LDAPについて

1 名前：名無し君 [02/02/02 20:53] 語りましょう。 私は俺はこんなものまでLDAPで管理している等々。。 503 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/12 04:26:28] >>501 dn: cn=admin-serv-edog, cn=Netscape Administration Server, cn=Server Group, cn=edog.labnet.east.sun.com, ou=labnet.east.sun.com, o=NetscapeRoot で一行であることは理解してますよね? 理解できてないとすると、(失敗した時に手に負えないという意味で) かなり危険なことに手を出そうとしていることを念頭においてください。 504 名前：名無しさん＠お腹いっぱい。 [05/01/12 10:07:13] >>500 今、JAVAではJNDI、.Netでは.NetのDirectoryアクセスクラスを 使ってやてるけど、SQL形式のインタフェースじゃないから そういうのが無いかなぁっていうことでした。 >>502 なるほど、やはりJDBC経由になるってことですか。 それが自然ですね。 どうもです。 505 名前：名無しさん＠お腹いっぱい。 [05/01/12 21:25:07] japan.internet.com/busnews/20050111/10.html これってどうなの？→使ったことある人 506 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/12 21:55:57] iPlanetがあぼ〜んして以来、完全に忘れていたproductだなぁ。 507 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/13 11:38:14] >>505 5年以上前はよかったよ。 今はどうかしらないけど、OpenLDAPの競合くらいにはすぐになると思うよ。 iPlanet(Sun)位になるには時間がかかると思う。 508 名前：名無しさん＠お腹減った。 mailto:sage [05/01/13 11:54:13] こんなところで聞くのもなんだが、ldap-jp ml って終わったの？ サーバが止まってるみたいで、メール送っても、 途中でエラーになって帰ってくるのだが。 509 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/13 16:05:33] 皆さんが考える、ユーザ認証システムをRDBMSではなく、 ディレクトリサービスを用いる決定的な理由を教えてください。 検索性能に特化していると言われてるけど、 DBと比べて性能差があるのでしょうか？ 510 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/13 16:06:58] >>509 ねえ、ボク。APIって言葉知ってる? 511 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/13 16:30:35] はい、薄々ながらですが。 512 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/13 17:18:40] 509は実装とインターフェースとの違いがまったく理解できてないんだろうな。 LDAP serverのbackendにRDBMS使う例だってあるというのに。 513 名前：509 mailto:sage [05/01/13 17:54:40] >>510、512 レスありがとうございます。 バックエンドでRDBMSも使えることは知っております。 OpenLDAPにしても、Berkeley DBをバックエンドで使うんですよね？ にも関わらず、一般的な記事ではディレクトリサービスとRDBMSは 比較対照になっていて、しかも「ディレクトリサービスは検索に特化されている」 とされています。 "特化＝DBに比べて早い"or"特化＝更新に比べて検索が得意"のどっちなのかを 教えて頂きたかったのです。 また、"特化＝DBに比べて早い"とした場合、どうして性能差が出るのでしょうか？ 「もっと勉強して出直して来い」なのかもしれませんが、 ご教授願います。 514 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/13 18:38:57] そもそも、RDBMSを用いた認証って一般的なプロトコルが存在しないでそ。 各アプリがそれぞれのRDBMSに合わせた手法で独自にアクセスし、各アプリの独自の 形式で収納している。 LDAPを使う場合は、各アプリはLDAPプロトコルに則ってアクセスすればいいのだし、 スキーマも認証系ではだいたい決っているので、それにのっとれば各アプリが共通した 認証情報を使える。これはLDAPサーバのバックエンドになにが使われているだとか 速度がどうだとかはまったく関係ないインターフェース/プロトコルレベルの話。 そして、SQL系RDBMSよりもBerkeleyDBのほうがLDAPで用いるような単純な検索では 規模によっては速度的に有利だとかメンテも遥かに楽とかいうのはあるけど、 509はこのこととLDAPプロトコルの利点とを混同している。 余談。MySQLのバックエンドにBerkeleyDBを使いトランザクションを実現していた 時期もあったなぁ。いまはMySQLでトランザクションといえばInnoDBだから 最近の人には信じられないことだろうけど。 515 名前：509 mailto:sage [05/01/13 19:22:14] >>514 レスありがとうございます。 > 509はこのこととLDAPプロトコルの利点とを混同している。 なるほど。結局はバックグラウンドの格納先の問題であって、 ディレクトリサービスがどうとかLDAPだからとかそう言う問題ではないのですね。 もし、SQL系RDBMSでディクレクトリサービスを管理するとなると テーブル構成はどの様になるのでしょうか？ > LDAPサーバのバックエンドになにが使われているだとか > 速度がどうだとかはまったく関係ないインターフェース/プロトコルレベルの話。 この部分に関してはうっすらではありますが、理解しておりました。 ただ、これだけだとLDAPに決定する理由にしてはもう一パンチ欲しいなぁと 思ってたんです。 でも、まだぼんやりではありますが、ご説明いただいた事を 考えると結構大きなパンチになりそうです。 もう少し、しっかり勉強してみます。 本当にありがとうございました。 516 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/13 19:49:10] >>515 > もし、SQL系RDBMSでディクレクトリサービスを管理するとなると > テーブル構成はどの様になるのでしょうか？ OpenLDAPのバックエンドにRDMBSが使えることは知っているのだから、 OpenLDAPのservers/slapd/back-sql/rdbms_depend/*/backsql_create.sqlを 参考にすればいいのに… 517 名前：501 mailto:sage [05/01/13 23:15:42] >>503 ありがとう。動きました。 2chアク禁環境にいたのでレス遅れて申し訳ないです。 おかげで翌朝に解決できました。 仰るとおり理解してませんでした。。 自社に戻って技術文書もって帰りました。。勉強します。。 518 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/14 02:10:36] >>509 > 皆さんが考える、ユーザ認証システムをRDBMSではなく、 > ディレクトリサービスを用いる決定的な理由を教えてください。 RDBMSじゃなくて、RDBの間違いだと思うが、 ・ネットワークワイドな分散認証レポジトリの構築が容易。 ・LDAPを中間層として構築すれば、レポジトリのRDB以降も行いやすい。 　つまりLDAPプロトコルが実装透明性を担う。 　LDAPを介したシステム組み合わせも容易。 ・SASLを使うことができるので、LDAPプロトコルに閉じたまま、 　Kerberosを選ぶことができる。RDBではKerberosを扱う事はできない。 ・認証の主体となることが多く、認証に関係することが多い、 ユーザのレポジトリはLDAPの専門分野である。 ・認証RelemのレポジトリとしてもLDAPは優れている。 　schemeが既に多くつくられ、多くの場所で運用されている。 など。 519 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/14 02:12:24] >>513 > にも関わらず、一般的な記事ではディレクトリサービスとRDBMSは > 比較対照になっていて、しかも「ディレクトリサービスは検索に特化されている」 > とされています。 記者が馬鹿だから。 520 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/14 08:27:20] >>513 たとえばどの記事よ。 521 名前：509 mailto:sage [05/01/14 10:17:53] >>516 調べてみました。 ありがとうございました。 >>518 やっぱり、プロトコルやスキーマが標準化されている事って かなり大きいんですね。 Kerberosですか。新たなメリットです！ 調べてみます。 ありがとうございました。 >>519 RDBをバックエンドに使えるはずなのに、 検索に特化されているとかトランザクション機能が無いとか 書いてあるので、なんか仕掛けがあるのかと思ってました。 そもそもトランザクション機能がよくわかってないんですけど。。 >>520 とりあえず、これです。 ttp://www.atmarkit.co.jp/fnetwork/rensai/dirt02/01.html ttp://japan.cnet.com/extra/sec/story/0,2000051084,20075807-2,00.htm 522 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/14 15:29:18] >>518 schemaのtypo.した。 523 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/14 15:41:48] >>521 トランザクション機能は全くないわけではありません。それに、 >>509 > ユーザ認証システム として考えた場合は十分です。 ユーザ認証レポジトリとして考えてみると、 例えばdigital IDの生成の時には、若干トランザクション処理をする必要がありますが、 LDAPプロトコルとしてサポートしないだけで、 LDAPサーバを用いたユーザ認証レポジトリシステム、 しかもRDBと比較する程度の規模のもので、(iPlanet, Active Directory) ちゃんとやってないもの方が少ないです。 そもそも(RDBでなく)RDBMSという「システム」と比べるべきなのは、 (RDBMSには認証機構やODBCなども入っていますから) Sun Java System Directory Serverのような、 Directoryシステムであって、LDAPプロトコルでも、 >>509 > ディレクトリサービス でもないですよね。RDBMSだってRDB部分だけ見ればほとんど何もないです。 524 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/14 15:43:58] >>521 > とりあえず、これです。 読む記事が短かすぎます。 この記事を見るだけで出来ることは、この記事をまとめることくらいです。 それだってきっと見当違いになるでしょう。表面をなぞったものを読んだだけなので。 525 名前：509 mailto:sage [05/01/14 17:53:53] >>523,524 レスありがとうございます。 知識がうすっぺらなんで、勘違いや混乱を起こしてしまうんですよね。 ディレクトリサービスとディレクトリシステム、 RDBとRDBMSをごっちゃにして考えてました。 最初の発言の『ユーザ認証システム』って言葉もユーザを認証する仕組み程度に 何気なく使っていました。 ので、『ユーザ認証レポジトリシステム』との区別がついておりません。。 『ユーザ認証レポジトリシステム』調べてきます。 526 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/14 18:03:01] SunOne Directory ServerってもともとはNetscape Directory Serverだよね? RedHatがNetscape Directory Serverをフリーにするってことは、昔の SunOne Directory Serverと似たようなものが出てくるのかな? もっとも、 NetscapeはCommunicatorのソースがあの調子でMozillaでは結局一から作りなおす ハメになったわけで、出てくるソースについてあんまり期待しちゃいけないのかも しれないけど。とはいえ、さすがにOpenLDAPよりは奇麗だと期待したい。 527 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/19 19:43:46 ] phpでLDAPにエントリを追加したいけど全然できません。 コマンドラインでは入るし、 ldap_add()に渡すデータ配列が間違っているだけのようなんだけど・・・。 Warning: ldap_add(): Unknown attribute in the data と Warning: ldap_add(): Add: Undefined attribute type どっちが正解に近いエラーですか・・・。on_ 528 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/19 23:42:31 ] >>527 PHPはよく知らないので、外しているかも知れないけど、 > Warning: ldap_add(): Unknown attribute in the data データに不明な属性が含まれています。 例えば, posixAccountオブジェクトクラスのオブジェクトに、 jpegPhoto属性が含めてしまっているような場合。 下に比べると、属性としては正しいものなんでしょう。 > Warning: ldap_add(): Add: Undefined attribute type 定義されてない属性がある。 例えば、gifPhoto属性なんてどこにもないよー、など。 LDAPのerror codeそのまんまの解釈をしてみました。 529 名前：528 mailto:sage [05/01/20 00:15:08 ] > 528 ありがとうございます。 そう言われて、今ちょっと間違っていそうなところに気が付きました。 明日やって見ます。 530 名前：527 mailto:sage [05/01/20 10:14:27 ] やっぱり出来なかった。 Warning: ldap_add(): Add: Object class violation これはもっと正解に近い？ オブジェクトクラス違反 近そうとは思うけど、どうしたら・・・。 531 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/21 00:25:37 ] >>530 > Warning: ldap_add(): Add: Object class violation オブジェクトクラスそのものに関するエラーが起きたんだよ。 >>528の前者はオブジェクトクラスにはない属性を指定した場合。 こっちは、 ・オブジェクトクラスの指定が全くない。 ・存在しないオブジェクトクラスを指定した。 ・複数のstructualオブジェクトクラスに属している。 などです。 532 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/25 11:19:29 ] incubator.apache.org/directory/ これは期待していいのか？ 533 名前：名無しさん＠お腹いっぱい。 [05/01/30 13:29:14 ] OpenLDAPって数千件ほどのデータ更新をしようとすると10分くらいかかるんですが こんなもんなんですか？ マシンは Dell Power Edge 750 RHEL3 (smp) P4 2.8Ghz (HT) DDR 512MB SATA 80GB * 2 RAID1 です。 534 名前：名無しさん＠お腹いっぱい。 [05/01/30 20:21:30 ] OpenLDAP2 ってバグだらけだよな オープンソースがうまくいかなかったときの悲惨さを見た 535 名前：名無しさん＠お腹いっぱい。 [05/01/30 23:10:44 ] emacsでdviファイルをtexファイルに変換できるのでしょうか？できるのなら方法を教えて下さい。texファイルを消してしまいました！助けて下さい。。。お願いします。 536 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/31 10:46:59 ] >>533 本当に更新に時間かかっているの? 更新ごとにやるindexのないattributeでの検索に時間かかっているって事はない? 537 名前：名無しさん＠お腹いっぱい。 [05/02/01 22:50:21 ] >>534 OpenLDAPの採用を検討しているので気になりました。 バグで苦労した点を教えてくれないでしょうか。 538 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/02 00:16:16 ] >>534 の脳がバグってるんだろ 539 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/02 04:47:49 ] >>533 もし berkeley db を使ってるなら ldbm を試してみた方がいい。 並列に高い負荷がかかると、berkeley db と OpenLDAP の組み合わせ はメチャメチャ遅くなることがある。 逆に負荷が軽ければ berkeley db を選んだ方がずっと速いことも ある。あと、パラメータのチューニングでかなり性能は変わる。 ちなみに berkeley db と、とあるバージョンの OpenLDAP の 組み合わせで大量の更新を行なうと、データベースが壊れて ldapsearch もできなくなったことがあった。(再現性あり) ldbm にして回避したが。 上記の事情は、OpenLDAP のバージョンによってもコロコロ変わる。 更新が少なくて参照ばかりなら、そんなに問題はでないと思うけど、 大量の更新を行なう用途に OpenLDAP を使うのはやめた方が安全。 苦労すればなんとか解決はできるが。 540 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/03 00:48:24 ] >>539 データ更新が頻発するシステムでOpenLDAPを置き換えるならどういう 選択肢があるんだろう。 541 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/03 02:27:12 ] 素直にRDB使うとか? 542 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/04 08:02:02 ] backendにRDBMS使うとか 543 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/10 13:03:25 ] ldapのBDCへの複製をしたいと思ってるのですがうまくBDCへ伝播されません。。お知恵をお貸しくださいm(_ _)m gentooをホストにPDCを構成し、認証にldap(2.1.30-r2)を使っています。BDC(debian slapd2.1.30-3)への複製を行いたいと思っています。 ttp://tsuttayo.sytes.net/samba/ldap/bdc/bdc.html ttp://tsuttayo.sytes.net/samba/ldap/bdc/pdc.html 上記2ページを参考に設定を行い、BDC側にはreplicaのbinddnでldapbrowserを使って接続し、値の書き換えなどができることを確認。 PDC側は、/var/lib/openldap-slurp/replica/slurpd.replogにmodifyのログが生成されているようでしたが、BDC側に変更が伝播していないようです。 ちなみにデバッグ(slurpd slapd.conf -d 255)で実行したログの後半（ここで停止。killしてもslurpdをとめられない…）最後にlocalhostに行ってるのが怪しいですがどうしていいものか… Config: ** successfully added replica "hoge.localdomain:389" Config: ** configuration file successfully read and parsed begin replication thread for hoge.localdomain:389 Initializing session to ldap://hoge.localdomain ldap_create ldap_url_parse_ext(ldap://hoge.localdomain) bind to hoge.localdomain:389 as uid=replica,ou=Users,dc=localdomain (simple) ldap_simple_bind_s ldap_sasl_bind_s ldap_sasl_bind ldap_send_initial_request ldap_new_connection ldap_int_open_connection ldap_connect_to_host: TCP hoge.localdomain:389 ldap_create ldap_simple_bind ldap_sasl_bind ldap_send_initial_request ldap_new_connection ldap_int_open_connection ldap_connect_to_host: TCP 127.0.0.1:389 544 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/10 17:55:07 ] localにslapdは立ち上がっているのか? 545 名前：543 mailto:sage [05/02/10 18:45:07 ] >>544さん PDC, BDCの両方で立ち上がってます。ldapsearch -x -h ホスト名　するとお互いにやってもずらーっと出るので大丈夫と思います。 >>543のログはPDCでのもので、hoge.localdomainがBDC側にあたります。 546 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/24 11:24:46 ] >>539 うちでもBarkeleyDBよくぶっ壊れると思ってたんだけど、やっぱりか・・・ BackendにRDB使えるって聞くけど、あまり導入したという資料見ないし、 実績がどの程度とか、そのへんで二の足踏んでる。 547 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/27 15:34:10 ] OpenLDAP以外にフリー&商用可のLDAPサーバって何があるの? 548 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/27 16:21:23 ] >>505 549 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/17 14:26:09 ] 下記のようにpam_ldap を　makeすると、エラーになりますが、 make install していいものでしょうか？ pam_ldap.c:3320: warning: dereferencing type-punned pointer will break strict-aliasing rules pam_ldap.c:3357: warning: dereferencing type-punned pointer will break strict-aliasing rules pam_ldap.c:3462: warning: dereferencing type-punned pointer will break strict-aliasing rules pam_ldap.c:3477: warning: dereferencing type-punned pointer will break strict-aliasing rules pam_ldap.c: In function `pam_sm_acct_mgmt': pam_ldap.c:3694: warning: dereferencing type-punned pointer will break strict-aliasing rules pam_ldap.c:3703: warning: dereferencing type-punned pointer will break strict-aliasing rules gcc -DHAVE_CONFIG_H -DLDAP_REFERRALS -DLDAP_DEPRECATED -D_REENTRANT -g -O2 -Wall -fPIC -c md5.c /usr/ccs/bin/ld -o pam_ldap.so -B dynamic -M ./exports.solaris -G -B group -lc pam_ldap.o md5.o -lldap -llber -lnsl -lcrypt -lresolv -lpam -ldl ld: 重大なエラー: ライブラリ -llber: 見つかりません。 ld: 重大なエラー: ファイル処理エラー。pam_ldap.so へ書き込まれる出力がありません。 make: *** [pam_ldap.so] Error 1 550 名前：名無しさん＠お腹いっぱい。 [05/03/17 23:24:20 ] >>549 make install以前にリンク失敗してるじゃない 551 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 13:21:47 ] FC3 で slapd をデバックモードで起動すると、 2.5.13.1 (distinguishedNameMatch): matchingRu leUse: ( 2.5.13.1 NAME 'distinguishedNameMatch' AP PLIES ( dITRedirect $ associatedName $ secretary $ documentAuthor $ manager $ seeAlso $ roleOccupant $ owner $ member $ distinguishedName $ aliasedObj ectName $ namingContexts $ subschemaSubentry $ mod ifiersName $ creatorsName ) ) 2.5.13.0 (objectIdentifierMatch): matchingRul eUse: ( 2.5.13.0 NAME 'objectIdentifierMatch' APPL IES ( supportedApplicationContext $ supportedFeatu res $ supportedExtension $ supportedControl ) ) slapd startup: initiated. bdb_db_open: dbenv_open(/var/lib/ldap) bdb(dc=my-domain,dc=com): Program version 4.2 doe sn't match environment version bdb_db_open: dbenv_open failed: Invalid argument (22) backend_startup: bi_db_open(0) failed! (22) slapd shutdown: initiated ====> bdb_cache_release_all slapd shutdown: freeing system resources. bdb(dc=my-domain,dc=com): txn_checkpoint interfac e requires an environment configured for the trans action subsystem bdb_db_destroy: txn_checkpoint failed: Invalid ar gument (22) slapd stopped. connections_destroy: nothing to destroy. とエラーになります原因教えて下さい 552 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 13:28:25 ] デバッグモードでなければ動くの？ 553 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 13:49:27 ] >>551 database fileが壊れてます。 554 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 14:00:02 ] >>553 Thanks database fileを直して正常に動作させるにはどうすればいいでしょうか？ 555 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 14:23:15 ] 壊れたdatabase fileは破棄してください。 556 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 14:26:27 ] それから>>539。 557 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 15:02:01 ] >>556 lapd startup: initiated. slapd starting Thanks 558 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 17:00:35 ] Solaris版のOpenLDAPは、 openldap/migration/migrate_common.ph のような、マイグレートする、パールスクリプトがありません。 どこかで手に入りますか？ 559 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 20:09:17 ] >>558 Solarisでは、iPlanet使えよ。 560 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 20:10:27 ] で、登録はldapaddent(1M)な。 561 名前：名無しさん＠お腹いっぱい。 [05/03/18 22:37:11 ] iPlanetって有料でしょ？ 562 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 23:29:26 ] Solaris 9から付属です。 563 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/03/26(土) 01:26:47 ] >>559 iplanet は資料が少ないよ。 それにPAMに関しても非常に少ない。 どうしていますか？ 564 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/03/30(水) 21:09:00 ] マニュアルを読む。キホソ 565 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/03/30(水) 23:10:19 ] >>563 英語駄目な人? ドキュメント凄く多いと思うんだけど。 PAMは何が知りたいの? このスレでもずいぶんと書いているけども。 566 名前：名無しさん＠お腹いっぱい。 mailto:sage [UNIX時間(+0900)35年,2005/04/02(土) 20:30:30 ] OpenLDAPダメポ，こんなにDB(ldbm)破損が発生するとは思いもしなかった・・・ 壊れないバージョンってありますか(現在2.0.22) 567 名前：名無しさん＠お腹いっぱい。 mailto:sage [UNIX時間(+0900)35年,2005/04/03(日) 01:40:03 ] ldbmってOpenLDAP自前のdbm libraryだよね。 2.0.Xって古すぎ。正直その頃のldbmってタコ。2.1.Xも駄目。 stableが2.2.24なんだから、もっと新しいの使ってよ。 www.openldap.org/software/download/ 568 名前：566 mailto:sage [UNIX時間(+0900)35年,2005/04/03(日) 04:09:02 ] バックエンドはbdbで安定してますかね>>551辺り見ると不安 Debian3.0はnscdもslapdも腐ってる参りましたわ・・・ stableを手ビルドして様子みます 569 名前：名無しさん＠お腹いっぱい。 mailto:sage [UNIX時間(+0900)35年,2005/04/03(日) 05:07:18 ] packages.debian.org/unstable/net/slapd >>567で言ったのは、「古い」ldbmは糞、ということ。 Berkley DBは、色々イヤらしいので勧めません。 Debianなら各バージョン揃っていると思いますが。 570 名前：566 mailto:sage [UNIX時間(+0900)35年,2005/04/03(日) 06:02:05 ] なるほど最近のldbmはマシになってると言うことですか 現状woodyからunstableに上げることは厳しいので packportせざるをえないのです・・・ 1年近く運用し本格的に負荷がかかってこの有様 早く見極めるべきでしたね 571 名前：名無しさん＠お腹いっぱい。 mailto:sage [UNIX時間(+0900)35年,2005/04/03(日) 13:15:14 ] Debianなんか選んだのがそもそもの間違い 572 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/04(月) 17:43:09 ] Red Hatはdirectory server(旧netscape)をまだ公開せんのかな? 573 名前：名無しさん＠お腹いっぱい。 [2005/04/04(月) 22:56:42 ] LDAPサーバに対してID・パスワードでの認証をVBで作ろうとしてます。 しかしuserPasswordが取得できないように設定してあります。 認証を実現するにはどのような方法がありますか？？ 574 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/04(月) 23:57:09 ] bindオペレーション >>573 > userPasswordが取得 邪道 575 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/05(火) 03:27:29 ] こんな人間が認証系作るってあぶねーなー 576 名前：名無しさん＠お腹いっぱい。 [2005/04/07(木) 11:01:49 ] devfsとかprocfsとかみたいにldapfsがあればいいのに。 577 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/08(金) 00:58:54 ] >>573 LDAPのBIND時に簡易認証しろよタコ 578 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/08(金) 23:17:10 ] 本人がいないタイミングでそんなレスしても、 読んでるひとの気分を害するだけ。 574以上の情報があるわけでもなし。 579 名前：名無しさん＠お腹いっぱい。 [2005/04/15(金) 22:45:44 ] >>577 釣られてんじゃねーよアホ 580 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/16(土) 07:35:33 ] ldapって通信に暗号使うの？なりすまし対策は？ 581 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/16(土) 08:54:56 ] LDAPS 582 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/17(日) 17:57:43 ] ldapsじゃなければユーザーやパスワードやじゃじゃ漏れってこと？ 583 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/17(日) 20:48:53 ] そうじゃじゃ 584 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/17(日) 20:50:37 ] STARTTLS! 585 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/18(月) 01:05:54 ] >>582 うーん、LDAPに閉じた話で言えばそういうことになるけど… 使っているスイッチにもよるよね。 スイッチでも間にタッピングされると覗かれるけど、 うちはポートのリンクアップ/ダウンで管理者にメール来るから… まあ使っているのはldapsなんですけど… 586 名前：名無しさん＠お腹いっぱい。 [2005/04/18(月) 21:16:51 ] ログインの認証とかldapのサーチとか 当たり前のようにsslなしだった もうダメポ 587 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/18(月) 21:42:28 ] 用途に即してれば、SSLなしでもOKだとおもうけど。 588 名前：名無しさん＠お腹減った。 mailto:sage [2005/04/18(月) 23:09:15 ] ねえねえ、LDAP認証にSASLってあんまり使われてないの？ 589 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/19(火) 00:52:37 ] パスワード認証じゃなくて、 1. Kerberosとか公開鍵で認証して、 2. その権限でディレクトリのACLを働かせたい、 そういう時以外、SASLって特別いいことないし。 simple bind認証で十分でしょう。 逆に、2なしでKerberos認証したければ、単にKerberos使えばいい。 590 名前：名無しさん＠お腹いっぱい。 [2005/04/19(火) 09:48:30 ] NISスレがないのにLDAPスレがある不思議 591 名前：名無しさん＠お腹減った。 mailto:sage [2005/04/19(火) 10:26:11 ] いやいや、SSLなしじゃ、パスワードが…とかいうから、 SASL で DIGEST-MD5 とかでやらないの？って話なの。 592 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/19(火) 23:58:16 ] SSLで十分。 593 名前：名無しさん＠お腹減った。 mailto:sage [2005/04/20(水) 00:54:31 ] SSLって証明書とかどうしてんの？ 594 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/20(水) 01:01:08 ] SSLのスレで聞け。 595 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/20(水) 03:14:55 ] オレオレ証明書 596 名前：名無しさん＠お腹いっぱい。 [2005/04/20(水) 07:14:45 ] openssl req -new -x509 -keyout server.crt -out server.crt 597 名前：名無しさん＠お腹いっぱい。 [2005/04/21(木) 06:21:29 ] openssl req -new -batch -x509 -rand /var/log/maillog:/var/log/httpd/access.log -nodes -newkey rsa:8192 -sha1 -days 365 -text -keyout server.crt -out server.crt -subj /C=JP/ST=ECHIGO/O=CHIRIMEN\ DON\'YA 598 名前：名無しさん＠お腹減った。 mailto:sage [2005/04/21(木) 13:03:01 ] はいはい、クライアントからサーバまでの経路の暗号化がされてれば、十分ってことね。 SSLじゃなくても、ssh で port forwarding とか IPSecとかのVPNでもいい、と。 599 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 00:59:13 ] スレ違いなんで、それ以上突っ込んだ話をして欲しければ、SSL/TLSスレで。 600 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 02:39:17 ] LDAPのプロキシー？変換サーバ？見たいなのってありますか？ やりたい事は、 Client <--> LDAP変換proxy <--> 実LDAPサーバ といった感じで、 ・実LDAPサーバはいじりたくない。 ・でも新たなアトリビュート等を加えたい じゃ、間に変換Proxyを挟んで変えてやりゃ良いかなと。 それとも、そういう考え方が邪道？ 601 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 02:55:54 ] Solaris10ってLDAPサーバ付いてるの？iPlanet? 602 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 10:44:21 ] >>600 製品ならSunが出してる。FreeやOpenSourceはないと思う。 名前ころころ変り中なんで代理店に聞いて。 >>601 うん。iPlanet → Sun ONE → Javaと名前だけが変っているけど。 603 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 15:53:22 ] www.iconimaging.net/~jradford/sendmail/sendmail-ldap.html この設定通りやった場合、ユーザー認証は、 /etc/passwd を見に行くのでしょうか？ それと、ldap をみにいくのでしょうか？ また、上の手順では、pam等いれていないのですが、 問題無いのでしょうか？ 604 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 17:43:26 ] それユーザ認証なんてやってないんですけど 605 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 19:42:12 ] >>600 stone 606 名前：605 mailto:sage [2005/04/22(金) 19:44:06 ] ごめ早とちりした，実LDAPで限定変更化のユーザーACL設定して レプリカ設定するってのはどうだ？あんまりメリットなさそうだけど 607 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 20:53:06 ] 不必要に複雑化してわけのわからない問題が次から次へと起きるだけだ。 608 名前：602 mailto:sage [2005/04/23(土) 01:22:45 ] >>600 具体的にどういうのをやりたいの? OpenLDAPなら、man 5 slapd-metaにあるような事できるけど、 何でもできるわけじゃないよ。半分遊びのつもりでやってみたことあるけど疲れます… 609 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/23(土) 21:52:10 ] solaris 9 で、Open LDAP を使って、/etc/passwd ではなく、LDAP でユーザーを管理したいと考えています。 その際は、pamを使います。 pam には、最初からSolarisに入っている、pam と、PADL があります。どちらを使えばいいでしょうか？ また、うまくLDAPでユーザー管理できている方いらっしゃいますか？ 610 名前：nanasi mailto:sage [2005/04/24(日) 03:47:04 ] >>609 根拠はないが、PADLの方が楽な気がする。 611 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/24(日) 14:27:11 ] >>609 昔あったPAMスレに書いたけど、落ちているのでもう一回。 Solaris付属のpam-ldapは、userPassword属性を取得して、 Solaris側でdecryptすることによって認証する。よって、 1. Solarisの対応しているcrypting schemeに利用が限られる。 2. bindするDNでuserPassword属性が読めないと駄目。(security上大きな制約) 一方、PADLのpam-ldapは、simple bindを使って認証を行うので、 1. crypting schemeの問題はLDAPに閉じ込めることができる。 認証する側はbind op.に対して単にDNとsecretを提供すればいい。 ADT抽象度が高い。 2. userPasswordは外部に出さない事が可能。 (iPlanetではcn=Directory Managerで読めてしまいますが) ただし、現時点でSolaris 10では未検証。 612 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/24(日) 14:28:40 ] >>610 >>611に書いたSolaris版の仕様が気にならないなら、 Solaris付属のpamでやった方が楽だと思いますよ。 仕様が問題であるなら、もう「楽」かどうかという問題ではなくなっていますし。 613 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/26(火) 19:45:09 ] sendmail 8.13 とOpenLDAPについて質問 solaris に OpenLDAP をいれます。slapd を起動して、ユーザー情報を 取り込みます。 LDAP に登録されているユーザーから、メールを送受信したいと思います。 その際、sendmail にいろいろ、設定しないといけないと思います。 つまり、メールを受けた場合は、/etc/passwd では無く、LDAP のユーザーに格納するといった設定です。 この設定の方法を教えて下さい。 また、メールボックスは、LDAPユーザーの場合どこにできるのでしょうか？ （状況として、pamの設定は行っておりません） アドバイスお願いします。 614 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/27(水) 00:15:04 ] nss-ldapの設定。 615 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/27(水) 16:44:37 ] >>613 > また、メールボックスは、LDAPユーザーの場合どこにできるのでしょうか？ MTAの設定の問題。 616 名前：名無しさん＠お腹いっぱい。 [2005/04/28(木) 15:00:45 ] すいません。 LDAPでouを追加しようと以下のようになるんのですが なんでなのでしょうか？ 基本的なことで申し訳ないのですが お教えいただけるとありがたいです。 [root@test _test]# ldapadd -x -D "cn=Manager,dc=hogehoge,dc=com" -w himitsu dn: ou=sm,ou=Project,dc=hogehoge,dc=com add: objectClass objectClass: Project adding new entry "ou=sm,ou=Project,dc=hogehoge,dc=com" ldap_add: Undefined attribute type additional info: add: attribute type undefined ldif_record() = 17 617 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/28(木) 15:04:29 ] >>616 dn: ou=Project,dc=hogehoge,dc=com objectClass: organizationalunit ou: Project dn: ou=sm,ou=Project,dc=hogehoge,dc=com objectClass: organizationalunit ou: sm 618 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/29(金) 02:39:12 ] 英文ちゃんと読めよ。 > add: attribute type undefined rfc2849.txtもな。 619 名前：名無しさん＠お腹いっぱい。 [2005/05/21(土) 12:51:06 ] CentOS4 でOpenLDAP サーバをインストールしたんですが 下記のエラーが出て起動できません。 slapd[2966]: slapd startup: initiated. slapd[2966]: bdb_db_open: dc=hogehoge,dc=test,dc=jp slapd[2966]: bdb_db_open: dbenv_open(/var/lib/ldap) slapd[2966]: bdb(dc=hogehoge,dc=test,dc=jp): Berkeley DB library configured to support only DB_PRIVATE environments slapd[2966]: bdb_db_open: dbenv_open failed: Invalid argument (22) slapd[2966]: backend_startup: bi_db_open(0) failed! (22) slapd[2966]: slapd shutdown: initiated slapd[2966]: ====> bdb_cache_release_all slapd[2966]: slapd shutdown: freeing system resources. slapd[2966]: bdb(dc=hogehoge,dc=test,dc=jp): txn_checkpoint interface requires an environment configured for the transaction subsystem slapd[2966]: bdb_db_destroy: txn_checkpoint failed: Invalid argument (22) slapd[2966]: slapd stopped. slapd[2966]: connections_destroy: nothing to destroy. インストールしたパッケージは db4-utils-4.2.52-7.1 db4-4.2.52-7.1 openldap-2.2.13-2 nss_ldap-226-1 openldap-clients-2.2.13-2 php-ldap-4.3.9-3.6 openldap-servers-2.2.13-2 です。 620 名前：619 [2005/05/21(土) 12:51:51 ] /etc/ldap.con の内容 host hogehoge.test.jp idle_timelimit 30 pam_min_uid 500 pam_password SSHA1 nss_base_passwd dc=hogehoge,dc=test,dc=jp?sub nss_base_shadow dc=hogehoge,dc=test,dc=jp?sub nss_base_group ou=Groups,dc=hogehoge,dc=test,dc=jp?one ssl no 621 名前：619 [2005/05/21(土) 12:53:20 ] /etc/openldap/ldap.conf の内容 HOST hogehoge.test.jp BASE dc=hogehoge,dc=test,dc=jp ssl no pam_password SSHA /etc/openldap/slapd.conf の内容 include/etc/openldap/schema/core.schema include/etc/openldap/schema/cosine.schema include/etc/openldap/schema/inetorgperson.schema include/etc/openldap/schema/nis.schema password-hash{SSHA} pidfile/var/run/slapd.pid argsfile/var/run/slapd.args databasebdb suffix"dc=hogehoge,dc=test,dc=jp" rootdn"cn=Manager,dc=hogehoge,dc=test,dc=jp" rootpw{SSHA}パスワード directory/var/lib/ldap index objectClass eq,pres index ou,cn,mail,surname,givenname eq,pres,sub index uidNumber,gidNumber,loginShell eq,pres index uid,memberUid eq,pres,sub index nisMapName,nisMapEntry eq,pres,sub 622 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/21(土) 13:59:31 ] >>619 エラー内容からするとdb4が適合してないようなので、 修正がでるまではopenldapを適宜ビルドして回避するとか。 623 名前：619 mailto:sage [2005/05/21(土) 15:00:00 ] 再構築＿|￣|● Linux 経験約３週間ではハードルが高いです。 VMWare上のSL4 では下記のパッケージで動いてるのに・・・。 db4-utils-4.2.52-7.1 db4-4.2.52-7.1 nss_ldap-226-1 openldap-servers-2.2.13-2 openldap-clients-2.2.13-2 openldap-2.2.13-2 SL4は実機にはインストーで出来なかったんで CentOS4 （実機：Pentium MMX 166 MEM:80MB DISK:6GB） を入れてるんですけど db4-devel-4.2.52-7.1 openldap-devel-2.2.13-2 のパッケージは関係ないですよね。 あと、/var/lib/ldap の所有者とグループは ldap になってます。 他に情報があれば教えて下さい。 624 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/23(月) 08:27:07 ] >>623 つーか、 > Berkeley DB library configured to support only DB_PRIVATE environments をどうにかしろ！ A. db4をsrpmからコンパイルしなよ。 CentOS part 2 【RHEL Clone】 pc8.2ch.net/test/read.cgi/linux/1115030013/ B. bdbじゃなくてldbmを使う。man slapd.conf 625 名前：名無しさん＠お腹いっぱい。 [2005/05/23(月) 12:44:45 ] >624 ありがとう。 bdb を ldbm にしたら起動出来るようになりました。 でも、ログをみたらBerkeley DB を使用してるんですね。 プロセスも３個も起動してるし…。 CentOS４ とSL４ではコンパイル条件が違うみたい。 626 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/27(金) 16:23:59 ] >>611 Sunスレの方で、話が出てるけど pc8.2ch.net/test/read.cgi/unix/1114945256/202- Sun版にしても、PADL版にしても、simple bind を使った 認証って、LDAP over SSL で使わないと、パスワードが 平文で流れるわけでセキュリティ的にチョー危ないんだね。 over SSL は当然って場合はｽﾏｿ 627 名前：611 mailto:sage [2005/05/27(金) 16:50:34 ] simple bindじゃなくて、SASL bindだって、 平文で投げるschemeだと危ないから、SSLでやるのがいいね。 628 名前：626 mailto:sage [2005/05/27(金) 17:01:18 ] やはりSSL大前提ですかあ。 どうも。 629 名前：611 mailto:sage [2005/05/27(金) 17:05:28 ] あっちのスレでは、SSLは負荷高いなんて言っている人いるけど、 正直データベース本体の所が一番負荷高いです。 stunnel+LDAPサーバで比較してCPU利用率確かめたんで確かです。 OpenLDAPやiPlanetね。 630 名前：611 mailto:sage [2005/05/27(金) 17:08:21 ] それから大前提って事はない。 平文じゃなければいいんだから。 ただPAM使うなら適当なPAMモジュールがないね。作らないと。 631 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/27(金) 17:22:27 ] >>629 あっちのスレで話が出てる、SSL と、共有鍵ベースの IPsec の 比較はしました？ IPsec の方が軽いというのはありそうな 話だと思うんだけど。 SSL にしても IPsec にしても、データベース本体への CPU 負荷 は増えるので気になるところです。 632 名前：ディレクトリ統合したい [2005/05/31(火) 22:36:19 ] メタディレクトリもここで語っていいでしょうか？ このジャンル書籍も少なくて。。。 どなたか運用されている方いらっしゃいます？ 633 名前：名無しさん＠お腹いっぱい。 [2005/06/01(水) 00:22:16 ] メタディレクトリでオープンソースってある? DirXMLみたいなのだったら XSLT + LDAPクライアントライブラリ で作れそうな気がする。 634 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/01(水) 14:24:51 ] >>632 Sunのやつならドキュメントがしっかりしているでしょう? 試したことはあるけど、運用はしてない。 結局、アカウント作成アプリで双方に作成、LDAPでの認証でパスワード共有という運用。 統合グループ管理は諦めました。(ACLの仕組みが全然違うし) Mac OS 10.4がGUIDベースになってきたから、 この辺はどんどん進んでくるんでしょうね。 >>633 そもそもschemaをどう使っているか、Microsoftが公開してないから。 SunとAppleは業務提携したから、情報が出てくるけど。 635 名前：ディレクトリ統合したい [2005/06/01(水) 23:43:25 ] >>633 >>634 レスさんくす Sun の　Identity Managerで でRDBをデータソースとして ActiveDirectory、OpenLDAPのディレクトリ統合 できるかなと考えてました。 ただ値段が高いのね。３０００ユーザライセンス１０００万。 データ連携＋パスワード同期となるとIdentity Managerしかないかな。 jp.sun.com/products/software/identity/identity_mgr/ あと、MSのMIISもきになる。 636 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/02(木) 00:18:25 ] Red Hat Directory Serverリリース。 合わせてフリー版のFedora Directory Serverも出た。 ttp://directory.fedora.redhat.com/ ソース、Linuxバイナリの他、Solarisバイナリもあり。 637 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/02(木) 12:34:05 ] >>636 OpenLDAPはどうなるんだろうか？ 638 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/02(木) 12:45:20 ] >>636 Netscapeから買ったのだから当たり前と言えば当たり前だが、 Sun Java System Directory Serverとほとんど同じだな。 驚いたのはマニュアル類。これ、Sunからパクッただけじゃないの。 それとも、SunがNetscapeからマニュアルも引き継いだだけなのか。 639 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/03(金) 11:52:45 ] >>635 Identity Managerの動くSunがあるなら、OpenLDAPはいらない。 LDAPサーバはSolarisに(NIS/NIS+の代わりとして)付いてくるから。 640 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/03(金) 11:53:54 ] >>638 まあ、forkしたんで、*BSD同士みたいな関係。 641 名前：名無しさん＠お腹いっぱい。 [2005/06/09(木) 10:22:45 ] NISの代わりにLDAP使いたいんですけど どこの設定を変えたらいいですか？ NISからの以降ではなくLDAPを単独でインストールして NISと同じように同じユーザ名、同じパスワードでログインしたいです。 OSはdebianです。 642 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/09(木) 10:27:06 ] >>641 Red Hat系にしとけば簡単だったのに誰に騙されたのかなぁ 643 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/09(木) 10:36:29 ] >>641 libpam-ldap これかな？ 644 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/09(木) 11:08:07 ] >>641 えーと、 ・debianでLDAPサーバを立ち上げる ・debianのアカウント情報をLDAPサーバで管理する の両方って事ですか? まあ前者のHOWTOはLinux板のdebianスレで聞いて貰うとして、 LDAPサーバに何を選ぶかは過去レスを参考に。 後者は、libnss-ldapとlibpam-ldapをinstallして、/etc/nsswitch.confを編集です。 nssはアカウント情報、pamは認証という分担です。(ﾊﾟｹｰｼﾞ名以外Linux共通) 645 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/09(木) 11:23:23 ] Debian スレで聞いた方がよくね? 646 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/17(金) 18:07:53 ] ここでもループしてる。。 ldapで環境がDebianだと→Debianに池→Debianでldap→ldapに池 647 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/17(金) 18:27:31 ] Debian使うのやめればループから脱出出来るよ 648 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/17(金) 18:35:31 ] それがDebクオリティ 649 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/17(金) 19:41:50 ] UNIX認証方式いろいろ ttp://pc8.2ch.net/test/read.cgi/unix/1028026566/ こちらもどうぞ 650 名前：644 mailto:sage [2005/06/17(金) 22:33:09 ] >>646 あっちに答えといたから。 Debianはパッケージ名が独自なのはもちろん/etc/*ldap.confのファイル名も独自だから。 651 名前：名無しさん＠お腹いっぱい。 [2005/06/19(日) 06:41:43 ] >650さん 641です。ありがとうございます！！ 652 名前：名無しさん＠お腹いっぱい。 [2005/07/05(火) 16:16:03 ] 使用しているLDAPサーバはiPlanetで、クライアントは VS.NETのC#で作成しています。 ちょっと板違いだと思うのですが、 LDAPについてやり取りがあるのをここしか 見つけられなかったので質問させてください。 LDAPの接続でpathだけを指定した場合は成功するのですが、 username/passwordも指定すると、 「要求された認証方法はサーバがサポートしていません」 といわれます。 使用している関数はDirectoryEntry()です。 サーバにSSLを設定していないせいなのかなぁとも 考えたのですが、ここでのやり取りをみていると、 SSLがなくてもLDAPでユーザ認証ができそうに見えます。 SSLがなくてもLDAPでのユーザ認証は出来るものなのでしょうか？ 653 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/05(火) 22:24:46 ] SSL有無(SSLのclient/server認証を含んで)は、 LDAPのオペレーションの可否と完全に直交です。 ところでLDAPの認証というとbindオペレーションであることは理解していますか? また、bindオペレーションは様々な認証方法をサポートしていることをご存じですか? このスレは最初から読みましたか? 654 名前：名無しさん＠お腹いっぱい。 [2005/07/06(水) 00:13:39 ] OpenLDAPでback-sqlにしてると、BD側の定義めんどくさすぎません？ 3点セット(posixAccount,shadowAccout,posixGroup)のDBでの設定、どっかに無いですかね？ 655 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 08:49:36 ] >>653 ありがとうございます。 SSLがなくてもLDAPでのユーザ認証は出来るということですよね？ > ところでLDAPの認証というとbindオペレーションであることは理解していますか? このスレを見つけるまでは、 「要求された認証方法はサーバがサポートしていません」 とエラーになるのはSSLのせいかな？と考えていました。 しかし、このスレを最初から読んで【bindオペレーション】がキーで あるような所までは理解できました。 そこで念のため確認をさせて頂いた次第です。 VS.NETのDirectoryEntryクラスではbindというメソッドは存在せず、 どのように置き換えて考えれば良いのか考えている所です。 SSLは関係が無いということで少しすっきりできました。 ありがとうございます。 656 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 09:22:04 ] >>655 置き換えるちゅーか、中で何をやっているのか理解しないと。 それからドキュメントのコンストラクタの所くらい読んだ方がいいぞ。 msdn.microsoft.com/library/default.asp?url=/library/en-us/cpref/html/frlrfSystemDirectoryServicesDirectoryEntryClassctorTopic.asp msdn.microsoft.com/library/default.asp?url=/library/en-us/cpref/html/frlrfSystemDirectoryServicesAuthenticationTypesClassTopic.asp msdn.microsoft.com/library/default.asp?url=/library/en-us/cpref/html/frlrfsystemdirectoryservices.asp 後は相手がActive Directoryだと仮定した初期設定になっているのが注意かな。 (schemaやACLが) AuthenticationTypes Enumerationのそれぞれが、 LDAP上だとどんなオペレーションになっているかはこのスレでいいと思うけど、 APIの使い方はWindows板だな。 657 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 09:22:30 ] ADSIを直接叩くって手もあるけど、LDAPの勉強が必要だなー 658 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 10:46:49 ] >>654 OpenLDAP-POSTGRESQL HOWTOが一番詳しいんじゃないかな。 完全な設定はないけどね。 659 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 18:53:03 ] DirectoryEntry()の使い方について教えてください。 pathだけを指定した場合は成功するのですが、 username/passwordも指定すると、 「要求された認証方法はサーバがサポートしていません」 とエラーになります。 何か解決策はあるのでしょうか？ 660 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 21:26:11 ] 取り合えずマニュアルを読んで、 AuthenticationTypes Enumeration を理解しな。ただ使いたいだけならWindows板にでも行って。 661 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/08(金) 11:25:38 ] ldapsearch(1)、 TLS_CACERTDIR /usr/share/ssl/certs/ を指定するととたんに遅くなるなあ。(たくさんCA certificateを抱えているため) opensslみたいに/usr/share/ssl/certs/以下にあるhashを使って、 certificateを探すんじゃなくて、全てのファイルを読んでみるようだ… $(OPENLDAP)/libraries/libldap/tls.cのget_ca_list()で、 SSL_load_client_CA_file()やってるなあ。 662 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/15(金) 20:49:59 ] OpenLDAP の Backend を Mysql にしたら安定するかな？ 速度とかはどうなんでしょうか？ 使われている方はいらっしゃいますか？ 663 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/28(木) 06:45:29 ] Cisco Secure ACS と OpenLDAP を組み合わせて使っているかたは いらっしゃいます？ 664 名前：名無しさん＠お腹いっぱい。 [2005/08/09(火) 22:49:21 ] ActiveDirectoryはLDAPを話せるという認識だったのですが それは誤りなんでしょうか？ （ADもopenLDAPも外からみたら同じようにできると思ってました。） わざわざADとLDAPを同期させるためのソフトもありますし。。 665 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/10(水) 02:23:22 ] そうです。どちらもLDAP v3プロトコルです。 ただし、OSの利用しているLDAP schemaが違うのです。 つまり、各OSのユーザ、グループ、認証エンティティのデータ構造が違うのです。 UNIX群とWindowsが違うのはもちろん、Mac OS Xも違います。 ただし全般的にWindowsに歩み寄りをみせる方向のようです。 666 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/10(水) 03:13:53 ] >>657 どうもありがとう御座います。 何でこんなことを質問したかと言うと、統合認証基盤としてLDAPサーバの導入を検討してるの ですが、業者がSunOneDirectoryとADを導入してそれぞれをSUNのソフトで同期させるという 構成を提案してきたからなんです。 ADもLDAPを話せるのであれば、ADだけ導入してSunOneDirectoryは必要ないのではと 思ったのですが、何か事情があるのでしょうか？業者に聞いたところ、ADだけだとうまく外部と 連携ができない場合がある（具体的にはNISの統合だったかな？？）と言ってました。 ちょっと疑問を持つような回答だったのでここで質問させて頂きました。 ま、きちんとした提案書はまだなので、それをもらった段階で細かく確認するつもりですが。 667 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/10(水) 08:22:36 ] >>666 > 何か事情があるのでしょうか？ >>665に書いたでしょ。 > 業者がSunOneDirectoryとADを導入してそれぞれをSUNのソフトで同期させるという > 構成を提案してきたからなんです。 たぶん技術的にも信頼できる業者だと思います。 その構成以外にソリューションはないはずだし、そもそも運用できるところが少ないから。 668 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/12(金) 02:51:43 ] >>667 うーん。自分、良くわかってないかも知れません。 スキーマが違くても外からうまく聞けば良いだけかと思ってました。 なのでLDAPプロトコルが話せればADでもなんとかなるのかなぁと。 >UNIX群とWindowsが違うのはもちろん、Mac OS Xも違います。 こうなのであれば、ADとSunOneDirectoryだけでは対応できない （openLDAP　on OSXが必要な）場面もあるのでしょうか？ さらにそれらを同期して・・・。なんか難しいですね。 ADだけでLDAPサーバを賄えない事情があるんですね。もう少し勉強してみます。 669 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/12(金) 10:08:19 ] はい、かなり知識不足だから、 もっとレイヤーの高いところで、何がやりてくて、何ができるのかということを、 業者の方に教えを乞いながら、詰めていった方がいいと思います。 LDAPプロトコルとかschemaとか、理解してないことをあれこれ云って、 背伸びしてもろくなことはないですよ。 670 名前：名無しさん＠お腹いっぱい。 mailto:ついつい揚げ足を...sage [2005/08/12(金) 13:55:31 ] >>669 > LDAPプロトコル 背伸びは（・Ａ・）ｲｸﾅｲ!! 671 名前：668 mailto:sage [2005/08/12(金) 17:04:19 ] WEBページを色々みてみました。 ttp://www.atmarkit.co.jp/fnetwork/rensai/dirt02/01.html このページの下の方に >　これらのデメリットにあげたような互換性の問題を解決する決定的な >策はまだありません。対策としては、LDAPを利用するアプリケーションが >LDAPを操作する時のオブジェクトクラスの指定や属性の指定を変更で >きるように実装していくしかないでしょう。 とありますが、現段階では変更できないアプリが結構あるのでしょうか？ >スキーマが違くても外からうまく聞けば良いだけかと思ってました。 前にこう書いた時は、アプリ側で当たり前の様に変更できると思ってました。 アプリ側でサーバのLDAPスキーマに対応している必要があるということであってますか？ だとしたら現在アプリ側が対応しているLDAPスキーマで一番多いものは何なのでしょう？ 672 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/12(金) 18:17:58 ] あなたの場合、統合認証ということなので、 アプリだけの問題じゃなくて、OSの問題も含まれ、 そっちの方が大きいはずです。OSは書き換えられないですよね。 673 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/12(金) 18:52:56 ] >>670の馬鹿っぷりに泣けた 674 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/16(火) 23:36:04 ] openldap のサーバに名刺のデータを溜め込んで、マックの「アドレスブック」で 検索して利用している方、おられませんか？ マックの「アドレスブック」で検索をかけると； Aug 16 23:18:01 gw slapd[23104]: conn=66 op=1 SRCH attr=givenName sn cn mail telephoneNumber facsimileTelephoneNumber o title ou buildingName street l st postalCode c jpegPhoto mobile co pager destinationIndicator labeledURI IMHandle とサーバのログにでるので、こんだけの種類のアトリビュートを 「アドレスブック」は表示可能なんだとおもうんですが、これらの名刺データを ldapadd する方法がわかりません。 inetOrgPerson に含まれるアトリビュートを ldapadd することは出来るのですが、 例えば、buildingName を mail と同じ DN にぶっ込む方法がわかりません。。 なんか根本的にわかってないのかとも思ってますが。。。 何かヒントをくださいませんでしょうか。 675 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/17(水) 15:55:33 ] > 674 RFC1274 676 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/17(水) 19:18:31 ] >675 ヒントありがとうございます。 がんばってみますw 677 名前：名無しさん＠お腹いっぱい。 [2005/08/18(木) 06:55:15 ] OpenLDAP2.3 ってどうなんでしょう？ 2.2の方が安定しているのでしょうか？ 678 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/18(木) 10:14:25 ] >>674 buildingNameがどのObjectClassの属性か把握しておられるでしょうか? また当該DNはそのObjectClassのオブジェクトでしょうか? 679 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/18(木) 10:15:20 ] >>674 それからやってみて失敗したのだろうから、エラーメッセージを書いた方がいいのでは? > inetOrgPerson に含まれるアトリビュートを ldapadd することは出来るのですが、 > 例えば、buildingName を mail と同じ DN にぶっ込む方法がわかりません。。 680 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/19(金) 08:29:44 ] Directory Administrator を使ってる人はいますか？ 使ってる人がいたら、どうやって設定すればいいか教えて下さい。 まず、ldapsearch -D "cn=Manager,dc=example,dc=com" -H ldaps://ldap.example.com -W では、まったく問題なくアクセスできています。しかし、以下の Profile Settings だと Can't contact LDAP server と言われて何もできません。 Server address: ldap.example.com:636 Security: Enable TLS on this connection をチェック Search root: dc=example,dc=com DN/User ID: cn=Manager,dc=example,dc=com Password: ******* DN には cn=Manager とか Manager も試しましたが同じ結果でした。 サーバ側のログには slapd[13821]: conn=2544 fd=23 ACCEPT from IP=w.x.y.z:41191 (IP=0.0.0.0:636) slapd[13821]: conn=2544 fd=23 closed とあって、アクセス自体はしているようですが、それ以上のことはしてないようです。 681 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/19(金) 08:55:43 ] >>680 > Can't contact LDAP server だと、TCPレベル、TLSレベルでの問題ですから、 > DN には cn=Manager とか Manager も試しましたが同じ結果でした。 は関係ないです。(ここが問題なら別のエラーになる) etherealで調べてみては? etherealならある程度TLSも追えますから。 682 名前：674 mailto:sage [2005/08/27(土) 04:25:34 ] ちょっと前に質問させていただいてからじたばたしていたのですが、 openldapのschema ディレクトリに勝手なファイルを置いたり、 そいつをslapd.confでincludeしてやったりすると、「問われているものへの答え」 が用意できるポイ感じを何となく把握しつつあります。 thunderbirdのアドレス帳(LDAPサーバが参照できます)で全部の欄に返事を 返せるように細工しようとしているんですが、 Aug 27 04:07:45 gw slapd[7326]: conn=1 op=1 SRCH attr=modifytimestamp xmozillausehtmlmail description notes custom4 custom3 custom2 custom1 birthyear homeurl workurl nscpaimscreenname countryname company o departmentnumber department orgunit ou title countryname zip postalcode region st locality l streetaddress postofficebox carphone cellphone mobile pagerphone pager facsimiletelephonenumber fax homephone telephonenumber xmozillasecondemail mail xmozillanickname displayname commonname cn surname sn givenname てのをよく見ていただくと、countrynameてのが２つあります。 アドレス帳での項目としては、勤務先住所としての国名と自宅の国名と２つ あるにはあるんですが、同じ属性名で問いかけるというのはやっぱこれは thunderbird の不具合ですか？ それとも「順番」って概念があるのかな？ 683 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/27(土) 07:16:43 ] LDAPのobjectの属性空間はフラットです。 ちなみにthunderbirdのアドレス帳には、 勤務先/自宅のスイッチがありませんか? (つまり排他的) 684 名前：674 mailto:sage [2005/08/27(土) 23:39:12 ] ちなみに、thunderbirdのアドレス帳には、 勤務先/自宅のスイッチはありません。 只で手に入るので、よければご自分でご確認くださいw 685 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/28(日) 05:28:00 ] お前もソースくらい読め。 nsAbLDAPProperties.cppでcountrynameが二回出ているからだろ? bStoreLocAsHomeは未だ実装途中らしいし、 そもそもHome関係は今だPropertyすら定義されてないな。 homeurl, homephoneなどを除いて。 686 名前：674 mailto:sage [2005/08/31(水) 00:19:45 ] >>685 ほー　そうでござったかw ありがトン 687 名前：名無しさん＠お腹いっぱい。 [2005/09/13(火) 00:36:52 ] スレ違いだったらご容赦ください。 （PHP4でLDAPで情報を取ってくるプログラムなのですが） 階層は、 DC--root |--CN=Admin |--OU=Fruits |----+-CN=orange |----+-CN=apple |----+-CN=banana |--OU=Animal |----+-CN=cat |----+-CN=dog |----+-CN=bird このようになっています。 まず、LDAP接続は一応うまくいっています。（$dsはコネクトID） ldap_bind($ds, "CN=Admin,DC=root,DC=local", $password) 次に検索です。 $dn = "OU=Fruits,DC=root,DC=local"; $filter = "(CN=*)"; $sr=ldap_search($ds, $dn, $filter); これだと、リストで「orange,apple,banana」が取れます。問題ありません。 しかし、 $dn = "DC=root,DC=local"; $filter = "(OU=*)"; $sr=ldap_search($ds, $dn, $filter); これだと「 Can't contact LDAP server」というようなエラーになってしまいます。 期待するリストは「Fruits,Animal」です。 何が原因かわかりません。DC直下は検索できないのでしょうか？ユーザの権限のせいでしょうか？ 長くなってしまい恐縮ですがアドバイス頂けたら幸いです。 688 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/13(火) 01:17:17 ] >>687 > これだと「 Can't contact LDAP server」というようなエラーになってしまいます。 「というような」じゃなくて、ldap_error()の返す文字列を正確に。 689 名前：名無しさん＠お腹いっぱい。 [2005/09/13(火) 01:36:04 ] 202.184.38.107 690 名前：687 [2005/09/13(火) 18:02:01 ] LDAP-Errno: 81 LDAP-Error: Can't contact LDAP server こんな感じです。 691 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/13(火) 18:47:59 ] LDAPサーバ側のログは見た？ できればログレベルを上げて 692 名前：名無しさん＠お腹いっぱい。 [2005/09/13(火) 21:20:57 ] そんなのあるんですか。知りませんでした。 Windows Server2003です。 確かにあってもおかしくないですね。調べてみます。 693 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/14(水) 00:51:35 ] >>690 「というような」じゃなくて、そのままだったわけか。 このエラーが出る時は、bindまでいっていません。 SSL handshakeも含めた接続の失敗。 もちろんまだ検索もしてないので、 > DC直下は検索できないのでしょうか？ユーザの権限のせいでしょうか？ ではありません。 サーバのログ観ても分からなければ、etherealでpacket captureすることをお勧めします。 694 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/14(水) 00:56:18 ] そういやPHP4動いているマシンでldapsearchで試してみなよ。 695 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/14(水) 00:57:23 ] Windowsなら板違いじゃね？ 696 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/14(水) 01:26:05 ] キニシナイ（AA略 697 名前：名無しさん＠お腹いっぱい。 [2005/09/16(金) 08:09:44 ] PHPのLDAP関数では、Windows認証ってできますか？ DNを指定するのではなく…。 698 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/16(金) 09:50:26 ] Windows認証って何やねん! (w 699 名前：名無しさん＠お腹いっぱい。 [2005/09/16(金) 10:17:35 ] www.atmarkit.co.jp/fdotnet/aspnet/aspnet18/aspnet18_01.html 700 名前：名無しさん＠お腹いっぱい。 [2005/09/16(金) 10:57:19 ] LDAP って「えるだっぷ」ってよむ？「えるでぃーえーぴぃ」？ 701 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/16(金) 14:29:48 ] えるだっぷでDNをしていしないってなんだよ すれちがいいたちがいだろ 702 名前：名無しさん＠お腹いっぱい。 [2005/09/16(金) 23:14:32 ] レベルの低い人は来ないでください 703 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/16(金) 23:19:55 ] >>699 このスレで>>698の反応は正しい。 LDAP、左端の　|　にすら引っかからん。 www.microsoft.com/JAPAN/developer/library/jpiis/core/iiabasc.htm#challenge 704 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/17(土) 02:52:15 ] >>702 ここはゆにっくす板のえるだっぷスレ(w 705 名前：名無しさん＠お腹いっぱい。 [2005/09/22(木) 20:04:15 ] Ｏｐｅｎｌｄａｐで相互証明証明書使って暗号通信する サンプルサイトとかないのかな 706 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/23(金) 09:11:34 ] www.openldap.org/pub/ksoper/OpenLDAP_TLS_howto.html 707 名前：名無しさん＠お腹いっぱい。 [2005/09/24(土) 21:01:57 ] すみません。 master : replogfile /usr/local/openldap/var/slapd.replog replica host=rep.test.net:389 binddn="cn=Replicator, ou=People, dc=somedomain, dc=net" bindmethod=simple credentials=xxxxxx slave : updatedn "cn=Replicator, ou=People, dc=somedomain, dc=net" updateref ldap://master.test.net と設定して、 slurpd -f slapd.conf -d -1 として、起動したところ、うまくいきません。 Replica rep.test.net:389, skip repl record for xxxxxx (not mine) 原因は、slapd.replog にreplica:行が書き込まれていないことがわかりました。 replica:行を手で書いて、slurpdを起動するとうまくいきました。 どうすればreplica:行が書き込まれるのかお分かりの方お教え願います。 openldap-2.0.25です。 708 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/30(金) 07:02:26 ] sambaのパスワードとsshログイン用のパスワードを 同じものを使うにはsmbldap-passwdを使うと思うのですが Windowsクライアントから簡単にできる方法はありますか？ 709 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/30(金) 13:07:31 ] > Windowsクライアントから PuttyやTeraTermでsshログインしてsmb.confとOpenLDAPの設定をする。 710 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/12(水) 01:51:37 ] openldap で、コーユーことが出来るんじゃないかと思うんですが、 アホな上に知らんことが多すぎて苦戦中です。 「それ無理」か「ちゃんとやれば出来る」か、どっちか知ってる人 教えてくだされ。 【基本】 メールクライアントで使うアドレス帳サーバを作る。 但し、アドレス帳サーバを利用可能なパスワード（とID）ってものがある。 アドレス帳サーバの利用者は自分のパスワードをバラしたら殺されるという ルールがあってこのルールは成立していると見なしてよい。 【だいたいの感じ】 LDAP参照できる大概のメールクライアントは、LDAPサーバの指定を する欄に「バインド識別名」とかいうのがあるんで、こいつがIDに相当 すると思われる。 手元のサンダーバードで試した限りだと、バインド識別名を指定しておくと 確かにパスワードを聞いてくる。 【ここら辺が具合悪い】 アドレスサーバが提供するデータ（メルアドとか）は、 ou=data,dc=hoge みたいなところに格納して、 アドレスサーバが利用可能なユーザのマスタは ou=user,dc=hoge みたいなところに格納して、 検索ベースは ou=data,dc=hoge バインド識別子は cn=user01,ou=user,dc=hoge とかにすりゃあええんじゃと思うんですが、、、 正解でしょうか？ そもそも無理な話なんだったら早々にあきらめたいとおもって。。。 711 名前：名無しさん＠お腹いっぱい。 [2005/10/13(木) 14:50:07 ] inetOrgPerson、posixAccount オブジェクトクラスを使って cn=user01,ou=user,dc=hoge にメルアドとパスワードを持たせる。 で、どうよ？ 712 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/13(木) 23:56:38 ] いや、そういう話ではなくて、 「電話帳に載ってる人の集合」 と 「電話帳をみる権利のある人の集合」 を別々にしたいんです。 電話帳に載ってるけど自分では電話帳見れない人 とか 電話帳に載ってて、自分もその電話帳見れる人 とか 電話帳に自分は載ってないけど、電話帳みることは出来る人 とか。。。 713 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 00:00:57 ] 普通に出来るが、早々と諦めてはどうか? 714 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 01:29:23 ] >712 おたく、コーユー仕事に向いてないと思うよ。 早々にあきらめたほがいいと思うよ。 715 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 01:56:39 ] 別にお金貰ってやってる訳じゃないんですがw 色々やってみて、 ou=data,dc=hoge,dc=hoge の下に cn=yamada とか cn=tanaka とか作って、こいつらにはパスワードを持たせないで、 ou=user,dc=hoge,dc=hoge の下に cn=taro とか cn=jiro とか作って、こいつらにパスワード持たせると、 思ったよーになるんだけど、 やっぱ本当は slapd.conf に access <what> by <who> <access> を さくっと定義したいんだけど。。。どーやってもうまく行かん。 かね貰ってやってる奴、５０万やるからここに答え書いてみろw 716 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 02:23:33 ] >715 君ならやれるよ。 ガンバ！ 717 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 02:24:16 ] /etc/shadow に書いてあるような $1$foo$bar ってのを {MD5}hogehoge に変換する方法はありますか？ 718 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 10:03:27 ] {MD5}foobarで終了なんじゃないの? 719 名前：715 mailto:sage [2005/10/17(月) 12:10:53 ] 　　　　 　　　　　　　　　　　　　　　　 .∧､ｽﾁｬ　∧＿∧　　／￣￣￣￣￣￣￣￣￣￣ 　　　　　　　　　　　　　　　　　　　／⌒ヽ＼　　（　ﾟ,_ゝﾟ） ＜　お前はもう用なしだ 　　　　　　　　　　　　　　　　　 　 |( ● )|　i＼／　　　　 ＼＼＿＿＿＿＿＿＿＿＿＿ 　　　　　　　　　　　　　　　　　 　 ＼＿ノ　^i | ./＼　　　/￣＼　 　　　　　　　　　　　　　　　　　　　　|＿|,-''iつl￣￣＼　/　 ヽ　＼_ 　　　　　∧＿∧　　　　　　　　 　　[__|_|／〉￣￣￣￣￣￣　＼＿_）、 　　　／（´Д｀　）ヽ　　　　　　→　　　[ニニ〉 ＼　　　　　　　　　　　 ＼ 　　ｍn´（＿（＿nｍ　　　　　　 　　　　└―i'|＼||￣￣￣￣￣￣￣||￣ 　￣￣￣ /＼　￣￣　　　　　　　　　　　　　||　 ||￣￣￣￣￣￣￣|| ／￣￣￣　　￣￣￣￣￣￣＼　 　　　　　　　 .||　　　　　　　　　　.|| |　　○○お願いします　　　　 |　　　　　　　　　　　　××後 　　　　　Before　　　　　　　　　　　　　　　　　After 720 名前：715(ほんもの) mailto:sage [2005/10/17(月) 19:56:09 ] ttp://sapiens.wustl.edu/~sysmain/info/openldap/openldap_configure_acl.html 読んだらわかった。さくっとできたYO! これで５０万は高いなw　５００円くらいか？ 721 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/17(月) 19:59:47 ] 715は sapiens.wustl.edu/~sysmain に50万支払うように。 722 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/17(月) 23:29:53 ] >715 LDAPスキルあげる前に、ヒューマンスキルあげるのが先のようだなｗ いや、マジで 723 名前：名無しさん＠お腹いっぱい。 [2005/10/18(火) 01:20:50 ] とりあえず、 $ id test uid=18000(test) gid=18000(test) groups=18000(test) まで、できた、眠い、寝る 724 名前：名無しさん＠お腹いっぱい。 [2005/11/10(木) 00:48:25 ] どうもです。 openldapやredhat directory serverには、active directoryの「権限委譲」みたいな機能ってあるのでしょうか？ たとえばある特定のouはそのouに所属するユーザーアカウントで追加も削除もできるとか、 そういう意味での「管理負荷の分散」が可能でしょうか？ 725 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/10(木) 01:17:51 ] >>724 どのDNによるアクセスにも、(つまりどのDNでbindしていても) 他の全てのDNに対する権限を設定できます。 非常に自由度が高いです。 www.redhat.com/docs/manuals/dir-server/ag/7.1/acl.html#997355 > ある特定のouは、 というのは以下の意味でしょうか? uid=*,ou=People,dc=sub,dc=sample,dc=com という形でのワイルドカード指定が可能です。 主体の方(userdn=)も客体の方(target=)もです。 ちなみにOpenLDAPより、iPlanet起源のRed Hat〜がお勧めです。 Fedora〜ってのは無保証版なんでしょうかね? directory.fedora.redhat.com/wiki/Main_Page 726 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/10(木) 01:20:19 ] >>725 > 非常に自由度が高いです。 ただアクセスコントロールモデルなので、 one-time rightのようなタイプの委譲は出来ませんが。 (Machのportにあるような) 727 名前：名無しさん＠お腹いっぱい。 [2005/11/10(木) 23:58:33 ] ありがとうございます。 >>725 > > ある特定のouは、 > > というのは以下の意味でしょうか? > uid=*,ou=People,dc=sub,dc=sample,dc=com という形でのワイルドカード指定が可能です。 > 主体の方(userdn=)も客体の方(target=)もです。 とすると、そのouの「管理者」なるものを任命して、 そのouに関する管理は押し付けることもできてしまいます？ そうすると上級の管理者にとって負担が減るので、とても助かるんです。 > ちなみにOpenLDAPより、iPlanet起源のRed Hat〜がお勧めです。 > Fedora〜ってのは無保証版なんでしょうかね? > directory.fedora.redhat.com/wiki/Main_Page これは実績あるのでしょうか？ ま、iPlanetという出自がすでに実績なのかもしれませんが、 SunJavaとはどういう関係なんでしょうね... 728 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/11(金) 07:03:36 ] >>727 そのための階層構造、アクセスコントロールです。> 分散管理 Sun Javaは、iPlanet Directory Server→Sun 〜→Sun Java 〜という名前の変遷です。 iPlanetのLDAPサーバの分岐の一つです。Java 〜のLinux版もあります。 www.sun.com/software/products/directory_srvr_ee/index.xml それぞれのドキュメントを眺めて貰うと分かりますが、iPlanet系は殆んど同じです。 Red HatのはNetscape Dir〜として実績のあるものです。 729 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/11(金) 07:08:52 ] ちなみにアクセスコントロールしたい場合は、 アクセスコントロールルールの設定方法をよく検討して導入した方がいいです。 ルールを直接editするのが平気な人はなんでもいいと思うけれど、 GUIでやりたい人はちゃんとお金を出した製品を選びましょう。 私はLDIF編集/生成, Net::LDAP叩き派なのでその辺の製品情報は分かりません。 # iPlanetではルールを記述したaci属性を対象エントリに付ける。 730 名前：724/727 [2005/11/11(金) 07:51:18 ] >>728 >>729 なるほどです。 参考にさせていただきます。 ありがとうございます。 731 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/17(木) 08:46:05 ] Sun ONE Directory Server 5.1のSP4って、 SP3と違って、patch形式になってないなあ。 /usr/iplanet/ds5を指定すると、上書きだよ… IPLT*なpackageの立場は一体? 732 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/18(金) 10:42:24 ] docs.sun.comのマニュアルに 「LDAPサーバーをそのクライアントとして使用することはできない」 って書いてあるのですが、これってSolarisだけじゃなくて 一般的にそうなのでしょうか。 733 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/18(金) 10:48:35 ] LDAPのクライアントにはなれるよ。 NSSを設定すると、鶏と卵問題が出てきて駄目。 ただし、マスターサーバ以外はマスタサーバを利用すれば問題なし。 一般的ではない。 734 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/18(金) 12:50:09 ] NIS+ もそうだったね。移行しようとがんばったのずいぶん昔だなぁ... 735 名前：732 mailto:sage [2005/11/18(金) 13:29:48 ] >>733 NSSでLDAPを使ってユーザとグループを一括管理しようと 思っていたのだけど、起動に必要なものはすべてfilesに 書いておいて、エンドユーザのユーザとグループだけ LDAPに入れるのでもだめ? 736 名前：733 mailto:sage [2005/11/18(金) 15:34:36 ] /etc/rc2.d/S71ldap.client /etc/rc2.d/S72directory なんで、この辺もいじる必要がありますよ。 S71, S72のrcの依存関係に注意する必要があります。 patchあてたり、色々面倒なんで、自分のところはLDAPサーバは専用に。 737 名前：732 mailto:sage [2005/11/18(金) 16:14:15 ] >>736 thx。 結構いろいろ絡んでくるんですね。 専用LDAPサーバにします。 # 実はSolarisじゃなくてNetBSDなのです。 738 名前：733 mailto:sage [2005/11/19(土) 01:25:04 ] >>737 え!? じゃあOpenLDAPなの? NetBSDはまともにいじったことないけど楽勝だと思うよ。 iPlanetやSun Javaでも、Linuxだと問題ないし。 Solarisのクライアントサイドでのポリシーの問題だから。 739 名前：732 mailto:sage [2005/11/19(土) 02:24:47 ] >>738 情報小出しでごめんなさい。 NetBSD + OpenLDAP + nss_ldap + pam_ldapなのです。 でもやっぱり専用LDAPサーバにします。 740 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/19(土) 08:52:49 ] OpenLDAP、あんまり安定してないから気をつけてね。 NetBSDじゃ他に選択肢ないだろうから仕方ないけど。 データを毎日LDIFでバックアップ取っておいた方がいい。 741 名前：732 mailto:sage [2005/11/19(土) 11:21:16 ] >>740 了解。 742 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/19(土) 11:26:38 ] 運用するなら>>551前後を読んどいた方がいいと思う。 743 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/19(土) 11:27:26 ] LinuxエミュレータでiPlanetやRed Hatって選択肢はないのかね? > NetBSD 744 名前：732 mailto:sage [2005/11/19(土) 17:54:01 ] 「実はユーザが自分と妻の2人だけ」 とかいまさら言えない。 745 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/19(土) 20:57:28 ] ああ、Enterprise用途ならば(ry 746 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/20(日) 05:39:08 ] Tochan and Kachan Enterprise 747 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/24(木) 21:42:43 ] 現在LDAPサーバ構築に向けて現在勉強中です。 まだ完全に理解し切れていない点が有るのですが、一つ質問させて下さい。 サーバAとサーバBが有って、両方とも同じLDAPサーバを参照し、 objectClass: posixAccount を使い、認証を行っているとします。 その中にhogeとfugaのuid（アカウント）があるとします。 この時、サーバAにはhogeとfuga。サーバBにはhogeだけを認証させたい… そんな場合、何処でアクセス制限（認証制限）をかける事になるのでしょうか？ まさかサーバ毎に access to dn.base="uid=hoge,ou=Users,dc=exsample,dc=com" by peername="192.168.1.1" read by peername="192.168.1.2" read access to dn.base="uid=fuga,ou=Users,dc=exsample,dc=com" by peername="192.168.1.1" read のように一つ一つ記述して行く必要が有るのでしょうか？ そもそも考え方が間違っている場合は参考になるサイトなどを 教えていただければ幸いです。よろしくお願い致します。 748 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/25(金) 11:49:42 ] かなり異常な要求だから、列挙するしかないでしょ? セキュリティ上、サーバ側で拒否する必要はなくて、 クライアント側で制限できればいいのなら、 NSS/PAMのldap.confでfilter書けばいいけども。 749 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/25(金) 12:00:31 ] filterにかけるための属性を定義して、 サーバ側でアクセスコントロールのルールに使えばいい。 というか、↓はちゃんと読んでいるの? www.openldap.org/doc/admin23/slapdconf2.html#Access%20Control 750 名前：ななし mailto:sage [2005/11/26(土) 06:13:23 ] >>747 hostAttribute書いてサーバ側でフィルタするだけでも 良い気がするけど。 751 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/28(月) 11:10:18 ] >>748-750 レスありがとうございました。 三つをそれぞれ詳しく調べてどれが最善かしっかりと考えてみようと思います。 また詰まった際はご教授いただけると幸いです。 752 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/28(月) 11:23:16 ] >751 結果を発表していただけると幸いです。 753 名前：名無しさん＠お腹いっぱい。 [2005/12/01(木) 16:48:55 ] dn:< file:///tmp/xxx といったURIスキームによる値を持つ属性を持ったエントリを追加しようとすると, ldapmodify: invalid format (line x) entry: "......" と言われてしまいます. 代わりに dn: test という値を持たせると問題ありませんでした. また,別のマシンに同様のフォーマットによるエントリを追加したところ, これも,問題ありませんでした. もちろん /tmp/xxx は存在しています. 検索エンジンに「file:///」と入力しても「file」としてしか扱ってもらえず, ヒントの探しようがなくて困っています. 何か考えられる原因はありますでしょうか. よろしくお願いいたします. 754 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/01(木) 16:56:18 ] どこのldapmodifyなのか、バージョンくらい書けばあ? 755 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/02(金) 01:11:02 ] directory.fedora.redhat.com/wiki/FDS10Announcement 756 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/02(金) 11:41:29 ] 失礼しました. OpenLDAP 2.3.11 のldapmodifyです. 757 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/02(金) 22:33:22 ] OpenLDAPね。 >>753 dnは駄目。 attr: <file://パス名というformatで。空白は厳密に。 758 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/03(土) 13:14:46 ] ネットワークセキュリティ Expert 3って雑誌にLDAPの話題がたくさん載ってた。 どこらへんがセキュリティなのかわからんけど。 759 名前：753 mailto:sage [2005/12/07(水) 10:48:05 ] レス遅れまして,申し訳ありません. >>757 レスありがとうございます. formatをそのようにしたところ,ちゃんと読み込んでくれました. 手持ちの文献には, "dc:< file:///" と書かれており, また,別のPCでは,そのformatで読み込んでくれたので, 全く気づきませんでした. 同じOpenLDAPなのに,違う動作をしたのが解せないのですが, 動いたからいいや,という感じです. 本当にありがとうございました. あと dn: ではなく dc: でした. 760 名前：753 mailto:sage [2005/12/07(水) 11:33:25 ] attr: <file://path にすると, "<file://path" という文字列をbase64エンコーディングしたものが 値になってしまうんですけど…… 761 名前：753 mailto:sage [2005/12/08(木) 16:17:05 ] 追加です. attr:< file:///tmp/xxx は,前述の通りで,未だエラーが返ってきます. しかし, (current is /<dir>) attr:< file://./../tmp/xxx とすると,読み込んでくれました. ちなみに attr:< file://../tmp/xxx では読み込んでくれませんでした. 762 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/10(土) 00:50:37 ] >>758 Radiusやら、PKIやらに応用すれば、ネットワークセキュリティ話になるな。 さらにそれを応用した話にも繋がるし。 それを前提にした、LDAP話を持ち出しても、別におかしくはあるまい。 このスレの主流となるOpenLDAPとは、関連が薄そうなﾖｶｰﾝ 763 名前：758 [2005/12/10(土) 21:38:35 ] >>762 RadiusやらPKIの話はないけど、OpenLDAPでUNIXアカウントとメールアカウント(qmail-ldap) とOpenSSHの公開鍵とautofsのマップ定義管理してたよ。というか買った。 最後までLDIFを1回も書かないところが良かった。他にもSambaとかApacheとかとも 連携してるって書いたあったのでその話も気になった。 あと、証明書関連ってことで自己認証局の作り方も載っててちょっと得した気分。 でも、他の記事に比べると浮きまくりｗ。SSLやTLSを使ってるから有りなのか？ そんなわけでこのスレと一応関連するんでないかな。見かけたら見てみると良いよ。 764 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/13(火) 12:07:04 ] 先日の IW でも Security Day で LDAP のセミナーがあったね。 internetweek.jp/program/shosai.asp?progid=T24 最近は NEC が samba 絡みでなんかやってるけど、 流行ってるんだろうかなあ？ 765 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/13(火) 12:40:41 ] NECは独自のLDAP製品持って、 マルチプラットフォーム連携やっている。 東大もMac OS Xに、NECのファイルサーバ、LDAPサーバじゃなかったかな。 前はWindows TSEも動かしていたし。 766 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/14(水) 04:40:26 ] ちょうど同じようなネタが @IT に www.atmarkit.co.jp/flinux/rensai/apache2_06/apache06a.html 肝心の LDAP の設定が殆どなんも書いてないや… 767 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/14(水) 07:30:41 ] > ここでは本文に先行してLDAPのインストールまで行います。ただし、今回はイ > ンストールを行うだけであり、設定については次回に解説します。 768 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/22(木) 22:07:23 ] LDAPでLinuxマシンのユーザ認証を行わせる所まで出来ました。 次にldapに登録されているユーザでrootになれるユーザ（su 出来るユーザ） を限定しようと考えているのですが、pamのwheelを使う方法で 上手く行きません。何か良いアドバイスを頂けませんでしょうか？ /etc/pam.d/su +auth required /lib/security/pam_wheel.so group=wheel /etc/login.defs +SU_WHEEL_ONLY yes /etc/group +wheel:x:10:root,user1 変更点は以上の通りです。 769 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/23(金) 08:39:45 ] sudoにしろ。 それからwheelグループをLDAP上に置かないならスレ違い。 770 名前：名無しさん＠お腹いっぱい。 [2005/12/29(木) 01:40:01 ] WindowsとLinuxのクライアントが混在した環境でログイン認証を統一したいと 思っているんですが、LDAPで可能でしょうか？　現在はWinではAcriveDirectory、 Linuxは各マシンごとにpasswdでやってます。 ネット上で探したところDCをWindowsでなくSambaでつくってやればできそうなのは なんとなくわかりましたが、WindowsのDCでやらせるのは無理でしょうか？ 771 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/29(木) 01:53:20 ] 無理じゃないが面倒くさい。たぶんおまえの手にはおえない。 772 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/29(木) 15:23:19 ] ttp://www.google.co.jp/search?q=Active/Directory+linux ググったらめちゃひっかかるやん。がんばれ 773 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/29(木) 15:57:56 ] winbindでがんばる 774 名前：名無しさん＠お腹いっぱい。 [2006/01/01(日) 00:19:50 ] くだ質っぽいが質問させてください。 環境はFreeBSD6.0、portsからopenldap-sasl-server-2.3.11を入れました いつの間にかslapdの起動にやたらと時間がかかるようになってしまいました デバッグ情報を表示させてみたら ldap_create ldap_url_parse_ext(ldap://127.0.0.1) ldap_create ldap_url_parse_ext(ldap://127.0.0.1) ldap_simple_bind ldap_sasl_bind ldap_send_initial_request ldap_new_connection 1 1 0 ldap_int_open_connection ldap_connect_to_host: TCP 127.0.0.1:389 ldap_new_socket: 9 ldap_prepare_socket: 9 ldap_connect_to_host: Trying 127.0.0.1:389 ldap_connect_timeout: fd: 9 tm: 30 async: 0 ldap_ndelay_on: 9 ldap_connect_timeout: timed out ldap_close_socket: 9 ldap_unbind とタイムアウトしてるようなんですが 何故タイムアウトしているのかよくわかりません 775 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/03(火) 19:49:59 ] $ telnet 127.0.0.1 389 776 名前：774 mailto:sage [2006/01/09(月) 01:43:08 ] nsswitch.confからldapを消したらタイムアウトしなくなった slapdがlistenする前にnssを見に行ってるのだろうか でも設定をいじった記憶も無いしなにがなんだか 777 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/09(月) 10:13:44 ] hosts: files ldap として、filesの方に最低限のhost記述がないから、 slapdが立ち上げ時に必要としているホスト名解決ができないんでしょ。 鶏卵問題ですな。(passwd, group, shadowかもしれませんが) 778 名前：初心者 [2006/01/16(月) 20:25:02 ] NISからOpenLDAPに移行しようとしているのですが、 現在、UNIXにあるデータをLDAPと連携させるには 何を使えばいいですか？ ちなみにFreeBSD5.3を使っています。 やはり、nss_ldapとpam_ldapでしょうか？ 779 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/16(月) 20:41:55 ] >>778 > NISからOpenLDAPに移行しようとしているのですが、 は > やはり、nss_ldapとpam_ldapでしょうか？ でいいとして、 > 現在、UNIXにあるデータをLDAPと連携させるには というのは何? 何のデータ? 780 名前：初心者 mailto:sage [2006/01/16(月) 21:23:58 ] レスありがとうございます。 データはUNIXユーザの情報です。 認証がかかったときに そこに見に行くようにしたいのですが。 781 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/16(月) 21:29:08 ] NISとの連携なのか、NISからの移行なのかはっきりして。 LDAPだけでいいなら、つまり完全移行なら、 NISからテキストデータベースを持ってきて、 migrationtoolでLDAPサーバに登録して。 782 名前：名無しさん＠お腹いっぱい。 [2006/01/17(火) 00:06:35 ] filterの書式で、 (|(attr=a*)(attr=b*)(attr=c*)...(attr=z*)(attr=A*)...(attr=Z*)) このfilterはもっと短くできますか？ 短くしたfilterを教えてください。 783 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 00:59:19 ] extensibleMatchに使える特殊なマッチルールを持っているサーバで、 attr型のSYNTAXがそのマッチでない限り、駄目です。 attrの定義でSYNTAX, EQUALITY, SUBSTRを調べてください。 まあ十中八九駄目ですが。 784 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 15:19:18 ] 初カキコですいません。 ちょっと質問です。 FreeBSD5.3RELESEでOpenLDAPを使って RADIUS認証をやりたいんですが、 RADIUS鯖でユーザ認証させても radtest ... ... localhost 0 ... とテストコマンドを使っても access reject packet from host 127.0.0.1:1812 って出るですが、 いろんなサイトの設定を試してもできません。 LDAPにRADIUS用の特殊なオブジェクトクラスとかあるんでしょうか？ 何か原因があればぜひ教えていただきたいです。 ちなみに、 OpenLDAP-sasl-server2.2.17、FreeRADIUS1.0.1を使用しています。 785 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 15:42:04 ] とりあえずな、freeradiusのusersファイルにローカルユーザ登録して試しな。 で、次にFreeRADIUSのLDAP RLMモジュールの設定な。 それから"access reject" packetってのは、 radiusプロトコルでの応答パケットの種類な。 アクセス拒否、つまり認証失敗ってこった。 786 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 16:01:47 ] レスありがとうございます。 ローカルユーザは認証成功しました。 ＞次にFreeRADIUSのLDAP RLMモジュールの設定な についてですが、それはradius.confにあるmodulesの ところのやつですか？ 787 名前：784 mailto:sage [2006/01/17(火) 17:02:23 ] すいません、違いますね。 調べてわかりました。 しかし、そのLDAP RLMモジュールの設定をどこですればいいのか がわからないです。 788 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 17:07:08 ] そう。全部話していると切りがないから、 ${FREERADIUS}/doc/rlm_ldap ${FREERADIUS}/doc/ldap_howto.txt 読んで分からないところを聞いて。 789 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 17:07:59 ] >>787 radius"d".confだって。 ${FREERADIUS}/doc/rlm_ldapをちゃんと読め。 790 名前：784 mailto:sage [2006/01/17(火) 19:27:41 ] >>789 すいません、radiusd.confでした。 >>788 どのファイルも英語でわからないとこだらけですが、 rlm_ldapとradiusd.confの設定内容で 例えば、basednやaccess_attrなんかは 同じ内容にしなきゃだめですよね？ portをとりあえず636から389にしたんですが 結局だめでした。 791 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 19:33:28 ] rlm_ldapが設定ファイルだと思っている? もう一回良く読み直して。翻訳サイトで翻訳できるでしょ。 英語ドキュメント駄目そうなら、明日朝一で、 LDAP -設定・管理・プログラミング www.amazon.co.jp/exec/obidos/ASIN/4274065502/ を購入。 792 名前：784 mailto:sage [2006/01/17(火) 22:48:43 ] またしても勘違いしてました・・・。 書いてあることはわかるんですが、 実際どうすればいいかがわかんないですね・・・＾＾； default_profileには、何を指定してやればいいんですか？ radiusprofileっていうオブジェクトクラスを使ってるエントリでは ないんですか？？ 793 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/18(水) 01:34:37 ] default_profileがLDAP上に必要なの? usersに書くんじゃダメなの? 794 名前：784 mailto:sage [2006/01/18(水) 16:55:49 ] usersに書くんですか？ むぅ・・・よくわからんですね。 一応昨日はいろいろ設定して、認証通ったんですが 今日PC起動したらまた認証失敗するようになりましたorz 本買ったほうがいいですかね・・・。 795 名前：名無しさん＠お腹いっぱい。 [2006/02/02(木) 04:14:53 ] FreeBSDでLDAPやってるのですが、 nss_ldapで作られるはずの/lib/libnss_ldap.soが見当たりません。 nss_ldap内にあるnss_ldap.soとはまた違うものですよね？ 796 名前：795 mailto:sage [2006/02/02(木) 04:15:56 ] sage 797 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/02(木) 08:57:02 ] >>795 > nss_ldapで作られるはずの > nss_ldap内にある 意味が分かりません。 798 名前：795 mailto:sage [2006/02/02(木) 19:35:36 ] ＞797 説明がへたで申し訳ないです。 nss_ldapをコンパイルすると、 libnss_ldap.soが作られるようなのですが。 それに値するものがほかにあるかと思いまして。 799 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/02(木) 20:03:51 ] 謝る必要はないです(w FreeBSDは新しくないと、name service switchがよろしくないです。 例えば、5.xの最新など。4は利用出来ません。5.1辺りも怪しい。 www.freebsd.org/releases/5.1R/todo.html ←こういう段階。 6はどうか知りませんが(調べてません)、5.xは{nss,pam}_ldapは入ってません。 www.abk.nu/~nabe/document/openldap.htm あたりを参考にしてはどうですか? FreeBSDはこの辺が遅れていると思います。 CVS先端のgetaddrinfoもnssに基づいてないし。 800 名前：795 mailto:sage [2006/02/02(木) 21:30:38 ] >>799 そうなのですか・・ この間、６を入れたばかりだったんです。 新しい方がいいってわけでもないのですね。 もうちょっと、勉強してみます。 ありがとうございました☆ 801 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/02(木) 21:53:47 ] getaddrinfoについてはCVS先端「でも」nssじゃないという話をしたつもりで、 新しい「方が」ダメだと言ったつもりはない。 get*by*()系は5.xからnssになっているはずです。 FreeBSDの詳しいことはFreeBSDスレできいてねん。 802 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/03(金) 09:51:01 ] LinuxサーバをLDAP対応にしたんだけど、useraddでローカルに アカウントを追加しないので、全てのサーバの/home配下に一から それぞれのユーザのホームディレクトリを作らないといけない…。 凄く怠いんだけど、何か対処法とか良い案有りますか？ ログイン時に/home配下にホームディレクトリが有るかどうかを 確認して、無ければ作る…と言う処理をさせるのが一番無難？ 803 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/03(金) 10:32:56 ] >>802 > useraddでローカルにアカウントを追加しないので、全てのサーバの/home配下 > に一からそれぞれのユーザのホームディレクトリを作らないといけない…。 よくわからん。 ホームは、各ホストでそれぞれ別のローカルディスク上に作りたい、ってこと? pam_mkhomedirってのがあるから、各ホストの/etc/pam.dのloginやsshに書いて。 # つーかこれLDAP関係ないじゃん。 NFSでホームを共有するなら、LDAPにautomountのtable持ちなよ。 804 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/03(金) 11:13:03 ] >>803 レスありがとう。 そうか…普通それぞれのユーザのホームディレクトリって NFSとかで共有するのが普通なんだね…。 俺はご指摘の通りそれぞれのローカルディスクにホームディレクトリ を作りたいとって事でした。pam_mkhomedirで対処します。 NFS導入も後々考えてみます。 確かにLDAPと関係ないね…。なのに親切にありがとう。 805 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/04(土) 15:37:18 ] Postfixでバーチャルドメイン、アカウントと認証はLDAPで管理したいのですが、どのようにやればよいのでしょうか？ 806 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/04(土) 15:49:28 ] www.kobitosan.net/postfix/trans-2.1/jhtml/LDAP_README.html www.kobitosan.net/postfix/ML/arc.3/msg00555.html 認証ってのはどういうことですか? SMTP AUTHですか? 807 名前：名無しさん＠お腹いっぱい。 [2006/03/06(月) 04:45:04 ] /etc/openldap/slapd.conf と /etc/openldap/lapd.conf の違いを教えてください 808 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/06(月) 06:14:18 ] slapd.conf: サーバの設定 ldap.conf: クライアントの設定 lapd.conf: しらね 809 名前：名無しさん＠お腹いっぱい。 [2006/03/18(土) 13:55:32 ] samba と ldap を連携させる時って、 ldap に入っている あらゆるアカウントが samba が動いているマシンでシステム認証できないといけないの？ 810 名前：809 mailto:sage [2006/03/18(土) 20:05:37 ] >>809 のようなことはないようです。では。 811 名前：名無しさん＠お腹いっぱい。 [2006/03/24(金) 12:54:44 ] LDAPをユーザアカウント管理に使うようにすると、 サーバ名があちこちの設定ファイル（~/.ldaprcも含む）に埋め込みになるから、 サーバ名変える事態が起きると死ねない？ NISだとカーネル内にドメイン名を持ってて、 ドメイン名から勝手にサーバ探してくれるけど、 LDAPでうまくサーバ探してくれる方法ってないだろうか？ 812 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/24(金) 13:38:52 ] >>811 どうやったらそういうことになるのか分からん。 以下ぐらいしか設定する箇所無いと思うんだけど…。 /etc/openldap/ /etc/ldap.conf /etc/nsswitch.conf /etc/pam.d/system-auth /etc/libuser.conf 813 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/24(金) 14:11:21 ] 原則的にはそうだけど、 メールのルーティングにLDAP見てたとか、courierで見てたとか、 apacheで見てたとか、 LDAPに情報を集積すればするほど、 サーバ名を書く例外的な設定ファイルが増えて、 サーバ名変わることなんとまずないし、 そのうち忘れられて、更新漏れ、引き継ぎ漏れが心配なのよ。 心配しすぎ？ 814 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/24(金) 14:15:47 ] DNSを変えて解決、という訳にはいかないのか…？ 815 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/24(金) 15:07:00 ] 組織改変とかがあるとDNS的にサーバ名が変わるわけで 816 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/24(金) 15:47:30 ] openldapの基本的な設定や、データの入力の仕方など、初めての人にわかりやすく解説している サイトを教えてください 817 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/24(金) 16:19:27 ] 　　　　　　, イ)ィ　-─ ──- ､ﾐヽ 　　　 　 ノ ／,．-‐'"´ ｀ヾj ii /　 Λ 　　　 ,ｲ／／ ^ヽj(二ﾌ'"´￣｀ヾ､ﾉｲ{ 　　 ノ/,／ミ三ﾆｦ´　　　　　　　 ﾞ､ﾉi! 　　{V /ミ三二,ｲ　, 　／,　　 ,＼　 Yｿ 　　ﾚ'/三二彡ｲ　 .:ィこﾗ 　 ;:こﾗ 　j{ 　　V;;;::. ;ｦヾ!V　　　 ｰ '′　i ｰ '　ｿ 　　 Vﾆﾐ( 入　､　　 　 　r　　j　　,′ 　　　ヾﾐ､｀ゝ　　｀ ｰ--‐'ゞﾆ<‐-イ 　　　　　ヽ　ヽ　　　　 -''ﾆﾆ‐　 / 　 　 　 　 |　　｀､　　　　 ⌒　 ,/ 　　　 　 　|　　　 ＞┻━┻'r‐'´ 　　　　　　ヽ＿ 　 　 　 　 | 　　　　　　　　　ヽ ＿ ＿ 」 　　　 　　ググレカス [ Gugurecus ] 　　（ 2006 〜 没年不明 ） 818 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/24(金) 18:32:32 ] >>813 dnのドメイン名は、DNSのドメイン名と一致しなくてもいいから、 別にLDAPのdnはそのままでいいんじゃない？ あとはフルdn(dc=mydomain,dc=jp)をldap.confに書いておけば、 以下のように省略してldapsearchとかが出来るって知ってる？ ldapsearch -x -b cn=testuser >>816 LDAPはそう簡単じゃないし、最近は分かりやすい解説書が出てるから、 解説書買って読むのがいいと思われ。 819 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/24(金) 22:42:28 ] お前は次に「お薦めの解説書ってどれ？」と言う。 820 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/25(土) 01:36:12 ] まあ最初はこれでしょ。 LDAP -設定・管理・プログラミング www.amazon.co.jp/exec/obidos/ASIN/4274065502/ 821 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/25(土) 01:46:42 ] >>813 それぞれのサーバの振る舞いを理解して、適切なドキュメンテーションをしてください。 たとえばapacheのauth_ldapやpostfixも別個にサーバ記述できますしね。 >>811 ホストのドメイン名をNISのドメイン名に使うのはshell scriptのお仕事。 822 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/27(月) 10:45:14 ] おそくなったがレスいろいろありがと。 基本は楽観と、ドキュメントしっかりやるという方向でなんとかしやす。 823 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/09(日) 22:25:51 ] LDAPでTelnetでのLogonユーザ認証をさせたいのですが、この場合、 LDAP管理者の権限は必要になるのでしょうか？ Apacheでの認証の場合は下記URLに従うと管理者のID、パスワードは必要なかったので、 Telnetでも同様に認証できないかと思っています。 ttp://www.atmarkit.co.jp/flinux/rensai/apache2_07/apache07b.html LDAPサーバの管理は別のところで、聞きにくいですがパスワードは一本化したいのです。 このような構成を構築した方、おられませんでしょうか？ 824 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/09(日) 23:46:10 ] いる 825 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/09(日) 23:48:00 ] pam_ldapでtelnetの設定しろ 826 名前：823 mailto:sage [2006/04/10(月) 21:34:44 ] とりあえずできました。 ldap.confにはHOST、BASEを設定で認証成功。 ただし、LDAP側にposixAccount関連のエントリが無いためローカルに 利用するユーザを作る必要がありました。 今回は、限定ユーザ用のTelnetサーバだったから良かったけど、 LDAP登録ユーザ内の不特定多数だと対応できない。 LDAP側にエントリない場合に、HomeDirectoryとかUID、GIDを 補完してやる方法はないですか？ 827 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/10(月) 23:30:13 ] >>826の状況は、 pamはOKだけど、nssで駄目ということだから、 ローカルユーザを作って回避したって事ね。nsswitch.confでfilesを入れて。 > LDAP側にエントリない場合に、HomeDirectoryとかUID、GIDを > 補完してやる方法はないですか？ ちゃんとLDAP上に作れ。それが一番簡単。 他の方法は、結局はローカルユーザ作るのと同じだから、(二重管理という意味で) LDAP上でちゃんとやる以外の方法を模索する意味はない。 828 名前：823 mailto:sage [2006/04/11(火) 23:46:00 ] >>827 ldapの管理が親会社のWindowsの方を見てるところなんで、 ちゃんと作ってもらうのは難しいですよ。とほほ。 nss_map_attributeとかで何とかなりそうな雰囲気があるんですが。 829 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/12(水) 05:58:15 ] >>828 > nss_map_attributeとかで何とかなりそうな雰囲気があるんですが。 ローカルユーザ作るより大変じゃん。 830 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/12(水) 22:39:40 ] >>829 なんで？サーバ一台なら定義してしまえばpam_mkhomedirなんかで勝手に処理できるじゃん 831 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/13(木) 05:56:24 ] >>830 元のLDAPサーバはいじれないのに(>>828)、 nss_map_attributeでどう解決するんですか? 832 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/15(土) 23:38:04 ] >>831 代替となるような項目が定義されてると思ったんだろーな。 GIDなんかは固定的な値を使えればいいかもな。 ．．．できるんだろーか？ 833 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/16(日) 11:14:57 ] そのmapする先の属性がないとな… uidNumberなんか絶対にないし。 あったら、SunやAppleやNetwareが苦労してないって。 834 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/16(日) 15:02:48 ] LDAPなら電話番号を使うなんてできんか？ そうか、無理か。 835 名前：名無しさん＠お腹いっぱい。 mailto:age [2006/04/29(土) 21:48:50 ] Red Hat Directory Server(昔の Netscape Directory Server)みたいに 導入と管理が簡単ならいいんだけどね。 OpenLDAP 環境を構築するのが意外とメンドイ 836 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/30(日) 00:08:34 ] つーか安定性も機能も足りないし。 837 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/30(日) 06:15:08 ] Sun の Directory Server はどうよ？ 838 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/30(日) 10:57:04 ] Netscape→iPlanet系は全部まともでしょ。 OpenLDAPはきつい 839 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/30(日) 12:37:16 ] Fedora Directory Serverもまともなのか？ 840 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/30(日) 22:43:51 ] Netscape 〜 → Red Hat 〜 → Fedora 〜 でいまやOpenSource。 841 名前：名無しさん＠お腹いっぱい。 [2006/05/05(金) 19:26:17 ] 乙 842 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/10(水) 11:27:43 ] OpenLDAPを１〜２週間稼動していると、 勝手に異常終了して落ちてるんだけど。 エラーコードもでないからさっぱり。 >835-838 OpenLDAPって安定性ないのか？ 843 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/10(水) 11:43:01 ] オレの見てるとこは Samba の認証やらしてるけど落ちないよ。今 51days。 人数知れてるから負荷はかかってないけどね。 844 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/10(水) 11:57:54 ] 俺んとこもsamba+Linuxのアカウント管理にOpenLDAP使ってるけど 特に問題ないなあ。3ヶ月ぐらい動いてる。 845 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/10(水) 17:31:56 ] うちもsambaからsubversionなど、LDAPで認証できるもの ぜんぶをOpenLDAPで運用してる。で、いまuptimeをみたら 236 daysって出た。半年以上。一度も落ちたことないよ。 846 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/10(水) 22:55:11 ] OpenLDAPはおもいきり負荷をかけるとすぐコケるな。 あと、よくバックエンドのDBが壊れる。 847 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/10(水) 23:28:21 ] BDB以外でも駄目ですか? 848 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/10(水) 23:47:06 ] うちBDBをバックエンドにしててホントへこむくらいよく壊れる。 お勧めのバックエンドがあったら教えてくれー。 849 名前：846 mailto:sage [2006/05/11(木) 00:19:38 ] >>847 まともに使い込んだのはBDBだけだから他は分からない。 あと、コケてたのはOSがLinuxだったせいかもしれぬ。 850 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/11(木) 00:38:25 ] Linuxなら、SunかRed HatからNetscape直系のヤツ持ってきなよ。 FreeBSDとかなら、OpenLDAPでも仕方ないけど。 851 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/11(木) 08:08:06 ] おーぷんそーすニナッタンジャナイノ? 852 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/11(木) 08:56:33 ] まだportsにもないでしょ? コンパイル成功するのかねえ 853 名前：842 mailto:sage [2006/05/11(木) 10:36:21 ] >843-845 こちらは、クライアント、サーバともにSolaris9で、 smtp/popサーバのアカウント管理、認証として動いてます。 slapdのCPU使用率5%未満なんだけど、 スパムやら定期受信で常にアクセスはあります。 ずーっと何かしら負荷がかかってるから落ちるのか・・・。 ソース覗いて調査中。 あとメモリが、slapd起動中どんどん減っていくんだけど、これが原因か？。 この減り方だと１〜２週間も持たないですけど。 >846-849 BDBはよく壊れますね。 LDAPデータ更新後、すぐ停止起動とかやると高確率で壊れます。 854 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/11(木) 11:14:13 ] RHEL3でアカウント数10万人で１〜２年運用してるけど、 １回もOpenLDAP落ちたり壊れたりしたことないよ。 855 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/11(木) 14:09:38 ] 壊れるって言ってる奴はしょっちゅうフリーズするようなOS使ってるんだよ 856 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/11(木) 14:17:21 ] 操作が良く分からなくっていい加減なコマンドたたいて いじってたらおかしくなってしょっちゅうアボーンするように… 857 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/11(木) 18:00:45 ] まとめ ＊OpenLDAP自体の信頼性はべつに低くない >854 >843-845 858 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/11(木) 18:27:08 ] むしろ壊れると言っている人のバークレイDBのバージョンが気になるね。 859 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/11(木) 21:05:12 ] >>853 メモリが減ってゆくのはUnix系OSとして正しいとゆーか普通の動作だが、 OpenLDAPにはメモリリークするバグを抱えたバージョンもあったな >>854がユーザにLDAPアドレス帳を提供してThunderbirdを使わせても 大丈夫なんだろうか 860 名前：854 mailto:sage [2006/05/11(木) 23:32:04 ] SMTP、POP、Web認証ぐらいにしか使ってない。 いろんなデーモンが動いてるけど、OpenLDAPの負荷はそれほど高くないかも。 LDAPアドレス帳はさすがにクラスタ組まないと厳しそうな予感。 861 名前：848 mailto:sage [2006/05/12(金) 01:01:15 ] うちの環境は RHEL3+OpenLDAP2.2.13+BDB4.2。 slurpdで複製しているスレイブサーバが ファイルI/Oの負荷が高い状態で、大量の更新(200ユーザくらいの追加)がかかると だんまりになってしまい、再起動するとDBが壊れているという状況。 組み合わせるBDBのバージョンによっても問題が起こるという話もあるとのことなんだけど、 どのバージョンのBDBが鬼門なのかも分からずゲンナリな状態。 862 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/12(金) 11:53:44 ] >859 そうでしたね。ある程度消費して止まりました。 >848 こちらは Solaris9+OpenLDAP2.3.17+BDB4.2です。 試験時に大量の更新後(約1000件)、停止/起動かけますと、壊れてしまいます。 約30分後に再起動だと壊れないです。あと10件ぐらいでも壊れないです。 だんまりになったことは無いですね。 863 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/12(金) 12:32:36 ] slurpdの有無は無関係？ 864 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/12(金) 13:19:35 ] BDB のチューニングはどのくらいの使用負荷から必要ですか？ 865 名前：名無しさん＠お腹いっぱい。 [2006/05/13(土) 11:50:29 ] >>861 RHEL 使ってるんなら Fedora Directory Server にしたらいいんジャマイカ 866 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/14(日) 09:20:27 ] Red Hat Directory Serverは有料なんかな? free trialがあるくらいだから。 867 名前：名無しさん＠お腹いっぱい。 [2006/05/16(火) 23:06:13 ] Openldapでpam_ldap,nss_ldapでユーザ認証しているんだが、一般ユーザには ldapsearch 等で格納されている情報を検索されたくないんですが、 slapd.confのアクセス制限で、最後の　by * read を　by * auth とかに すると、マシンにログインできなくなってしまうのです。 なんか良い方法あったらおしえてくらはい。/usr/bin/ldapsearchの実行パーミッ ション変えてもホームディレクトリとかにバイナリおかれたり、プログラム 書かれたら意みないので。 access to attrs=userPassword by self write by dn="cn=Manager,dc=hoge" write by anonymous auth by * none access to * by dn="cn=Manager,dc=hoge" write by self write by * read 868 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/16(火) 23:41:08 ] ファイルのオーナとかそれに伴うパーミッションのチェックをするには、 /etc/passwd相当の情報は一般ユーザでも読めなきゃいけないんじゃないのかな? passwd(一般ユーザが読める)とshadow(一般ユーザ読めない)に分かれている理由を考えてみれば納得できるかと。 869 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/17(水) 00:22:18 ] >>867 試したことないんだが、 nscdをHOME環境変数設定して起動して、 $HOME/ldap.confでbinddn, bindpwを "cn=Manager,dc=hoge"にしてみてはどうよ? nscdはrootで動かして、HOME=~root、設定は~root/ldap.confがいいかな? 870 名前：名無しさん＠お腹いっぱい。 [2006/05/17(水) 23:20:50 ] >>868 確かに >>869 これは、デフォルトbindをManagerにするってー事？ nscdがどうして関係するのか未熟者なのでわかりません。。 871 名前：868 mailto:sage [2006/05/18(木) 06:49:10 ] >>869 nscdがManager権限でldapにアクセスしてれば、 nscdを使うプログラムからは、Manager権限でしか見えないものも見えるってことですか。 うまくいけば面白そうですね。 話は少し変わるけど、nscdを見に行くプログラムと直接ldapと話をしようとするプログラムがあるけど、 nscdを見に行くようなプログラムってどうやって書くんでしょう。 (CかPerlで具体的なコードが分かるとうれしい) nscdを見に行ってくれないプログラムがnscdを見に行ってくれるようにする方法なんかも分かるとかなりうれしいんだけど。 872 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/18(木) 08:12:30 ] >>871 get*by*()を使う。 強制nscdの方法はない。 ただFreeBSDはよくわかってない。 getaddrinfo()がnss/nscdは無視しているし。 873 名前：名無しさん＠お腹いっぱい。 [2006/05/20(土) 03:12:17 ] 腐ったOSで、DB回してれば何時か自然に転ぶって、爺ちゃんが言ってた。 874 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/20(土) 11:33:04 ] なるほど、FreeBSDでバークレイDBを使ってはいけないわけですね。 875 名前：871 mailto:sage [2006/05/20(土) 11:48:13 ] >>872 gethostbynameとかbyaddrくらいしか使ったことがないんですが、 ユーザ認証するときは具体的にどんなget*by*()になるんでしょう。 ヘボい質問で情けないですが、教えてやってください。 876 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/20(土) 13:15:16 ] ユーザ認証じゃなくて、ユーザデータベースでしょ。 getpwent getpwnam getpwuid getgrent getgrnam getgrgid この辺でしょ。*by*じゃないけど… 認証は、pam_ldap使えば、auth(bindオペレーション)だけ許可しとけばOK。 877 名前：名無しさん＠お腹いっぱい。 [2006/05/20(土) 21:38:50 ] Novell eDirectory はどうですか？ Solaris や Linux でも使えるようですが www.novell.com/products/edirectory/ 878 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/20(土) 23:54:35 ] eDirectoryというか、eDirectoryを中心としたOESはよく出来てると思った。 ちょっと触っただけで、使い込んだわけじゃないけど。 879 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/21(日) 07:23:16 ] 一番歴史古いからね。 880 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/03(土) 06:10:44 ] Fedora Directory Serverが公開されてるけど、どんな感じですか? 「サーバの構築が楽になっただけ」という声もありますが 881 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/03(土) 11:52:23 ] Fedora使ってないので、他のデストリでコンパイルしようとしたら、 へんちくりんな独自build機構で苦労した… *BSDへのポートは時間がかかりそうだな。 882 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/06(火) 11:03:52 ] 何だかんだ言ってもActive Directoryは親切設計だった 883 名前：名無しさん＠お腹いっぱい。 [2006/06/06(火) 20:47:14 ] MS の文書見ても、バックアップ、リカバリがよく見えない気もするが ... 884 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/06(火) 21:29:45 ] novellのがいい。 885 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/08(木) 22:44:48 ] >>884 同意。やっぱノーベルがいい。 886 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/10(土) 13:28:16 ] >>885 そう書かれると何か飴作ってる会社みたいだ。 887 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/10(土) 14:17:54 ] オレはノーベルというと乾電池だなw。 888 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/10(土) 15:55:00 ] ノーベルといえばノーベル賞だな。 ダイナマイトってことか。 889 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/10(土) 17:19:38 ] マイトガイ小林旭 890 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/10(土) 17:58:06 ] マジレスすると、正式表記はノーベルじゃなくてネベル。 891 名前：890 mailto:sage [2006/06/10(土) 17:59:44 ] >>890 うわ間違えた。 ×ネベル ○ノベル 892 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/10(土) 18:44:55 ] どれの正式表記? 乾電池? 893 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/10(土) 18:45:29 ] 正式表記はネスレ。 894 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/10(土) 21:57:07 ] >>892 Nobellの方。 895 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/10(土) 22:00:32 ] b? 896 名前：894 mailto:sage [2006/06/11(日) 00:21:12 ] >>894-895 orz s/Nobell/Novel/ 897 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/11(日) 02:46:59 ] >>896 Novell!! 898 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/11(日) 03:54:23 ] >>889 この板にいる人の年齢がわかるレスだな 「熱き心に」を歌いたくなってきた 899 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/11(日) 22:14:33 ] Nestle 900 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/12(月) 09:45:28 ] LDAPの標準認証って、 userPasswordに {crypt} と {SSHA} が混在してる状況でも、 LDAPサーバ側がユーザの暗号化方式に応じて認証可否を返してくれるもの？ それとも、システム全体で暗号化方式を統一しておく必要があります？ 901 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/12(月) 10:04:54 ] それはLDAPの仕様じゃなくて、 LDAPサーバの実装仕様によるけれど、 統一しておかないといけないサーバに遭遇したことはないです。 OpenLDAP, iPlanet, Fedora, Netscape, Novell, Active Directoryなど ただしbasic認証じゃなくて、 自分でuserPassword属性を取得してcrypt()で認証しようとするクライアントが、 結構多いので要注意です。例えばSolarisのpam_ldap。 902 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/13(火) 09:24:35 ] >>898 １５０トン。 903 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/13(火) 10:43:50 ] >>902 よろしければどんな車に乗っているのかお聞かせ下さい。 ＃個人的にはコルトが欲しいです。 904 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/13(火) 19:06:09 ] 赤いトラクター以外に何か有るとでも言うのだろうか？ 905 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/15(木) 10:23:39 ] 俺はお前だぜ〜♪ 906 名前：902 [2006/06/16(金) 16:20:23 ] はのこほペットにシタクッテっ・・・ それはいい。 OpenLDAP2.4ってな、何時マトモに使えるんだｺﾞﾗ。 907 名前：名無しさん＠お腹いっぱい。 [2006/06/18(日) 09:30:11 ] 俺はもう OpenLDAP で構築しようとは思わなくなった… 悪いけどプロダクトの質が低いし手間かかりすぎ 908 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/18(日) 09:58:34 ] NISのほうが楽そうだな 909 名前：名無しさん＠お腹いっぱい。 [2006/06/23(金) 00:55:59 ] UltraPossum使っている人いる？ 冗長構成が良さそうだが、いまいち設定の仕方がよくわからない。 VA以外じゃつかってないのか？ 910 名前：名無しさん＠お腹いっぱい。 [2006/06/23(金) 02:58:31 ] >>907 そうだね。マトモに使うのは楽じゃないかもね。 プロジェクトを進めている学校の質に依存する。 911 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/23(金) 13:42:43 ] X.500 なんてもうきっぱり捨てて、BIND 改造して使おうぜ。 912 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/24(土) 00:23:57 ] >>911 Kitchen Sink BINDキタコレwww 913 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/25(日) 19:23:28 ] それなんてhesiod？ 914 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/24(火) 21:20:45 ] OpenldapでBIND認証させたユーザに ある特定のOU配下のみに変更権限を与えることはできますか？ 915 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/30(月) 22:17:12 ] 出来ます。 www.openldap.org/doc/admin23/slapdconf2.html#Access%20Control 916 名前：914 mailto:sage [2006/11/01(水) 00:21:47 ] >915 ありがとうございます。 試し見てみますね 917 名前：名無しさん＠お腹いっぱい。 [2006/11/24(金) 03:16:46 ] openldap サーバ兼クライアント(CentOS 4.4)で、 authconfig をいろいろ書き換えながら ldap ログイン設定をしているのですが、 ○ ldap://xxx/ でログインはOK ○ TLS無効時、id [username on ldap] は読める × TLS有効時、ldaps://xxx/ でログインがだめ × TLS有効時、id [username on ldap] が読めない ○ TLS有効時、ldapsearch ldaps://xxx/ は読める な状態に陥っています。 なにから疑えばいいでしょうか。 (/etc/ldap.conf の TLS_REQCERT never は駄目？) 918 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/24(金) 09:47:13 ] 要するに、 素のLDAP操作(ldapsearch)はOKだが、 pam_ldap, nss_ldapが駄目だということだから、 CentOSのpam_ldap, nss_ldapのパケージに、 専用のLDAP設定ファイルがないか調べてください。 DebianやRHEにはあります。 Libraryが後から読み込むので、 基本設定が、pam_ldap, nss_ldap専用の設定で上書きされます。 それからidコマンドを実行しながら、 etherealでldap, ldapsのパケットを解析してみるのも吉。 919 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/24(金) 13:39:22 ] >>917 echo "TLS_REQCERT allow" >> /etc/openldap/ldap.conf で行くんじゃないかな。/etc/ldap.confとはまた別ものだよ。 920 名前：917 [2006/11/24(金) 19:46:51 ] slapd loglevel 256 を tail -f | grep -E "389|636" でみながら試行錯誤したところ、 ssl start_tls だとつながらない だったので、authconfig 後に ---------- /etc/ldap.conf に URI ldaps と tls_reqcert never 明記 /etc/ldap.conf から ssl start_tls 追放 /etc/openldap/ldap.conf に URI ldaps と tls_reqcert never 明記 ---------- にしたところ、 openldap サーバ兼クライアント(CentOS 4.4) openldap クライアント(CentOS 4.4) で無事動きました。 start_tls と ldaps は内部的になにがちがうのでしょうか？ 921 名前：名無しさん＠お腹いっぱい。 [2006/11/25(土) 01:03:47 ] こういう記事があったよ。 www.linux.or.jp/JF/JFdocs/LDAP-Implementation-HOWTO/ssl.html Note: Start-TLS は、クライアントが要求したときだけ TLS を有効にする ことができるようにします。この方法だと、単独の LDAP ポートをセキュアな 接続とそうでない接続の両方に使うことが可能です。 922 名前：917 [2006/11/25(土) 15:09:24 ] uri 外して ssl on でも動きました。> 921 start_tls だと pam_ldap は 389 を使おうとする start_tls の pam_ldap 636 は何故か必ず失敗する(tls_reqcert never のせい？) ので、 ssl on か uri ldaps:// で636強制が必要、 という事のようです。 923 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/25(土) 15:15:57 ] ldap に限った事じゃないけど、start tls って最初は平文で接続してから ssl に 切り替える物だから、いきなり ssl ポートに接続してもセッションは張れないよ。 924 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/25(土) 16:09:07 ] start_tlsはldapポートのまま、tlsネゴシエイトを始めるのね。 要するにアプリケーション層でtlsをコントロールする。 ldapsはセッション層でtls、ldapプロトコルは関与しない。 925 名前：917 [2006/11/25(土) 16:09:33 ] start_tls で 389 に接続後、Port 389 のままで SSL になる、という意味でしょうか？ 「その場合 SSL が機能していること」はログのどこらへんに注目すればいいでしょうか。 926 名前：917 mailto:sage [2006/11/25(土) 16:19:13 ] ちょっと言葉たらずでした。 start_tls 「暗号化されてて安心」の確認は、ログのどこみればいいでしょうか。 これまでやったのはopenladap の loglevel 256（ポート番号しかわからない感じ） と loglevel -1 (大量に出るので何みればいいのかわからない) の２つです。 927 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/25(土) 16:28:58 ] >>925 そうです。 安心したいなら、パケットキャプチャーするのがいいかと。 ログで見たければ、LDAP_DEBUG_STATS。 starttls.cのstarttls_extop()で、 Statslog( LDAP_DEBUG_STATS, "%s STARTTLS\n", op->o_log_prefix, 0, 0, 0, 0 ); してる。 928 名前：917 mailto:sage [2006/11/25(土) 17:06:48 ] loglevel -1 の grep -i tls で start_tls の id を行うと、 connection_read(12): unable to get TLS client DN error=49 id=【seq】 がかえってきました。 pam_ldap の start_tls は失敗しているようです。 929 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/25(土) 17:37:46 ] ここ良く読め。 www.openldap.org/doc/admin23/tls.html ここもかな。 www.openldap.org/doc/admin23/sasl.html 930 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/23(土) 23:13:15 ] OpenLDAPで構築したサーバと、 SolarisのネイティブLDAPを使ったクライアント。 この組み合わせは無理？ 931 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/24(日) 00:57:17 ] >>930 LDAPv3であってれば大丈夫じゃない? 経験的に、OpenLDAPのサーバはあまり使いたくないですが。 932 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/24(日) 10:00:04 ] >>931 ・OpenLDAP を使いたくない理由 ・お勧めするDirectory Server をご教授願いたい 933 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/24(日) 13:38:26 ] >>930 Solarisのldapclient manualで設定すれば問題なくLinuxで動いてるOpeｎLDAPサーバのクライアントになれるよ。 4年運用してるけど特に問題ない。 934 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/24(日) 14:18:55 ] >>932 931じゃないが、 ・パフォーマンス悪い。結構バグがある。 ・Netscape直系のヤツ。iPlanet, Sun Java, Red Hatなど。 935 名前：931 mailto:sage [2006/12/24(日) 22:16:11 ] >>930 あ、そこに食いつかれるとは思っていませんでした。 使いたくない理由は ・負荷が高いときの動作が怪しいこと ・BDBのハッシュだけがこわれてエントリをことごとく「ない」と応えられて痛い目をみた お勧め…というか、仕事のシステムで変えられるならこれに変えてみたいというのは ・Sun Java ・Fedora Directory Server かな。 936 名前：名無しさん＠お腹いっぱい。 [2006/12/24(日) 22:22:38 ] 同じく931じゃないが。 ヘヴィーな使い方をする場合にOpenLDAPを選択するというのは、 地雷原に突っ込むようなものだ。 軽く使うだけならOpenLDAPでもOK 937 名前：931 mailto:sage [2006/12/24(日) 22:30:21 ] あ、FedoraもバックエンドはBDBでした。 ということで、候補からはずしておきます。 (憧れだけで調べてなかったもので…) 938 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/24(日) 23:08:42 ] Berkeley DBが悪いんじゃなくて、 OpenLDAPの排他制御に問題があるように感じる。 他にもBerkeley DBを多用するアプリで問題出たことないから。 939 名前：名無しさん＠お腹いっぱい。 [2006/12/24(日) 23:14:16 ] OpenLDAPってそんなに問題あるの？ おれの所はSunとつきあいが長いんでSunJava Directory一辺倒だけど。 世の中OpenLDAPがデファクトになりつつあるんで流されようかなと日和って きたんだが。SambaやWindows連携で良く使われているしさ。 940 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/24(日) 23:15:26 ] (931ですが、あまり意味がないので名無しにします) >>938 MovableTypeとかsubversionとかみてると「やっぱりBDBか?」とおもってしまうんですよぉ。 先入観ですかねぇ。 941 名前：名無しさん＠お腹いっぱい。 [2006/12/24(日) 23:20:35 ] openldapを数百万ユーザ規模で動かしてるとこって、かなり 手を入れてるってことなのか。使い方にもよると思うけど、 何ユーザくらいで問題が出たりしてるの？数千くらいだったら 軽いかな？ 942 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/24(日) 23:23:28 ] そいつらは問題出てるんですか? spamassassinがperl5の連想配列/libbdb4.4のtieを使ってるんです。 日に万を越えるメールを処理してますが壊れたこと無いですね。 943 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/24(日) 23:24:59 ] >>941 VA LinuxがOpenLDAPだけど、 あそこはBackup復旧アプリを付けて出してるよ。 944 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 00:47:13 ] >>942 直接痛い目にあったわけじゃないですが、結構出てるみたいですよ。 ぐぐってみてください。 私が一番痛い目にあったのはpostfixで宛先の存在を見るようにしてて、 ハッシュが壊れたときにことごとく「ない」と応えてメールを全部叩き落しちゃったこと。 5分くらいで以上に気づいたけど、1000通くらいの被害を出しました。 壊れるタイミングは更新時だけみたい。 ユーザ数は1万弱でメール配送量は1日20000弱。ほとんどがspamですが…。 945 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 01:34:04 ] 942です。 >>944 ごめん。それはOpenLDAPの事例だよね。 >>942ではアンカー付けなかったけど、>>940への問いかけのつもりでした。 OpenLDAPでは、自分もハッシュ壊れを体験してます。 幸い導入前の負荷テストだったので、OpenLDAPは外しました。 DefaultのBerkeley DBしか試してないけど、テストで駄目ならもう信用できないしね。 946 名前：ななし mailto:sage [2006/12/25(月) 05:54:20 ] >>941 数十万エントリで2年運用しているけど 特に問題ないなぁ 947 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 07:22:28 ] ApacheDSとかプンディレとか使ってる人いらっしゃいますか？ 948 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 09:28:28 ] >>947 プンディレってSun Java Directoryとは別系統なのかなあ？ ApacheDSもちょい興味あり。 949 名前：名無しさん＠お腹いっぱい。 mailto:age [2006/12/25(月) 10:15:05 ] OpenDSはJavaで書いてあるから、 Netscape直系のSun Java Directory Serverとは全く違うだろ。 Sun Java Directory Servderの"Java"には意味がないし。 950 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 11:04:19 ] Sunは最終的にはOpenDSでJavaDSを置き換える つもりなのかなぁ？ ApacheDSもJavaだよね？ ちょい試してみようかな。 951 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 11:06:21 ] てかSunて最近何でも名前にJavaて付けるよな。 952 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 11:26:07 ] >>950 blogs.sun.com/DirectoryManager/entry/introducing_the_opends_directory_service https://opends.dev.java.net/public/docs/OpenDS-FAQ.html 読む限りでは、置き換えるつもりらしいね。 953 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 11:38:53 ] ASFは結構仕事早いから、ApacheDSとプンディレ、 どっちがデファクトスタンダードになるかな…。 954 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 11:42:51 ] >>953 ApacheDSはもう1.0リリースされてるしね。 使ってみた人います？ 955 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 11:57:51 ] OpenDSも社内で一年かけた上でこの夏に公開したらしいぞ。 まだまじめに評価してないけど、(すぐに飛び付くのは時間の無駄なので) 動いてはいるよ。 956 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 12:14:52 ] >>951 最近はオープンソース化してOpenを付けるのが流行。 プンソラ プンディレ プングルオン … 957 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 13:19:40 ] でもLDAPクライアントになるソフトウェアに OpenLDAPライブラリを使って書かれたものが多い 限り、OpenLDAPは捨てられないのか…。 >>956 プンソラとプンディレはよく聞くけど、 プングルオンはさすがに聞いたことないぞwww 958 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 13:25:47 ] プングルってなに? オープングルメオンパレード? 959 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 13:30:51 ] >>958 マジレスすると、OpenSSO …だよな？？？ 960 名前：名無しさん＠お腹いっぱい。 mailto:age [2006/12/25(月) 13:42:46 ] >>957 OpenLDAPのライブラリは、 基本部分は、RFC1823 "The LDAP Application Program Interface" 他にはRFCにならなかったdraft、本の少しのOpenLDAP独自拡張。 LDAP関連のRFC draft writerとOpenLDAPのmemberはかなり重なっている。 だからアプリがOpenLDAPのlibldapに依存ってことはほとんどない。 TLS使ったときに、OpenSSLをどういうprofileで使うか、 あたりは潜在的に依存していることがあるだろうけど。 961 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 14:01:16 ] >>960 OpenDSとかApacheDSとか丸々Javaで書かれた LDAPシステムだと、libldap自体用意できないから、 OpenLDAPみたいなCやCXXで書かれたLDAPシステムは 捨てられないのかな？程度の意味です。 分かりにくくてごめん。 962 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 14:06:02 ] >>959 おお、Open Web Single Sign-On、知らなんだ。プングルオンw 963 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 14:08:43 ] >>961 OpenLDAP のサーバーの、Berkeley DB は悪くなくて更新のとこ、とかいう文脈で、 なぜ OpenLDAP クライアントの C++ のライブラリを捨てなきゃならんという話になるのか? 964 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 14:26:49 ] >>963 よくわからんが、OpenLDAPの更新の話からは ぶったぎれてて、単純にプンディレ使うんだったら クライアントも含めてOpenLDAP捨てて全部 プンディレに移行したいってことじゃね？ 965 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 14:38:22 ] ・LDAPはprotocolだけでなくAPIもRFCになっている。 ・OpenDSはclientライブラリ作ってない ・OpenLDAPは、DSMLも喋れるJLDAPってのを書いてる ・Sun JDKは、JNDIにLDAP Service Providerを持っている ・mod_ldap, nss_ldapの需要があるからCのライブラリは誰かが維持する。 966 名前：名無しさん＠お腹いっぱい。 mailto:age [2006/12/25(月) 14:40:30 ] >>965 > ・OpenLDAPは、DSMLも喋れるJLDAPってのを書いてる ↓これ。 クライアントライブラリね。 www.openldap.org/jldap/overview.html ちなみにOpenDSもDSMLをサポートしてる。(これはサーバ側) 967 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 15:11:33 ] >>966 こんなの作ってたんだ…知らアッー！！！んかった。 968 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/26(火) 09:47:44 ] Contributed by Novell. 以前はOpenLDAPのサイトに載せていながら、 結局 Novell のところでユーザ登録しないと取得できなかったような。 com.novell.* なパッケージもあるし、ほとんどソースが変更されて無いようなので、 「OpenLDAPが書いてる」っていうより、メンテしてるぐらいかな。

---

---

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef