LDAPについて

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 05/18 01:27 / Filesize : 285 KB / Number-of Response : 969
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

LDAPについて

1 名前：名無し君 [02/02/02 20:53]: 語りましょう。
私は俺はこんなものまでLDAPで管理している等々。。
282 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/14 22:11]: >>281
SQLサーバの認証は?
userPassword属性をODBCで読まれるとまずいわけだが。
283 名前：slapd のユーザ [03/10/14 22:20]: >>282 IDENT でいいかと…
284 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/14 23:42]: ああ、local onlyだからidentで十分か。
SO_PEERCREDでユーザ特定できるもんね。
285 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/03 17:39]: おつかれさんです。

VAリナックス、OpenLDAPにおける同期レプリケーション機能等を公開
japan.linux.com/news/03/12/03/0625231.shtml
286 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/06 14:35]: これかな。

High-Available OpenLDAP
openldap-ha.sourceforge.net/
信頼性の高いLDAPシステムを構築する
openldap-ha.sourceforge.net/syncbackup.html.ja
287 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/12 00:22]: >>277
FreeBSDで、pam_mkhomedir.soに変わるものってあるんですか？
288 名前：名無しさん＠お腹いっぱい。 [03/12/19 05:08]: ユーザアカウントの一元管理としてNISを使うのと、
PAM+LDAPの組み合わせはどちらがいいと思いますか？
やっぱりこれからは認証の枠組みを超えて、
データの統合化を見据えて、無理やりにでもLDAPや
RDBを用いるべきなんですかね。
UNIXの構築運用を任されて、いま勉強しているところ
なんですが、判断に迷います。
289 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/19 06:10]: >>288
アカウントになにを含めるかが重要。単にUNIXでパスワードの認証だけを
すればいいのなら、今から構築するのでもNISでもOKじゃないの?

将来的にさまざまなユーザデータも入れたいとか、マルチOSになるとか
いう可能性があるのならLDAPにしたほうがいいけど。

それに、無理やりにでもという意味が不明。何で無理やりなの? どこが無理やりなの？
単にお前の知能が足りないだけじゃないの?
290 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/19 07:15]: >>289
UNIXの運用に関しては素人ですが、
ある組織のサーバー管理を任されました。
管理するアカウント数は130程度ですが、これが今後どう
変わっていくかは現時点では予測できません。
またユーザデータが将来どう使われるかも分りません。
現時点でのアカウント数から考えればNISを使ってシンプルな
構成にするのがよさそうですが、後からユーザー情報の一元管理が
求められた時に移行の手間がかかるのはやっかいかと思います。
そういう意味で「無理やり」にでも最初からデータ管理用の何かを
入れるべきなのかなと思っていました。
ディレクトリサービスはRDBとはまた違った概念なので、
それで何が出来るのか勉強しなくてはならないことは承知のうえです。
プロの方がどのようなケースでLDAPの採用を決めるのか
参考にさせて頂きたい、なと。
291 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/19 07:39]: >>290
NISのサーバは何にするの?
> SunはNISを将来サポートしなくなると思うが大丈夫か? (というか一時ハズレた)

組織の各subnetはどのくらい離れているの?
> NISはreplica serverへの同期はmap全体のみ。大丈夫か?

NISが喋れないclientはないか?
> Microsoftは、Service for UNIXをいつまでreleaseするのか?
> これからLDAPのmeta serverに移行していくことはないか?
> UNIX以外にLDAP clientが増える可能性があるか?

securityはどう考えるのか? snoopingはどうか?
> NIS+のDES認証modeは手軽でsecure。
> LDAPはちゃんと設計する必要がある。NISはmap単位のsecurity。

などを考えないといけませんな。
正直LDAPをsupportしてない古いclientがなければ、LDAPの方が簡単。
292 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/19 09:04]: >>291
丁寧なレスをありがとうございます。
docs.sun.com/db/doc/806-7089/6jg0449ic?l=ja&a=view
ここなどを読んで分ったような気になっていたので、教えて頂いたことが
とても難しく感じられます。時間的に少し余裕があるので、
OpenLDAPとSambaについて勉強するところから始めたいと思います。
293 名前：>>292 mailto:sage [03/12/19 10:24]: samba?
そのsubnetにWindowsはいるの? PDCは誰?
WindowsがいるとLDAPは難易度がかなり増す。
英語のドキュメント必読。

Service for UNIX使えばWindowsもNIS clientに出来る。
これは簡単。ホームのNFS mountもOK。
ただ95系はダメだわな。Service for UNIXないもん。
294 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/19 10:34]: >>291
NISとNIS+混同してる部分が多くないか、それ?
295 名前：>>292 mailto:sage [03/12/20 07:39]: >>294
たとえばどれ?
NISは"replica"って用語じゃなかったかな?
296 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/22 00:14]: >>290
FreeBSD+LDAPで、ユーザ管理をさせたかったのでいろいろ挑戦してみたが
以下の理由であきらめた

・adduserで簡単にユーザ追加ができない
・LDAPに直接ユーザを追加した場合のUIDとGIDの扱いが難しい
・ホームディレクトリの作成がされない
・FreeBSD5.1で、すでに問題が発生している

上記の問題は、OpenLDAPとSambaで対応できるが
まだ、試していないが問題が出そう・・・
297 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/22 00:18]: >>296
FreeBSDってNSSあるんですか?
この辺り笑えるくらい遅れてないですか?
298 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/22 10:20]: >>297
5系列にはあるよ。
まあ、今5系に手を出すのはLinuxの2.6系に手を出すのと同じくらい怖いけど。

ま、遅れてるところが気になったら移植よろしく。
299 名前：名無しさん＠お腹いっぱい。 [03/12/23 16:26]: OracleのユーザをOpenLDAPで管理（認証）することは可能？
300 名前：名無しさん＠お腹いっぱい mailto:sage [03/12/23 22:52]: >299
可能
301 名前：名無しさん＠お腹いっぱい。 [03/12/24 09:32]: >300
ホントですか？！
いろいろ調べたんですがどこにも載ってなくて・・
何か参考になる所があったら教えていただけませんか？
302 名前：300 mailto:sage [03/12/24 16:57]: >301
それはともかく、Oracle->LDAP認証にする意味は？
将来的にOracleを破棄する予定でしょうか？

そうでないなら、LDAP->Oracle連携でもいいような気がするけど。
->back SQLで
303 名前：名無しさん＠お腹いっぱい。 [03/12/24 17:21]: >302
やっぱりOracle->LDAPで認証はあまり意味がないのでしょうか？？
これにする理由は特にないのですが、可能なら試して見たいと
ただそれだけで・・・
304 名前：300 mailto:sage [03/12/24 18:27]: >303
なるほど、好奇心ということですね。

いや、普通に考えれば、ユーザ情報は、既存のＤＢに登録されているなら
それをＬＤＡＰから利用とかってことになるでしょ。（統合の際）
だから、そう思ったの。
305 名前：名無しさん＠お腹いっぱい。 [03/12/24 20:31]: >304
色々ありがとうございます。
OpenLDAPを勉強するにあたって参考にしたＨＰとかあるんですか？
306 名前：300 mailto:sage [03/12/25 01:28]: >305
基本は、ソース添付のドキュメントです。
いくつかのＨＰを見ましたが、その内容で動作しないものが多くて
結局ソースを追っかけながら確認。
おかげで、samba付属のスキーマのバグなどにも気づいて
対処できました。

この板だったかsamba板だかで、雑誌記事の誤りについて
触れられてからの追っかけなんで偉そうなことは言えませんが。
307 名前：名無しさん＠お腹いっぱい。 [03/12/25 08:25]: <306
何から何まですみません。。
どーいう場合にOpenLDAPを使えば一番有効に活用できるのでしょうか？
308 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/25 08:50]: 金がないのにLDAPサーバを立ち上げたい時。
OpenLDAPにしか実装されてない機能を使いたい時。
309 名前：300 mailto:sage [03/12/25 09:57]: >307

>308さんに書かれている理由が１つ。
あとは、１メーカの戦略に振り回されたく無いというのが一番大きい理由かな。

そうそう全入れ替えなんてできないからねぇ。
困ってないのに、サポートが受けられないから、バージョンアップしないと
いけないというのが一番腹立たしいもの。。

だから、OpenLDAPで統合した際に、BackSQLにはPostgreSQL使ったり
しています。（データ規模によって、標準のもの使ったりしますが）

Schemaも、各社の設定の矛盾調整で悩む羽目になったりするから、
OID取得しておくと便利。
310 名前：名無しさん＠お腹いっぱい。 [03/12/25 17:37]: OpenLDAPはセキュリティの強化に何か役立つ事がありますか？
311 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/12/25 18:24]: 例えば、NIS→(Open)LDAPならば、
きめ細かいaccess controlが可能、などと答えることもできるが、
単独一般論でsecurity強化ってことはない。どんなsystemでもね。
312 名前：名無しさん＠お腹いっぱい。 [03/12/25 18:33]: yokaichi.com/ro/
↑すごいよｗ
313 名前：名無しさん＠お腹いっぱい。 [03/12/25 23:18]: もともとOpenLDAPは何をするためのものなのだろう・・・
314 名前：名無しさん＠お腹いっぱい。 [04/01/16 00:18]: >>313
変なこと言うから、スレの流れとまっちゃったじゃねーか！
315 名前：名無しさん＠お腹いっぱい。 [04/01/19 15:54]: 質問させて下さい。
ldapsearchコマンドでOr結合の複数条件で検索を行う時、存在しない属性、
索引が付いていない属性があるとエラーで検索できないのですが、これを
「存在しない属性、索引が付いていない属性への検索は無視する」方法で
検索する事はできないでしょうか？
LDAPサーバの設定、又はコマンドの書き方が悪いのでしょうか？

例：存在しない属性とのOr検索
ldapsearch -h XXXXX -b "c=jp" "(|(mail=test*)(email=test*))" dn

# search result
search: 2
result: 19 Constraint violation

例：索引が付いていない属性とのOr検索
ldapsearch -h XXXXX -b "c=jp" "(|(telephonenumber=03*)(homePhone=03*))" dn

# search result
search: 2
result: 53 DSA is unwilling to perform
316 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/01/19 23:56]: >>315
> ldapsearch -h XXXXX -b "c=jp" "(|(mail=test*)(email=test*))" dn
> result: 19 Constraint violation

*の利用が認められてない属性なんじゃないの?

> ldapsearch -h XXXXX -b "c=jp" "(|(telephonenumber=03*)(homePhone=03*))" dn
> result: 53 DSA is unwilling to perform

limitに達しちゃってんでしょ。増やしなよ。
nsLookthroughLimitじゃない?

ちゃんと/var/ds5/*/logs/errorsみてね。
エラーメッセージもどういう意味かちゃんとドキュメント読めーッ！書いてあるぞ。
317 名前：こどちゃ♪ ● mailto:sage [04/01/25 23:04]: オライリーのLDAP本(LDAP -設定・管理・プログラミング-)
って本を買った。なかなか必要事項がまとまってて，マジお勧め。

www.ldapbrowser.com/index.php

ところで，Softerra LDAP Browserにはアトリビュート追加・編集機能
がついてないんだな。日本語化されてるならAdministratorを買っても
いいんだが，英語版のソフトを$145で買うのもなぁ。
318 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/01/25 23:23]: >>149
ところでそのLDAP Browser/Editorだけど，まともに動いた？
漏れのところではJavaがなかなか言う事を聞いてくれなくて
断念した。2.81も2.82b2も試行錯誤したが，同じ結果だった。

実装のスマートさは>>317のが一番なんだけどね。日本語…。
UTF-8対応はしてるんで，メニュー表示が英語なのを我慢して
使うしかないのかなぁ。
319 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/01/25 23:39]: 「実装のスマートさ」ってソースコード出してないじゃん。
320 名前：こどちゃ♪ ● mailto:sage [04/01/25 23:45]: で，LDAP Clientの話だが，PHPベースで結構おもろい
ものを見つけた。

LDAPNavigatorというやつ。
sourceforge.net/projects/ldapnavigator/

１年ほど新バージョンが出てないんだが，設定してみたら
案外すんなりと動いた。機能も最低限という感じでLDIF大量
流し込みとかには向かなさそうだが，それはそれでいいかと。

>>319
漏れが言ったのは，ソフトを作る上での考え方の話。
つまらん突込みをする位なら何か調べて情報提供ぐらいしろよ。
321 名前：149（たぶん） mailto:sage [04/01/25 23:52]: >>318
漏れのところ(MacOS X 10.3）では、2.82b2問題なく動きました。
たぶん10.2でも動いていたと思う。

こっちの方が、よさげ？
pegacat.com/jxplorer/
322 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/01/25 23:57]: >>320
> 漏れが言ったのは，ソフトを作る上での考え方の話。

そりゃ設計。
323 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/01/26 06:24]: >>322 > /dev/null
324 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/01/28 17:56]: >>322-323 ﾜﾛﾀ
325 名前：名無しさん＠お腹いっぱい。 [04/01/29 11:53]: 誰か、dhcpd.confの
host XXXX{
hardware ethernet xx:xx:xx:xx:xx:xx;
fixed-address 192.169.0.1;
}
の部分を、dhcpd.confに直接書き込むのではなく、LDAPに
持たせることをやったことある人って、いる？
326 名前：名無しさん＠お腹いっぱい。 [04/01/29 12:12]: >>325
www.kbs.twi.tudelft.nl/People/Staff/B.Sletterink/tools/
これ？
327 名前：名無しさん＠お腹いっぱい。 [04/01/31 00:06]: >>326
さんくす。
でもよくよく見てみたら、LDAPにdnを追加したり、dnを
書き換えたりするたびに、dhcpd.conf自体をその都度書き
換えてしまうから、ホスト数が数十くらいならOKかもしれ
ないけど、数百単位のホストで、しかもMacアドレスの改
廃が頻繁に行われるには、ちょっと向いていないかも。。
328 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/01/31 00:27]: Solaris使えば?
Mac OS X Serverはどうだったかな? entryはあってbootpには使ってんだけど。
329 名前：326 [04/01/31 02:47]: >>325
dhcpHWAddress: ethernet xx:xx:xx:xx:xx:xx;
dhcpStatements: fixed-address 192.169.0.1;

これでいけるかな？
330 名前：名無しさん＠お腹いっぱい。 [04/01/31 09:48]: DHCP鯖はここで
www.isc.org/index.pl?/sw/dhcp/
LDAP用のパッチはここ
www.lunytune.net/isc-ldap.html

dhcpd-conf-to-ldap.pl
をいじってコンパイル、インストール

/etc/dhcpd.conf　は
ldap-server "192.168.1.100";
ldap-port 389;
ldap-username "cn=xx,dc=xx,dc=xx";
ldap-password "";
ldap-base-dn "dc=xx,dc=xx";
ldap-method dynamic;

はこんな感じですね。

そんでもってdhcpServerが含まれるエントリは作成するのですが、
DHCP鯖は無条件にホスト名をcnとするので注意して下さい。
あとdhcpServiceが含まれたエントリを作成して鯖の動作を定義します。
最後にdhcpServer配下に個別のサービスを指定したエントリを追加
すれば完了です。
331 名前：名無しさん＠お腹いっぱい。 [04/02/02 23:09]: >>329,330
ありがとうございます！
ただ、会社で使っているのがfedora coreのため、パッチがある
dhcp-3.0.1rc11だと、makeが完了せず、エラー１でストップし
てしまいます。（rc12だと、問題なくmake installまでできるが、
その代わり、パッチが当てられない･･･）

で現在、rc12とrc11の差分を調べていて、どんどんドツボには
まっている状態です。。。

でも、patchのtarの中にあったReadmeなどのおかげで、dhcp用
のschemaを作ることができて、dhcpHostなどのobjectClassを
追加できるようにはなりました。。。
332 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/03 15:02]: NTLM のサポートはしてるけど。。

www.polarhome.com:793/manual/cyrus-sasl-2.1.10/sysadmin.html

>Q: Is NTLM supported?
>A: The NTLM mechanism is a non-standard, undocumented mechanism developed by
> Microsoft. It's included in the SASL distribution purely for sites that need it to interoperate
>with Microsoft clients (ie, Outlook) and/or servers (ie, Exchange); we don't support it.
> Don't enable it unless you know you need it.
333 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/03 15:10]: >>331
DHCP 3.0pl2はやってみましたか？

>で現在、rc12とrc11の差分を調べていて、どんどんドツボには
>まっている状態です。。。

調べてみたけどヘッダの差分が問題になっている気がする。
あくまで気がするというレベルだけどね。ニーズがあれば修正はすぐ
できるレベルだけど3.0pl2じゃだめかなぁ。
334 名前：331 [04/02/03 16:12]: うっかりしてまして、README.ldap の中に、
Makefile add -lldap to the LIBS= line
と書いてありました。。スミマセン･･一応、Make installまで
できましたが、現在、dhcpd.confと、LDAPのエントリ作成で
はまっています。
つまり。。。
dhcpd.confには、
　ldap-server "192.168.1.100";
　ldap-port 389;
　ldap-username "cn=xx,dc=xx,dc=xx";
　ldap-password "";
　ldap-base-dn "dc=xx,dc=xx";
　ldap-method dynamic;

だけを記述して、subnetやnetmask、option routerやrangeなどは、
dhcpServiceとか、dhcpSubnetとかに記述する･･･ってことなんでし
ょうかね･･･？
335 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/03 17:37]: >>334
README.ldapを参考に一通りやってみたら？
それとも参考にしてもできなかった？
336 名前：331 [04/02/03 21:57]: うまくいかなかった謎がちょっと解けました。
原因①　dhcpServiceの記述のケアレスミスがあった･･･
原因②　326で紹介していただいた、
　　　　ttp://www.kbs.twi.tudelft.nl/People/Staff/B.Sletterink/tools/
　　　　を先に当てると、/etc/init.dのdhcpのスクリプトを、
　　　　pythonを利用する版に書き換えてしまっていて、それを
　　　　引きずってしまっていた。。。

ので、明日、fedoraの再インストールから、きれいさっぱり
やり直してみようと思います。。。
337 名前：331 [04/02/05 22:16]: 何回か、Fedora再インストールから繰り返し、何とか、きちんと動作する
手順を見つけました。最終的に、pl2を使いました。

①LDAPのインストール（rpmで）
②pl2.tar.gz　の展開
③patchを当てる　（-p0付きで）
④contrib/dhcpd-conf-to-ldap.plのbaseDNを書き換え
　※ただし、なぜかpatchをしても、～.plができないので、
　　とりあえず失敗したときにできたものをcp
⑤Makefile.confの、LIB=　に、「-llber -lldap」を書き込み
⑥./configure -> make -> make install
⑦以下のファイルを適切に書き換える
　slapd.conf,ldap.conf,dhcpd.conf
⑧LDAPにエントリを追加
⑨touch /ver/state/dhcp/dhcpd.leases
　※dhcpd.confにsubnetの定義が無いと、LDAPに
　dhcpOptionsでエントリを追加していてもdhcpd
　起動時にno declarationで怒られる。
⑩/etc/init.d　にScriptが無いので、適当に持ってきてcp
⑪ldapとdhcpdを起動

ってな感じでした。とりあえず何とか･･。
ありがとうございました。
338 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/05 23:16]: ところでIPアドレス<->MACアドレスをLDAP上に置く目的は?
339 名前：今日のへぇ～ mailto:age [04/02/08 18:03]: LDAP is pronounced "えるだっ(　´,_ゝ`)ﾌﾟｯ"
340 名前：名無しさん＠お腹いっぱい。 [04/02/08 23:00]: >>338
Macアドレスでの、DHCP Client管理をやりたいんだけど、
追加や変更の頻度が高いので、直接dhcpd.confに書き
込んでしまうと、その都度dhcpdの再起動をしなければ
ならなくなるので、もし記載ミスで起動しなかった場合
の影響を考えると、LDAPに持たせるほうがいいかなぁ。。。
と。
341 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/09 15:37]: LDAPサーバが動いてないと機能しないシステムって
どうなんでしょうかね。
342 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/09 15:56]: >>341
そりゃ不安定要因が増すことになるけど、いまやNIS/NIS+の代わりにLDAP使う
時代だというのに、問題になるのか?
343 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/09 16:34]: >>342
LDAPがダウンしたらクライアントが巻き添えになる事が問題って
ことですよね。340さん
344 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/09 16:34]: 341さんだったｗ
345 名前：名無しさん＠お腹いっぱい。 [04/02/09 17:10]: Oracle Internet Directoryでldapsearchを使った検索時の
条件式の書き方について質問があります。

「田中某さん、又はABC会社所属」を検索したい時は
　'(|(cn=Tanaka*)(o=ABC*))'　で検索できるのですが、
上記の逆「田中某さんではなく、ABC会社所属でもない」を
検索するのに　'(!(|(cn=Tanaka*)(o=ABC*)))'　と指定すると
エラーになってしまいます。
　'(&(!(cn=Tanaka*))(!(o=ABC*)))'　とすると検索できます。

not演算子の書ける位置は決まりがあるのでしょうか？
346 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/09 23:05]: >>345
エラーメッセージはぁ?

それはともかく、LDAP的にはfilterに制限はない。
しかし、serverの方では実装ごとに制限や設定項目がある。
制限しないと、複雑なfilterでsearchするというDoSアタックを受けてしまう。

というわけでserver側にいろいろ設定するところがあるから、
その辺りをいじればなんとかなるかも。

Oracleのは触ったことがないから、こんなところで。(つづく)
347 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/09 23:18]: >>345
賢いfilter compilerでpre-compileしてない場合、

> 　'(&(!(cn=Tanaka*))(!(o=ABC*)))'　とすると検索できます。

こっちは、疑似コードで書くと、

foreach (@entrys) {
　 if ($_.cn !~ /Tanaka*/) {
　 if ($_.cn !~ /ABC*/) {
　 push(@result, $_);
　 }
　 }
}

とショートカット論理積で効率良く実行出来る。

> 検索するのに　'(!(|(cn=Tanaka*)(o=ABC*)))'　と指定すると

こっちは、(|(cn=Tanaka*)(o=ABC*))に該当する集合を作ってから、
その補集合をとる必要があって、結構な手間が。scopeがsubだと悲惨。
348 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/09 23:20]: で、さっきの話に戻るけど、
後者はOracleのサーバで設定された上限に引っ掛かるんだと思う。
349 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/10 00:34]: >>346

> 制限しないと、複雑なfilterでsearchするというDoSアタックを受けてしまう。

Oracle Internet Directoryでanonymous提供してるとこってある
かな～。
350 名前：345 mailto:sage [04/02/10 14:42]: >>346
'(!(|(cn=Tanaka*)(o=ABC*)))'を指定した場合、
oracleのbinにあるldapsearchを使うと下の答えを返してきます。
ldap_search: 制約違反です。

/usr/bin/ldapsearch　を使うと下の答えを返してきました。
result: 19 Constraint violation

'(&(!(cn=Tanaka*))(!(o=ABC*)))'を指定した場合は
どちらのldapsearchも該当する答えを返してきました。
351 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/10 14:49]: RFC 2251「Lightweight Directory Access Protocol (v3)」より
constraintViolation (19),

後はOracleのdocument調べなよ。
>>347に書いた理由から、iPlanetのserverだと nsslapd-lookthroughlimitに引っ掛かる。
352 名前：名無しさん＠お腹いっぱい。 [04/02/12 22:16]: 質問させてください。
OpenLDAPの2.1.26をRedhat Linux8.0にインストールしようとしています。
/usr/libに、regex.hがあるのに、configureで　
configure: error: POSIX regex.h requiredと言われてしまいます。

googleで探してみたりしましたが、一向に解決しなくてずっと足踏みです。
何か解決の糸口だけでもいいので、教えていただけませんでしょうか？
一度、Linux板で聞いてみましたが、聞き方が悪かったのか、スルーされてしまい、
こちらに流れ着いてきました。

OS依存の質問かもしれないので、板違いとおっしゃられるかもしれませんが、
何としてでも解決したいのです。
技術評論社のOpenLDAP入門という本を買って、バージョンもほぼ本の通りに
そろえてます。(BerkeleyDB4.1.25 OpenLDAP2.1.26など saslやkerberosは入れてない)
上記　よろしくお願いします。
353 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/12 22:27]: ${OPENLDAP}/include/ac/regex.hより、

#ifndef HAVE_REGEX_H
/* NO POSIX REGEX!!
you'll need to install a POSIX compatible REGEX library.
Either Henry Spencer's or GNU regex will do.

For NT: people.delphi.com/gjc/hs_regex.html
*/
#error "No POSIX REGEX available."

というわけでGNU regexをinstallすれ。後はくだ質 or Red Hatスレで。
354 名前：352 mailto:sage [04/02/12 22:34]: >>353
ありがとうございます。installしてみます。
355 名前：名無しさん＠お腹いっぱい。 [04/02/13 14:29]: NISサーバで出来てLDAPで出来ないことってなに？
356 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/13 15:47]: NISにしか対応していないクライアントの面倒をみること。
357 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/14 18:08]: >>356
最近のUNIXシステムならPAMのような機構が入ってるから，
困ることは少なそうね。LDAPモジュールを用意する手間はあるけど。
358 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/14 18:14]: PAM LDAPモジュールも今時のシステムには完備だけど、
なければwww.padl.comの奴が使える。NSS LDAPモジュールも込み。
359 名前：名無しさん＠お腹いっぱい。 [04/02/15 17:34]: このスレってどっちかというとデータベース板の方がいいよな。
スキーマ定義の話までいけば、RDBの使い方に関する難しさと
何も変わらんでしょ。
360 名前：名無しさん＠お腹いっぱい。 [04/02/15 19:29]: OpenLDAPで、基本？のアドレス帳を作ってます。
Windows側から検索もできるようになりました。
ひとつ質問なんですが、cn;Lang-ja:名前　などとして、iconv経由で
ldifを読み込ませて、LDAPBrowserとかでは日本語表示されますが、
OutLook expressとかで表示名を日本語にするにはどうすればいいんでしょ？
MozillaだとdisplayNameをに日本語にするといいらしいんですけど、
OEだとdisplayName;Lang-ja:として日本語の名前をつけても英語表示の
ままなんです。日本語表示にはどうすればいいの？
この質問は板違いですかね？
361 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/16 03:51]: >>359
ディレクトリシステム(データベースの一種)として
LDAPを考えるならデーターベース板扱いになるね。
けど，その段階に到達できない管理者も多くいるわけで。

また，認証システムとしてのLDAPなら，この板で
やるのが一番ましなのかな。Windowsでも使えるけど，
おまけ的扱いだしUNIXでの利用が一番多いかと。
362 名前：名無しさん＠お腹いっぱい。 [04/02/16 14:21]: LDAPでパスワード無しのユーザを認証をしている方いますか？
パスワード無しだとでたらめなユーザIDでも認証されません？
ネットでLDAP認証のサンプルソース（JAVA）を見るとLDAP認証前に
ユーザプログラムではじいてるようなのですが。。。
LDAP Browserもパースワード無しだと認証前にエラーとなります。
パスワード無しは無理なんですかね～

それともWin2003SvrのLDAPが駄目なんですかね？
363 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/17 09:31]: >>362
> パスワード無しだとでたらめなユーザIDでも認証されません？

この文の意味がわからん。(ので全体的な主旨が掴めない)

>>359
あなたの言っていること(リレイションベースのdirectory=RDB)は問題外。
364 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/17 09:32]: >>362
> LDAPでパスワード無しのユーザを認証をしている方いますか？

これが可能かどうかは、ldapsearchで簡単に調べられるでしょ。
365 名前：名無しさん＠お腹いっぱい。 [04/02/17 12:06]: >>363
www.geocities.co.jp/SiliconValley/4137/dir3/tcljava14.html
↑ここに書いてあるLDAP認証を参考にLDAP接続処理を作ったところ
　ユーザIDとパスワードに1文字以上設定されていればLDAPに存在しない
　ユーザ情報だと認証されないが
　ユーザIDもしくはパスワードが空白だと無条件で認証されてしまう。
　というかユーザIDとパスワードを指定しなくても認証できる。

　サーバのセキュリティはこれでもかってぐらいガチガチに固めて終いには
　管理者もログイン出来なくなり再インストールを余儀なくされました。。。

>>364
LDAPに一度繋いでからLDAP内を検索する方法ですか。。。
ワンクッションおかずにダイレクトに認証出来ると最高なのですが
でもありがとうございますldapsearchの方法も最終手段として検討してみます。

かれこれ1週間近く調べてますがLDAP認証を行っているプログラムで
パスワード無しを認めている処理が見当たりません。
駄目なんですかね～
セキュリティ的にはもちろん駄目ですけど。。。
366 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/17 12:10]: >>365
> 　ユーザIDもしくはパスワードが空白だと無条件で認証されてしまう。

「両方空」は"anonymous bind"でしょ。
禁止したければ、サーバ側のACLの設定で。

あなたは個人認証とbindがごっちゃになってる。

> >>364
> LDAPに一度繋いでからLDAP内を検索する方法ですか。。。

そうじゃなくて、

> LDAPでパスワード無しのユーザを認証をしている方いますか？

の真偽は、ldapsearchで簡単に調べられると言うこと。
367 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/17 12:11]: それから、LDAPの知識が足りないようだから、
LDAPのレベルで語ろうとせずに、何がやりたいかを語った方がいいと思う。
質問の意図や状況が良く分からない。
368 名前：名無しさん＠お腹いっぱい。 [04/02/17 13:21]: >>367
素人の質問に何度も答えて頂きありがとうございます。
ldapsearchについては私の早とちりだったみたいですいません。
調べ直します。

状況としては
現在Linux上で動いているシステムのログインに必要なIDとパスワードを
Win2003Svrで管理する為LDAPを使用していたのですが、
パスワードが空白だと登録されていないIDでも無条件に
ログインできる障害がありまして急遽対策していました。
時間が無いので暫定としてパスワード無しは認めないように対策しました。

将来的にパスワード無しのユーザも認証したいので
LDAP認証について引き続き調べてました。

LDAPもWin2003Svrも今回の障害対策で
初めて触ったのでわからないことだらけて行き詰ってました。

ldapsearchとACL
貴重なキーワードありがとうございます。
これを手がかりに自分で調べ直して見ます。

時間があれば基礎から勉強したほうがよさそうですね。。。
369 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/18 07:28]: >>368
> 現在Linux上で動いているシステムのログインに必要なIDとパスワードを
> Win2003Svrで管理する為LDAPを使用していたのですが、

これはどう認証しているの? PAM? 自前のprogram?
それがはっきりしないとLinux(LDAP client)側の問題か、
Windows 2003 server(LDAP server)側の問題かはっきりしないよね?

そもそも認証にbind operation使っているかどうかも定かじゃないわけだし。

> パスワードが空白だと登録されていないIDでも無条件に
> ログインできる障害がありまして急遽対策していました。

LDAP server側に問題があるなら、それはldapsearchで確認できる。

# 十中八九client側が自前のプログラムでそこに問題があるんだと思うが。

> 時間が無いので暫定としてパスワード無しは認めないように対策しました。

それはどうやって? LDAPとは関係なくその手前の段階の自前プログラムで?

> 将来的にパスワード無しのユーザも認証したいので
> LDAP認証について引き続き調べてました。

これは独立の問題なのね。こっちは問題ないと思うよ。
370 名前：名無しさん＠お腹いっぱい。 [04/02/20 09:06]: >>369
ご返信が遅くなり申し訳ございません。
別作業が忙しくなりLDAPの調査は中断しております。

ちなみに認証は自前のJAVAプログラムでJNDIを使っております。
パスワード無しは自前のプログラム内でLDAP認証前にはじくようにしました。

JNDIを使ってLDAP認証を行っているJAVAのソースをネットで検索すると
認証前にパスワード無しははじいているので
もしかするとJAVAのJNDIはパスワード無し駄目なのかな～
とも思ったりしますが
JAVAについても始めて日が浅いので検討違いかもしれません。。。

構築したActiveDirectoryにWindowsからログインする分には
パスワード無しのユーザもパスワード有りのユーザも
ちゃんと認証はされます。

しばらく別作業が忙しくLDAPについて調べる時間が無いので
時間が出来たら教えて頂いた情報を元にいろいろが角度から
原因を調べてみたいと思います。

どうもありがとうございました。
371 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/20 11:19]: >>370
> JNDIを使ってLDAP認証を行っているJAVAのソースをネットで検索すると
> 認証前にパスワード無しははじいているので
> もしかするとJAVAのJNDIはパスワード無し駄目なのかな～
> とも思ったりしますが

アプリのロジック、セキュリティポリシーとしては、パスワードなしのユーザを認めたくない。
しかし、JNDI+LDAPではパスワードなしのユーザを認証してしまう。
だから、事前に弾いている、と考えるのが自然では?
372 名前：名無しさん＠お腹いっぱい。 [04/02/21 00:22]: ActiveDirectoryからLDAPで引っ張ってユーザ認証（具体的にはsquid）させたい
んですがうまくいきません。
ActiveDirectoryインストールして、OU作ってその下にユーザを登録したんですが
他に何か作業が必要ですか？そもそもなんてDNで問い合わせれば良いかも確信が持てません・・・。
LDAPに関しては初心者なのでチンプンカンプンな事を言ってるかも知れませんが、
どなたかアドバイスを頂けませんか？
373 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/21 00:27]: >>372
> ActiveDirectoryインストールして、OU作ってその下にユーザを登録したんですが

どこに作ったの? Base DN分からなければ、

> 他に何か作業が必要ですか？そもそもなんてDNで問い合わせれば良いかも確信が持てません・・・。

DN分からないよね。DN分かったら、とりあえずldapsearchで認証してみれ
374 名前：名無しさん＠お腹いっぱい。 [04/02/21 00:43]: >>373
ありがとうございます。
BaseDNは example.comで登録しました。ホスト名はADです。
その下にtestってOU作ったんですが、問い合わせの際のDNは
OU=test,O=example,C=com　ですか？（汗
OU=test,DC=example,DC=com　ですか？（汗

あー恥ずかしい、勉強しますんで誰か良いURL教えてください。。。
375 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/21 01:14]: ou=test,dc=example,dc=comでしょ

www.wlug.org.nz/ActiveDirectoryAuthenticationNotes
376 名前：372 [04/02/21 01:53]: ドメインは実際には”ホゲ.co.jp”としてあります。
openldapではconfにBaseDNを記述するみたいですが、
ActiveDirectoryでBaseDNを確認する方法ってありますか？
377 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/21 02:18]: そりゃ、板違い。
www.microsoft.com/windows2000/techinfo/administration/activedirectory/adops.asp
378 名前：名無しさん＠お腹いっぱい。 [04/02/23 17:27]: >>371
何度もご意見ありがとうございます。
>アプリのロジック、セキュリティポリシーとしては、パスワードなしのユーザを認めたくない。
私も初めはそうかと思ったのですがサンプルソースからパスワードの未入力チェックを
外すと例のパスワード無しだと無条件で認証されてしまう現象が再現したので
どうなのかな～という状況です。

時間が出来たらいろいろ試して結論を出したいと思います。
結論が出たらご報告します。（4月以降になりそうですが。。。）
379 名前：初めてのLDAP [04/02/24 00:21]: どうもこんにちは。
今度、初めてLDAPを触ることになったものです。iPlanetを使っています。
教えて頂きたいのですが、Administratorなどの管理者用ユーザーでLDAP接続を
行った場合、他のユーザーのパスワードを取得することは可能でしょうか？
パスワードは「*****」みたいになっていて、パスワードを取得しても値が読め
ないのではないかと心配しています。（当方、作業環境が整っておらず、実際に実行
して調べることができないのです。（涙））
取得できるか、と取得した値が文字変換されていたりするのであれば、その変換方法
を教えてください。
超初心者なので的外れなことを言っていたらすいません。
何卒よろしくお願い致します。
380 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/24 09:07]: >>378
プログラム晒せや
>>379
password-storage-schemeがclearの場合用意。
それ以外の場合困難。
SSL使ってないならタッピング攻撃しただけでbindオペレーションのパスワードスルスル。
381 名前：名無しさん＠お腹いっぱい。 [04/02/24 17:52]: >>380
サンプルソースは365
382 名前：名無しさん＠お腹いっぱい。 [04/02/29 00:13]: ホームディレクトリが、
Solarisは/export/home/hiroyuki
Linuxは/home/hiroyuki
なんかの場合、LDAPにどのような形で格納するとよいですか?

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef