LDAPについて

1 名前：名無し君 [02/02/02 20:53] 語りましょう。 私は俺はこんなものまでLDAPで管理している等々。。 331 名前：名無しさん＠お腹いっぱい。 [04/02/02 23:09] >>329,330 ありがとうございます！ ただ、会社で使っているのがfedora coreのため、パッチがある dhcp-3.0.1rc11だと、makeが完了せず、エラー１でストップし てしまいます。（rc12だと、問題なくmake installまでできるが、 その代わり、パッチが当てられない･･･） で現在、rc12とrc11の差分を調べていて、どんどんドツボには まっている状態です。。。 でも、patchのtarの中にあったReadmeなどのおかげで、dhcp用 のschemaを作ることができて、dhcpHostなどのobjectClassを 追加できるようにはなりました。。。 332 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/03 15:02] NTLM のサポートはしてるけど。。 www.polarhome.com:793/manual/cyrus-sasl-2.1.10/sysadmin.html >Q: Is NTLM supported? >A: The NTLM mechanism is a non-standard, undocumented mechanism developed by > Microsoft. It's included in the SASL distribution purely for sites that need it to interoperate >with Microsoft clients (ie, Outlook) and/or servers (ie, Exchange); we don't support it. > Don't enable it unless you know you need it. 333 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/03 15:10] >>331 DHCP 3.0pl2はやってみましたか？ >で現在、rc12とrc11の差分を調べていて、どんどんドツボには >まっている状態です。。。 調べてみたけどヘッダの差分が問題になっている気がする。 あくまで気がするというレベルだけどね。ニーズがあれば修正はすぐ できるレベルだけど3.0pl2じゃだめかなぁ。 334 名前：331 [04/02/03 16:12] うっかりしてまして、README.ldap の中に、 Makefile add -lldap to the LIBS= line と書いてありました。。スミマセン･･一応、Make installまで できましたが、現在、dhcpd.confと、LDAPのエントリ作成で はまっています。 つまり。。。 dhcpd.confには、 　ldap-server "192.168.1.100"; 　ldap-port 389; 　ldap-username "cn=xx,dc=xx,dc=xx"; 　ldap-password ""; 　ldap-base-dn "dc=xx,dc=xx"; 　ldap-method dynamic; だけを記述して、subnetやnetmask、option routerやrangeなどは、 dhcpServiceとか、dhcpSubnetとかに記述する･･･ってことなんでし ょうかね･･･？ 335 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/03 17:37] >>334 README.ldapを参考に一通りやってみたら？ それとも参考にしてもできなかった？ 336 名前：331 [04/02/03 21:57] うまくいかなかった謎がちょっと解けました。 原因�@　dhcpServiceの記述のケアレスミスがあった･･･ 原因�A　326で紹介していただいた、 　　　　ttp://www.kbs.twi.tudelft.nl/People/Staff/B.Sletterink/tools/ 　　　　を先に当てると、/etc/init.dのdhcpのスクリプトを、 　　　　pythonを利用する版に書き換えてしまっていて、それを 　　　　引きずってしまっていた。。。 ので、明日、fedoraの再インストールから、きれいさっぱり やり直してみようと思います。。。 337 名前：331 [04/02/05 22:16] 何回か、Fedora再インストールから繰り返し、何とか、きちんと動作する 手順を見つけました。最終的に、pl2を使いました。 �@LDAPのインストール（rpmで） �Apl2.tar.gz　の展開 �Bpatchを当てる　（-p0付きで） �Ccontrib/dhcpd-conf-to-ldap.plのbaseDNを書き換え 　※ただし、なぜかpatchをしても、〜.plができないので、 　　とりあえず失敗したときにできたものをcp �DMakefile.confの、LIB=　に、「-llber -lldap」を書き込み �E./configure -> make -> make install �F以下のファイルを適切に書き換える 　slapd.conf,ldap.conf,dhcpd.conf �GLDAPにエントリを追加 �Htouch /ver/state/dhcp/dhcpd.leases 　※dhcpd.confにsubnetの定義が無いと、LDAPに 　dhcpOptionsでエントリを追加していてもdhcpd 　起動時にno declarationで怒られる。 �I/etc/init.d　にScriptが無いので、適当に持ってきてcp �Jldapとdhcpdを起動 ってな感じでした。とりあえず何とか･･。 ありがとうございました。 338 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/05 23:16] ところでIPアドレス<->MACアドレスをLDAP上に置く目的は? 339 名前：今日のへぇ〜 mailto:age [04/02/08 18:03] LDAP is pronounced "えるだっ(　´,_ゝ`)ﾌﾟｯ" 340 名前：名無しさん＠お腹いっぱい。 [04/02/08 23:00] >>338 Macアドレスでの、DHCP Client管理をやりたいんだけど、 追加や変更の頻度が高いので、直接dhcpd.confに書き 込んでしまうと、その都度dhcpdの再起動をしなければ ならなくなるので、もし記載ミスで起動しなかった場合 の影響を考えると、LDAPに持たせるほうがいいかなぁ。。。 と。 341 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/09 15:37] LDAPサーバが動いてないと機能しないシステムって どうなんでしょうかね。 342 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/09 15:56] >>341 そりゃ不安定要因が増すことになるけど、いまやNIS/NIS+の代わりにLDAP使う 時代だというのに、問題になるのか? 343 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/09 16:34] >>342 LDAPがダウンしたらクライアントが巻き添えになる事が問題って ことですよね。340さん 344 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/09 16:34] 341さんだったｗ 345 名前：名無しさん＠お腹いっぱい。 [04/02/09 17:10] Oracle Internet Directoryでldapsearchを使った検索時の 条件式の書き方について質問があります。 「田中某さん、又はABC会社所属」を検索したい時は 　'(|(cn=Tanaka*)(o=ABC*))'　で検索できるのですが、 上記の逆「田中某さんではなく、ABC会社所属でもない」を 検索するのに　'(!(|(cn=Tanaka*)(o=ABC*)))'　と指定すると エラーになってしまいます。 　'(&(!(cn=Tanaka*))(!(o=ABC*)))'　とすると検索できます。 not演算子の書ける位置は決まりがあるのでしょうか？ 346 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/09 23:05] >>345 エラーメッセージはぁ? それはともかく、LDAP的にはfilterに制限はない。 しかし、serverの方では実装ごとに制限や設定項目がある。 制限しないと、複雑なfilterでsearchするというDoSアタックを受けてしまう。 というわけでserver側にいろいろ設定するところがあるから、 その辺りをいじればなんとかなるかも。 Oracleのは触ったことがないから、こんなところで。(つづく) 347 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/09 23:18] >>345 賢いfilter compilerでpre-compileしてない場合、 > 　'(&(!(cn=Tanaka*))(!(o=ABC*)))'　とすると検索できます。 こっちは、疑似コードで書くと、 foreach (@entrys) { 　 if ($_.cn !~ /Tanaka*/) { 　 if ($_.cn !~ /ABC*/) { 　 push(@result, $_); 　 } 　 } } とショートカット論理積で効率良く実行出来る。 > 検索するのに　'(!(|(cn=Tanaka*)(o=ABC*)))'　と指定すると こっちは、(|(cn=Tanaka*)(o=ABC*))に該当する集合を作ってから、 その補集合をとる必要があって、結構な手間が。scopeがsubだと悲惨。 348 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/09 23:20] で、さっきの話に戻るけど、 後者はOracleのサーバで設定された上限に引っ掛かるんだと思う。 349 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/10 00:34] >>346 > 制限しないと、複雑なfilterでsearchするというDoSアタックを受けてしまう。 Oracle Internet Directoryでanonymous提供してるとこってある かな〜。 350 名前：345 mailto:sage [04/02/10 14:42] >>346 '(!(|(cn=Tanaka*)(o=ABC*)))'を指定した場合、 oracleのbinにあるldapsearchを使うと下の答えを返してきます。 ldap_search: 制約違反です。 /usr/bin/ldapsearch　を使うと下の答えを返してきました。 result: 19 Constraint violation '(&(!(cn=Tanaka*))(!(o=ABC*)))'を指定した場合は どちらのldapsearchも該当する答えを返してきました。 351 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/10 14:49] RFC 2251「Lightweight Directory Access Protocol (v3)」より constraintViolation (19), 後はOracleのdocument調べなよ。 >>347に書いた理由から、iPlanetのserverだと nsslapd-lookthroughlimitに引っ掛かる。 352 名前：名無しさん＠お腹いっぱい。 [04/02/12 22:16] 質問させてください。 OpenLDAPの2.1.26をRedhat Linux8.0にインストールしようとしています。 /usr/libに、regex.hがあるのに、configureで　 configure: error: POSIX regex.h requiredと言われてしまいます。 googleで探してみたりしましたが、一向に解決しなくてずっと足踏みです。 何か解決の糸口だけでもいいので、教えていただけませんでしょうか？ 一度、Linux板で聞いてみましたが、聞き方が悪かったのか、スルーされてしまい、 こちらに流れ着いてきました。 OS依存の質問かもしれないので、板違いとおっしゃられるかもしれませんが、 何としてでも解決したいのです。 技術評論社のOpenLDAP入門という本を買って、バージョンもほぼ本の通りに そろえてます。(BerkeleyDB4.1.25 OpenLDAP2.1.26など saslやkerberosは入れてない) 上記　よろしくお願いします。 353 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/12 22:27] ${OPENLDAP}/include/ac/regex.hより、 #ifndef HAVE_REGEX_H /* NO POSIX REGEX!! you'll need to install a POSIX compatible REGEX library. Either Henry Spencer's or GNU regex will do. For NT: people.delphi.com/gjc/hs_regex.html */ #error "No POSIX REGEX available." というわけでGNU regexをinstallすれ。後はくだ質 or Red Hatスレで。 354 名前：352 mailto:sage [04/02/12 22:34] >>353 ありがとうございます。installしてみます。 355 名前：名無しさん＠お腹いっぱい。 [04/02/13 14:29] NISサーバで出来てLDAPで出来ないことってなに？ 356 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/13 15:47] NISにしか対応していないクライアントの面倒をみること。 357 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/14 18:08] >>356 最近のUNIXシステムならPAMのような機構が入ってるから， 困ることは少なそうね。LDAPモジュールを用意する手間はあるけど。 358 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/14 18:14] PAM LDAPモジュールも今時のシステムには完備だけど、 なければwww.padl.comの奴が使える。NSS LDAPモジュールも込み。 359 名前：名無しさん＠お腹いっぱい。 [04/02/15 17:34] このスレってどっちかというとデータベース板の方がいいよな。 スキーマ定義の話までいけば、RDBの使い方に関する難しさと 何も変わらんでしょ。 360 名前：名無しさん＠お腹いっぱい。 [04/02/15 19:29] OpenLDAPで、基本？のアドレス帳を作ってます。 Windows側から検索もできるようになりました。 ひとつ質問なんですが、cn;Lang-ja:名前　などとして、iconv経由で ldifを読み込ませて、LDAPBrowserとかでは日本語表示されますが、 OutLook expressとかで表示名を日本語にするにはどうすればいいんでしょ？ MozillaだとdisplayNameをに日本語にするといいらしいんですけど、 OEだとdisplayName;Lang-ja:として日本語の名前をつけても英語表示の ままなんです。日本語表示にはどうすればいいの？ この質問は板違いですかね？ 361 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/16 03:51] >>359 ディレクトリシステム(データベースの一種)として LDAPを考えるならデーターベース板扱いになるね。 けど，その段階に到達できない管理者も多くいるわけで。 また，認証システムとしてのLDAPなら，この板で やるのが一番ましなのかな。Windowsでも使えるけど， おまけ的扱いだしUNIXでの利用が一番多いかと。 362 名前：名無しさん＠お腹いっぱい。 [04/02/16 14:21] LDAPでパスワード無しのユーザを認証をしている方いますか？ パスワード無しだとでたらめなユーザIDでも認証されません？ ネットでLDAP認証のサンプルソース（JAVA）を見るとLDAP認証前に ユーザプログラムではじいてるようなのですが。。。 LDAP Browserもパースワード無しだと認証前にエラーとなります。 パスワード無しは無理なんですかね〜 それともWin2003SvrのLDAPが駄目なんですかね？ 363 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/17 09:31] >>362 > パスワード無しだとでたらめなユーザIDでも認証されません？ この文の意味がわからん。(ので全体的な主旨が掴めない) >>359 あなたの言っていること(リレイションベースのdirectory=RDB)は問題外。 364 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/17 09:32] >>362 > LDAPでパスワード無しのユーザを認証をしている方いますか？ これが可能かどうかは、ldapsearchで簡単に調べられるでしょ。 365 名前：名無しさん＠お腹いっぱい。 [04/02/17 12:06] >>363 www.geocities.co.jp/SiliconValley/4137/dir3/tcljava14.html ↑ここに書いてあるLDAP認証を参考にLDAP接続処理を作ったところ 　ユーザIDとパスワードに1文字以上設定されていればLDAPに存在しない 　ユーザ情報だと認証されないが 　ユーザIDもしくはパスワードが空白だと無条件で認証されてしまう。 　というかユーザIDとパスワードを指定しなくても認証できる。 　サーバのセキュリティはこれでもかってぐらいガチガチに固めて終いには 　管理者もログイン出来なくなり再インストールを余儀なくされました。。。 >>364 LDAPに一度繋いでからLDAP内を検索する方法ですか。。。 ワンクッションおかずにダイレクトに認証出来ると最高なのですが でもありがとうございますldapsearchの方法も最終手段として検討してみます。 かれこれ1週間近く調べてますがLDAP認証を行っているプログラムで パスワード無しを認めている処理が見当たりません。 駄目なんですかね〜 セキュリティ的にはもちろん駄目ですけど。。。 366 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/17 12:10] >>365 > 　ユーザIDもしくはパスワードが空白だと無条件で認証されてしまう。 「両方空」は"anonymous bind"でしょ。 禁止したければ、サーバ側のACLの設定で。 あなたは個人認証とbindがごっちゃになってる。 > >>364 > LDAPに一度繋いでからLDAP内を検索する方法ですか。。。 そうじゃなくて、 > LDAPでパスワード無しのユーザを認証をしている方いますか？ の真偽は、ldapsearchで簡単に調べられると言うこと。 367 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/17 12:11] それから、LDAPの知識が足りないようだから、 LDAPのレベルで語ろうとせずに、何がやりたいかを語った方がいいと思う。 質問の意図や状況が良く分からない。 368 名前：名無しさん＠お腹いっぱい。 [04/02/17 13:21] >>367 素人の質問に何度も答えて頂きありがとうございます。 ldapsearchについては私の早とちりだったみたいですいません。 調べ直します。 状況としては 現在Linux上で動いているシステムのログインに必要なIDとパスワードを Win2003Svrで管理する為LDAPを使用していたのですが、 パスワードが空白だと登録されていないIDでも無条件に ログインできる障害がありまして急遽対策していました。 時間が無いので暫定としてパスワード無しは認めないように対策しました。 将来的にパスワード無しのユーザも認証したいので LDAP認証について引き続き調べてました。 LDAPもWin2003Svrも今回の障害対策で 初めて触ったのでわからないことだらけて行き詰ってました。 ldapsearchとACL 貴重なキーワードありがとうございます。 これを手がかりに自分で調べ直して見ます。 時間があれば基礎から勉強したほうがよさそうですね。。。 369 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/18 07:28] >>368 > 現在Linux上で動いているシステムのログインに必要なIDとパスワードを > Win2003Svrで管理する為LDAPを使用していたのですが、 これはどう認証しているの? PAM? 自前のprogram? それがはっきりしないとLinux(LDAP client)側の問題か、 Windows 2003 server(LDAP server)側の問題かはっきりしないよね? そもそも認証にbind operation使っているかどうかも定かじゃないわけだし。 > パスワードが空白だと登録されていないIDでも無条件に > ログインできる障害がありまして急遽対策していました。 LDAP server側に問題があるなら、それはldapsearchで確認できる。 # 十中八九client側が自前のプログラムでそこに問題があるんだと思うが。 > 時間が無いので暫定としてパスワード無しは認めないように対策しました。 それはどうやって? LDAPとは関係なくその手前の段階の自前プログラムで? > 将来的にパスワード無しのユーザも認証したいので > LDAP認証について引き続き調べてました。 これは独立の問題なのね。こっちは問題ないと思うよ。 370 名前：名無しさん＠お腹いっぱい。 [04/02/20 09:06] >>369 ご返信が遅くなり申し訳ございません。 別作業が忙しくなりLDAPの調査は中断しております。 ちなみに認証は自前のJAVAプログラムでJNDIを使っております。 パスワード無しは自前のプログラム内でLDAP認証前にはじくようにしました。 JNDIを使ってLDAP認証を行っているJAVAのソースをネットで検索すると 認証前にパスワード無しははじいているので もしかするとJAVAのJNDIはパスワード無し駄目なのかな〜 とも思ったりしますが JAVAについても始めて日が浅いので検討違いかもしれません。。。 構築したActiveDirectoryにWindowsからログインする分には パスワード無しのユーザもパスワード有りのユーザも ちゃんと認証はされます。 しばらく別作業が忙しくLDAPについて調べる時間が無いので 時間が出来たら教えて頂いた情報を元にいろいろが角度から 原因を調べてみたいと思います。 どうもありがとうございました。 371 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/20 11:19] >>370 > JNDIを使ってLDAP認証を行っているJAVAのソースをネットで検索すると > 認証前にパスワード無しははじいているので > もしかするとJAVAのJNDIはパスワード無し駄目なのかな〜 > とも思ったりしますが アプリのロジック、セキュリティポリシーとしては、パスワードなしのユーザを認めたくない。 しかし、JNDI+LDAPではパスワードなしのユーザを認証してしまう。 だから、事前に弾いている、と考えるのが自然では? 372 名前：名無しさん＠お腹いっぱい。 [04/02/21 00:22] ActiveDirectoryからLDAPで引っ張ってユーザ認証（具体的にはsquid）させたい んですがうまくいきません。 ActiveDirectoryインストールして、OU作ってその下にユーザを登録したんですが 他に何か作業が必要ですか？そもそもなんてDNで問い合わせれば良いかも確信が持てません・・・。 LDAPに関しては初心者なのでチンプンカンプンな事を言ってるかも知れませんが、 どなたかアドバイスを頂けませんか？ 373 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/21 00:27] >>372 > ActiveDirectoryインストールして、OU作ってその下にユーザを登録したんですが どこに作ったの? Base DN分からなければ、 > 他に何か作業が必要ですか？そもそもなんてDNで問い合わせれば良いかも確信が持てません・・・。 DN分からないよね。DN分かったら、とりあえずldapsearchで認証してみれ 374 名前：名無しさん＠お腹いっぱい。 [04/02/21 00:43] >>373 ありがとうございます。 BaseDNは example.comで登録しました。ホスト名はADです。 その下にtestってOU作ったんですが、問い合わせの際のDNは OU=test,O=example,C=com　ですか？（汗 OU=test,DC=example,DC=com　ですか？（汗 あー恥ずかしい、勉強しますんで誰か良いURL教えてください。。。 375 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/21 01:14] ou=test,dc=example,dc=comでしょ www.wlug.org.nz/ActiveDirectoryAuthenticationNotes 376 名前：372 [04/02/21 01:53] ドメインは実際には”ホゲ.co.jp”としてあります。 openldapではconfにBaseDNを記述するみたいですが、 ActiveDirectoryでBaseDNを確認する方法ってありますか？ 377 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/21 02:18] そりゃ、板違い。 www.microsoft.com/windows2000/techinfo/administration/activedirectory/adops.asp 378 名前：名無しさん＠お腹いっぱい。 [04/02/23 17:27] >>371 何度もご意見ありがとうございます。 >アプリのロジック、セキュリティポリシーとしては、パスワードなしのユーザを認めたくない。 私も初めはそうかと思ったのですがサンプルソースからパスワードの未入力チェックを 外すと例のパスワード無しだと無条件で認証されてしまう現象が再現したので どうなのかな〜という状況です。 時間が出来たらいろいろ試して結論を出したいと思います。 結論が出たらご報告します。（4月以降になりそうですが。。。） 379 名前：初めてのLDAP [04/02/24 00:21] どうもこんにちは。 今度、初めてLDAPを触ることになったものです。iPlanetを使っています。 教えて頂きたいのですが、Administratorなどの管理者用ユーザーでLDAP接続を 行った場合、他のユーザーのパスワードを取得することは可能でしょうか？ パスワードは「*****」みたいになっていて、パスワードを取得しても値が読め ないのではないかと心配しています。（当方、作業環境が整っておらず、実際に実行 して調べることができないのです。（涙）） 取得できるか、と取得した値が文字変換されていたりするのであれば、その変換方法 を教えてください。 超初心者なので的外れなことを言っていたらすいません。 何卒よろしくお願い致します。 380 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/24 09:07] >>378 プログラム晒せや >>379 password-storage-schemeがclearの場合用意。 それ以外の場合困難。 SSL使ってないならタッピング攻撃しただけでbindオペレーションのパスワードスルスル。 381 名前：名無しさん＠お腹いっぱい。 [04/02/24 17:52] >>380 サンプルソースは365 382 名前：名無しさん＠お腹いっぱい。 [04/02/29 00:13] ホームディレクトリが、 Solarisは/export/home/hiroyuki Linuxは/home/hiroyuki なんかの場合、LDAPにどのような形で格納するとよいですか? 383 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/29 01:09] 同じパス名にしなさい。 384 名前：382 [04/02/29 15:30] >>383 そういたします。リンクでも張っておきます。 もう一つ質問です。 LDAPサーバが落ちているときに別のサーバに問い合わせをするには どうしたらいいでしょうか。 クライアント側の設定になると思いますが、 opensslのldap.confやsmb.confなどに設定を見つけられなくて。 385 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/02/29 16:02] ldap.confのURIかHOSTのところに複数記述しておきなさい。 > 設定を見つけられなくて。 ちゃんとマニュアルを読みなさい。 386 名前：382 mailto:sage [04/02/29 18:25] man ldap.confにしかと書いてありましたね。 これは失礼いたしました。 sambaの方も3.0なら passdb backend = ldapsam:"ldap://master ldap://slave" のような書き方ができるようです。 387 名前：名無しさん＠お腹いっぱい。 [04/03/01 10:09] 名前解決にLDAP鯖を使おうとしてますが、 LDAPサーバーが動くホストのnsswitch.confとは どんな感じになるでしょうか？見せていただけませんか？ 388 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/01 10:47] 使っているプラットフォームの板/スレに行った方がいいと思います。 389 名前：名無しさん＠お腹いっぱい。 [04/03/05 01:41] 各サーバでログインシェルを変えたいときはどうやってんの? 390 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/05 01:55] 同じパス名にしなさい。 391 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/07 00:36] 統一した情報を LDAP に持たせるのが本来の目的なので サーバ固有の情報を持たせようと考えるのは間違いなんですね、先生 392 名前：初心者です [04/03/17 14:14] 別のPCのldapからslapcatでデータを取ってきて、 slapaddで追加したデータをldapsearchで検索できるのですか？ どうもうまくいかないのですが、 ちなみにこの2つのldapの環境は同じものです。 初歩的な質問で申し訳ないのですが、どなたか教えてください。 参考になるHPがありましたら、それもお願いします。 393 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/17 22:15] >>392 > 初心者です > どうもうまくいかないのですが、 どうやると、どううまくいかないんだい? 394 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/19 14:28] どなたか、netmeeting用ILSサーバとして openldapを稼動させている方、いませんか？ 395 名前：名無しさん＠お腹いっぱい。 [04/03/20 02:04] 現在 httpd-devel-2.0.48-1.2 httpd-2.0.48-1.2 httpd-manual-2.0.48-1.2 を、rpmでインストールしているんですが、このApache-2.0に 対応した、auth_ldapのありかをご存知の方いませんか？？？ auth_ldap-1.6.0をソースからインストールしても、make時に 怒られまくりで。。。。 396 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/20 02:59] mod_authz_ldap authzldap.othello.ch/ 397 名前：名無しさん＠お腹いっぱい。 [04/03/20 17:35] >>396 ありがとうございます。でもやっぱりMakeで怒られまくり。。。 fedoraの標準のApacheでやっているんですけど、いろいろ調べて みたら、fedoraの場合は、ディレクトリ構造の問題か何かで、 小細工をする必要があるようで、 #./configure --with-apxs2=/usr/sbin/apxs --with-apr-include=/usr/include/apr-0 としてみたんですけど、やっぱりダメでした。。出直します。。 398 名前：名無しさん＠お腹いっぱい。 [04/03/23 22:07] age 399 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/25 21:58] 既出の質問かもしれませんが、どなたか情報をいただけませんでしょうか。 OpenLDAP と Windows Server 2003 の Active Directory の間でアカウントの 同期 (パスワードを含む) を行う方法はありますでしょうか。SUN なり富士通なり NEC なりの商用 LDAP 製品と付属ソフト等を使えば出来る、という事はわかる のですが、金銭的な余裕が無いため、OpenLDAP でなんとかならないか、と 考えております。Windows Server 2003 では InetOrgPerson がサポートされた とかなんとか聞きましたので、もしかして何とかならないかな、とか考えています。 完全自動ではなくとも、運用でカバー出来るのであれば、それでも良いと考えています。 最低限、ユーザからみたらひとつのパスワード変更で両方のパスワードが変更 されるとうれしいです。 400 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/25 22:17] >>399 最低限のところは、 Active Directoryの認証機能をUNIXenで利用する、ってお題でいいかな? Active Directory側でKerberosを動かして、 PAMでpam_kerberos.so使うのが簡単じゃない? pam_ldap.so使う手もあるけど、まあkerberosの方が簡単。 アカウント同期もやめておいた方がいい。 両方、理由はschemaが(ya 401 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/26 09:25] >>399 www.amazon.co.jp/exec/obidos/ASIN/4274065502 でも嫁。 ADと pam_ldap でどーするかは書いている。もっとも、漏れも>>400に 同意見で、LDAPでアカウント動悸なんて(藁)って感じだが 402 名前：名無し mailto:sage [04/03/27 02:02] MAC OSXもOpenLDAPで認証をかけたいと考えているのですが OSX 10.2以降は大丈夫っぽいけど、10.1以前は やっぱりOSX ServerをいれてNetInfo -> LDAP中継させる 必要がありますか？ 403 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/27 02:18] OpenLDAP用のNetInfo backendはread onlyですよ。 それから、10.1はLDAPあるけどbuggy。 10.2以降で出てるfixがmergeされているかどうかは知らない。 知る方法がない。Windows並のインチキリリースノート。 404 名前：402 mailto:sage [04/03/27 02:46] >403 回答ありがとうございます。 NetInfo Backendがread onlyって、、 LDAPにユーザ情報があれば、（登録もLDAP上で行うこと前提で） MAC OSX -> OSX Server -> OpenLDAPという形で認証可能ということでしょうか？ それとも、逆に OSX Serverをメイン認証サーバにして、そのLDAPに、 Windows/Unixからの認証をさせる形になるのでしょうか？ （さすがにOSX Serverが動いているマシンが手元にないものですから） 405 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/27 03:37] >>404 前段: というかMac OS X Serverは必要ない。 で、Mac OS Xの古いLDAP Agentがbuggy。 後段: というか君は>>399か? まず、古いMac OS XにはPAMがない。古いFreeBSDにも。 だから、>>400の方法はダメ。 構成を書いてくれ。 406 名前：404 mailto:sage [04/03/27 04:36] >405 >>399ではないです。 なるほど。じゃあ、古いMAC OSXはバージョンアップするのが一番ということですね。 MAC OSX Server云々は、OSX ServerがLDAP統合サービスサポートとあったので MAC OSXクライアント認証をサーバのNetInfoで行い、このNetInfoサーバが 実体はLDAP参照ができるのかなと思ったせいです。 イメージとしては、NIS -> LDAP的な感じで。 FreeBSDのPAMサポートは、5.xからでしたよね。 MAC OSXクライアントのバージョンアップを無しで、というのは やはり無理なのでしょうか？（1000台オーバあるもので） 407 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/27 09:29] >>406 > MAC OSX Server云々は、OSX ServerがLDAP統合サービスサポートとあったので Mac OS XとMac OS X Serverで、Open Directory関係に違いはない。 > MAC OSXクライアント認証をサーバのNetInfoで行い、このNetInfoサーバが > 実体はLDAP参照ができるのかなと思ったせいです。 逆。NetInfoのdb fileを参照するOpenLDAP backendをAppleが提供。 メインがNetInfoで、LDAPの方がNetInfoを参照。 > MAC OSXクライアントのバージョンアップを無しで、というのは > やはり無理なのでしょうか？（1000台オーバあるもので） 無理じゃない。ただAppleのリリースノート見ている限りでは、 bugがどうなっているのかさっぱり分からない。 408 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/27 09:32] >>406 OpenLDAPで、LDAPサービスを立ち上げる。 これはMac OS X上でも、他のsystemでもいいが、 Mac OS Xの奴は、NetInfoのbackendを参照する設定になっているので、 これを辞めない限り、read onlyのまま。 各UNIXでNSS/PAMを設定する。Mac OS XはDirectory Accessで。 以上。 409 名前：399 mailto:sage [04/03/27 18:52] お返事が遅くなりすみません。 >>400 AD の認証機能を利用するってのではダメで、別途 LDAP サーバを立てる必要があります。 PAM の Kerberos とか存在しないクライアントから LDAP サーバに認証かけることもありますので。 理由は、schema が、、、の続きはなんでしょうか？ >>401 書籍の情報、ありがとうございます。 他に調べて見ますと、acctsync (ttp://acctsync.sourceforge.net/) というものがありました。 どなたか、これを使ったことありますか？ # 今試してるんだけど、passwdHk-config をインストール時に、passwd.pl なるスクリプトが見つからない。 410 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/31 14:33] すいません。 LDAP Browser\Editor v2.8.1を使用しているのですが Valueが日本語場合正常に表示されません。 j2reのバージョンは1.4.2_03です。 何か情報をお持ちな方がいらっしゃいましたら ご教授いただけるとありがたいです。 411 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/31 22:01] >>409 パスワードのLDAPを使った共有がsambaのMLにサーベイされてます。 schemaって言って分からないと基礎的なところから勉強した方がいいです。 アカウント情報共有は一筋縄でいかないので。>>401の本がいい。 412 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/31 22:02] >>410 ValueはちゃんとUnicodeになっていますか? 413 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/04/01 15:46] ＞412さん はい。 UNICODEにはなっています。データを入れる時にUTF8に変換しているので。 先輩のPCのLDAPBrowserではちゃんと表示されていますが 特に何も設定していないと言われたので困っている状態です。 414 名前：410 mailto:sage [04/04/01 15:59] あ、、、↑は410の発言です。 415 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/04/01 16:31] >>413 じゃあ、Javaのfontの設定の問題じゃない? この板だからUNIX上で実行してるんだよね。 それなら、そのUNIX専用のスレで質問する方が手っ取り早いと思われ Javaの日本語環境も完璧なやつから、 自分でfonts.propertiesいじらなければならないのまで多種多様だから。 416 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/04/01 16:32] それから、 > 先輩のPCのLDAPBrowserではちゃんと表示されていますが こういう情報は最初に書いてね。 417 名前：名無しさん＠お腹いっぱい。 [04/04/09 00:26] Solaris9のldapclientで-a "defaultServerList=HostA HostB" という感じで2つのサーバのIPアドレスを指定していますが HostAが死んでる場合にHostBを見に行ってくれません。 何か他に設定ポイントがあるでしょうか。 418 名前：名無しさん＠お腹いっぱい。 [04/04/17 09:59] すんません、質問させてください。 solaris と linux の間でのアカウントをLDAPに移行する場合、 事前にそれぞれのUID,GIDを統一する必要があるってことでOKですか？ 419 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/04/17 10:33] >>418 LDAP移行の問題じゃなくて、 アカウント情報統合の問題だから、当然。 420 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/04/17 10:37] >>417 bindTimeLimitは幾つになってるの? とりあえず、本当にsnoopでpacket飛んでないか調べたら? 421 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/04/17 10:44] LDAPって読みは 「らだっぷ」でいいんですか？ 422 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/04/17 10:53] ○えるだっぷ △えるでぃーえーぴー 423 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/04/17 10:56] >>422 ありがとうございます。 １年ぐらいラダップって言ってました。 でも誰にも突っ込まれなかったです．． 424 名前：418 mailto:sage [04/04/17 11:04] >>419 ありがとうございますた。 425 名前：名無しさん＠お腹いっぱい。 [04/06/06 12:50] 基本的なことですが教えてください。 コンテナってなんですか？ 426 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/06/06 17:02] 何かを入れるobjectclass。 例えばou=People。 427 名前：名無しさん＠お腹いっぱい。 [04/06/17 22:37] OpenLDAP 2.2.13 で --enable-phonetic を有効にしてコンパイル しても、cn;lang-ja;phonetic とかが使えないみたいです。 確認したのは Fedora Core 2 です。 adding new entry "uid=hoge,ou=People,dc=2ch,dc=net" ldapadd: update failed: uid=hoge,ou=People,dc=2ch,dc=net ldap_add: Undefined attribute type (17) additional info: cn;lang-ja;phonetic: unrecognized option どうにかして使えるようにはならないんでしょうか？ おながいします。 428 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/06/18 07:26] slapd.conf(5)のattributeoptions の所は読んだ? それから2.2.13は古いねえ。 source取得して$(OPENLDAP)/tests/data/lang-out.ldifでテストしてね。 429 名前：427 mailto:sage [04/06/18 18:59] >>428 レスありがとうございます。 slapd.confのattributeoptionsにlang- phoneticを 指定したら、正常に登録とか検索ができますた。 430 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/06/20 18:17] Samba 3をメンバサーバで運用する場合、add userスクリプトを使って ローカルにUNIXアカウントを作成しなくとも、DCのLDAPをFreeBSDから覗いて 動作可能だったりするのでしょうか？ 認証にDCのLDAPとKerberosを使うのはいいけどローカルにUNIXアカウントも作る ってのが不細工じゃないかなと思ってるわけで。 431 名前：430 mailto:sage [04/06/20 18:19] ちなみにDCは2000 Serverです。

---

---

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef