LDAPについて

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 05/18 01:27 / Filesize : 285 KB / Number-of Response : 969
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

LDAPについて

1 名前：名無し君 [02/02/02 20:53]: 語りましょう。
私は俺はこんなものまでLDAPで管理している等々。。
521 名前：509 mailto:sage [05/01/14 10:17:53]: >>516
調べてみました。
ありがとうございました。

>>518
やっぱり、プロトコルやスキーマが標準化されている事って
かなり大きいんですね。
Kerberosですか。新たなメリットです！
調べてみます。

ありがとうございました。

>>519
RDBをバックエンドに使えるはずなのに、
検索に特化されているとかトランザクション機能が無いとか
書いてあるので、なんか仕掛けがあるのかと思ってました。

そもそもトランザクション機能がよくわかってないんですけど。。

>>520
とりあえず、これです。
ttp://www.atmarkit.co.jp/fnetwork/rensai/dirt02/01.html
ttp://japan.cnet.com/extra/sec/story/0,2000051084,20075807-2,00.htm
522 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/14 15:29:18]: >>518
schemaのtypo.した。
523 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/14 15:41:48]: >>521
トランザクション機能は全くないわけではありません。それに、

>>509
> ユーザ認証システム

として考えた場合は十分です。
ユーザ認証レポジトリとして考えてみると、
例えばdigital IDの生成の時には、若干トランザクション処理をする必要がありますが、
LDAPプロトコルとしてサポートしないだけで、
LDAPサーバを用いたユーザ認証レポジトリシステム、
しかもRDBと比較する程度の規模のもので、(iPlanet, Active Directory)
ちゃんとやってないもの方が少ないです。

そもそも(RDBでなく)RDBMSという「システム」と比べるべきなのは、
(RDBMSには認証機構やODBCなども入っていますから)
Sun Java System Directory Serverのような、
Directoryシステムであって、LDAPプロトコルでも、

>>509
> ディレクトリサービス

でもないですよね。RDBMSだってRDB部分だけ見ればほとんど何もないです。
524 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/14 15:43:58]: >>521
> とりあえず、これです。

読む記事が短かすぎます。
この記事を見るだけで出来ることは、この記事をまとめることくらいです。
それだってきっと見当違いになるでしょう。表面をなぞったものを読んだだけなので。
525 名前：509 mailto:sage [05/01/14 17:53:53]: >>523,524
レスありがとうございます。
知識がうすっぺらなんで、勘違いや混乱を起こしてしまうんですよね。

ディレクトリサービスとディレクトリシステム、
RDBとRDBMSをごっちゃにして考えてました。

最初の発言の『ユーザ認証システム』って言葉もユーザを認証する仕組み程度に
何気なく使っていました。
ので、『ユーザ認証レポジトリシステム』との区別がついておりません。。

『ユーザ認証レポジトリシステム』調べてきます。
526 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/14 18:03:01]: SunOne Directory ServerってもともとはNetscape Directory Serverだよね?

RedHatがNetscape Directory Serverをフリーにするってことは、昔の
SunOne Directory Serverと似たようなものが出てくるのかな? もっとも、
NetscapeはCommunicatorのソースがあの調子でMozillaでは結局一から作りなおす
ハメになったわけで、出てくるソースについてあんまり期待しちゃいけないのかも
しれないけど。とはいえ、さすがにOpenLDAPよりは奇麗だと期待したい。
527 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/19 19:43:46 ]: phpでLDAPにエントリを追加したいけど全然できません。
コマンドラインでは入るし、
ldap_add()に渡すデータ配列が間違っているだけのようなんだけど・・・。

Warning: ldap_add(): Unknown attribute in the data
と
Warning: ldap_add(): Add: Undefined attribute type

どっちが正解に近いエラーですか・・・。on_
528 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/19 23:42:31 ]: >>527
PHPはよく知らないので、外しているかも知れないけど、

> Warning: ldap_add(): Unknown attribute in the data

データに不明な属性が含まれています。
例えば, posixAccountオブジェクトクラスのオブジェクトに、
jpegPhoto属性が含めてしまっているような場合。
下に比べると、属性としては正しいものなんでしょう。

> Warning: ldap_add(): Add: Undefined attribute type

定義されてない属性がある。
例えば、gifPhoto属性なんてどこにもないよー、など。

LDAPのerror codeそのまんまの解釈をしてみました。
529 名前：528 mailto:sage [05/01/20 00:15:08 ]: > 528

ありがとうございます。
そう言われて、今ちょっと間違っていそうなところに気が付きました。
明日やって見ます。
530 名前：527 mailto:sage [05/01/20 10:14:27 ]: やっぱり出来なかった。

Warning: ldap_add(): Add: Object class violation
これはもっと正解に近い？
オブジェクトクラス違反
近そうとは思うけど、どうしたら・・・。
531 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/21 00:25:37 ]: >>530
> Warning: ldap_add(): Add: Object class violation

オブジェクトクラスそのものに関するエラーが起きたんだよ。

>>528の前者はオブジェクトクラスにはない属性を指定した場合。
こっちは、
・オブジェクトクラスの指定が全くない。
・存在しないオブジェクトクラスを指定した。
・複数のstructualオブジェクトクラスに属している。
などです。
532 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/25 11:19:29 ]: incubator.apache.org/directory/

これは期待していいのか？
533 名前：名無しさん＠お腹いっぱい。 [05/01/30 13:29:14 ]: OpenLDAPって数千件ほどのデータ更新をしようとすると10分くらいかかるんですが
こんなもんなんですか？
マシンは

Dell Power Edge 750
RHEL3 (smp)
P4 2.8Ghz (HT)
DDR 512MB
SATA 80GB * 2 RAID1

です。
534 名前：名無しさん＠お腹いっぱい。 [05/01/30 20:21:30 ]: OpenLDAP2 ってバグだらけだよな
オープンソースがうまくいかなかったときの悲惨さを見た
535 名前：名無しさん＠お腹いっぱい。 [05/01/30 23:10:44 ]: emacsでdviファイルをtexファイルに変換できるのでしょうか？できるのなら方法を教えて下さい。texファイルを消してしまいました！助けて下さい。。。お願いします。
536 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/31 10:46:59 ]: >>533
本当に更新に時間かかっているの?
更新ごとにやるindexのないattributeでの検索に時間かかっているって事はない?
537 名前：名無しさん＠お腹いっぱい。 [05/02/01 22:50:21 ]: >>534
OpenLDAPの採用を検討しているので気になりました。
バグで苦労した点を教えてくれないでしょうか。
538 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/02 00:16:16 ]: >>534 の脳がバグってるんだろ
539 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/02 04:47:49 ]: >>533
もし berkeley db を使ってるなら ldbm を試してみた方がいい。
並列に高い負荷がかかると、berkeley db と OpenLDAP の組み合わせ
はメチャメチャ遅くなることがある。
逆に負荷が軽ければ berkeley db を選んだ方がずっと速いことも
ある。あと、パラメータのチューニングでかなり性能は変わる。

ちなみに berkeley db と、とあるバージョンの OpenLDAP の
組み合わせで大量の更新を行なうと、データベースが壊れて
ldapsearch もできなくなったことがあった。(再現性あり)
ldbm にして回避したが。

上記の事情は、OpenLDAP のバージョンによってもコロコロ変わる。

更新が少なくて参照ばかりなら、そんなに問題はでないと思うけど、
大量の更新を行なう用途に OpenLDAP を使うのはやめた方が安全。
苦労すればなんとか解決はできるが。
540 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/03 00:48:24 ]: >>539
データ更新が頻発するシステムでOpenLDAPを置き換えるならどういう
選択肢があるんだろう。
541 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/03 02:27:12 ]: 素直にRDB使うとか?
542 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/04 08:02:02 ]: backendにRDBMS使うとか
543 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/10 13:03:25 ]: ldapのBDCへの複製をしたいと思ってるのですがうまくBDCへ伝播されません。。お知恵をお貸しくださいm(_ _)m
gentooをホストにPDCを構成し、認証にldap(2.1.30-r2)を使っています。BDC(debian slapd2.1.30-3)への複製を行いたいと思っています。
ttp://tsuttayo.sytes.net/samba/ldap/bdc/bdc.html ttp://tsuttayo.sytes.net/samba/ldap/bdc/pdc.html
上記2ページを参考に設定を行い、BDC側にはreplicaのbinddnでldapbrowserを使って接続し、値の書き換えなどができることを確認。

PDC側は、/var/lib/openldap-slurp/replica/slurpd.replogにmodifyのログが生成されているようでしたが、BDC側に変更が伝播していないようです。
ちなみにデバッグ(slurpd slapd.conf -d 255)で実行したログの後半（ここで停止。killしてもslurpdをとめられない…）最後にlocalhostに行ってるのが怪しいですがどうしていいものか…
Config: ** successfully added replica "hoge.localdomain:389"
Config: ** configuration file successfully read and parsed
begin replication thread for hoge.localdomain:389
Initializing session to ldap://hoge.localdomain
ldap_create
ldap_url_parse_ext(ldap://hoge.localdomain)
bind to hoge.localdomain:389 as uid=replica,ou=Users,dc=localdomain (simple)
ldap_simple_bind_s
ldap_sasl_bind_s
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection
ldap_int_open_connection
ldap_connect_to_host: TCP hoge.localdomain:389
ldap_create
ldap_simple_bind
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection
ldap_int_open_connection
ldap_connect_to_host: TCP 127.0.0.1:389
544 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/10 17:55:07 ]: localにslapdは立ち上がっているのか?
545 名前：543 mailto:sage [05/02/10 18:45:07 ]: >>544さん
PDC, BDCの両方で立ち上がってます。ldapsearch -x -h ホスト名　するとお互いにやってもずらーっと出るので大丈夫と思います。
>>543のログはPDCでのもので、hoge.localdomainがBDC側にあたります。
546 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/24 11:24:46 ]: >>539
うちでもBarkeleyDBよくぶっ壊れると思ってたんだけど、やっぱりか・・・
BackendにRDB使えるって聞くけど、あまり導入したという資料見ないし、
実績がどの程度とか、そのへんで二の足踏んでる。
547 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/27 15:34:10 ]: OpenLDAP以外にフリー&商用可のLDAPサーバって何があるの?
548 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/27 16:21:23 ]: >>505
549 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/17 14:26:09 ]: 下記のようにpam_ldap を　makeすると、エラーになりますが、 make install していいものでしょうか？
pam_ldap.c:3320: warning: dereferencing type-punned pointer will break strict-aliasing rules
pam_ldap.c:3357: warning: dereferencing type-punned pointer will break strict-aliasing rules
pam_ldap.c:3462: warning: dereferencing type-punned pointer will break strict-aliasing rules
pam_ldap.c:3477: warning: dereferencing type-punned pointer will break strict-aliasing rules
pam_ldap.c: In function `pam_sm_acct_mgmt':
pam_ldap.c:3694: warning: dereferencing type-punned pointer will break strict-aliasing rules
pam_ldap.c:3703: warning: dereferencing type-punned pointer will break strict-aliasing rules
gcc -DHAVE_CONFIG_H -DLDAP_REFERRALS -DLDAP_DEPRECATED -D_REENTRANT -g -O2 -Wall -fPIC -c md5.c
/usr/ccs/bin/ld -o pam_ldap.so -B dynamic -M ./exports.solaris -G -B group -lc pam_ldap.o md5.o -lldap -llber -lnsl -lcrypt -lresolv -lpam -ldl
ld: 重大なエラー: ライブラリ -llber: 見つかりません。
ld: 重大なエラー: ファイル処理エラー。pam_ldap.so へ書き込まれる出力がありません。
make: *** [pam_ldap.so] Error 1
550 名前：名無しさん＠お腹いっぱい。 [05/03/17 23:24:20 ]: >>549
make install以前にリンク失敗してるじゃない
551 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 13:21:47 ]: FC3 で slapd をデバックモードで起動すると、
2.5.13.1 (distinguishedNameMatch): matchingRu
leUse: ( 2.5.13.1 NAME 'distinguishedNameMatch' AP
PLIES ( dITRedirect $ associatedName $ secretary $
documentAuthor $ manager $ seeAlso $ roleOccupant
$ owner $ member $ distinguishedName $ aliasedObj
ectName $ namingContexts $ subschemaSubentry $ mod
ifiersName $ creatorsName ) )
2.5.13.0 (objectIdentifierMatch): matchingRul
eUse: ( 2.5.13.0 NAME 'objectIdentifierMatch' APPL
IES ( supportedApplicationContext $ supportedFeatu
res $ supportedExtension $ supportedControl ) )
slapd startup: initiated.
bdb_db_open: dbenv_open(/var/lib/ldap)
bdb(dc=my-domain,dc=com): Program version 4.2 doe
sn't match environment version
bdb_db_open: dbenv_open failed: Invalid argument
(22)
backend_startup: bi_db_open(0) failed! (22)
slapd shutdown: initiated
====> bdb_cache_release_all
slapd shutdown: freeing system resources.
bdb(dc=my-domain,dc=com): txn_checkpoint interfac
e requires an environment configured for the trans
action subsystem
bdb_db_destroy: txn_checkpoint failed: Invalid ar
gument (22)
slapd stopped.
connections_destroy: nothing to destroy.
とエラーになります原因教えて下さい
552 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 13:28:25 ]: デバッグモードでなければ動くの？
553 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 13:49:27 ]: >>551
database fileが壊れてます。
554 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 14:00:02 ]: >>553
Thanks

database fileを直して正常に動作させるにはどうすればいいでしょうか？
555 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 14:23:15 ]: 壊れたdatabase fileは破棄してください。
556 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 14:26:27 ]: それから>>539。
557 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 15:02:01 ]: >>556

lapd startup: initiated.
slapd starting

Thanks
558 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 17:00:35 ]: Solaris版のOpenLDAPは、

openldap/migration/migrate_common.ph

のような、マイグレートする、パールスクリプトがありません。
どこかで手に入りますか？
559 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 20:09:17 ]: >>558
Solarisでは、iPlanet使えよ。
560 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 20:10:27 ]: で、登録はldapaddent(1M)な。
561 名前：名無しさん＠お腹いっぱい。 [05/03/18 22:37:11 ]: iPlanetって有料でしょ？
562 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 23:29:26 ]: Solaris 9から付属です。
563 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/03/26(土) 01:26:47 ]: >>559

iplanet は資料が少ないよ。
それにPAMに関しても非常に少ない。
どうしていますか？
564 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/03/30(水) 21:09:00 ]: マニュアルを読む。キホソ
565 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/03/30(水) 23:10:19 ]: >>563
英語駄目な人?
ドキュメント凄く多いと思うんだけど。

PAMは何が知りたいの?
このスレでもずいぶんと書いているけども。
566 名前：名無しさん＠お腹いっぱい。 mailto:sage [UNIX時間(+0900)35年,2005/04/02(土) 20:30:30 ]: OpenLDAPダメポ，こんなにDB(ldbm)破損が発生するとは思いもしなかった・・・

壊れないバージョンってありますか(現在2.0.22)
567 名前：名無しさん＠お腹いっぱい。 mailto:sage [UNIX時間(+0900)35年,2005/04/03(日) 01:40:03 ]: ldbmってOpenLDAP自前のdbm libraryだよね。
2.0.Xって古すぎ。正直その頃のldbmってタコ。2.1.Xも駄目。
stableが2.2.24なんだから、もっと新しいの使ってよ。
www.openldap.org/software/download/
568 名前：566 mailto:sage [UNIX時間(+0900)35年,2005/04/03(日) 04:09:02 ]: バックエンドはbdbで安定してますかね>>551辺り見ると不安
Debian3.0はnscdもslapdも腐ってる参りましたわ・・・

stableを手ビルドして様子みます
569 名前：名無しさん＠お腹いっぱい。 mailto:sage [UNIX時間(+0900)35年,2005/04/03(日) 05:07:18 ]: packages.debian.org/unstable/net/slapd

>>567で言ったのは、「古い」ldbmは糞、ということ。
Berkley DBは、色々イヤらしいので勧めません。
Debianなら各バージョン揃っていると思いますが。
570 名前：566 mailto:sage [UNIX時間(+0900)35年,2005/04/03(日) 06:02:05 ]: なるほど最近のldbmはマシになってると言うことですか

現状woodyからunstableに上げることは厳しいので
packportせざるをえないのです・・・

1年近く運用し本格的に負荷がかかってこの有様
早く見極めるべきでしたね
571 名前：名無しさん＠お腹いっぱい。 mailto:sage [UNIX時間(+0900)35年,2005/04/03(日) 13:15:14 ]: Debianなんか選んだのがそもそもの間違い
572 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/04(月) 17:43:09 ]: Red Hatはdirectory server(旧netscape)をまだ公開せんのかな?
573 名前：名無しさん＠お腹いっぱい。 [2005/04/04(月) 22:56:42 ]: LDAPサーバに対してID・パスワードでの認証をVBで作ろうとしてます。
しかしuserPasswordが取得できないように設定してあります。

認証を実現するにはどのような方法がありますか？？
574 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/04(月) 23:57:09 ]: bindオペレーション

>>573
> userPasswordが取得

邪道
575 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/05(火) 03:27:29 ]: こんな人間が認証系作るってあぶねーなー
576 名前：名無しさん＠お腹いっぱい。 [2005/04/07(木) 11:01:49 ]: devfsとかprocfsとかみたいにldapfsがあればいいのに。
577 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/08(金) 00:58:54 ]: >>573
LDAPのBIND時に簡易認証しろよタコ
578 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/08(金) 23:17:10 ]: 本人がいないタイミングでそんなレスしても、
読んでるひとの気分を害するだけ。
574以上の情報があるわけでもなし。
579 名前：名無しさん＠お腹いっぱい。 [2005/04/15(金) 22:45:44 ]: >>577
釣られてんじゃねーよアホ
580 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/16(土) 07:35:33 ]: ldapって通信に暗号使うの？なりすまし対策は？
581 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/16(土) 08:54:56 ]: LDAPS
582 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/17(日) 17:57:43 ]: ldapsじゃなければユーザーやパスワードやじゃじゃ漏れってこと？
583 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/17(日) 20:48:53 ]: そうじゃじゃ
584 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/17(日) 20:50:37 ]: STARTTLS!
585 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/18(月) 01:05:54 ]: >>582
うーん、LDAPに閉じた話で言えばそういうことになるけど…

使っているスイッチにもよるよね。
スイッチでも間にタッピングされると覗かれるけど、
うちはポートのリンクアップ/ダウンで管理者にメール来るから…

まあ使っているのはldapsなんですけど…
586 名前：名無しさん＠お腹いっぱい。 [2005/04/18(月) 21:16:51 ]: ログインの認証とかldapのサーチとか
当たり前のようにsslなしだった
もうダメポ
587 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/18(月) 21:42:28 ]: 用途に即してれば、SSLなしでもOKだとおもうけど。
588 名前：名無しさん＠お腹減った。 mailto:sage [2005/04/18(月) 23:09:15 ]: ねえねえ、LDAP認証にSASLってあんまり使われてないの？
589 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/19(火) 00:52:37 ]: パスワード認証じゃなくて、
1. Kerberosとか公開鍵で認証して、
2. その権限でディレクトリのACLを働かせたい、
そういう時以外、SASLって特別いいことないし。
simple bind認証で十分でしょう。

逆に、2なしでKerberos認証したければ、単にKerberos使えばいい。
590 名前：名無しさん＠お腹いっぱい。 [2005/04/19(火) 09:48:30 ]: NISスレがないのにLDAPスレがある不思議
591 名前：名無しさん＠お腹減った。 mailto:sage [2005/04/19(火) 10:26:11 ]: いやいや、SSLなしじゃ、パスワードが…とかいうから、
SASL で DIGEST-MD5 とかでやらないの？って話なの。
592 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/19(火) 23:58:16 ]: SSLで十分。
593 名前：名無しさん＠お腹減った。 mailto:sage [2005/04/20(水) 00:54:31 ]: SSLって証明書とかどうしてんの？
594 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/20(水) 01:01:08 ]: SSLのスレで聞け。
595 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/20(水) 03:14:55 ]: オレオレ証明書
596 名前：名無しさん＠お腹いっぱい。 [2005/04/20(水) 07:14:45 ]: openssl req -new -x509 -keyout server.crt -out server.crt
597 名前：名無しさん＠お腹いっぱい。 [2005/04/21(木) 06:21:29 ]: openssl req -new -batch -x509 -rand /var/log/maillog:/var/log/httpd/access.log -nodes -newkey rsa:8192 -sha1 -days 365 -text -keyout server.crt -out server.crt -subj /C=JP/ST=ECHIGO/O=CHIRIMEN\ DON\'YA
598 名前：名無しさん＠お腹減った。 mailto:sage [2005/04/21(木) 13:03:01 ]: はいはい、クライアントからサーバまでの経路の暗号化がされてれば、十分ってことね。
SSLじゃなくても、ssh で port forwarding とか IPSecとかのVPNでもいい、と。
599 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 00:59:13 ]: スレ違いなんで、それ以上突っ込んだ話をして欲しければ、SSL/TLSスレで。
600 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 02:39:17 ]: LDAPのプロキシー？変換サーバ？見たいなのってありますか？
やりたい事は、
Client <--> LDAP変換proxy <--> 実LDAPサーバ
といった感じで、
・実LDAPサーバはいじりたくない。
・でも新たなアトリビュート等を加えたい
じゃ、間に変換Proxyを挟んで変えてやりゃ良いかなと。
それとも、そういう考え方が邪道？
601 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 02:55:54 ]: Solaris10ってLDAPサーバ付いてるの？iPlanet?
602 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 10:44:21 ]: >>600
製品ならSunが出してる。FreeやOpenSourceはないと思う。
名前ころころ変り中なんで代理店に聞いて。

>>601
うん。iPlanet → Sun ONE → Javaと名前だけが変っているけど。
603 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 15:53:22 ]: www.iconimaging.net/~jradford/sendmail/sendmail-ldap.html
この設定通りやった場合、ユーザー認証は、
/etc/passwd を見に行くのでしょうか？
それと、ldap をみにいくのでしょうか？
また、上の手順では、pam等いれていないのですが、
問題無いのでしょうか？
604 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 17:43:26 ]: それユーザ認証なんてやってないんですけど
605 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 19:42:12 ]: >>600

stone
606 名前：605 mailto:sage [2005/04/22(金) 19:44:06 ]: ごめ早とちりした，実LDAPで限定変更化のユーザーACL設定して
レプリカ設定するってのはどうだ？あんまりメリットなさそうだけど
607 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 20:53:06 ]: 不必要に複雑化してわけのわからない問題が次から次へと起きるだけだ。
608 名前：602 mailto:sage [2005/04/23(土) 01:22:45 ]: >>600
具体的にどういうのをやりたいの?
OpenLDAPなら、man 5 slapd-metaにあるような事できるけど、
何でもできるわけじゃないよ。半分遊びのつもりでやってみたことあるけど疲れます…
609 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/23(土) 21:52:10 ]: solaris 9 で、Open LDAP を使って、/etc/passwd ではなく、LDAP でユーザーを管理したいと考えています。
その際は、pamを使います。
pam には、最初からSolarisに入っている、pam と、PADL があります。どちらを使えばいいでしょうか？
また、うまくLDAPでユーザー管理できている方いらっしゃいますか？
610 名前：nanasi mailto:sage [2005/04/24(日) 03:47:04 ]: >>609
根拠はないが、PADLの方が楽な気がする。
611 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/24(日) 14:27:11 ]: >>609
昔あったPAMスレに書いたけど、落ちているのでもう一回。

Solaris付属のpam-ldapは、userPassword属性を取得して、
Solaris側でdecryptすることによって認証する。よって、
1. Solarisの対応しているcrypting schemeに利用が限られる。
2. bindするDNでuserPassword属性が読めないと駄目。(security上大きな制約)

一方、PADLのpam-ldapは、simple bindを使って認証を行うので、
1. crypting schemeの問題はLDAPに閉じ込めることができる。
認証する側はbind op.に対して単にDNとsecretを提供すればいい。
ADT抽象度が高い。
2. userPasswordは外部に出さない事が可能。
(iPlanetではcn=Directory Managerで読めてしまいますが)

ただし、現時点でSolaris 10では未検証。
612 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/24(日) 14:28:40 ]: >>610
>>611に書いたSolaris版の仕様が気にならないなら、
Solaris付属のpamでやった方が楽だと思いますよ。

仕様が問題であるなら、もう「楽」かどうかという問題ではなくなっていますし。
613 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/26(火) 19:45:09 ]: sendmail 8.13 とOpenLDAPについて質問
solaris に OpenLDAP をいれます。slapd を起動して、ユーザー情報を
取り込みます。

LDAP に登録されているユーザーから、メールを送受信したいと思います。
その際、sendmail にいろいろ、設定しないといけないと思います。
つまり、メールを受けた場合は、/etc/passwd では無く、LDAP のユーザーに格納するといった設定です。
この設定の方法を教えて下さい。
また、メールボックスは、LDAPユーザーの場合どこにできるのでしょうか？
（状況として、pamの設定は行っておりません）
アドバイスお願いします。
614 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/27(水) 00:15:04 ]: nss-ldapの設定。
615 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/27(水) 16:44:37 ]: >>613
> また、メールボックスは、LDAPユーザーの場合どこにできるのでしょうか？

MTAの設定の問題。
616 名前：名無しさん＠お腹いっぱい。 [2005/04/28(木) 15:00:45 ]: すいません。
LDAPでouを追加しようと以下のようになるんのですが
なんでなのでしょうか？
基本的なことで申し訳ないのですが
お教えいただけるとありがたいです。

[root@test _test]# ldapadd -x -D "cn=Manager,dc=hogehoge,dc=com" -w himitsu
dn: ou=sm,ou=Project,dc=hogehoge,dc=com
add: objectClass
objectClass: Project

adding new entry "ou=sm,ou=Project,dc=hogehoge,dc=com"
ldap_add: Undefined attribute type
additional info: add: attribute type undefined

ldif_record() = 17
617 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/28(木) 15:04:29 ]: >>616

dn: ou=Project,dc=hogehoge,dc=com
objectClass: organizationalunit
ou: Project

dn: ou=sm,ou=Project,dc=hogehoge,dc=com
objectClass: organizationalunit
ou: sm
618 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/29(金) 02:39:12 ]: 英文ちゃんと読めよ。
> add: attribute type undefined

rfc2849.txtもな。
619 名前：名無しさん＠お腹いっぱい。 [2005/05/21(土) 12:51:06 ]: CentOS4 でOpenLDAP サーバをインストールしたんですが
下記のエラーが出て起動できません。

slapd[2966]: slapd startup: initiated.
slapd[2966]: bdb_db_open: dc=hogehoge,dc=test,dc=jp
slapd[2966]: bdb_db_open: dbenv_open(/var/lib/ldap)
slapd[2966]: bdb(dc=hogehoge,dc=test,dc=jp): Berkeley DB library configured to support only DB_PRIVATE environments
slapd[2966]: bdb_db_open: dbenv_open failed: Invalid argument (22)
slapd[2966]: backend_startup: bi_db_open(0) failed! (22)
slapd[2966]: slapd shutdown: initiated
slapd[2966]: ====> bdb_cache_release_all
slapd[2966]: slapd shutdown: freeing system resources.
slapd[2966]: bdb(dc=hogehoge,dc=test,dc=jp): txn_checkpoint interface requires an environment configured for the transaction subsystem
slapd[2966]: bdb_db_destroy: txn_checkpoint failed: Invalid argument (22)
slapd[2966]: slapd stopped.
slapd[2966]: connections_destroy: nothing to destroy.

インストールしたパッケージは
db4-utils-4.2.52-7.1
db4-4.2.52-7.1
openldap-2.2.13-2
nss_ldap-226-1
openldap-clients-2.2.13-2
php-ldap-4.3.9-3.6
openldap-servers-2.2.13-2
です。
620 名前：619 [2005/05/21(土) 12:51:51 ]: /etc/ldap.con の内容

host hogehoge.test.jp
idle_timelimit 30
pam_min_uid 500
pam_password SSHA1
nss_base_passwd dc=hogehoge,dc=test,dc=jp?sub
nss_base_shadow dc=hogehoge,dc=test,dc=jp?sub
nss_base_group ou=Groups,dc=hogehoge,dc=test,dc=jp?one
ssl no
621 名前：619 [2005/05/21(土) 12:53:20 ]: /etc/openldap/ldap.conf の内容
HOST hogehoge.test.jp
BASE dc=hogehoge,dc=test,dc=jp
ssl no
pam_password SSHA

/etc/openldap/slapd.conf の内容
include/etc/openldap/schema/core.schema
include/etc/openldap/schema/cosine.schema
include/etc/openldap/schema/inetorgperson.schema
include/etc/openldap/schema/nis.schema

password-hash{SSHA}

pidfile/var/run/slapd.pid
argsfile/var/run/slapd.args

databasebdb
suffix"dc=hogehoge,dc=test,dc=jp"
rootdn"cn=Manager,dc=hogehoge,dc=test,dc=jp"
rootpw{SSHA}パスワード

directory/var/lib/ldap
index objectClass eq,pres
index ou,cn,mail,surname,givenname eq,pres,sub
index uidNumber,gidNumber,loginShell eq,pres
index uid,memberUid eq,pres,sub
index nisMapName,nisMapEntry eq,pres,sub

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef