- 1 名前:名無し君 [02/02/02 20:53]
- 語りましょう。
私は俺はこんなものまでLDAPで管理している等々。。
- 426 名前:名無しさん@お腹いっぱい。 mailto:sage [04/06/06 17:02]
- 何かを入れるobjectclass。
例えばou=People。
- 427 名前:名無しさん@お腹いっぱい。 [04/06/17 22:37]
- OpenLDAP 2.2.13 で --enable-phonetic を有効にしてコンパイル
しても、cn;lang-ja;phonetic とかが使えないみたいです。
確認したのは Fedora Core 2 です。
adding new entry "uid=hoge,ou=People,dc=2ch,dc=net"
ldapadd: update failed: uid=hoge,ou=People,dc=2ch,dc=net
ldap_add: Undefined attribute type (17)
additional info: cn;lang-ja;phonetic: unrecognized option
どうにかして使えるようにはならないんでしょうか?
おながいします。
- 428 名前:名無しさん@お腹いっぱい。 mailto:sage [04/06/18 07:26]
- slapd.conf(5)のattributeoptions の所は読んだ?
それから2.2.13は古いねえ。
source取得して$(OPENLDAP)/tests/data/lang-out.ldifでテストしてね。
- 429 名前:427 mailto:sage [04/06/18 18:59]
- >>428
レスありがとうございます。
slapd.confのattributeoptionsにlang- phoneticを
指定したら、正常に登録とか検索ができますた。
- 430 名前:名無しさん@お腹いっぱい。 mailto:sage [04/06/20 18:17]
- Samba 3をメンバサーバで運用する場合、add userスクリプトを使って
ローカルにUNIXアカウントを作成しなくとも、DCのLDAPをFreeBSDから覗いて
動作可能だったりするのでしょうか?
認証にDCのLDAPとKerberosを使うのはいいけどローカルにUNIXアカウントも作る
ってのが不細工じゃないかなと思ってるわけで。
- 431 名前:430 mailto:sage [04/06/20 18:19]
- ちなみにDCは2000 Serverです。
- 432 名前:名無しさん@お腹いっぱい。 mailto:sage [04/06/20 23:11]
- >>430
www.samba.org/samba/docs/man/guide/unixclients.html#adssdm
は読みましたか?
それからDCはちゃんとWindowsのドメインコントローラって書いてね。
- 433 名前:名無しさん@お腹いっぱい。 mailto:sage [04/06/21 07:20]
- >>432
ありがとうございます。
ドキュメント > Google ってことがよくわかりました。
- 434 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/13 19:47]
- LDAP(OpenLDAP + RHELv2.1)にて、ユーザーアカウントを
ロックすることは可能ですか?
# passwd -l UserAccount
って crypt ハッシュの頭に '!' をくっ付け実現しているっぽい
んですが、LDAPだとこれが無視されてログイン可能なんです
- 435 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/14 20:51]
- Red Hat Enterpriseなら、
shadowの有効期限の方でコントロール可能です。
man 5 ldapしてみてください。
もちろん、LDAPで管理可能です。
nis.schemaのshadowAccount objectclassです。
- 436 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/15 00:03]
- >>435
なるほどshadowAccountを使えば良いんですね、助かりました〜
- 437 名前:名無しさん@お腹いっぱい。 [04/07/18 13:25]
- ldapsearch しても作ったエントリが全然見えません。
例えば、
dn: dc=pakahoge,dc=co,dc=jp
dc: pakahoge
objectClass: dcObject
と記した test.ldif というファイルを作ります。その後
ldapadd -x -D "cn=root,dc=pakahoge,dc=co,dc=jp" -w password -f top.ldif
としてエントリを追加し、
ldapsearch -x -b "dc=pakahoge,dc=co,dc=jp" "objectclass=*"
としても、
version: 2
#
# filter: objectclass=*
# requesting: ALL
#
# search result
search: 2
result: 0 Success
# numResponses: 1
という結果になるだけです。どうしたんでしょう?
- 438 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/18 14:41]
- バックエンドパーミッション
- 439 名前:名無しさん@お腹いっぱい。 [04/07/18 14:49]
- >>438
ありがとうございます。
とりあえずslapd.confのaccess行をとっぱらったら見えました。
まだ訳がわからないのですが勉強します。
- 440 名前:一応修正 mailto:sage [04/07/19 01:16]
- >>435
> man 5 ldapしてみてください。
man 5 shadowの間違いでした。
- 441 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/30 00:12]
- Solaris9でさ、
PADLのpam_ldapをコンパイルしようとしたら、
warningばっかりで、コンパイルできないんだけど。
誰か知ってる人いる?
- 442 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/30 03:45]
- >>441
普通にコンパイルできて問題なく利用できている。
- 443 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/30 19:58]
- warning ばっかりで error が無いならコンパイルできてそうに思えるが
- 444 名前:名無しさん@お腹いっぱい。 [04/08/10 02:28]
- >395
激しく亀レス。
ttp://www.muquit.com/muquit/software/mod_auth_ldap/mod_auth_ldap_apache2.html
にあった。
WBEL3.0 respin1 でかるーく動作確認した
- 445 名前:ななし mailto:sage [04/10/04 00:45:51]
- openldap使用時に、idletimeoutの設定をかけるのは基本なのでしょうか。
デフォルトではidletimeoutしないようですが・・・。
- 446 名前:名無しさん@お腹いっぱい。 [04/10/12 18:10:02]
- WindowsのOutlookで使われてるアドレス帳のLDAP検索結果表示のスキーマを、OpenLDAPサーバで設定することはできますか?
Mozilla/Thunderbirdのアドレス帳用のスキーマはこちら↓を参考に取り込むことはできて、
www.mozilla.org/projects/thunderbird/specs/ldap.html
www.netpress.com/mozilla/ab2ldap_1/mozilla_op20.schema
同様に、Outlook用の*.schemaデータがあるとうれしいんですが。
ちなみにActiveDirectoryの user attributeの情報を見つけましたが、
www.kouti.com/tables/userattributes.htm
これから作ることも可能ですかね?
- 447 名前:名無しさん@お腹いっぱい。 mailto:sage [04/10/12 23:37:09]
- >>445
用途による。
システム全般のldap.conf以外に、
NSS, PAM用のldap.confがあるのはそのため。
# debianだとlibnss-ldap.conf, pam_ldap.conf
>>446
攻めるならaddressBookContainer辺りからなんじゃないのかな?
msdn.microsoft.com/library/default.asp?url=/library/en-us/adschema/adschema/c_addressbookcontainer.asp
- 448 名前:446 mailto:sage [04/10/14 11:17:52]
- openldapのcvsにmicrosoft.schemaがありました
www.openldap.org/devel/cvsweb.cgi/servers/slapd/schema/?hideattic=1&sortbydate=0
が、参考程度で利用できる状態ではないみたいです。
www.unav.es/cti/ldap-smb/draft-armijo-ldap-syntax-00.html
この辺↑も参考に、ごにょごにょいじって試してます。
- 449 名前:447 mailto:sage [04/10/14 22:53:46]
- >>448
Mac OS X 10.4はそのscheme + OpenLDAPで頑張って、
Windowsのプライマリ・ドメイン・コントローラを目指しているみたい。
- 450 名前:名無しさん@お腹いっぱい。 mailto:sage [04/10/19 01:00:30]
- 現状ActiveDirectoryが立ってる状態で
UNIXの認証をpam_ldap等用いてADのLDAPで統一することは可能でしょうか?
- 451 名前:名無しさん@お腹いっぱい。 mailto:sage [04/10/19 01:09:34]
- 自己レスですが
UNIX認証方法のいろいろってスレみたらだいたいのことは書いてありました
142以降
スレ汚しスマ
- 452 名前:名無しさん@お腹いっぱい。 mailto:sage [04/10/19 01:52:20]
- あそこに書かなかったのは、
・Inside Active Directory
www.kouti.com/index.htm
・UNIX側でそれが許されれば、
kerberos認証で統一の方が簡単かも知れないこと。
くらい。
- 453 名前:名無しさん@お腹いっぱい。 [04/10/27 01:44:32]
- LDAPでmp3を管理しているという事を聞きますが、
具体的にはどういうシステムを構築しているのでしょうか?
単にmp3の情報を管理しているのか、それともWEBベース
でmp3ジュークボックスソフトを構築しているのか、
興味がありますのでお教え願います。
- 454 名前:名無しさん@お腹いっぱい。 mailto:sage [04/10/28 20:04:58]
- >>453
こんな感じか?
www.mizzy.org/web/mp3server.xhtml
- 455 名前:445 mailto:sage [04/10/31 06:10:28]
- >>447
サーバ、クライアントともにRed Hat(RHEL3)で認証サーバとして
使っています。
PAM用の設定(ldap.conf)でidle_timelimitを短め(10秒)に
設定してはいるんですが、うまい事切れてはくれませんでした・・・。
uid引く様なプロセスが全てslapdに接続して接続しっぱなしに
なるので、今使っているopenldap(OS付属のrpm)だと同時接続数が
1024を超えると以後の接続が切られるので結構痛い状況なのです。
idletimeoutでサーバ側から切る、openldapの同時接続数(FD_SIZESET)
増やしてしのぐ、負荷分散する等色々考えられるとは思うのですが
どう思われますか?
- 456 名前:名無しさん@お腹いっぱい。 mailto:sage [04/10/31 07:17:26]
- >>445
447 じゃないけど、それなら idletimeout 設定すればいいんじゃない?
それで何か不都合あれば別だけど。
あと FD_SIZESET って FD の最大値を決めてるんだよね?
1024 程度はまだまだ余裕なんでもっと増やしてもよいかも。
- 457 名前:445 mailto:sage [04/10/31 09:20:52]
- 寝ぼけてました。
FD_SETSIZEの間違いです。orz
>>456
FD_SETSIZEの値がselect()で扱うFDの最大値として実装されているので、
とりあえずFD_SETSIZEを65535にして、実際の上限はulimitで2048に
して様子を見ています。
# _SC_OPEN_MAXでFD_SETSIZE以下の上限が制御できる様です
同じ用途で使われている方達も同じ様な状況になっているのでは
ないかと思い、どうされているのか気になって質問してみました。
ユーザ認証にldapを使う場合、DNSと同程度(以上?)に重要な位置付け
になるんだなぁ・・・と痛感しています。
- 458 名前:名無しさん@お腹いっぱい。 mailto:sage [04/10/31 10:57:43]
- >>455
PAMとNSSを区別できていますか?
まあ状況から考えると、slapd.confでの設定が適切だと思いますが。
- 459 名前:名無しさん@お腹いっぱい。 mailto:sage [04/10/31 10:58:27]
- それから、nscdを使うのも効果があります。
- 460 名前:445 mailto:sage [04/10/31 16:13:06]
- >>458
> PAMとNSSを区別できていますか?
区別がついているかかなり怪しいのですが、
PAMは、実際のユーザ認証を提供するプロセス(login,su等)向け
NSSは、glibc経由でldapを使うプロセス(getpwnam,gwtpwuid等を
呼ぶプロセス全般)向けという理解でいます。
>>459
nscdは、NSS経由でldapを使うプロセスに対してキャッシュ機能を
提供するのでnscdを起動しておけばslapdへ逐一接続する事もなくなり
効果あり。といお話ですよね?
うちは、PAM経由のデーモンが沢山起動しているのでidletimeout
について検討していました。
とここまで考えた時点でふと思ったのですが、
・・・うちが特殊なだけか。orz
- 461 名前:458 mailto:sage [04/10/31 22:20:52]
- >>460
なるほど。
多数の接続の要因になるのは自前のデーモンなんですね?
>>455を読んで、ごく一般的な利用かと思っていました。
idletimeoutで何とかなると思いますが、
それでも駄目なら、saslauthd経由に変更してはどうですか?
- 462 名前:名無しさん@お腹いっぱい。 [04/11/19 22:54:33]
- ldapのアカウント情報データベースをfingerで引こうとしたのですが、うまくできません
。
例えばユーザAxxyyz1を検索するとき
%ldapseach -h 192.168.1.2 -x -b 'dc=2ch,dc=university,dc=ac,dc=jp' 'uid=Axxyyz1'
は検索に引っかかり結果が正常に出力されます。
しかし、
%finger Axxyyz1
を実行するとslapdはdc=Axxyyz1...とそれっぽいパケットを吐くようですが
finger: Axxyyz1: no such userと出力されます。
関係しそうなソフト(ports)、OSは以下です。
nss_ldap-1.204_5
openldap-client-2.2.18
openldap-server-2.2.18
pam_ldap-1.7.6
FreeBSD-5.3Release-p1/i386
アカウント情報のldifは大学のデータベースをldapsearchで抜き取り、
ldapaddで加えました。抜いたldifの情報は以下のような情報です。
(たくさん略してます)
# extended LDIF
#
# LDAPv3
# base <dc=2ch,dc=university,dc=ac,dc=jp> with scope sub
# filter: (objectclass=*)
# requesting: *
#
- 463 名前:名無しさん@お腹いっぱい。 [04/11/19 22:56:02]
- dn: dc=university,dc=ac, dc=jp
objectClass: dcObject
objectClass: organization
dc: university
o: university
# 2ch.university.ac.jp
dn: dc=2ch,dc=university,dc=ac,dc=jp
objectClass: dcObject
objectClass: organization
o: 2ch University
dc: 2ch
# users, 2ch.university.ac.jp
dn: ou=users,dc=2ch,dc=university,dc=ac,dc=jp
objectClass: top
objectClass: organizationalUnit
ou: users
# groups, 2ch.university.ac.jp
dn: ou=groups,dc=2ch,dc=university,dc=ac,dc=jp
objectClass: top
objectClass: organizationalUnit
ou: groups
- 464 名前:名無しさん@お腹いっぱい。 [04/11/19 22:56:54]
- # students, groups, 2ch.university.ac.jp
dn: cn=students,ou=groups,dc=2ch,dc=university,dc=ac,dc=jp
objectClass: posixGroup
objectClass: top
cn: students
gidNumber: 10000
(略)
# Axxyyz1, users, 2ch.university.ac.jp
dn: uid=Axxyyzz,ou=users,dc=2ch,dc=university,dc=ac,dc=jp
uid: Axxyyz1
cn: nana shi
objectClass: account
objectClass: posixAccount
objectClass: top
uidNumber: 16011
gidNumber: 10000
gecos: nana shi
homeDirectory: /home/students/Axxyyz1
loginShell: /bin/csh
# Axxyyz2, users, 2ch.university.ac.jp
(以下略)
- 465 名前:名無しさん@お腹いっぱい。 [04/11/19 22:57:53]
- 設定したコンフィグファイルと内容は以下です。
/usr/local/etc/openldap/slapd.conf*********
include /usr/local/etc/openldap/schema/core.schema
include /usr/local/etc/openldap/schema/corba.schema
include /usr/local/etc/openldap/schema/cosine.schema
include /usr/local/etc/openldap/schema/inetorgperson.schema
include /usr/local/etc/openldap/schema/misc.schema
include /usr/local/etc/openldap/schema/nis.schema
include /usr/local/etc/openldap/schema/openldap.schema
pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args
sizelimit 5000
dbcachesize 50000000
database ldbm
suffix "dc=university, dc=ac, dc=jp"
rootdn "cn=Manager,dc=university, dc=ac, dc=jp"
rootpw {MD5}*
directory /var/db/openldap-data
index objectClass eq
/etc/nsswitch.conf************************
group: ldap files
hosts: files dns
networks: files dns
passwd: ldap files
- 466 名前:名無しさん@お腹いっぱい。 [04/11/19 22:59:14]
- /usr/local/etc/nss_ldap.conf(ln -s nss_ldap.conf ldap.conf)*****
host 192.168.1.2
base dc=2ch,dc=university,dc=ac,dc=jp
uri ldap://192.168.1.2/
ldap_version 3
port 389
nss_base_passwd ou=users,dc=2ch,dc=university,dc=ac,dc=jp?one
nss_base_group ou=groups,dc=2ch,dc=university,dc=ac,dc=jp?one
nss_map_attribute uidNumber uid
nss_map_attribute gidNumber gid
ssl off
timelimit 30
bind_timelimit 5
idle_timelimit 5
vipwで"+:::::::::"を追加しました。エディタで/etc/groupに"+::0:"を追加しました。
#slapd -u ldap -g ldap -d -1でslapdを起動させました。
どなたか是非語教授ください。よろしくお願いします。長文失礼しました。
- 467 名前:名無しさん@お腹いっぱい。 mailto:sage [04/11/20 01:06:24]
- 長くて読む気しない。とりあえず、
$ getent passwd Axxyyz1
して、ltraceやtethereal -V追い掛けてみて。
- 468 名前:462-466 mailto:sage [04/11/22 02:10:45]
- >>467
遅くなって申し訳ありません。レスありがとうございます。
fingerとgetpwentのソースを追いました。
途中で以下のような関数を呼び、
__nss_compat_getpwent_r(void *retval, void *mdata, va_list ap)
そいつがldapの関数を呼んで(関数ポインタにまかれて何の関数かわかりませんでした)
struct passwd構造体にアカウント情報を入れるようです。
大学ので行うときちんと格納される以下のように格納
__nss_compat_getpwent_r:USER=Axxyyz1
__nss_compat_getpwent_r:PASS=x
__nss_compat_getpwent_r:UID=16011
__nss_compat_getpwent_r:GID=10000
__nss_compat_getpwent_r:CHANG=(null)
__nss_compat_getpwent_r:CLASS=
__nss_compat_getpwent_r:GECOS=nana shi
__nss_compat_getpwent_r:HOMEDIR=/home/students/Axxyyz1
__nss_compat_getpwent_r:SHELL=/bin/csh
__nss_compat_getpwent_r:EXPIRE=(null)
__nss_compat_getpwent_r:FIELDS=(null)
で、成功を返します。
家から大学、家から自前のLDAPの場合は以下です。(値が入ってないところは略しました)
__nss_compat_getpwent_r:USER=Axxyyzz (データベースに格納されている最後のユーザー)
__nss_compat_getpwent_r:PASS=x
で、失敗を返します。
- 469 名前:462-466 mailto:sage [04/11/22 02:14:18]
- このことより、
データベースが腐っててstruct passwdに必要な値を格納することができずに
エラーを返しているか、アクセス制御か何かやその他設定が悪くてうまく値を
得ることができなかったのかなと思うのですが原因はまだわかりません。
- 470 名前:462-466 [04/11/22 02:18:17]
- あとは、パケットを見たところ
自前のLDAPサーバーは一応ホームディレクトリなどの情報も送っているようでした。
が、実際表示させると>>468のように入っていないようでした。
- 471 名前:名無しさん@お腹いっぱい。 mailto:sage [04/11/22 14:22:12]
- 取得してからのmappingがおかしそうだから、
nss_ldap-1.204_5用のldap.confで、
#nss_map_attribute uidNumber uid
の辺りがどうなっているか調べてみれば?
# Debianだと/etc/libnss-ldap.confにあるね。
- 472 名前:462-466 mailto:sage [04/11/24 11:42:45]
- >>471
レスありがとうございます。
その項目をコメントアウトすると、なにごともなかったかのように
きちんと読むようになりました。
ありがとうございました。
- 473 名前:467=471 mailto:sage [04/11/25 00:59:05]
- ああ、直ったんだ。
最初「長くて読む気しない」って書いちゃったけど、
細かくて正確な調査報告があると問題点も分かりやすいね(w
- 474 名前:hehehe [04/11/26 21:38:43]
- 330での、dhcpd.confのデータをldapに格納する件。
draft-ietf-dhc-ldap-schemaがベースだと思うけど
RFCにならずdeleteされてますよね。
その後の動向どなたか知りませんか?
最新のisc-dhcpに対するldap対応パッチってないのかな。
- 475 名前:467=471 mailto:sage [04/11/26 23:07:05]
- home.ntelos.net/%7Emasneyb/
のpatchでどうよ? (使ったこと無いけどね)
- 476 名前:hehehe [04/11/27 00:16:25]
- おぉ! 情報ありがとうございます。
週明けに職場の検証環境で試してみます。
- 477 名前:名無しさん@お腹いっぱい。 [04/11/27 05:09:30]
- www.asahi.com/national/update/1126/003.html
続報でたよ。
大手商社伊藤忠商事のIT関連子会社
「伊藤忠テクノサイエンス」(東京)が約160億円分、
インターネット関連企業「ライブドア」(同)が
約17億円分の取引に関与し、
テクノ社は計約13億円、
ライブドアは計約5000万円の手数料を得ていたという。
- 478 名前:名無しさん@お腹いっぱい。 [04/12/05 22:04:07]
- nsswitchとLDAPでNISはいらなくなりますか?
- 479 名前:名無しさん@お腹いっぱい。 mailto:sage [04/12/05 23:29:41]
- はい。さらにpamを付け足せばね。
- 480 名前:名無しさん@お腹いっぱい。 [04/12/22 01:33:41]
- ずっと気になってること。「LDIF」てなんて発音する?
「えるでぃふ」?そのまま「えるでぃーあいえふ」?
- 481 名前:名無しさん@お腹いっぱい。 mailto:sage [04/12/22 09:51:45]
- えるでぃふ
- 482 名前:名無しさん@お腹いっぱい。 mailto:sage [04/12/22 16:30:40]
- OpenLDAPのコードの汚さにうんざりしてるんですが、
オープンソースで、これから育ちそうな競合はないものか?
- 483 名前:名無しさん@お腹いっぱい。 mailto:sage [04/12/22 17:19:01]
- OpenBSDの人達にOpenOpenLDAPでも作ってもらいますか。
(SASLなんとかしてほしい...)
- 484 名前:名無しさん@お腹いっぱい。 mailto:sage [04/12/22 21:10:46]
- >>482
mutex_lockとthreadpoolなんて、動いてるのが奇跡に近いコードになってるよな
1.2系の最初の頃はシンプルなコードだったのにな。。
- 485 名前:名無しさん@お腹いっぱい。 [04/12/22 21:22:54]
- LDAPってよくわかんねっす
なにができるのでしょうか??
兄貴な方々おしえてくらさい
- 486 名前:名無しさん@お腹いっぱい。 [04/12/23 01:47:57]
- >>481
でもLDIFの読み方のってるHPとかないよねー。
影薄い(/・∀・)/
- 487 名前:名無しさん@お腹いっぱい。 mailto:sage [04/12/23 02:19:29]
- >>485
簡易データベースです。
ネットワーク基本サービスの一部として働きます。
例えばアカウント情報、ブックマークレポジトリ。
- 488 名前:名無しさん@お腹いっぱい。 mailto:sage [04/12/23 02:44:38]
- >>482
正直、現状ではない。
>>483
OpenBSDではLDAPは思い切り軽視されていて、userlandには当然OpenLDAPは入って
いないし、pamにすら対応していないし、それどころか man -k ldap しても
何も出てこないぐらいだから…
- 489 名前:名無しさん@お腹いっぱい。 [04/12/23 23:47:17]
- >>487 あにきー ありがとです。 PostgresqlなどとはちがうDBなんすね
ラディウスのかわりになるですか?
- 490 名前:名無しさん@お腹いっぱい。 [04/12/24 00:37:48]
- >>489
> ラディウスのかわりになるですか?
ええ、LDAPもAAA(Authetication, Authorization and Accounting)やりますよ。
↓freeradiusのLDAP plugin
Radius authentication using LDAP
www.tldp.org/HOWTO/LDAP-Implementation-HOWTO/radius.html
最近は直接LDAPさーばに投げられるものも多いし。
- 491 名前:名無しさん@お腹いっぱい。 [04/12/30 17:26:41]
- OpenLDAPって数値を検索できる?
例えばuidNumberが1000以上2000以下なエントリーを抜き出したいです
- 492 名前:名無しさん@お腹いっぱい。 mailto:sage [04/12/30 17:59:22]
- integerMatchで、greaterOrEqual, lessOrEqual
- 493 名前:名無しさん@お腹いっぱい。 [05/01/06 15:36:24]
- LDAPに登録されているアカウントにsuしようとすると、segmentation faultしてしまいます。
どこで落ちているのかstrace -o trace su - hogeで、
open("/usr/lib/libcrypto.so.0.9.7", O_RDONLY) = 3
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0\20E<\000"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0555, st_size=1161935, ...}) = 0
old_mmap(NULL, 990776, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xf69bc000
old_mmap(0xf6a99000, 73728, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0xdd000) = 0xf6a99000
old_mmap(0xf6aab000, 11832, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0xf6aab000
--- SIGSEGV (Segmentation fault) @ 0 (0) ---
+++ killed by SIGSEGV +++
となりました。
/etc/passwdにあるユーザにsuしたとき同じ部分を見てみると、
old_mmap(NULL, 990776, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 4, 0) = 0xf6998000
old_mmap(0xf6a75000, 73728, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 4, 0xdd000) = 0xf6a75000
old_mmap(0xf6a87000, 11832, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0xf6a87000
mprotect(0xf6ff9000, 3788, PROT_READ|PROT_WRITE) = 0
mprotect(0xf6ff9000, 3788, PROT_READ) = 0
mprotect(0xfee9f000, 4096, PROT_READ|PROT_WRITE|PROT_EXEC|PROT_GROWSDOWN) = 0
close(4) = 0
であることから、mprotectで問題がおきているだろうってのは解ったんですが。。。
そこからどうしたらいいのかわかりませんでした。
open-ldap-2.2.20
nss_ldap-277
pam_ldap-176
bdb-4.3.27
ldapsearchなどではちゃんと引けています。
アドバイスをよろしくおねがいします。
- 494 名前:名無しさん@お腹いっぱい。 [05/01/07 05:13:10]
- >>493
自己解決。
openldapのconfigureで、--enbale-cryptをしていました。それをはずしたらうまく動きました。
- 495 名前:名無しさん@お腹いっぱい。 mailto:sage [05/01/07 11:44:34]
- つーか、/usr/lib/libcrypto.so.0.9.7をどうにかしないと…
- 496 名前:名無しさん@お腹いっぱい。 mailto:sage [05/01/07 13:38:18]
- うみゅ。とりえあずOpenSSLのライブラリを入れなおすべきですな。
- 497 名前:名無しさん@お腹いっぱい。 [05/01/11 17:32:54]
- LDAPのAPIですが、
Filter設定してsearchとかやりますが、
SQLを指定してやる方法もあるのですか?
JAVAや.Netから使いたいんですが・・・
- 498 名前:名無しさん@お腹いっぱい。 mailto:sage [05/01/11 18:23:07]
- >>497
SQLを指定ってあまりにも意味不明なんだけど
- 499 名前:名無しさん@お腹いっぱい。 [05/01/11 19:46:23]
- >>498
例えば
Select 属性 from 'LDAP://DC=xxx,・・・' where ・・・
とかのことなんですが。
RDBアクセスなんかでは、SQL文指定でStatementオブジェクト作成⇒
executeQuery()してResultSetを処理ってやるけど、
そんな風にできるんでしょうか?
- 500 名前:名無しさん@お腹いっぱい。 mailto:sage [05/01/11 22:29:05]
- >>499
JavaならJNDI使え。知らないなら調べろ。
.netはよー知らんが、ActiveDirectoryとかにアクセスできるインターフェースがあるでしょ?
もしくは、OpenLDAPのバックエンドをRDBに(ぉ
- 501 名前:名無しさん@お腹いっぱい。 mailto:sage [05/01/12 00:01:54]
- Sun One System Directory 5.2 を使ってます。
こんなエラーが出てログインできなくなってしまってしまったんですが、
このページのとおりやってみてもinvalid format になって解決できません。
swforum.sun.com/jive/thread.jspa?threadID=48144&tstart=0
ldapsearch の結果を元にldapmodifyを実行しても line2の
「cn=admin-serv-servername, cn=Administration Server, cn=Server Group,」
がinvalid format となってしまう。
同じようなエラーを経験した方いませんか?
- 502 名前:名無しさん@お腹減った。 mailto:sage [05/01/12 00:32:48]
- >>499
Novell から LDAP JDBC Driver ってのが出てるが。
登録すれば無償で取って来られたはず。
ttp://developer.novell.com/ndk/ldapjdbc.htm
- 503 名前:名無しさん@お腹いっぱい。 mailto:sage [05/01/12 04:26:28]
- >>501
dn: cn=admin-serv-edog, cn=Netscape Administration Server, cn=Server Group, cn=edog.labnet.east.sun.com, ou=labnet.east.sun.com, o=NetscapeRoot
で一行であることは理解してますよね?
理解できてないとすると、(失敗した時に手に負えないという意味で)
かなり危険なことに手を出そうとしていることを念頭においてください。
- 504 名前:名無しさん@お腹いっぱい。 [05/01/12 10:07:13]
- >>500
今、JAVAではJNDI、.Netでは.NetのDirectoryアクセスクラスを
使ってやてるけど、SQL形式のインタフェースじゃないから
そういうのが無いかなぁっていうことでした。
>>502
なるほど、やはりJDBC経由になるってことですか。
それが自然ですね。
どうもです。
- 505 名前:名無しさん@お腹いっぱい。 [05/01/12 21:25:07]
- japan.internet.com/busnews/20050111/10.html
これってどうなの?→使ったことある人
- 506 名前:名無しさん@お腹いっぱい。 mailto:sage [05/01/12 21:55:57]
- iPlanetがあぼ〜んして以来、完全に忘れていたproductだなぁ。
- 507 名前:名無しさん@お腹いっぱい。 mailto:sage [05/01/13 11:38:14]
- >>505
5年以上前はよかったよ。
今はどうかしらないけど、OpenLDAPの競合くらいにはすぐになると思うよ。
iPlanet(Sun)位になるには時間がかかると思う。
- 508 名前:名無しさん@お腹減った。 mailto:sage [05/01/13 11:54:13]
- こんなところで聞くのもなんだが、ldap-jp ml って終わったの?
サーバが止まってるみたいで、メール送っても、
途中でエラーになって帰ってくるのだが。
- 509 名前:名無しさん@お腹いっぱい。 mailto:sage [05/01/13 16:05:33]
- 皆さんが考える、ユーザ認証システムをRDBMSではなく、
ディレクトリサービスを用いる決定的な理由を教えてください。
検索性能に特化していると言われてるけど、
DBと比べて性能差があるのでしょうか?
- 510 名前:名無しさん@お腹いっぱい。 mailto:sage [05/01/13 16:06:58]
- >>509
ねえ、ボク。APIって言葉知ってる?
- 511 名前:名無しさん@お腹いっぱい。 mailto:sage [05/01/13 16:30:35]
- はい、薄々ながらですが。
- 512 名前:名無しさん@お腹いっぱい。 mailto:sage [05/01/13 17:18:40]
- 509は実装とインターフェースとの違いがまったく理解できてないんだろうな。
LDAP serverのbackendにRDBMS使う例だってあるというのに。
- 513 名前:509 mailto:sage [05/01/13 17:54:40]
- >>510、512
レスありがとうございます。
バックエンドでRDBMSも使えることは知っております。
OpenLDAPにしても、Berkeley DBをバックエンドで使うんですよね?
にも関わらず、一般的な記事ではディレクトリサービスとRDBMSは
比較対照になっていて、しかも「ディレクトリサービスは検索に特化されている」
とされています。
"特化=DBに比べて早い"or"特化=更新に比べて検索が得意"のどっちなのかを
教えて頂きたかったのです。
また、"特化=DBに比べて早い"とした場合、どうして性能差が出るのでしょうか?
「もっと勉強して出直して来い」なのかもしれませんが、
ご教授願います。
- 514 名前:名無しさん@お腹いっぱい。 mailto:sage [05/01/13 18:38:57]
- そもそも、RDBMSを用いた認証って一般的なプロトコルが存在しないでそ。
各アプリがそれぞれのRDBMSに合わせた手法で独自にアクセスし、各アプリの独自の
形式で収納している。
LDAPを使う場合は、各アプリはLDAPプロトコルに則ってアクセスすればいいのだし、
スキーマも認証系ではだいたい決っているので、それにのっとれば各アプリが共通した
認証情報を使える。これはLDAPサーバのバックエンドになにが使われているだとか
速度がどうだとかはまったく関係ないインターフェース/プロトコルレベルの話。
そして、SQL系RDBMSよりもBerkeleyDBのほうがLDAPで用いるような単純な検索では
規模によっては速度的に有利だとかメンテも遥かに楽とかいうのはあるけど、
509はこのこととLDAPプロトコルの利点とを混同している。
余談。MySQLのバックエンドにBerkeleyDBを使いトランザクションを実現していた
時期もあったなぁ。いまはMySQLでトランザクションといえばInnoDBだから
最近の人には信じられないことだろうけど。
- 515 名前:509 mailto:sage [05/01/13 19:22:14]
- >>514
レスありがとうございます。
> 509はこのこととLDAPプロトコルの利点とを混同している。
なるほど。結局はバックグラウンドの格納先の問題であって、
ディレクトリサービスがどうとかLDAPだからとかそう言う問題ではないのですね。
もし、SQL系RDBMSでディクレクトリサービスを管理するとなると
テーブル構成はどの様になるのでしょうか?
> LDAPサーバのバックエンドになにが使われているだとか
> 速度がどうだとかはまったく関係ないインターフェース/プロトコルレベルの話。
この部分に関してはうっすらではありますが、理解しておりました。
ただ、これだけだとLDAPに決定する理由にしてはもう一パンチ欲しいなぁと
思ってたんです。
でも、まだぼんやりではありますが、ご説明いただいた事を
考えると結構大きなパンチになりそうです。
もう少し、しっかり勉強してみます。
本当にありがとうございました。
- 516 名前:名無しさん@お腹いっぱい。 mailto:sage [05/01/13 19:49:10]
- >>515
> もし、SQL系RDBMSでディクレクトリサービスを管理するとなると
> テーブル構成はどの様になるのでしょうか?
OpenLDAPのバックエンドにRDMBSが使えることは知っているのだから、
OpenLDAPのservers/slapd/back-sql/rdbms_depend/*/backsql_create.sqlを
参考にすればいいのに…
- 517 名前:501 mailto:sage [05/01/13 23:15:42]
- >>503
ありがとう。動きました。
2chアク禁環境にいたのでレス遅れて申し訳ないです。
おかげで翌朝に解決できました。
仰るとおり理解してませんでした。。
自社に戻って技術文書もって帰りました。。勉強します。。
- 518 名前:名無しさん@お腹いっぱい。 mailto:sage [05/01/14 02:10:36]
- >>509
> 皆さんが考える、ユーザ認証システムをRDBMSではなく、
> ディレクトリサービスを用いる決定的な理由を教えてください。
RDBMSじゃなくて、RDBの間違いだと思うが、
・ネットワークワイドな分散認証レポジトリの構築が容易。
・LDAPを中間層として構築すれば、レポジトリのRDB以降も行いやすい。
つまりLDAPプロトコルが実装透明性を担う。
LDAPを介したシステム組み合わせも容易。
・SASLを使うことができるので、LDAPプロトコルに閉じたまま、
Kerberosを選ぶことができる。RDBではKerberosを扱う事はできない。
・認証の主体となることが多く、認証に関係することが多い、
ユーザのレポジトリはLDAPの専門分野である。
・認証RelemのレポジトリとしてもLDAPは優れている。
schemeが既に多くつくられ、多くの場所で運用されている。
など。
- 519 名前:名無しさん@お腹いっぱい。 mailto:sage [05/01/14 02:12:24]
- >>513
> にも関わらず、一般的な記事ではディレクトリサービスとRDBMSは
> 比較対照になっていて、しかも「ディレクトリサービスは検索に特化されている」
> とされています。
記者が馬鹿だから。
- 520 名前:名無しさん@お腹いっぱい。 mailto:sage [05/01/14 08:27:20]
- >>513
たとえばどの記事よ。
- 521 名前:509 mailto:sage [05/01/14 10:17:53]
- >>516
調べてみました。
ありがとうございました。
>>518
やっぱり、プロトコルやスキーマが標準化されている事って
かなり大きいんですね。
Kerberosですか。新たなメリットです!
調べてみます。
ありがとうございました。
>>519
RDBをバックエンドに使えるはずなのに、
検索に特化されているとかトランザクション機能が無いとか
書いてあるので、なんか仕掛けがあるのかと思ってました。
そもそもトランザクション機能がよくわかってないんですけど。。
>>520
とりあえず、これです。
ttp://www.atmarkit.co.jp/fnetwork/rensai/dirt02/01.html
ttp://japan.cnet.com/extra/sec/story/0,2000051084,20075807-2,00.htm
- 522 名前:名無しさん@お腹いっぱい。 mailto:sage [05/01/14 15:29:18]
- >>518
schemaのtypo.した。
- 523 名前:名無しさん@お腹いっぱい。 mailto:sage [05/01/14 15:41:48]
- >>521
トランザクション機能は全くないわけではありません。それに、
>>509
> ユーザ認証システム
として考えた場合は十分です。
ユーザ認証レポジトリとして考えてみると、
例えばdigital IDの生成の時には、若干トランザクション処理をする必要がありますが、
LDAPプロトコルとしてサポートしないだけで、
LDAPサーバを用いたユーザ認証レポジトリシステム、
しかもRDBと比較する程度の規模のもので、(iPlanet, Active Directory)
ちゃんとやってないもの方が少ないです。
そもそも(RDBでなく)RDBMSという「システム」と比べるべきなのは、
(RDBMSには認証機構やODBCなども入っていますから)
Sun Java System Directory Serverのような、
Directoryシステムであって、LDAPプロトコルでも、
>>509
> ディレクトリサービス
でもないですよね。RDBMSだってRDB部分だけ見ればほとんど何もないです。
- 524 名前:名無しさん@お腹いっぱい。 mailto:sage [05/01/14 15:43:58]
- >>521
> とりあえず、これです。
読む記事が短かすぎます。
この記事を見るだけで出来ることは、この記事をまとめることくらいです。
それだってきっと見当違いになるでしょう。表面をなぞったものを読んだだけなので。
- 525 名前:509 mailto:sage [05/01/14 17:53:53]
- >>523,524
レスありがとうございます。
知識がうすっぺらなんで、勘違いや混乱を起こしてしまうんですよね。
ディレクトリサービスとディレクトリシステム、
RDBとRDBMSをごっちゃにして考えてました。
最初の発言の『ユーザ認証システム』って言葉もユーザを認証する仕組み程度に
何気なく使っていました。
ので、『ユーザ認証レポジトリシステム』との区別がついておりません。。
『ユーザ認証レポジトリシステム』調べてきます。
- 526 名前:名無しさん@お腹いっぱい。 mailto:sage [05/01/14 18:03:01]
- SunOne Directory ServerってもともとはNetscape Directory Serverだよね?
RedHatがNetscape Directory Serverをフリーにするってことは、昔の
SunOne Directory Serverと似たようなものが出てくるのかな? もっとも、
NetscapeはCommunicatorのソースがあの調子でMozillaでは結局一から作りなおす
ハメになったわけで、出てくるソースについてあんまり期待しちゃいけないのかも
しれないけど。とはいえ、さすがにOpenLDAPよりは奇麗だと期待したい。
|
 |
