LDAPについて

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 05/18 01:27 / Filesize : 285 KB / Number-of Response : 969
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

LDAPについて

1 名前：名無し君 [02/02/02 20:53]: 語りましょう。
私は俺はこんなものまでLDAPで管理している等々。。
538 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/02 00:16:16 ]: >>534 の脳がバグってるんだろ
539 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/02 04:47:49 ]: >>533
もし berkeley db を使ってるなら ldbm を試してみた方がいい。
並列に高い負荷がかかると、berkeley db と OpenLDAP の組み合わせ
はメチャメチャ遅くなることがある。
逆に負荷が軽ければ berkeley db を選んだ方がずっと速いことも
ある。あと、パラメータのチューニングでかなり性能は変わる。

ちなみに berkeley db と、とあるバージョンの OpenLDAP の
組み合わせで大量の更新を行なうと、データベースが壊れて
ldapsearch もできなくなったことがあった。(再現性あり)
ldbm にして回避したが。

上記の事情は、OpenLDAP のバージョンによってもコロコロ変わる。

更新が少なくて参照ばかりなら、そんなに問題はでないと思うけど、
大量の更新を行なう用途に OpenLDAP を使うのはやめた方が安全。
苦労すればなんとか解決はできるが。
540 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/03 00:48:24 ]: >>539
データ更新が頻発するシステムでOpenLDAPを置き換えるならどういう
選択肢があるんだろう。
541 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/03 02:27:12 ]: 素直にRDB使うとか?
542 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/04 08:02:02 ]: backendにRDBMS使うとか
543 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/10 13:03:25 ]: ldapのBDCへの複製をしたいと思ってるのですがうまくBDCへ伝播されません。。お知恵をお貸しくださいm(_ _)m
gentooをホストにPDCを構成し、認証にldap(2.1.30-r2)を使っています。BDC(debian slapd2.1.30-3)への複製を行いたいと思っています。
ttp://tsuttayo.sytes.net/samba/ldap/bdc/bdc.html ttp://tsuttayo.sytes.net/samba/ldap/bdc/pdc.html
上記2ページを参考に設定を行い、BDC側にはreplicaのbinddnでldapbrowserを使って接続し、値の書き換えなどができることを確認。

PDC側は、/var/lib/openldap-slurp/replica/slurpd.replogにmodifyのログが生成されているようでしたが、BDC側に変更が伝播していないようです。
ちなみにデバッグ(slurpd slapd.conf -d 255)で実行したログの後半（ここで停止。killしてもslurpdをとめられない…）最後にlocalhostに行ってるのが怪しいですがどうしていいものか…
Config: ** successfully added replica "hoge.localdomain:389"
Config: ** configuration file successfully read and parsed
begin replication thread for hoge.localdomain:389
Initializing session to ldap://hoge.localdomain
ldap_create
ldap_url_parse_ext(ldap://hoge.localdomain)
bind to hoge.localdomain:389 as uid=replica,ou=Users,dc=localdomain (simple)
ldap_simple_bind_s
ldap_sasl_bind_s
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection
ldap_int_open_connection
ldap_connect_to_host: TCP hoge.localdomain:389
ldap_create
ldap_simple_bind
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection
ldap_int_open_connection
ldap_connect_to_host: TCP 127.0.0.1:389
544 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/10 17:55:07 ]: localにslapdは立ち上がっているのか?
545 名前：543 mailto:sage [05/02/10 18:45:07 ]: >>544さん
PDC, BDCの両方で立ち上がってます。ldapsearch -x -h ホスト名　するとお互いにやってもずらーっと出るので大丈夫と思います。
>>543のログはPDCでのもので、hoge.localdomainがBDC側にあたります。
546 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/24 11:24:46 ]: >>539
うちでもBarkeleyDBよくぶっ壊れると思ってたんだけど、やっぱりか・・・
BackendにRDB使えるって聞くけど、あまり導入したという資料見ないし、
実績がどの程度とか、そのへんで二の足踏んでる。
547 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/27 15:34:10 ]: OpenLDAP以外にフリー&商用可のLDAPサーバって何があるの?
548 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/27 16:21:23 ]: >>505
549 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/17 14:26:09 ]: 下記のようにpam_ldap を　makeすると、エラーになりますが、 make install していいものでしょうか？
pam_ldap.c:3320: warning: dereferencing type-punned pointer will break strict-aliasing rules
pam_ldap.c:3357: warning: dereferencing type-punned pointer will break strict-aliasing rules
pam_ldap.c:3462: warning: dereferencing type-punned pointer will break strict-aliasing rules
pam_ldap.c:3477: warning: dereferencing type-punned pointer will break strict-aliasing rules
pam_ldap.c: In function `pam_sm_acct_mgmt':
pam_ldap.c:3694: warning: dereferencing type-punned pointer will break strict-aliasing rules
pam_ldap.c:3703: warning: dereferencing type-punned pointer will break strict-aliasing rules
gcc -DHAVE_CONFIG_H -DLDAP_REFERRALS -DLDAP_DEPRECATED -D_REENTRANT -g -O2 -Wall -fPIC -c md5.c
/usr/ccs/bin/ld -o pam_ldap.so -B dynamic -M ./exports.solaris -G -B group -lc pam_ldap.o md5.o -lldap -llber -lnsl -lcrypt -lresolv -lpam -ldl
ld: 重大なエラー: ライブラリ -llber: 見つかりません。
ld: 重大なエラー: ファイル処理エラー。pam_ldap.so へ書き込まれる出力がありません。
make: *** [pam_ldap.so] Error 1
550 名前：名無しさん＠お腹いっぱい。 [05/03/17 23:24:20 ]: >>549
make install以前にリンク失敗してるじゃない
551 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 13:21:47 ]: FC3 で slapd をデバックモードで起動すると、
2.5.13.1 (distinguishedNameMatch): matchingRu
leUse: ( 2.5.13.1 NAME 'distinguishedNameMatch' AP
PLIES ( dITRedirect $ associatedName $ secretary $
documentAuthor $ manager $ seeAlso $ roleOccupant
$ owner $ member $ distinguishedName $ aliasedObj
ectName $ namingContexts $ subschemaSubentry $ mod
ifiersName $ creatorsName ) )
2.5.13.0 (objectIdentifierMatch): matchingRul
eUse: ( 2.5.13.0 NAME 'objectIdentifierMatch' APPL
IES ( supportedApplicationContext $ supportedFeatu
res $ supportedExtension $ supportedControl ) )
slapd startup: initiated.
bdb_db_open: dbenv_open(/var/lib/ldap)
bdb(dc=my-domain,dc=com): Program version 4.2 doe
sn't match environment version
bdb_db_open: dbenv_open failed: Invalid argument
(22)
backend_startup: bi_db_open(0) failed! (22)
slapd shutdown: initiated
====> bdb_cache_release_all
slapd shutdown: freeing system resources.
bdb(dc=my-domain,dc=com): txn_checkpoint interfac
e requires an environment configured for the trans
action subsystem
bdb_db_destroy: txn_checkpoint failed: Invalid ar
gument (22)
slapd stopped.
connections_destroy: nothing to destroy.
とエラーになります原因教えて下さい
552 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 13:28:25 ]: デバッグモードでなければ動くの？
553 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 13:49:27 ]: >>551
database fileが壊れてます。
554 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 14:00:02 ]: >>553
Thanks

database fileを直して正常に動作させるにはどうすればいいでしょうか？
555 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 14:23:15 ]: 壊れたdatabase fileは破棄してください。
556 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 14:26:27 ]: それから>>539。
557 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 15:02:01 ]: >>556

lapd startup: initiated.
slapd starting

Thanks
558 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 17:00:35 ]: Solaris版のOpenLDAPは、

openldap/migration/migrate_common.ph

のような、マイグレートする、パールスクリプトがありません。
どこかで手に入りますか？
559 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 20:09:17 ]: >>558
Solarisでは、iPlanet使えよ。
560 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 20:10:27 ]: で、登録はldapaddent(1M)な。
561 名前：名無しさん＠お腹いっぱい。 [05/03/18 22:37:11 ]: iPlanetって有料でしょ？
562 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 23:29:26 ]: Solaris 9から付属です。
563 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/03/26(土) 01:26:47 ]: >>559

iplanet は資料が少ないよ。
それにPAMに関しても非常に少ない。
どうしていますか？
564 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/03/30(水) 21:09:00 ]: マニュアルを読む。キホソ
565 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/03/30(水) 23:10:19 ]: >>563
英語駄目な人?
ドキュメント凄く多いと思うんだけど。

PAMは何が知りたいの?
このスレでもずいぶんと書いているけども。
566 名前：名無しさん＠お腹いっぱい。 mailto:sage [UNIX時間(+0900)35年,2005/04/02(土) 20:30:30 ]: OpenLDAPダメポ，こんなにDB(ldbm)破損が発生するとは思いもしなかった・・・

壊れないバージョンってありますか(現在2.0.22)
567 名前：名無しさん＠お腹いっぱい。 mailto:sage [UNIX時間(+0900)35年,2005/04/03(日) 01:40:03 ]: ldbmってOpenLDAP自前のdbm libraryだよね。
2.0.Xって古すぎ。正直その頃のldbmってタコ。2.1.Xも駄目。
stableが2.2.24なんだから、もっと新しいの使ってよ。
www.openldap.org/software/download/
568 名前：566 mailto:sage [UNIX時間(+0900)35年,2005/04/03(日) 04:09:02 ]: バックエンドはbdbで安定してますかね>>551辺り見ると不安
Debian3.0はnscdもslapdも腐ってる参りましたわ・・・

stableを手ビルドして様子みます
569 名前：名無しさん＠お腹いっぱい。 mailto:sage [UNIX時間(+0900)35年,2005/04/03(日) 05:07:18 ]: packages.debian.org/unstable/net/slapd

>>567で言ったのは、「古い」ldbmは糞、ということ。
Berkley DBは、色々イヤらしいので勧めません。
Debianなら各バージョン揃っていると思いますが。
570 名前：566 mailto:sage [UNIX時間(+0900)35年,2005/04/03(日) 06:02:05 ]: なるほど最近のldbmはマシになってると言うことですか

現状woodyからunstableに上げることは厳しいので
packportせざるをえないのです・・・

1年近く運用し本格的に負荷がかかってこの有様
早く見極めるべきでしたね
571 名前：名無しさん＠お腹いっぱい。 mailto:sage [UNIX時間(+0900)35年,2005/04/03(日) 13:15:14 ]: Debianなんか選んだのがそもそもの間違い
572 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/04(月) 17:43:09 ]: Red Hatはdirectory server(旧netscape)をまだ公開せんのかな?
573 名前：名無しさん＠お腹いっぱい。 [2005/04/04(月) 22:56:42 ]: LDAPサーバに対してID・パスワードでの認証をVBで作ろうとしてます。
しかしuserPasswordが取得できないように設定してあります。

認証を実現するにはどのような方法がありますか？？
574 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/04(月) 23:57:09 ]: bindオペレーション

>>573
> userPasswordが取得

邪道
575 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/05(火) 03:27:29 ]: こんな人間が認証系作るってあぶねーなー
576 名前：名無しさん＠お腹いっぱい。 [2005/04/07(木) 11:01:49 ]: devfsとかprocfsとかみたいにldapfsがあればいいのに。
577 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/08(金) 00:58:54 ]: >>573
LDAPのBIND時に簡易認証しろよタコ
578 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/08(金) 23:17:10 ]: 本人がいないタイミングでそんなレスしても、
読んでるひとの気分を害するだけ。
574以上の情報があるわけでもなし。
579 名前：名無しさん＠お腹いっぱい。 [2005/04/15(金) 22:45:44 ]: >>577
釣られてんじゃねーよアホ
580 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/16(土) 07:35:33 ]: ldapって通信に暗号使うの？なりすまし対策は？
581 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/16(土) 08:54:56 ]: LDAPS
582 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/17(日) 17:57:43 ]: ldapsじゃなければユーザーやパスワードやじゃじゃ漏れってこと？
583 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/17(日) 20:48:53 ]: そうじゃじゃ
584 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/17(日) 20:50:37 ]: STARTTLS!
585 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/18(月) 01:05:54 ]: >>582
うーん、LDAPに閉じた話で言えばそういうことになるけど…

使っているスイッチにもよるよね。
スイッチでも間にタッピングされると覗かれるけど、
うちはポートのリンクアップ/ダウンで管理者にメール来るから…

まあ使っているのはldapsなんですけど…
586 名前：名無しさん＠お腹いっぱい。 [2005/04/18(月) 21:16:51 ]: ログインの認証とかldapのサーチとか
当たり前のようにsslなしだった
もうダメポ
587 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/18(月) 21:42:28 ]: 用途に即してれば、SSLなしでもOKだとおもうけど。
588 名前：名無しさん＠お腹減った。 mailto:sage [2005/04/18(月) 23:09:15 ]: ねえねえ、LDAP認証にSASLってあんまり使われてないの？
589 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/19(火) 00:52:37 ]: パスワード認証じゃなくて、
1. Kerberosとか公開鍵で認証して、
2. その権限でディレクトリのACLを働かせたい、
そういう時以外、SASLって特別いいことないし。
simple bind認証で十分でしょう。

逆に、2なしでKerberos認証したければ、単にKerberos使えばいい。
590 名前：名無しさん＠お腹いっぱい。 [2005/04/19(火) 09:48:30 ]: NISスレがないのにLDAPスレがある不思議
591 名前：名無しさん＠お腹減った。 mailto:sage [2005/04/19(火) 10:26:11 ]: いやいや、SSLなしじゃ、パスワードが…とかいうから、
SASL で DIGEST-MD5 とかでやらないの？って話なの。
592 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/19(火) 23:58:16 ]: SSLで十分。
593 名前：名無しさん＠お腹減った。 mailto:sage [2005/04/20(水) 00:54:31 ]: SSLって証明書とかどうしてんの？
594 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/20(水) 01:01:08 ]: SSLのスレで聞け。
595 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/20(水) 03:14:55 ]: オレオレ証明書
596 名前：名無しさん＠お腹いっぱい。 [2005/04/20(水) 07:14:45 ]: openssl req -new -x509 -keyout server.crt -out server.crt
597 名前：名無しさん＠お腹いっぱい。 [2005/04/21(木) 06:21:29 ]: openssl req -new -batch -x509 -rand /var/log/maillog:/var/log/httpd/access.log -nodes -newkey rsa:8192 -sha1 -days 365 -text -keyout server.crt -out server.crt -subj /C=JP/ST=ECHIGO/O=CHIRIMEN\ DON\'YA
598 名前：名無しさん＠お腹減った。 mailto:sage [2005/04/21(木) 13:03:01 ]: はいはい、クライアントからサーバまでの経路の暗号化がされてれば、十分ってことね。
SSLじゃなくても、ssh で port forwarding とか IPSecとかのVPNでもいい、と。
599 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 00:59:13 ]: スレ違いなんで、それ以上突っ込んだ話をして欲しければ、SSL/TLSスレで。
600 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 02:39:17 ]: LDAPのプロキシー？変換サーバ？見たいなのってありますか？
やりたい事は、
Client <--> LDAP変換proxy <--> 実LDAPサーバ
といった感じで、
・実LDAPサーバはいじりたくない。
・でも新たなアトリビュート等を加えたい
じゃ、間に変換Proxyを挟んで変えてやりゃ良いかなと。
それとも、そういう考え方が邪道？
601 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 02:55:54 ]: Solaris10ってLDAPサーバ付いてるの？iPlanet?
602 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 10:44:21 ]: >>600
製品ならSunが出してる。FreeやOpenSourceはないと思う。
名前ころころ変り中なんで代理店に聞いて。

>>601
うん。iPlanet → Sun ONE → Javaと名前だけが変っているけど。
603 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 15:53:22 ]: www.iconimaging.net/~jradford/sendmail/sendmail-ldap.html
この設定通りやった場合、ユーザー認証は、
/etc/passwd を見に行くのでしょうか？
それと、ldap をみにいくのでしょうか？
また、上の手順では、pam等いれていないのですが、
問題無いのでしょうか？
604 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 17:43:26 ]: それユーザ認証なんてやってないんですけど
605 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 19:42:12 ]: >>600

stone
606 名前：605 mailto:sage [2005/04/22(金) 19:44:06 ]: ごめ早とちりした，実LDAPで限定変更化のユーザーACL設定して
レプリカ設定するってのはどうだ？あんまりメリットなさそうだけど
607 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 20:53:06 ]: 不必要に複雑化してわけのわからない問題が次から次へと起きるだけだ。
608 名前：602 mailto:sage [2005/04/23(土) 01:22:45 ]: >>600
具体的にどういうのをやりたいの?
OpenLDAPなら、man 5 slapd-metaにあるような事できるけど、
何でもできるわけじゃないよ。半分遊びのつもりでやってみたことあるけど疲れます…
609 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/23(土) 21:52:10 ]: solaris 9 で、Open LDAP を使って、/etc/passwd ではなく、LDAP でユーザーを管理したいと考えています。
その際は、pamを使います。
pam には、最初からSolarisに入っている、pam と、PADL があります。どちらを使えばいいでしょうか？
また、うまくLDAPでユーザー管理できている方いらっしゃいますか？
610 名前：nanasi mailto:sage [2005/04/24(日) 03:47:04 ]: >>609
根拠はないが、PADLの方が楽な気がする。
611 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/24(日) 14:27:11 ]: >>609
昔あったPAMスレに書いたけど、落ちているのでもう一回。

Solaris付属のpam-ldapは、userPassword属性を取得して、
Solaris側でdecryptすることによって認証する。よって、
1. Solarisの対応しているcrypting schemeに利用が限られる。
2. bindするDNでuserPassword属性が読めないと駄目。(security上大きな制約)

一方、PADLのpam-ldapは、simple bindを使って認証を行うので、
1. crypting schemeの問題はLDAPに閉じ込めることができる。
認証する側はbind op.に対して単にDNとsecretを提供すればいい。
ADT抽象度が高い。
2. userPasswordは外部に出さない事が可能。
(iPlanetではcn=Directory Managerで読めてしまいますが)

ただし、現時点でSolaris 10では未検証。
612 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/24(日) 14:28:40 ]: >>610
>>611に書いたSolaris版の仕様が気にならないなら、
Solaris付属のpamでやった方が楽だと思いますよ。

仕様が問題であるなら、もう「楽」かどうかという問題ではなくなっていますし。
613 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/26(火) 19:45:09 ]: sendmail 8.13 とOpenLDAPについて質問
solaris に OpenLDAP をいれます。slapd を起動して、ユーザー情報を
取り込みます。

LDAP に登録されているユーザーから、メールを送受信したいと思います。
その際、sendmail にいろいろ、設定しないといけないと思います。
つまり、メールを受けた場合は、/etc/passwd では無く、LDAP のユーザーに格納するといった設定です。
この設定の方法を教えて下さい。
また、メールボックスは、LDAPユーザーの場合どこにできるのでしょうか？
（状況として、pamの設定は行っておりません）
アドバイスお願いします。
614 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/27(水) 00:15:04 ]: nss-ldapの設定。
615 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/27(水) 16:44:37 ]: >>613
> また、メールボックスは、LDAPユーザーの場合どこにできるのでしょうか？

MTAの設定の問題。
616 名前：名無しさん＠お腹いっぱい。 [2005/04/28(木) 15:00:45 ]: すいません。
LDAPでouを追加しようと以下のようになるんのですが
なんでなのでしょうか？
基本的なことで申し訳ないのですが
お教えいただけるとありがたいです。

[root@test _test]# ldapadd -x -D "cn=Manager,dc=hogehoge,dc=com" -w himitsu
dn: ou=sm,ou=Project,dc=hogehoge,dc=com
add: objectClass
objectClass: Project

adding new entry "ou=sm,ou=Project,dc=hogehoge,dc=com"
ldap_add: Undefined attribute type
additional info: add: attribute type undefined

ldif_record() = 17
617 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/28(木) 15:04:29 ]: >>616

dn: ou=Project,dc=hogehoge,dc=com
objectClass: organizationalunit
ou: Project

dn: ou=sm,ou=Project,dc=hogehoge,dc=com
objectClass: organizationalunit
ou: sm
618 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/29(金) 02:39:12 ]: 英文ちゃんと読めよ。
> add: attribute type undefined

rfc2849.txtもな。
619 名前：名無しさん＠お腹いっぱい。 [2005/05/21(土) 12:51:06 ]: CentOS4 でOpenLDAP サーバをインストールしたんですが
下記のエラーが出て起動できません。

slapd[2966]: slapd startup: initiated.
slapd[2966]: bdb_db_open: dc=hogehoge,dc=test,dc=jp
slapd[2966]: bdb_db_open: dbenv_open(/var/lib/ldap)
slapd[2966]: bdb(dc=hogehoge,dc=test,dc=jp): Berkeley DB library configured to support only DB_PRIVATE environments
slapd[2966]: bdb_db_open: dbenv_open failed: Invalid argument (22)
slapd[2966]: backend_startup: bi_db_open(0) failed! (22)
slapd[2966]: slapd shutdown: initiated
slapd[2966]: ====> bdb_cache_release_all
slapd[2966]: slapd shutdown: freeing system resources.
slapd[2966]: bdb(dc=hogehoge,dc=test,dc=jp): txn_checkpoint interface requires an environment configured for the transaction subsystem
slapd[2966]: bdb_db_destroy: txn_checkpoint failed: Invalid argument (22)
slapd[2966]: slapd stopped.
slapd[2966]: connections_destroy: nothing to destroy.

インストールしたパッケージは
db4-utils-4.2.52-7.1
db4-4.2.52-7.1
openldap-2.2.13-2
nss_ldap-226-1
openldap-clients-2.2.13-2
php-ldap-4.3.9-3.6
openldap-servers-2.2.13-2
です。
620 名前：619 [2005/05/21(土) 12:51:51 ]: /etc/ldap.con の内容

host hogehoge.test.jp
idle_timelimit 30
pam_min_uid 500
pam_password SSHA1
nss_base_passwd dc=hogehoge,dc=test,dc=jp?sub
nss_base_shadow dc=hogehoge,dc=test,dc=jp?sub
nss_base_group ou=Groups,dc=hogehoge,dc=test,dc=jp?one
ssl no
621 名前：619 [2005/05/21(土) 12:53:20 ]: /etc/openldap/ldap.conf の内容
HOST hogehoge.test.jp
BASE dc=hogehoge,dc=test,dc=jp
ssl no
pam_password SSHA

/etc/openldap/slapd.conf の内容
include/etc/openldap/schema/core.schema
include/etc/openldap/schema/cosine.schema
include/etc/openldap/schema/inetorgperson.schema
include/etc/openldap/schema/nis.schema

password-hash{SSHA}

pidfile/var/run/slapd.pid
argsfile/var/run/slapd.args

databasebdb
suffix"dc=hogehoge,dc=test,dc=jp"
rootdn"cn=Manager,dc=hogehoge,dc=test,dc=jp"
rootpw{SSHA}パスワード

directory/var/lib/ldap
index objectClass eq,pres
index ou,cn,mail,surname,givenname eq,pres,sub
index uidNumber,gidNumber,loginShell eq,pres
index uid,memberUid eq,pres,sub
index nisMapName,nisMapEntry eq,pres,sub
622 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/21(土) 13:59:31 ]: >>619
エラー内容からするとdb4が適合してないようなので、
修正がでるまではopenldapを適宜ビルドして回避するとか。
623 名前：619 mailto:sage [2005/05/21(土) 15:00:00 ]: 再構築＿|￣|●
Linux 経験約３週間ではハードルが高いです。
VMWare上のSL4 では下記のパッケージで動いてるのに・・・。

db4-utils-4.2.52-7.1
db4-4.2.52-7.1
nss_ldap-226-1
openldap-servers-2.2.13-2
openldap-clients-2.2.13-2
openldap-2.2.13-2

SL4は実機にはインストーで出来なかったんで CentOS4
（実機：Pentium MMX 166 MEM:80MB DISK:6GB）
を入れてるんですけど
db4-devel-4.2.52-7.1
openldap-devel-2.2.13-2
のパッケージは関係ないですよね。

あと、/var/lib/ldap の所有者とグループは ldap になってます。
他に情報があれば教えて下さい。
624 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/23(月) 08:27:07 ]: >>623
つーか、
> Berkeley DB library configured to support only DB_PRIVATE environments
をどうにかしろ！

A. db4をsrpmからコンパイルしなよ。
CentOS part 2 【RHEL Clone】
pc8.2ch.net/test/read.cgi/linux/1115030013/
B. bdbじゃなくてldbmを使う。man slapd.conf
625 名前：名無しさん＠お腹いっぱい。 [2005/05/23(月) 12:44:45 ]: >624
ありがとう。
bdb を ldbm にしたら起動出来るようになりました。
でも、ログをみたらBerkeley DB を使用してるんですね。
プロセスも３個も起動してるし…。

CentOS４とSL４ではコンパイル条件が違うみたい。
626 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/27(金) 16:23:59 ]: >>611
Sunスレの方で、話が出てるけど
pc8.2ch.net/test/read.cgi/unix/1114945256/202-
Sun版にしても、PADL版にしても、simple bind を使った
認証って、LDAP over SSL で使わないと、パスワードが
平文で流れるわけでセキュリティ的にチョー危ないんだね。

over SSL は当然って場合はｽﾏｿ
627 名前：611 mailto:sage [2005/05/27(金) 16:50:34 ]: simple bindじゃなくて、SASL bindだって、
平文で投げるschemeだと危ないから、SSLでやるのがいいね。
628 名前：626 mailto:sage [2005/05/27(金) 17:01:18 ]: やはりSSL大前提ですかあ。
どうも。
629 名前：611 mailto:sage [2005/05/27(金) 17:05:28 ]: あっちのスレでは、SSLは負荷高いなんて言っている人いるけど、
正直データベース本体の所が一番負荷高いです。
stunnel+LDAPサーバで比較してCPU利用率確かめたんで確かです。
OpenLDAPやiPlanetね。
630 名前：611 mailto:sage [2005/05/27(金) 17:08:21 ]: それから大前提って事はない。
平文じゃなければいいんだから。
ただPAM使うなら適当なPAMモジュールがないね。作らないと。
631 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/27(金) 17:22:27 ]: >>629
あっちのスレで話が出てる、SSL と、共有鍵ベースの IPsec の
比較はしました？ IPsec の方が軽いというのはありそうな
話だと思うんだけど。
SSL にしても IPsec にしても、データベース本体への CPU 負荷
は増えるので気になるところです。
632 名前：ディレクトリ統合したい [2005/05/31(火) 22:36:19 ]: メタディレクトリもここで語っていいでしょうか？
このジャンル書籍も少なくて。。。
どなたか運用されている方いらっしゃいます？
633 名前：名無しさん＠お腹いっぱい。 [2005/06/01(水) 00:22:16 ]: メタディレクトリでオープンソースってある?
DirXMLみたいなのだったら
XSLT + LDAPクライアントライブラリで作れそうな気がする。
634 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/01(水) 14:24:51 ]: >>632
Sunのやつならドキュメントがしっかりしているでしょう?
試したことはあるけど、運用はしてない。
結局、アカウント作成アプリで双方に作成、LDAPでの認証でパスワード共有という運用。
統合グループ管理は諦めました。(ACLの仕組みが全然違うし)

Mac OS 10.4がGUIDベースになってきたから、
この辺はどんどん進んでくるんでしょうね。

>>633
そもそもschemaをどう使っているか、Microsoftが公開してないから。
SunとAppleは業務提携したから、情報が出てくるけど。
635 名前：ディレクトリ統合したい [2005/06/01(水) 23:43:25 ]: >>633
>>634
レスさんくす

Sun の　Identity Managerで
でRDBをデータソースとして
ActiveDirectory、OpenLDAPのディレクトリ統合
できるかなと考えてました。
ただ値段が高いのね。３０００ユーザライセンス１０００万。

データ連携＋パスワード同期となるとIdentity Managerしかないかな。

jp.sun.com/products/software/identity/identity_mgr/

あと、MSのMIISもきになる。
636 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/02(木) 00:18:25 ]: Red Hat Directory Serverリリース。
合わせてフリー版のFedora Directory Serverも出た。
ttp://directory.fedora.redhat.com/
ソース、Linuxバイナリの他、Solarisバイナリもあり。
637 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/02(木) 12:34:05 ]: >>636
OpenLDAPはどうなるんだろうか？
638 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/02(木) 12:45:20 ]: >>636
Netscapeから買ったのだから当たり前と言えば当たり前だが、
Sun Java System Directory Serverとほとんど同じだな。

驚いたのはマニュアル類。これ、Sunからパクッただけじゃないの。
それとも、SunがNetscapeからマニュアルも引き継いだだけなのか。

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef