- 1 名前:名無し君 [02/02/02 20:53]
- 語りましょう。
私は俺はこんなものまでLDAPで管理している等々。。
- 362 名前:名無しさん@お腹いっぱい。 [04/02/16 14:21]
- LDAPでパスワード無しのユーザを認証をしている方いますか?
パスワード無しだとでたらめなユーザIDでも認証されません?
ネットでLDAP認証のサンプルソース(JAVA)を見るとLDAP認証前に
ユーザプログラムではじいてるようなのですが。。。
LDAP Browserもパースワード無しだと認証前にエラーとなります。
パスワード無しは無理なんですかね〜
それともWin2003SvrのLDAPが駄目なんですかね?
- 363 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/17 09:31]
- >>362
> パスワード無しだとでたらめなユーザIDでも認証されません?
この文の意味がわからん。(ので全体的な主旨が掴めない)
>>359
あなたの言っていること(リレイションベースのdirectory=RDB)は問題外。
- 364 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/17 09:32]
- >>362
> LDAPでパスワード無しのユーザを認証をしている方いますか?
これが可能かどうかは、ldapsearchで簡単に調べられるでしょ。
- 365 名前:名無しさん@お腹いっぱい。 [04/02/17 12:06]
- >>363
www.geocities.co.jp/SiliconValley/4137/dir3/tcljava14.html
↑ここに書いてあるLDAP認証を参考にLDAP接続処理を作ったところ
ユーザIDとパスワードに1文字以上設定されていればLDAPに存在しない
ユーザ情報だと認証されないが
ユーザIDもしくはパスワードが空白だと無条件で認証されてしまう。
というかユーザIDとパスワードを指定しなくても認証できる。
サーバのセキュリティはこれでもかってぐらいガチガチに固めて終いには
管理者もログイン出来なくなり再インストールを余儀なくされました。。。
>>364
LDAPに一度繋いでからLDAP内を検索する方法ですか。。。
ワンクッションおかずにダイレクトに認証出来ると最高なのですが
でもありがとうございますldapsearchの方法も最終手段として検討してみます。
かれこれ1週間近く調べてますがLDAP認証を行っているプログラムで
パスワード無しを認めている処理が見当たりません。
駄目なんですかね〜
セキュリティ的にはもちろん駄目ですけど。。。
- 366 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/17 12:10]
- >>365
> ユーザIDもしくはパスワードが空白だと無条件で認証されてしまう。
「両方空」は"anonymous bind"でしょ。
禁止したければ、サーバ側のACLの設定で。
あなたは個人認証とbindがごっちゃになってる。
> >>364
> LDAPに一度繋いでからLDAP内を検索する方法ですか。。。
そうじゃなくて、
> LDAPでパスワード無しのユーザを認証をしている方いますか?
の真偽は、ldapsearchで簡単に調べられると言うこと。
- 367 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/17 12:11]
- それから、LDAPの知識が足りないようだから、
LDAPのレベルで語ろうとせずに、何がやりたいかを語った方がいいと思う。
質問の意図や状況が良く分からない。
- 368 名前:名無しさん@お腹いっぱい。 [04/02/17 13:21]
- >>367
素人の質問に何度も答えて頂きありがとうございます。
ldapsearchについては私の早とちりだったみたいですいません。
調べ直します。
状況としては
現在Linux上で動いているシステムのログインに必要なIDとパスワードを
Win2003Svrで管理する為LDAPを使用していたのですが、
パスワードが空白だと登録されていないIDでも無条件に
ログインできる障害がありまして急遽対策していました。
時間が無いので暫定としてパスワード無しは認めないように対策しました。
将来的にパスワード無しのユーザも認証したいので
LDAP認証について引き続き調べてました。
LDAPもWin2003Svrも今回の障害対策で
初めて触ったのでわからないことだらけて行き詰ってました。
ldapsearchとACL
貴重なキーワードありがとうございます。
これを手がかりに自分で調べ直して見ます。
時間があれば基礎から勉強したほうがよさそうですね。。。
- 369 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/18 07:28]
- >>368
> 現在Linux上で動いているシステムのログインに必要なIDとパスワードを
> Win2003Svrで管理する為LDAPを使用していたのですが、
これはどう認証しているの? PAM? 自前のprogram?
それがはっきりしないとLinux(LDAP client)側の問題か、
Windows 2003 server(LDAP server)側の問題かはっきりしないよね?
そもそも認証にbind operation使っているかどうかも定かじゃないわけだし。
> パスワードが空白だと登録されていないIDでも無条件に
> ログインできる障害がありまして急遽対策していました。
LDAP server側に問題があるなら、それはldapsearchで確認できる。
# 十中八九client側が自前のプログラムでそこに問題があるんだと思うが。
> 時間が無いので暫定としてパスワード無しは認めないように対策しました。
それはどうやって? LDAPとは関係なくその手前の段階の自前プログラムで?
> 将来的にパスワード無しのユーザも認証したいので
> LDAP認証について引き続き調べてました。
これは独立の問題なのね。こっちは問題ないと思うよ。
- 370 名前:名無しさん@お腹いっぱい。 [04/02/20 09:06]
- >>369
ご返信が遅くなり申し訳ございません。
別作業が忙しくなりLDAPの調査は中断しております。
ちなみに認証は自前のJAVAプログラムでJNDIを使っております。
パスワード無しは自前のプログラム内でLDAP認証前にはじくようにしました。
JNDIを使ってLDAP認証を行っているJAVAのソースをネットで検索すると
認証前にパスワード無しははじいているので
もしかするとJAVAのJNDIはパスワード無し駄目なのかな〜
とも思ったりしますが
JAVAについても始めて日が浅いので検討違いかもしれません。。。
構築したActiveDirectoryにWindowsからログインする分には
パスワード無しのユーザもパスワード有りのユーザも
ちゃんと認証はされます。
しばらく別作業が忙しくLDAPについて調べる時間が無いので
時間が出来たら教えて頂いた情報を元にいろいろが角度から
原因を調べてみたいと思います。
どうもありがとうございました。
- 371 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/20 11:19]
- >>370
> JNDIを使ってLDAP認証を行っているJAVAのソースをネットで検索すると
> 認証前にパスワード無しははじいているので
> もしかするとJAVAのJNDIはパスワード無し駄目なのかな〜
> とも思ったりしますが
アプリのロジック、セキュリティポリシーとしては、パスワードなしのユーザを認めたくない。
しかし、JNDI+LDAPではパスワードなしのユーザを認証してしまう。
だから、事前に弾いている、と考えるのが自然では?
- 372 名前:名無しさん@お腹いっぱい。 [04/02/21 00:22]
- ActiveDirectoryからLDAPで引っ張ってユーザ認証(具体的にはsquid)させたい
んですがうまくいきません。
ActiveDirectoryインストールして、OU作ってその下にユーザを登録したんですが
他に何か作業が必要ですか?そもそもなんてDNで問い合わせれば良いかも確信が持てません・・・。
LDAPに関しては初心者なのでチンプンカンプンな事を言ってるかも知れませんが、
どなたかアドバイスを頂けませんか?
- 373 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/21 00:27]
- >>372
> ActiveDirectoryインストールして、OU作ってその下にユーザを登録したんですが
どこに作ったの? Base DN分からなければ、
> 他に何か作業が必要ですか?そもそもなんてDNで問い合わせれば良いかも確信が持てません・・・。
DN分からないよね。DN分かったら、とりあえずldapsearchで認証してみれ
- 374 名前:名無しさん@お腹いっぱい。 [04/02/21 00:43]
- >>373
ありがとうございます。
BaseDNは example.comで登録しました。ホスト名はADです。
その下にtestってOU作ったんですが、問い合わせの際のDNは
OU=test,O=example,C=com ですか?(汗
OU=test,DC=example,DC=com ですか?(汗
あー恥ずかしい、勉強しますんで誰か良いURL教えてください。。。
- 375 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/21 01:14]
- ou=test,dc=example,dc=comでしょ
www.wlug.org.nz/ActiveDirectoryAuthenticationNotes
- 376 名前:372 [04/02/21 01:53]
- ドメインは実際には”ホゲ.co.jp”としてあります。
openldapではconfにBaseDNを記述するみたいですが、
ActiveDirectoryでBaseDNを確認する方法ってありますか?
- 377 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/21 02:18]
- そりゃ、板違い。
www.microsoft.com/windows2000/techinfo/administration/activedirectory/adops.asp
- 378 名前:名無しさん@お腹いっぱい。 [04/02/23 17:27]
- >>371
何度もご意見ありがとうございます。
>アプリのロジック、セキュリティポリシーとしては、パスワードなしのユーザを認めたくない。
私も初めはそうかと思ったのですがサンプルソースからパスワードの未入力チェックを
外すと例のパスワード無しだと無条件で認証されてしまう現象が再現したので
どうなのかな〜という状況です。
時間が出来たらいろいろ試して結論を出したいと思います。
結論が出たらご報告します。(4月以降になりそうですが。。。)
- 379 名前:初めてのLDAP [04/02/24 00:21]
- どうもこんにちは。
今度、初めてLDAPを触ることになったものです。iPlanetを使っています。
教えて頂きたいのですが、Administratorなどの管理者用ユーザーでLDAP接続を
行った場合、他のユーザーのパスワードを取得することは可能でしょうか?
パスワードは「*****」みたいになっていて、パスワードを取得しても値が読め
ないのではないかと心配しています。(当方、作業環境が整っておらず、実際に実行
して調べることができないのです。(涙))
取得できるか、と取得した値が文字変換されていたりするのであれば、その変換方法
を教えてください。
超初心者なので的外れなことを言っていたらすいません。
何卒よろしくお願い致します。
- 380 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/24 09:07]
- >>378
プログラム晒せや
>>379
password-storage-schemeがclearの場合用意。
それ以外の場合困難。
SSL使ってないならタッピング攻撃しただけでbindオペレーションのパスワードスルスル。
- 381 名前:名無しさん@お腹いっぱい。 [04/02/24 17:52]
- >>380
サンプルソースは365
- 382 名前:名無しさん@お腹いっぱい。 [04/02/29 00:13]
- ホームディレクトリが、
Solarisは/export/home/hiroyuki
Linuxは/home/hiroyuki
なんかの場合、LDAPにどのような形で格納するとよいですか?
- 383 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/29 01:09]
- 同じパス名にしなさい。
- 384 名前:382 [04/02/29 15:30]
- >>383
そういたします。リンクでも張っておきます。
もう一つ質問です。
LDAPサーバが落ちているときに別のサーバに問い合わせをするには
どうしたらいいでしょうか。
クライアント側の設定になると思いますが、
opensslのldap.confやsmb.confなどに設定を見つけられなくて。
- 385 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/29 16:02]
- ldap.confのURIかHOSTのところに複数記述しておきなさい。
> 設定を見つけられなくて。
ちゃんとマニュアルを読みなさい。
- 386 名前:382 mailto:sage [04/02/29 18:25]
- man ldap.confにしかと書いてありましたね。
これは失礼いたしました。
sambaの方も3.0なら
passdb backend = ldapsam:"ldap://master ldap://slave"
のような書き方ができるようです。
- 387 名前:名無しさん@お腹いっぱい。 [04/03/01 10:09]
- 名前解決にLDAP鯖を使おうとしてますが、
LDAPサーバーが動くホストのnsswitch.confとは
どんな感じになるでしょうか?見せていただけませんか?
- 388 名前:名無しさん@お腹いっぱい。 mailto:sage [04/03/01 10:47]
- 使っているプラットフォームの板/スレに行った方がいいと思います。
- 389 名前:名無しさん@お腹いっぱい。 [04/03/05 01:41]
- 各サーバでログインシェルを変えたいときはどうやってんの?
- 390 名前:名無しさん@お腹いっぱい。 mailto:sage [04/03/05 01:55]
- 同じパス名にしなさい。
- 391 名前:名無しさん@お腹いっぱい。 mailto:sage [04/03/07 00:36]
- 統一した情報を LDAP に持たせるのが本来の目的なので
サーバ固有の情報を持たせようと考えるのは間違いなんですね、先生
- 392 名前:初心者です [04/03/17 14:14]
- 別のPCのldapからslapcatでデータを取ってきて、
slapaddで追加したデータをldapsearchで検索できるのですか?
どうもうまくいかないのですが、
ちなみにこの2つのldapの環境は同じものです。
初歩的な質問で申し訳ないのですが、どなたか教えてください。
参考になるHPがありましたら、それもお願いします。
- 393 名前:名無しさん@お腹いっぱい。 mailto:sage [04/03/17 22:15]
- >>392
> 初心者です
> どうもうまくいかないのですが、
どうやると、どううまくいかないんだい?
- 394 名前:名無しさん@お腹いっぱい。 mailto:sage [04/03/19 14:28]
- どなたか、netmeeting用ILSサーバとして
openldapを稼動させている方、いませんか?
- 395 名前:名無しさん@お腹いっぱい。 [04/03/20 02:04]
- 現在
httpd-devel-2.0.48-1.2
httpd-2.0.48-1.2
httpd-manual-2.0.48-1.2
を、rpmでインストールしているんですが、このApache-2.0に
対応した、auth_ldapのありかをご存知の方いませんか???
auth_ldap-1.6.0をソースからインストールしても、make時に
怒られまくりで。。。。
- 396 名前:名無しさん@お腹いっぱい。 mailto:sage [04/03/20 02:59]
- mod_authz_ldap
authzldap.othello.ch/
- 397 名前:名無しさん@お腹いっぱい。 [04/03/20 17:35]
- >>396
ありがとうございます。でもやっぱりMakeで怒られまくり。。。
fedoraの標準のApacheでやっているんですけど、いろいろ調べて
みたら、fedoraの場合は、ディレクトリ構造の問題か何かで、
小細工をする必要があるようで、
#./configure --with-apxs2=/usr/sbin/apxs --with-apr-include=/usr/include/apr-0
としてみたんですけど、やっぱりダメでした。。出直します。。
- 398 名前:名無しさん@お腹いっぱい。 [04/03/23 22:07]
- age
- 399 名前:名無しさん@お腹いっぱい。 mailto:sage [04/03/25 21:58]
- 既出の質問かもしれませんが、どなたか情報をいただけませんでしょうか。
OpenLDAP と Windows Server 2003 の Active Directory の間でアカウントの
同期 (パスワードを含む) を行う方法はありますでしょうか。SUN なり富士通なり
NEC なりの商用 LDAP 製品と付属ソフト等を使えば出来る、という事はわかる
のですが、金銭的な余裕が無いため、OpenLDAP でなんとかならないか、と
考えております。Windows Server 2003 では InetOrgPerson がサポートされた
とかなんとか聞きましたので、もしかして何とかならないかな、とか考えています。
完全自動ではなくとも、運用でカバー出来るのであれば、それでも良いと考えています。
最低限、ユーザからみたらひとつのパスワード変更で両方のパスワードが変更
されるとうれしいです。
- 400 名前:名無しさん@お腹いっぱい。 mailto:sage [04/03/25 22:17]
- >>399
最低限のところは、
Active Directoryの認証機能をUNIXenで利用する、ってお題でいいかな?
Active Directory側でKerberosを動かして、
PAMでpam_kerberos.so使うのが簡単じゃない?
pam_ldap.so使う手もあるけど、まあkerberosの方が簡単。
アカウント同期もやめておいた方がいい。
両方、理由はschemaが(ya
- 401 名前:名無しさん@お腹いっぱい。 mailto:sage [04/03/26 09:25]
- >>399 www.amazon.co.jp/exec/obidos/ASIN/4274065502 でも嫁。
ADと pam_ldap でどーするかは書いている。もっとも、漏れも>>400に
同意見で、LDAPでアカウント動悸なんて(藁)って感じだが
- 402 名前:名無し mailto:sage [04/03/27 02:02]
- MAC OSXもOpenLDAPで認証をかけたいと考えているのですが
OSX 10.2以降は大丈夫っぽいけど、10.1以前は
やっぱりOSX ServerをいれてNetInfo -> LDAP中継させる
必要がありますか?
- 403 名前:名無しさん@お腹いっぱい。 mailto:sage [04/03/27 02:18]
- OpenLDAP用のNetInfo backendはread onlyですよ。
それから、10.1はLDAPあるけどbuggy。
10.2以降で出てるfixがmergeされているかどうかは知らない。
知る方法がない。Windows並のインチキリリースノート。
- 404 名前:402 mailto:sage [04/03/27 02:46]
- >403
回答ありがとうございます。
NetInfo Backendがread onlyって、、
LDAPにユーザ情報があれば、(登録もLDAP上で行うこと前提で)
MAC OSX -> OSX Server -> OpenLDAPという形で認証可能ということでしょうか?
それとも、逆に
OSX Serverをメイン認証サーバにして、そのLDAPに、
Windows/Unixからの認証をさせる形になるのでしょうか?
(さすがにOSX Serverが動いているマシンが手元にないものですから)
- 405 名前:名無しさん@お腹いっぱい。 mailto:sage [04/03/27 03:37]
- >>404
前段:
というかMac OS X Serverは必要ない。
で、Mac OS Xの古いLDAP Agentがbuggy。
後段:
というか君は>>399か?
まず、古いMac OS XにはPAMがない。古いFreeBSDにも。
だから、>>400の方法はダメ。
構成を書いてくれ。
- 406 名前:404 mailto:sage [04/03/27 04:36]
- >405
>>399ではないです。
なるほど。じゃあ、古いMAC OSXはバージョンアップするのが一番ということですね。
MAC OSX Server云々は、OSX ServerがLDAP統合サービスサポートとあったので
MAC OSXクライアント認証をサーバのNetInfoで行い、このNetInfoサーバが
実体はLDAP参照ができるのかなと思ったせいです。
イメージとしては、NIS -> LDAP的な感じで。
FreeBSDのPAMサポートは、5.xからでしたよね。
MAC OSXクライアントのバージョンアップを無しで、というのは
やはり無理なのでしょうか?(1000台オーバあるもので)
- 407 名前:名無しさん@お腹いっぱい。 mailto:sage [04/03/27 09:29]
- >>406
> MAC OSX Server云々は、OSX ServerがLDAP統合サービスサポートとあったので
Mac OS XとMac OS X Serverで、Open Directory関係に違いはない。
> MAC OSXクライアント認証をサーバのNetInfoで行い、このNetInfoサーバが
> 実体はLDAP参照ができるのかなと思ったせいです。
逆。NetInfoのdb fileを参照するOpenLDAP backendをAppleが提供。
メインがNetInfoで、LDAPの方がNetInfoを参照。
> MAC OSXクライアントのバージョンアップを無しで、というのは
> やはり無理なのでしょうか?(1000台オーバあるもので)
無理じゃない。ただAppleのリリースノート見ている限りでは、
bugがどうなっているのかさっぱり分からない。
- 408 名前:名無しさん@お腹いっぱい。 mailto:sage [04/03/27 09:32]
- >>406
OpenLDAPで、LDAPサービスを立ち上げる。
これはMac OS X上でも、他のsystemでもいいが、
Mac OS Xの奴は、NetInfoのbackendを参照する設定になっているので、
これを辞めない限り、read onlyのまま。
各UNIXでNSS/PAMを設定する。Mac OS XはDirectory Accessで。
以上。
- 409 名前:399 mailto:sage [04/03/27 18:52]
- お返事が遅くなりすみません。
>>400
AD の認証機能を利用するってのではダメで、別途 LDAP サーバを立てる必要があります。
PAM の Kerberos とか存在しないクライアントから LDAP サーバに認証かけることもありますので。
理由は、schema が、、、の続きはなんでしょうか?
>>401
書籍の情報、ありがとうございます。
他に調べて見ますと、acctsync (ttp://acctsync.sourceforge.net/) というものがありました。
どなたか、これを使ったことありますか?
# 今試してるんだけど、passwdHk-config をインストール時に、passwd.pl なるスクリプトが見つからない。
- 410 名前:名無しさん@お腹いっぱい。 mailto:sage [04/03/31 14:33]
- すいません。
LDAP Browser\Editor v2.8.1を使用しているのですが
Valueが日本語場合正常に表示されません。
j2reのバージョンは1.4.2_03です。
何か情報をお持ちな方がいらっしゃいましたら
ご教授いただけるとありがたいです。
- 411 名前:名無しさん@お腹いっぱい。 mailto:sage [04/03/31 22:01]
- >>409
パスワードのLDAPを使った共有がsambaのMLにサーベイされてます。
schemaって言って分からないと基礎的なところから勉強した方がいいです。
アカウント情報共有は一筋縄でいかないので。>>401の本がいい。
- 412 名前:名無しさん@お腹いっぱい。 mailto:sage [04/03/31 22:02]
- >>410
ValueはちゃんとUnicodeになっていますか?
- 413 名前:名無しさん@お腹いっぱい。 mailto:sage [04/04/01 15:46]
- >412さん
はい。
UNICODEにはなっています。データを入れる時にUTF8に変換しているので。
先輩のPCのLDAPBrowserではちゃんと表示されていますが
特に何も設定していないと言われたので困っている状態です。
- 414 名前:410 mailto:sage [04/04/01 15:59]
- あ、、、↑は410の発言です。
- 415 名前:名無しさん@お腹いっぱい。 mailto:sage [04/04/01 16:31]
- >>413
じゃあ、Javaのfontの設定の問題じゃない?
この板だからUNIX上で実行してるんだよね。
それなら、そのUNIX専用のスレで質問する方が手っ取り早いと思われ
Javaの日本語環境も完璧なやつから、
自分でfonts.propertiesいじらなければならないのまで多種多様だから。
- 416 名前:名無しさん@お腹いっぱい。 mailto:sage [04/04/01 16:32]
- それから、
> 先輩のPCのLDAPBrowserではちゃんと表示されていますが
こういう情報は最初に書いてね。
- 417 名前:名無しさん@お腹いっぱい。 [04/04/09 00:26]
- Solaris9のldapclientで-a "defaultServerList=HostA HostB"
という感じで2つのサーバのIPアドレスを指定していますが
HostAが死んでる場合にHostBを見に行ってくれません。
何か他に設定ポイントがあるでしょうか。
- 418 名前:名無しさん@お腹いっぱい。 [04/04/17 09:59]
- すんません、質問させてください。
solaris と linux の間でのアカウントをLDAPに移行する場合、
事前にそれぞれのUID,GIDを統一する必要があるってことでOKですか?
- 419 名前:名無しさん@お腹いっぱい。 mailto:sage [04/04/17 10:33]
- >>418
LDAP移行の問題じゃなくて、
アカウント情報統合の問題だから、当然。
- 420 名前:名無しさん@お腹いっぱい。 mailto:sage [04/04/17 10:37]
- >>417
bindTimeLimitは幾つになってるの?
とりあえず、本当にsnoopでpacket飛んでないか調べたら?
- 421 名前:名無しさん@お腹いっぱい。 mailto:sage [04/04/17 10:44]
- LDAPって読みは
「らだっぷ」でいいんですか?
- 422 名前:名無しさん@お腹いっぱい。 mailto:sage [04/04/17 10:53]
- ○えるだっぷ
△えるでぃーえーぴー
- 423 名前:名無しさん@お腹いっぱい。 mailto:sage [04/04/17 10:56]
- >>422
ありがとうございます。
1年ぐらいラダップって言ってました。
でも誰にも突っ込まれなかったです..
- 424 名前:418 mailto:sage [04/04/17 11:04]
- >>419
ありがとうございますた。
- 425 名前:名無しさん@お腹いっぱい。 [04/06/06 12:50]
- 基本的なことですが教えてください。
コンテナってなんですか?
- 426 名前:名無しさん@お腹いっぱい。 mailto:sage [04/06/06 17:02]
- 何かを入れるobjectclass。
例えばou=People。
- 427 名前:名無しさん@お腹いっぱい。 [04/06/17 22:37]
- OpenLDAP 2.2.13 で --enable-phonetic を有効にしてコンパイル
しても、cn;lang-ja;phonetic とかが使えないみたいです。
確認したのは Fedora Core 2 です。
adding new entry "uid=hoge,ou=People,dc=2ch,dc=net"
ldapadd: update failed: uid=hoge,ou=People,dc=2ch,dc=net
ldap_add: Undefined attribute type (17)
additional info: cn;lang-ja;phonetic: unrecognized option
どうにかして使えるようにはならないんでしょうか?
おながいします。
- 428 名前:名無しさん@お腹いっぱい。 mailto:sage [04/06/18 07:26]
- slapd.conf(5)のattributeoptions の所は読んだ?
それから2.2.13は古いねえ。
source取得して$(OPENLDAP)/tests/data/lang-out.ldifでテストしてね。
- 429 名前:427 mailto:sage [04/06/18 18:59]
- >>428
レスありがとうございます。
slapd.confのattributeoptionsにlang- phoneticを
指定したら、正常に登録とか検索ができますた。
- 430 名前:名無しさん@お腹いっぱい。 mailto:sage [04/06/20 18:17]
- Samba 3をメンバサーバで運用する場合、add userスクリプトを使って
ローカルにUNIXアカウントを作成しなくとも、DCのLDAPをFreeBSDから覗いて
動作可能だったりするのでしょうか?
認証にDCのLDAPとKerberosを使うのはいいけどローカルにUNIXアカウントも作る
ってのが不細工じゃないかなと思ってるわけで。
- 431 名前:430 mailto:sage [04/06/20 18:19]
- ちなみにDCは2000 Serverです。
- 432 名前:名無しさん@お腹いっぱい。 mailto:sage [04/06/20 23:11]
- >>430
www.samba.org/samba/docs/man/guide/unixclients.html#adssdm
は読みましたか?
それからDCはちゃんとWindowsのドメインコントローラって書いてね。
- 433 名前:名無しさん@お腹いっぱい。 mailto:sage [04/06/21 07:20]
- >>432
ありがとうございます。
ドキュメント > Google ってことがよくわかりました。
- 434 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/13 19:47]
- LDAP(OpenLDAP + RHELv2.1)にて、ユーザーアカウントを
ロックすることは可能ですか?
# passwd -l UserAccount
って crypt ハッシュの頭に '!' をくっ付け実現しているっぽい
んですが、LDAPだとこれが無視されてログイン可能なんです
- 435 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/14 20:51]
- Red Hat Enterpriseなら、
shadowの有効期限の方でコントロール可能です。
man 5 ldapしてみてください。
もちろん、LDAPで管理可能です。
nis.schemaのshadowAccount objectclassです。
- 436 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/15 00:03]
- >>435
なるほどshadowAccountを使えば良いんですね、助かりました〜
- 437 名前:名無しさん@お腹いっぱい。 [04/07/18 13:25]
- ldapsearch しても作ったエントリが全然見えません。
例えば、
dn: dc=pakahoge,dc=co,dc=jp
dc: pakahoge
objectClass: dcObject
と記した test.ldif というファイルを作ります。その後
ldapadd -x -D "cn=root,dc=pakahoge,dc=co,dc=jp" -w password -f top.ldif
としてエントリを追加し、
ldapsearch -x -b "dc=pakahoge,dc=co,dc=jp" "objectclass=*"
としても、
version: 2
#
# filter: objectclass=*
# requesting: ALL
#
# search result
search: 2
result: 0 Success
# numResponses: 1
という結果になるだけです。どうしたんでしょう?
- 438 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/18 14:41]
- バックエンドパーミッション
- 439 名前:名無しさん@お腹いっぱい。 [04/07/18 14:49]
- >>438
ありがとうございます。
とりあえずslapd.confのaccess行をとっぱらったら見えました。
まだ訳がわからないのですが勉強します。
- 440 名前:一応修正 mailto:sage [04/07/19 01:16]
- >>435
> man 5 ldapしてみてください。
man 5 shadowの間違いでした。
- 441 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/30 00:12]
- Solaris9でさ、
PADLのpam_ldapをコンパイルしようとしたら、
warningばっかりで、コンパイルできないんだけど。
誰か知ってる人いる?
- 442 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/30 03:45]
- >>441
普通にコンパイルできて問題なく利用できている。
- 443 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/30 19:58]
- warning ばっかりで error が無いならコンパイルできてそうに思えるが
- 444 名前:名無しさん@お腹いっぱい。 [04/08/10 02:28]
- >395
激しく亀レス。
ttp://www.muquit.com/muquit/software/mod_auth_ldap/mod_auth_ldap_apache2.html
にあった。
WBEL3.0 respin1 でかるーく動作確認した
- 445 名前:ななし mailto:sage [04/10/04 00:45:51]
- openldap使用時に、idletimeoutの設定をかけるのは基本なのでしょうか。
デフォルトではidletimeoutしないようですが・・・。
- 446 名前:名無しさん@お腹いっぱい。 [04/10/12 18:10:02]
- WindowsのOutlookで使われてるアドレス帳のLDAP検索結果表示のスキーマを、OpenLDAPサーバで設定することはできますか?
Mozilla/Thunderbirdのアドレス帳用のスキーマはこちら↓を参考に取り込むことはできて、
www.mozilla.org/projects/thunderbird/specs/ldap.html
www.netpress.com/mozilla/ab2ldap_1/mozilla_op20.schema
同様に、Outlook用の*.schemaデータがあるとうれしいんですが。
ちなみにActiveDirectoryの user attributeの情報を見つけましたが、
www.kouti.com/tables/userattributes.htm
これから作ることも可能ですかね?
- 447 名前:名無しさん@お腹いっぱい。 mailto:sage [04/10/12 23:37:09]
- >>445
用途による。
システム全般のldap.conf以外に、
NSS, PAM用のldap.confがあるのはそのため。
# debianだとlibnss-ldap.conf, pam_ldap.conf
>>446
攻めるならaddressBookContainer辺りからなんじゃないのかな?
msdn.microsoft.com/library/default.asp?url=/library/en-us/adschema/adschema/c_addressbookcontainer.asp
- 448 名前:446 mailto:sage [04/10/14 11:17:52]
- openldapのcvsにmicrosoft.schemaがありました
www.openldap.org/devel/cvsweb.cgi/servers/slapd/schema/?hideattic=1&sortbydate=0
が、参考程度で利用できる状態ではないみたいです。
www.unav.es/cti/ldap-smb/draft-armijo-ldap-syntax-00.html
この辺↑も参考に、ごにょごにょいじって試してます。
- 449 名前:447 mailto:sage [04/10/14 22:53:46]
- >>448
Mac OS X 10.4はそのscheme + OpenLDAPで頑張って、
Windowsのプライマリ・ドメイン・コントローラを目指しているみたい。
- 450 名前:名無しさん@お腹いっぱい。 mailto:sage [04/10/19 01:00:30]
- 現状ActiveDirectoryが立ってる状態で
UNIXの認証をpam_ldap等用いてADのLDAPで統一することは可能でしょうか?
- 451 名前:名無しさん@お腹いっぱい。 mailto:sage [04/10/19 01:09:34]
- 自己レスですが
UNIX認証方法のいろいろってスレみたらだいたいのことは書いてありました
142以降
スレ汚しスマ
- 452 名前:名無しさん@お腹いっぱい。 mailto:sage [04/10/19 01:52:20]
- あそこに書かなかったのは、
・Inside Active Directory
www.kouti.com/index.htm
・UNIX側でそれが許されれば、
kerberos認証で統一の方が簡単かも知れないこと。
くらい。
- 453 名前:名無しさん@お腹いっぱい。 [04/10/27 01:44:32]
- LDAPでmp3を管理しているという事を聞きますが、
具体的にはどういうシステムを構築しているのでしょうか?
単にmp3の情報を管理しているのか、それともWEBベース
でmp3ジュークボックスソフトを構築しているのか、
興味がありますのでお教え願います。
- 454 名前:名無しさん@お腹いっぱい。 mailto:sage [04/10/28 20:04:58]
- >>453
こんな感じか?
www.mizzy.org/web/mp3server.xhtml
- 455 名前:445 mailto:sage [04/10/31 06:10:28]
- >>447
サーバ、クライアントともにRed Hat(RHEL3)で認証サーバとして
使っています。
PAM用の設定(ldap.conf)でidle_timelimitを短め(10秒)に
設定してはいるんですが、うまい事切れてはくれませんでした・・・。
uid引く様なプロセスが全てslapdに接続して接続しっぱなしに
なるので、今使っているopenldap(OS付属のrpm)だと同時接続数が
1024を超えると以後の接続が切られるので結構痛い状況なのです。
idletimeoutでサーバ側から切る、openldapの同時接続数(FD_SIZESET)
増やしてしのぐ、負荷分散する等色々考えられるとは思うのですが
どう思われますか?
- 456 名前:名無しさん@お腹いっぱい。 mailto:sage [04/10/31 07:17:26]
- >>445
447 じゃないけど、それなら idletimeout 設定すればいいんじゃない?
それで何か不都合あれば別だけど。
あと FD_SIZESET って FD の最大値を決めてるんだよね?
1024 程度はまだまだ余裕なんでもっと増やしてもよいかも。
- 457 名前:445 mailto:sage [04/10/31 09:20:52]
- 寝ぼけてました。
FD_SETSIZEの間違いです。orz
>>456
FD_SETSIZEの値がselect()で扱うFDの最大値として実装されているので、
とりあえずFD_SETSIZEを65535にして、実際の上限はulimitで2048に
して様子を見ています。
# _SC_OPEN_MAXでFD_SETSIZE以下の上限が制御できる様です
同じ用途で使われている方達も同じ様な状況になっているのでは
ないかと思い、どうされているのか気になって質問してみました。
ユーザ認証にldapを使う場合、DNSと同程度(以上?)に重要な位置付け
になるんだなぁ・・・と痛感しています。
- 458 名前:名無しさん@お腹いっぱい。 mailto:sage [04/10/31 10:57:43]
- >>455
PAMとNSSを区別できていますか?
まあ状況から考えると、slapd.confでの設定が適切だと思いますが。
- 459 名前:名無しさん@お腹いっぱい。 mailto:sage [04/10/31 10:58:27]
- それから、nscdを使うのも効果があります。
- 460 名前:445 mailto:sage [04/10/31 16:13:06]
- >>458
> PAMとNSSを区別できていますか?
区別がついているかかなり怪しいのですが、
PAMは、実際のユーザ認証を提供するプロセス(login,su等)向け
NSSは、glibc経由でldapを使うプロセス(getpwnam,gwtpwuid等を
呼ぶプロセス全般)向けという理解でいます。
>>459
nscdは、NSS経由でldapを使うプロセスに対してキャッシュ機能を
提供するのでnscdを起動しておけばslapdへ逐一接続する事もなくなり
効果あり。といお話ですよね?
うちは、PAM経由のデーモンが沢山起動しているのでidletimeout
について検討していました。
とここまで考えた時点でふと思ったのですが、
・・・うちが特殊なだけか。orz
- 461 名前:458 mailto:sage [04/10/31 22:20:52]
- >>460
なるほど。
多数の接続の要因になるのは自前のデーモンなんですね?
>>455を読んで、ごく一般的な利用かと思っていました。
idletimeoutで何とかなると思いますが、
それでも駄目なら、saslauthd経由に変更してはどうですか?
- 462 名前:名無しさん@お腹いっぱい。 [04/11/19 22:54:33]
- ldapのアカウント情報データベースをfingerで引こうとしたのですが、うまくできません
。
例えばユーザAxxyyz1を検索するとき
%ldapseach -h 192.168.1.2 -x -b 'dc=2ch,dc=university,dc=ac,dc=jp' 'uid=Axxyyz1'
は検索に引っかかり結果が正常に出力されます。
しかし、
%finger Axxyyz1
を実行するとslapdはdc=Axxyyz1...とそれっぽいパケットを吐くようですが
finger: Axxyyz1: no such userと出力されます。
関係しそうなソフト(ports)、OSは以下です。
nss_ldap-1.204_5
openldap-client-2.2.18
openldap-server-2.2.18
pam_ldap-1.7.6
FreeBSD-5.3Release-p1/i386
アカウント情報のldifは大学のデータベースをldapsearchで抜き取り、
ldapaddで加えました。抜いたldifの情報は以下のような情報です。
(たくさん略してます)
# extended LDIF
#
# LDAPv3
# base <dc=2ch,dc=university,dc=ac,dc=jp> with scope sub
# filter: (objectclass=*)
# requesting: *
#
|
 |
