんですが。

password-storage-schemeってなんすか?
もしかしてこのままやってみてもうまくいかないのかな?
チト不安を感じつつやっていってみます。
「やればわかるさー」ってね。
268 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/06 00:09]: >>267
えーと、APOPみたいなchallenge&responseをやるためには、
server/client双方で生パスワードを持っていないといけないです。
sambaもそうです。

ところが、通常のUNIX系認証では、
server側はcrypt(3)でひねられた文字列しか格納してません。
このスタイルのuserPassword属性値はchallenge&responseに使えないです。

"clear"は生パスワードのまま保存しろって設定です。
slapd.confだと、{CLEARTEXT}です。
269 名前： [03/10/07 14:05]: Debian GNU/Linux の migrationtools パッケージは古いです。
ユーザ名を UTF8 に変換する部分に問題があり、
ASCII ですらちゃんと変換してくれません。

unstable の Version 44-6 でも問題は解決されていませんので、
本家 www.padl.com から MigrationTools.tgz の Version 45 を
ダウンロードしたほうがいいでしょう。
270 名前： [03/10/07 14:15]: www.padl.com/download/MigrationTools.tgz
自分のメモのために…
271 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/07 23:42]: dn: cn=aho, dc=baka, dc=shine
というエントリは、必ず cn=aho という属性＆属性値を持っていないとダメ？
272 名前：RFC2251 [03/10/07 23:48]: Entries have names: one or more attribute values
from the entry form its relative distinguished name (RDN), which MUST
be unique among all its siblings. The concatenation of the relative
distinguished names of the sequence of entries from a particular
entry to an immediate subordinate of the root of the tree forms that
entry's Distinguished Name (DN), which is unique in the tree.

RFC2251 にはこのように書いてあります。
どんな属性=属性値のペアであっても、
DN の一部になることができるのでしょうか？
273 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/08 23:34]: >>271
はい。LDIF的には、cn: aho。
>>272
はい。
ただし、どの(複数の)objectclassに属しているかによって、どの属性を持てるかが決まります。

必要な属性を持つobjectclassを加えてしまえばいいですが、
STRUCTURAL classはただ一つだけです。他はAUXILIARY classじゃないと駄目です。
どんな属性でも突っ込める特殊なclassがあってextesibleclassですが、
serverのcheckに引っ掛からなくなるから、あんまり勧められませんね。
274 名前：263 mailto:sage [03/10/09 08:26]: みなさんにいろいろ教えていただいたんですが、未だちゃんとできていません。
sambaがldapサーバに話し掛けていないようで、
パスワードがどうとかエントリがどうとかいうLDAP以前の問題なんです。
ということでこれからsamba板にいってきまーす。
275 名前：名無しさん＠Ｍｅａｄｏｗ [03/10/09 17:57]: OpenLDAPのpam_mkhomedir.soに相当するような
ユーザホームディレクトリ自動作成をiplanetでやるには
どうしたらいいんでしょうか？
276 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/10 01:09]: >>275
そりゃ、OpenLDAPじゃなくて、PAMでしょ。
277 名前： [03/10/10 18:07]: つまり、pam_ldap と pam_mkhomedir を使え、と。
278 名前：slapd のユーザ [03/10/14 20:00]: みなさん、slapd をどんな権限で動かしていますか？
ユーザとグループは root:root ですか？
man slapd によると、次のような問題があるそうですが…

「特権ユーザでないユーザでslapdを実行した場合、
　passwd back-endsが暗号化されたパスワードに
　アクセスすることが出来なくなるようなシステムが存在すること、
　またいかなるシェル back-endsも指定されたその特権ユーザでない
　ユーザで実行されることに注意すべきです。」
279 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/14 20:56]: >>278
DES認証モードなYPをbackendにしている時も、rootじゃないと辛いわね。

本題についてはrootでしようがないわね。
shadow passwordをroot以外でも読めるよりましだわね。
280 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/14 20:58]: あ、backendをsaslauthdみたいなのに独立して実行させて、
それでroot以外のユーザでslapd動かすという手はあるかも。
ただ、backend作らないとね(w
281 名前：slapd のユーザ [03/10/14 21:07]: バックエンドを SQL にしてみるか…
ODBC/PostgreSQL とかで試してみるかな。
282 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/14 22:11]: >>281
SQLサーバの認証は?
userPassword属性をODBCで読まれるとまずいわけだが。
283 名前：slapd のユーザ [03/10/14 22:20]: >>282 IDENT でいいかと…
284 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/14 23:42]: ああ、local onlyだからidentで十分か。
SO_PEERCREDでユーザ特定できるもんね。
285 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/03 17:39]: おつかれさんです。

VAリナックス、OpenLDAPにおける同期レプリケーション機能等を公開
japan.linux.com/news/03/12/03/0625231.shtml
286 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/06 14:35]: これかな。

High-Available OpenLDAP
openldap-ha.sourceforge.net/
信頼性の高いLDAPシステムを構築する
openldap-ha.sourceforge.net/syncbackup.html.ja
287 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/12 00:22]: >>277
FreeBSDで、pam_mkhomedir.soに変わるものってあるんですか？
288 名前：名無しさん＠お腹いっぱい。 [03/12/19 05:08]: ユーザアカウントの一元管理としてNISを使うのと、
PAM+LDAPの組み合わせはどちらがいいと思いますか？
やっぱりこれからは認証の枠組みを超えて、
データの統合化を見据えて、無理やりにでもLDAPや
RDBを用いるべきなんですかね。
UNIXの構築運用を任されて、いま勉強しているところ
なんですが、判断に迷います。
289 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/19 06:10]: >>288
アカウントになにを含めるかが重要。単にUNIXでパスワードの認証だけを
すればいいのなら、今から構築するのでもNISでもOKじゃないの?

将来的にさまざまなユーザデータも入れたいとか、マルチOSになるとか
いう可能性があるのならLDAPにしたほうがいいけど。

それに、無理やりにでもという意味が不明。何で無理やりなの? どこが無理やりなの？
単にお前の知能が足りないだけじゃないの?
290 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/19 07:15]: >>289
UNIXの運用に関しては素人ですが、
ある組織のサーバー管理を任されました。
管理するアカウント数は130程度ですが、これが今後どう
変わっていくかは現時点では予測できません。
またユーザデータが将来どう使われるかも分りません。
現時点でのアカウント数から考えればNISを使ってシンプルな
構成にするのがよさそうですが、後からユーザー情報の一元管理が
求められた時に移行の手間がかかるのはやっかいかと思います。
そういう意味で「無理やり」にでも最初からデータ管理用の何かを
入れるべきなのかなと思っていました。
ディレクトリサービスはRDBとはまた違った概念なので、
それで何が出来るのか勉強しなくてはならないことは承知のうえです。
プロの方がどのようなケースでLDAPの採用を決めるのか
参考にさせて頂きたい、なと。
291 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/19 07:39]: >>290
NISのサーバは何にするの?
> SunはNISを将来サポートしなくなると思うが大丈夫か? (というか一時ハズレた)

組織の各subnetはどのくらい離れているの?
> NISはreplica serverへの同期はmap全体のみ。大丈夫か?

NISが喋れないclientはないか?
> Microsoftは、Service for UNIXをいつまでreleaseするのか?
> これからLDAPのmeta serverに移行していくことはないか?
> UNIX以外にLDAP clientが増える可能性があるか?

securityはどう考えるのか? snoopingはどうか?
> NIS+のDES認証modeは手軽でsecure。
> LDAPはちゃんと設計する必要がある。NISはmap単位のsecurity。

などを考えないといけませんな。
正直LDAPをsupportしてない古いclientがなければ、LDAPの方が簡単。
292 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/19 09:04]: >>291
丁寧なレスをありがとうございます。
docs.sun.com/db/doc/806-7089/6jg0449ic?l=ja&a=view
ここなどを読んで分ったような気になっていたので、教えて頂いたことが
とても難しく感じられます。時間的に少し余裕があるので、
OpenLDAPとSambaについて勉強するところから始めたいと思います。
293 名前：>>292 mailto:sage [03/12/19 10:24]: samba?
そのsubnetにWindowsはいるの? PDCは誰?
WindowsがいるとLDAPは難易度がかなり増す。
英語のドキュメント必読。

Service for UNIX使えばWindowsもNIS clientに出来る。
これは簡単。ホームのNFS mountもOK。
ただ95系はダメだわな。Service for UNIXないもん。
294 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/19 10:34]: >>291
NISとNIS+混同してる部分が多くないか、それ?
295 名前：>>292 mailto:sage [03/12/20 07:39]: >>294
たとえばどれ?
NISは"replica"って用語じゃなかったかな?
296 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/22 00:14]: >>290
FreeBSD+LDAPで、ユーザ管理をさせたかったのでいろいろ挑戦してみたが
以下の理由であきらめた

・adduserで簡単にユーザ追加ができない
・LDAPに直接ユーザを追加した場合のUIDとGIDの扱いが難しい
・ホームディレクトリの作成がされない
・FreeBSD5.1で、すでに問題が発生している

上記の問題は、OpenLDAPとSambaで対応できるが
まだ、試していないが問題が出そう・・・
297 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/22 00:18]: >>296
FreeBSDってNSSあるんですか?
この辺り笑えるくらい遅れてないですか?
298 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/22 10:20]: >>297
5系列にはあるよ。
まあ、今5系に手を出すのはLinuxの2.6系に手を出すのと同じくらい怖いけど。

ま、遅れてるところが気になったら移植よろしく。
299 名前：名無しさん＠お腹いっぱい。 [03/12/23 16:26]: OracleのユーザをOpenLDAPで管理（認証）することは可能？
300 名前：名無しさん＠お腹いっぱい mailto:sage [03/12/23 22:52]: >299
可能
301 名前：名無しさん＠お腹いっぱい。 [03/12/24 09:32]: >300
ホントですか？！
いろいろ調べたんですがどこにも載ってなくて・・
何か参考になる所があったら教えていただけませんか？
302 名前：300 mailto:sage [03/12/24 16:57]: >301
それはともかく、Oracle->LDAP認証にする意味は？
将来的にOracleを破棄する予定でしょうか？

そうでないなら、LDAP->Oracle連携でもいいような気がするけど。
->back SQLで
303 名前：名無しさん＠お腹いっぱい。 [03/12/24 17:21]: >302
やっぱりOracle->LDAPで認証はあまり意味がないのでしょうか？？
これにする理由は特にないのですが、可能なら試して見たいと
ただそれだけで・・・
304 名前：300 mailto:sage [03/12/24 18:27]: >303
なるほど、好奇心ということですね。

いや、普通に考えれば、ユーザ情報は、既存のＤＢに登録されているなら
それをＬＤＡＰから利用とかってことになるでしょ。（統合の際）
だから、そう思ったの。
305 名前：名無しさん＠お腹いっぱい。 [03/12/24 20:31]: >304
色々ありがとうございます。
OpenLDAPを勉強するにあたって参考にしたＨＰとかあるんですか？
306 名前：300 mailto:sage [03/12/25 01:28]: >305
基本は、ソース添付のドキュメントです。
いくつかのＨＰを見ましたが、その内容で動作しないものが多くて
結局ソースを追っかけながら確認。
おかげで、samba付属のスキーマのバグなどにも気づいて
対処できました。

この板だったかsamba板だかで、雑誌記事の誤りについて
触れられてからの追っかけなんで偉そうなことは言えませんが。
307 名前：名無しさん＠お腹いっぱい。 [03/12/25 08:25]: <306
何から何まですみません。。
どーいう場合にOpenLDAPを使えば一番有効に活用できるのでしょうか？
308 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/25 08:50]: 金がないのにLDAPサーバを立ち上げたい時。
OpenLDAPにしか実装されてない機能を使いたい時。
309 名前：300 mailto:sage [03/12/25 09:57]: >307

>308さんに書かれている理由が１つ。
あとは、１メーカの戦略に振り回されたく無いというのが一番大きい理由かな。

そうそう全入れ替えなんてできないからねぇ。
困ってないのに、サポートが受けられないから、バージョンアップしないと
いけないというのが一番腹立たしいもの。。

だから、OpenLDAPで統合した際に、BackSQLにはPostgreSQL使ったり
しています。（データ規模によって、標準のもの使ったりしますが）

Schemaも、各社の設定の矛盾調整で悩む羽目になったりするから、
OID取得しておくと便利。
310 名前：名無しさん＠お腹いっぱい。 [03/12/25 17:37]: OpenLDAPはセキュリティの強化に何か役立つ事がありますか？
311 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/25 18:24]: 例えば、NIS→(Open)LDAPならば、
きめ細かいaccess controlが可能、などと答えることもできるが、
単独一般論でsecurity強化ってことはない。どんなsystemでもね。
312 名前：名無しさん＠お腹いっぱい。 [03/12/25 18:33]: yokaichi.com/ro/
↑すごいよｗ
313 名前：名無しさん＠お腹いっぱい。 [03/12/25 23:18]: もともとOpenLDAPは何をするためのものなのだろう・・・
314 名前：名無しさん＠お腹いっぱい。 [04/01/16 00:18]: >>313
変なこと言うから、スレの流れとまっちゃったじゃねーか！
315 名前：名無しさん＠お腹いっぱい。 [04/01/19 15:54]: 質問させて下さい。
ldapsearchコマンドでOr結合の複数条件で検索を行う時、存在しない属性、
索引が付いていない属性があるとエラーで検索できないのですが、これを
「存在しない属性、索引が付いていない属性への検索は無視する」方法で
検索する事はできないでしょうか？
LDAPサーバの設定、又はコマンドの書き方が悪いのでしょうか？

例：存在しない属性とのOr検索
ldapsearch -h XXXXX -b "c=jp" "(|(mail=test*)(email=test*))" dn

# search result
search: 2
result: 19 Constraint violation

例：索引が付いていない属性とのOr検索
ldapsearch -h XXXXX -b "c=jp" "(|(telephonenumber=03*)(homePhone=03*))" dn

# search result
search: 2
result: 53 DSA is unwilling to perform
316 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/01/19 23:56]: >>315
> ldapsearch -h XXXXX -b "c=jp" "(|(mail=test*)(email=test*))" dn
> result: 19 Constraint violation

*の利用が認められてない属性なんじゃないの?

> ldapsearch -h XXXXX -b "c=jp" "(|(telephonenumber=03*)(homePhone=03*))" dn
> result: 53 DSA is unwilling to perform

limitに達しちゃってんでしょ。増やしなよ。
nsLookthroughLimitじゃない?

ちゃんと/var/ds5/*/logs/errorsみてね。
エラーメッセージもどういう意味かちゃんとドキュメント読めーッ！書いてあるぞ。
317 名前：こどちゃ♪ ● mailto:sage [04/01/25 23:04]: オライリーのLDAP本(LDAP -設定・管理・プログラミング-)
って本を買った。なかなか必要事項がまとまってて，マジお勧め。

www.ldapbrowser.com/index.php

ところで，Softerra LDAP Browserにはアトリビュート追加・編集機能
がついてないんだな。日本語化されてるならAdministratorを買っても
いいんだが，英語版のソフトを$145で買うのもなぁ。
318 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/01/25 23:23]: >>149
ところでそのLDAP Browser/Editorだけど，まともに動いた？
漏れのところではJavaがなかなか言う事を聞いてくれなくて
断念した。2.81も2.82b2も試行錯誤したが，同じ結果だった。

実装のスマートさは>>317のが一番なんだけどね。日本語…。
UTF-8対応はしてるんで，メニュー表示が英語なのを我慢して
使うしかないのかなぁ。
319 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/01/25 23:39]: 「実装のスマートさ」ってソースコード出してないじゃん。
320 名前：こどちゃ♪ ● mailto:sage [04/01/25 23:45]: で，LDAP Clientの話だが，PHPベースで結構おもろい
ものを見つけた。

LDAPNavigatorというやつ。
sourceforge.net/projects/ldapnavigator/

１年ほど新バージョンが出てないんだが，設定してみたら
案外すんなりと動いた。機能も最低限という感じでLDIF大量
流し込みとかには向かなさそうだが，それはそれでいいかと。

>>319
漏れが言ったのは，ソフトを作る上での考え方の話。
つまらん突込みをする位なら何か調べて情報提供ぐらいしろよ。
321 名前：149（たぶん） mailto:sage [04/01/25 23:52]: >>318
漏れのところ(MacOS X 10.3）では、2.82b2問題なく動きました。
たぶん10.2でも動いていたと思う。

こっちの方が、よさげ？
pegacat.com/jxplorer/
322 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/01/25 23:57]: >>320
> 漏れが言ったのは，ソフトを作る上での考え方の話。

そりゃ設計。
323 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/01/26 06:24]: >>322 > /dev/null
324 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/01/28 17:56]: >>322-323 ﾜﾛﾀ
325 名前：名無しさん＠お腹いっぱい。 [04/01/29 11:53]: 誰か、dhcpd.confの
host XXXX{
hardware ethernet xx:xx:xx:xx:xx:xx;
fixed-address 192.169.0.1;
}
の部分を、dhcpd.confに直接書き込むのではなく、LDAPに
持たせることをやったことある人って、いる？
326 名前：名無しさん＠お腹いっぱい。 [04/01/29 12:12]: >>325
www.kbs.twi.tudelft.nl/People/Staff/B.Sletterink/tools/
これ？
327 名前：名無しさん＠お腹いっぱい。 [04/01/31 00:06]: >>326
さんくす。
でもよくよく見てみたら、LDAPにdnを追加したり、dnを
書き換えたりするたびに、dhcpd.conf自体をその都度書き
換えてしまうから、ホスト数が数十くらいならOKかもしれ
ないけど、数百単位のホストで、しかもMacアドレスの改
廃が頻繁に行われるには、ちょっと向いていないかも。。
328 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/01/31 00:27]: Solaris使えば?
Mac OS X Serverはどうだったかな? entryはあってbootpには使ってんだけど。
329 名前：326 [04/01/31 02:47]: >>325
dhcpHWAddress: ethernet xx:xx:xx:xx:xx:xx;
dhcpStatements: fixed-address 192.169.0.1;

これでいけるかな？
330 名前：名無しさん＠お腹いっぱい。 [04/01/31 09:48]: DHCP鯖はここで
www.isc.org/index.pl?/sw/dhcp/
LDAP用のパッチはここ
www.lunytune.net/isc-ldap.html

dhcpd-conf-to-ldap.pl
をいじってコンパイル、インストール

/etc/dhcpd.conf　は
ldap-server "192.168.1.100";
ldap-port 389;
ldap-username "cn=xx,dc=xx,dc=xx";
ldap-password "";
ldap-base-dn "dc=xx,dc=xx";
ldap-method dynamic;

はこんな感じですね。

そんでもってdhcpServerが含まれるエントリは作成するのですが、
DHCP鯖は無条件にホスト名をcnとするので注意して下さい。
あとdhcpServiceが含まれたエントリを作成して鯖の動作を定義します。
最後にdhcpServer配下に個別のサービスを指定したエントリを追加
すれば完了です。
331 名前：名無しさん＠お腹いっぱい。 [04/02/02 23:09]: >>329,330
ありがとうございます！
ただ、会社で使っているのがfedora coreのため、パッチがある
dhcp-3.0.1rc11だと、makeが完了せず、エラー１でストップし
てしまいます。（rc12だと、問題なくmake installまでできるが、
その代わり、パッチが当てられない･･･）

で現在、rc12とrc11の差分を調べていて、どんどんドツボには
まっている状態です。。。

でも、patchのtarの中にあったReadmeなどのおかげで、dhcp用
のschemaを作ることができて、dhcpHostなどのobjectClassを
追加できるようにはなりました。。。
332 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/03 15:02]: NTLM のサポートはしてるけど。。

www.polarhome.com:793/manual/cyrus-sasl-2.1.10/sysadmin.html

>Q: Is NTLM supported?
>A: The NTLM mechanism is a non-standard, undocumented mechanism developed by
> Microsoft. It's included in the SASL distribution purely for sites that need it to interoperate
>with Microsoft clients (ie, Outlook) and/or servers (ie, Exchange); we don't support it.
> Don't enable it unless you know you need it.
333 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/03 15:10]: >>331
DHCP 3.0pl2はやってみましたか？

>で現在、rc12とrc11の差分を調べていて、どんどんドツボには
>まっている状態です。。。

調べてみたけどヘッダの差分が問題になっている気がする。
あくまで気がするというレベルだけどね。ニーズがあれば修正はすぐ
できるレベルだけど3.0pl2じゃだめかなぁ。
334 名前：331 [04/02/03 16:12]: うっかりしてまして、README.ldap の中に、
Makefile add -lldap to the LIBS= line
と書いてありました。。スミマセン･･一応、Make installまで
できましたが、現在、dhcpd.confと、LDAPのエントリ作成で
はまっています。
つまり。。。
dhcpd.confには、
　ldap-server "192.168.1.100";
　ldap-port 389;
　ldap-username "cn=xx,dc=xx,dc=xx";
　ldap-password "";
　ldap-base-dn "dc=xx,dc=xx";
　ldap-method dynamic;

だけを記述して、subnetやnetmask、option routerやrangeなどは、
dhcpServiceとか、dhcpSubnetとかに記述する･･･ってことなんでし
ょうかね･･･？
335 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/03 17:37]: >>334
README.ldapを参考に一通りやってみたら？
それとも参考にしてもできなかった？
336 名前：331 [04/02/03 21:57]: うまくいかなかった謎がちょっと解けました。
原因①　dhcpServiceの記述のケアレスミスがあった･･･
原因②　326で紹介していただいた、
　　　　ttp://www.kbs.twi.tudelft.nl/People/Staff/B.Sletterink/tools/
　　　　を先に当てると、/etc/init.dのdhcpのスクリプトを、
　　　　pythonを利用する版に書き換えてしまっていて、それを
　　　　引きずってしまっていた。。。

ので、明日、fedoraの再インストールから、きれいさっぱり
やり直してみようと思います。。。
337 名前：331 [04/02/05 22:16]: 何回か、Fedora再インストールから繰り返し、何とか、きちんと動作する
手順を見つけました。最終的に、pl2を使いました。

①LDAPのインストール（rpmで）
②pl2.tar.gz　の展開
③patchを当てる　（-p0付きで）
④contrib/dhcpd-conf-to-ldap.plのbaseDNを書き換え
　※ただし、なぜかpatchをしても、～.plができないので、
　　とりあえず失敗したときにできたものをcp
⑤Makefile.confの、LIB=　に、「-llber -lldap」を書き込み
⑥./configure -> make -> make install
⑦以下のファイルを適切に書き換える
　slapd.conf,ldap.conf,dhcpd.conf
⑧LDAPにエントリを追加
⑨touch /ver/state/dhcp/dhcpd.leases
　※dhcpd.confにsubnetの定義が無いと、LDAPに
　dhcpOptionsでエントリを追加していてもdhcpd
　起動時にno declarationで怒られる。
⑩/etc/init.d　にScriptが無いので、適当に持ってきてcp
⑪ldapとdhcpdを起動

ってな感じでした。とりあえず何とか･･。
ありがとうございました。
338 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/05 23:16]: ところでIPアドレス<->MACアドレスをLDAP上に置く目的は?
339 名前：今日のへぇ～ mailto:age [04/02/08 18:03]: LDAP is pronounced "えるだっ(　´,_ゝ`)ﾌﾟｯ"
340 名前：名無しさん＠お腹いっぱい。 [04/02/08 23:00]: >>338
Macアドレスでの、DHCP Client管理をやりたいんだけど、
追加や変更の頻度が高いので、直接dhcpd.confに書き
込んでしまうと、その都度dhcpdの再起動をしなければ
ならなくなるので、もし記載ミスで起動しなかった場合
の影響を考えると、LDAPに持たせるほうがいいかなぁ。。。
と。
341 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/09 15:37]: LDAPサーバが動いてないと機能しないシステムって
どうなんでしょうかね。

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef