LDAPについて

1 名前：名無し君 [02/02/02 20:53] 語りましょう。 私は俺はこんなものまでLDAPで管理している等々。。 566 名前：名無しさん＠お腹いっぱい。 mailto:sage [UNIX時間(+0900)35年,2005/04/02(土) 20:30:30 ] OpenLDAPダメポ，こんなにDB(ldbm)破損が発生するとは思いもしなかった・・・ 壊れないバージョンってありますか(現在2.0.22) 567 名前：名無しさん＠お腹いっぱい。 mailto:sage [UNIX時間(+0900)35年,2005/04/03(日) 01:40:03 ] ldbmってOpenLDAP自前のdbm libraryだよね。 2.0.Xって古すぎ。正直その頃のldbmってタコ。2.1.Xも駄目。 stableが2.2.24なんだから、もっと新しいの使ってよ。 www.openldap.org/software/download/ 568 名前：566 mailto:sage [UNIX時間(+0900)35年,2005/04/03(日) 04:09:02 ] バックエンドはbdbで安定してますかね>>551辺り見ると不安 Debian3.0はnscdもslapdも腐ってる参りましたわ・・・ stableを手ビルドして様子みます 569 名前：名無しさん＠お腹いっぱい。 mailto:sage [UNIX時間(+0900)35年,2005/04/03(日) 05:07:18 ] packages.debian.org/unstable/net/slapd >>567で言ったのは、「古い」ldbmは糞、ということ。 Berkley DBは、色々イヤらしいので勧めません。 Debianなら各バージョン揃っていると思いますが。 570 名前：566 mailto:sage [UNIX時間(+0900)35年,2005/04/03(日) 06:02:05 ] なるほど最近のldbmはマシになってると言うことですか 現状woodyからunstableに上げることは厳しいので packportせざるをえないのです・・・ 1年近く運用し本格的に負荷がかかってこの有様 早く見極めるべきでしたね 571 名前：名無しさん＠お腹いっぱい。 mailto:sage [UNIX時間(+0900)35年,2005/04/03(日) 13:15:14 ] Debianなんか選んだのがそもそもの間違い 572 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/04(月) 17:43:09 ] Red Hatはdirectory server(旧netscape)をまだ公開せんのかな? 573 名前：名無しさん＠お腹いっぱい。 [2005/04/04(月) 22:56:42 ] LDAPサーバに対してID・パスワードでの認証をVBで作ろうとしてます。 しかしuserPasswordが取得できないように設定してあります。 認証を実現するにはどのような方法がありますか？？ 574 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/04(月) 23:57:09 ] bindオペレーション >>573 > userPasswordが取得 邪道 575 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/05(火) 03:27:29 ] こんな人間が認証系作るってあぶねーなー 576 名前：名無しさん＠お腹いっぱい。 [2005/04/07(木) 11:01:49 ] devfsとかprocfsとかみたいにldapfsがあればいいのに。 577 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/08(金) 00:58:54 ] >>573 LDAPのBIND時に簡易認証しろよタコ 578 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/08(金) 23:17:10 ] 本人がいないタイミングでそんなレスしても、 読んでるひとの気分を害するだけ。 574以上の情報があるわけでもなし。 579 名前：名無しさん＠お腹いっぱい。 [2005/04/15(金) 22:45:44 ] >>577 釣られてんじゃねーよアホ 580 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/16(土) 07:35:33 ] ldapって通信に暗号使うの？なりすまし対策は？ 581 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/16(土) 08:54:56 ] LDAPS 582 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/17(日) 17:57:43 ] ldapsじゃなければユーザーやパスワードやじゃじゃ漏れってこと？ 583 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/17(日) 20:48:53 ] そうじゃじゃ 584 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/17(日) 20:50:37 ] STARTTLS! 585 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/18(月) 01:05:54 ] >>582 うーん、LDAPに閉じた話で言えばそういうことになるけど… 使っているスイッチにもよるよね。 スイッチでも間にタッピングされると覗かれるけど、 うちはポートのリンクアップ/ダウンで管理者にメール来るから… まあ使っているのはldapsなんですけど… 586 名前：名無しさん＠お腹いっぱい。 [2005/04/18(月) 21:16:51 ] ログインの認証とかldapのサーチとか 当たり前のようにsslなしだった もうダメポ 587 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/18(月) 21:42:28 ] 用途に即してれば、SSLなしでもOKだとおもうけど。 588 名前：名無しさん＠お腹減った。 mailto:sage [2005/04/18(月) 23:09:15 ] ねえねえ、LDAP認証にSASLってあんまり使われてないの？ 589 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/19(火) 00:52:37 ] パスワード認証じゃなくて、 1. Kerberosとか公開鍵で認証して、 2. その権限でディレクトリのACLを働かせたい、 そういう時以外、SASLって特別いいことないし。 simple bind認証で十分でしょう。 逆に、2なしでKerberos認証したければ、単にKerberos使えばいい。 590 名前：名無しさん＠お腹いっぱい。 [2005/04/19(火) 09:48:30 ] NISスレがないのにLDAPスレがある不思議 591 名前：名無しさん＠お腹減った。 mailto:sage [2005/04/19(火) 10:26:11 ] いやいや、SSLなしじゃ、パスワードが…とかいうから、 SASL で DIGEST-MD5 とかでやらないの？って話なの。 592 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/19(火) 23:58:16 ] SSLで十分。 593 名前：名無しさん＠お腹減った。 mailto:sage [2005/04/20(水) 00:54:31 ] SSLって証明書とかどうしてんの？ 594 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/20(水) 01:01:08 ] SSLのスレで聞け。 595 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/20(水) 03:14:55 ] オレオレ証明書 596 名前：名無しさん＠お腹いっぱい。 [2005/04/20(水) 07:14:45 ] openssl req -new -x509 -keyout server.crt -out server.crt 597 名前：名無しさん＠お腹いっぱい。 [2005/04/21(木) 06:21:29 ] openssl req -new -batch -x509 -rand /var/log/maillog:/var/log/httpd/access.log -nodes -newkey rsa:8192 -sha1 -days 365 -text -keyout server.crt -out server.crt -subj /C=JP/ST=ECHIGO/O=CHIRIMEN\ DON\'YA 598 名前：名無しさん＠お腹減った。 mailto:sage [2005/04/21(木) 13:03:01 ] はいはい、クライアントからサーバまでの経路の暗号化がされてれば、十分ってことね。 SSLじゃなくても、ssh で port forwarding とか IPSecとかのVPNでもいい、と。 599 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 00:59:13 ] スレ違いなんで、それ以上突っ込んだ話をして欲しければ、SSL/TLSスレで。 600 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 02:39:17 ] LDAPのプロキシー？変換サーバ？見たいなのってありますか？ やりたい事は、 Client <--> LDAP変換proxy <--> 実LDAPサーバ といった感じで、 ・実LDAPサーバはいじりたくない。 ・でも新たなアトリビュート等を加えたい じゃ、間に変換Proxyを挟んで変えてやりゃ良いかなと。 それとも、そういう考え方が邪道？ 601 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 02:55:54 ] Solaris10ってLDAPサーバ付いてるの？iPlanet? 602 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 10:44:21 ] >>600 製品ならSunが出してる。FreeやOpenSourceはないと思う。 名前ころころ変り中なんで代理店に聞いて。 >>601 うん。iPlanet → Sun ONE → Javaと名前だけが変っているけど。 603 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 15:53:22 ] www.iconimaging.net/~jradford/sendmail/sendmail-ldap.html この設定通りやった場合、ユーザー認証は、 /etc/passwd を見に行くのでしょうか？ それと、ldap をみにいくのでしょうか？ また、上の手順では、pam等いれていないのですが、 問題無いのでしょうか？ 604 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 17:43:26 ] それユーザ認証なんてやってないんですけど 605 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 19:42:12 ] >>600 stone 606 名前：605 mailto:sage [2005/04/22(金) 19:44:06 ] ごめ早とちりした，実LDAPで限定変更化のユーザーACL設定して レプリカ設定するってのはどうだ？あんまりメリットなさそうだけど 607 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 20:53:06 ] 不必要に複雑化してわけのわからない問題が次から次へと起きるだけだ。 608 名前：602 mailto:sage [2005/04/23(土) 01:22:45 ] >>600 具体的にどういうのをやりたいの? OpenLDAPなら、man 5 slapd-metaにあるような事できるけど、 何でもできるわけじゃないよ。半分遊びのつもりでやってみたことあるけど疲れます… 609 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/23(土) 21:52:10 ] solaris 9 で、Open LDAP を使って、/etc/passwd ではなく、LDAP でユーザーを管理したいと考えています。 その際は、pamを使います。 pam には、最初からSolarisに入っている、pam と、PADL があります。どちらを使えばいいでしょうか？ また、うまくLDAPでユーザー管理できている方いらっしゃいますか？ 610 名前：nanasi mailto:sage [2005/04/24(日) 03:47:04 ] >>609 根拠はないが、PADLの方が楽な気がする。 611 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/24(日) 14:27:11 ] >>609 昔あったPAMスレに書いたけど、落ちているのでもう一回。 Solaris付属のpam-ldapは、userPassword属性を取得して、 Solaris側でdecryptすることによって認証する。よって、 1. Solarisの対応しているcrypting schemeに利用が限られる。 2. bindするDNでuserPassword属性が読めないと駄目。(security上大きな制約) 一方、PADLのpam-ldapは、simple bindを使って認証を行うので、 1. crypting schemeの問題はLDAPに閉じ込めることができる。 認証する側はbind op.に対して単にDNとsecretを提供すればいい。 ADT抽象度が高い。 2. userPasswordは外部に出さない事が可能。 (iPlanetではcn=Directory Managerで読めてしまいますが) ただし、現時点でSolaris 10では未検証。 612 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/24(日) 14:28:40 ] >>610 >>611に書いたSolaris版の仕様が気にならないなら、 Solaris付属のpamでやった方が楽だと思いますよ。 仕様が問題であるなら、もう「楽」かどうかという問題ではなくなっていますし。 613 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/26(火) 19:45:09 ] sendmail 8.13 とOpenLDAPについて質問 solaris に OpenLDAP をいれます。slapd を起動して、ユーザー情報を 取り込みます。 LDAP に登録されているユーザーから、メールを送受信したいと思います。 その際、sendmail にいろいろ、設定しないといけないと思います。 つまり、メールを受けた場合は、/etc/passwd では無く、LDAP のユーザーに格納するといった設定です。 この設定の方法を教えて下さい。 また、メールボックスは、LDAPユーザーの場合どこにできるのでしょうか？ （状況として、pamの設定は行っておりません） アドバイスお願いします。 614 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/27(水) 00:15:04 ] nss-ldapの設定。 615 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/27(水) 16:44:37 ] >>613 > また、メールボックスは、LDAPユーザーの場合どこにできるのでしょうか？ MTAの設定の問題。 616 名前：名無しさん＠お腹いっぱい。 [2005/04/28(木) 15:00:45 ] すいません。 LDAPでouを追加しようと以下のようになるんのですが なんでなのでしょうか？ 基本的なことで申し訳ないのですが お教えいただけるとありがたいです。 [root@test _test]# ldapadd -x -D "cn=Manager,dc=hogehoge,dc=com" -w himitsu dn: ou=sm,ou=Project,dc=hogehoge,dc=com add: objectClass objectClass: Project adding new entry "ou=sm,ou=Project,dc=hogehoge,dc=com" ldap_add: Undefined attribute type additional info: add: attribute type undefined ldif_record() = 17 617 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/28(木) 15:04:29 ] >>616 dn: ou=Project,dc=hogehoge,dc=com objectClass: organizationalunit ou: Project dn: ou=sm,ou=Project,dc=hogehoge,dc=com objectClass: organizationalunit ou: sm 618 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/29(金) 02:39:12 ] 英文ちゃんと読めよ。 > add: attribute type undefined rfc2849.txtもな。 619 名前：名無しさん＠お腹いっぱい。 [2005/05/21(土) 12:51:06 ] CentOS4 でOpenLDAP サーバをインストールしたんですが 下記のエラーが出て起動できません。 slapd[2966]: slapd startup: initiated. slapd[2966]: bdb_db_open: dc=hogehoge,dc=test,dc=jp slapd[2966]: bdb_db_open: dbenv_open(/var/lib/ldap) slapd[2966]: bdb(dc=hogehoge,dc=test,dc=jp): Berkeley DB library configured to support only DB_PRIVATE environments slapd[2966]: bdb_db_open: dbenv_open failed: Invalid argument (22) slapd[2966]: backend_startup: bi_db_open(0) failed! (22) slapd[2966]: slapd shutdown: initiated slapd[2966]: ====> bdb_cache_release_all slapd[2966]: slapd shutdown: freeing system resources. slapd[2966]: bdb(dc=hogehoge,dc=test,dc=jp): txn_checkpoint interface requires an environment configured for the transaction subsystem slapd[2966]: bdb_db_destroy: txn_checkpoint failed: Invalid argument (22) slapd[2966]: slapd stopped. slapd[2966]: connections_destroy: nothing to destroy. インストールしたパッケージは db4-utils-4.2.52-7.1 db4-4.2.52-7.1 openldap-2.2.13-2 nss_ldap-226-1 openldap-clients-2.2.13-2 php-ldap-4.3.9-3.6 openldap-servers-2.2.13-2 です。 620 名前：619 [2005/05/21(土) 12:51:51 ] /etc/ldap.con の内容 host hogehoge.test.jp idle_timelimit 30 pam_min_uid 500 pam_password SSHA1 nss_base_passwd dc=hogehoge,dc=test,dc=jp?sub nss_base_shadow dc=hogehoge,dc=test,dc=jp?sub nss_base_group ou=Groups,dc=hogehoge,dc=test,dc=jp?one ssl no 621 名前：619 [2005/05/21(土) 12:53:20 ] /etc/openldap/ldap.conf の内容 HOST hogehoge.test.jp BASE dc=hogehoge,dc=test,dc=jp ssl no pam_password SSHA /etc/openldap/slapd.conf の内容 include/etc/openldap/schema/core.schema include/etc/openldap/schema/cosine.schema include/etc/openldap/schema/inetorgperson.schema include/etc/openldap/schema/nis.schema password-hash{SSHA} pidfile/var/run/slapd.pid argsfile/var/run/slapd.args databasebdb suffix"dc=hogehoge,dc=test,dc=jp" rootdn"cn=Manager,dc=hogehoge,dc=test,dc=jp" rootpw{SSHA}パスワード directory/var/lib/ldap index objectClass eq,pres index ou,cn,mail,surname,givenname eq,pres,sub index uidNumber,gidNumber,loginShell eq,pres index uid,memberUid eq,pres,sub index nisMapName,nisMapEntry eq,pres,sub 622 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/21(土) 13:59:31 ] >>619 エラー内容からするとdb4が適合してないようなので、 修正がでるまではopenldapを適宜ビルドして回避するとか。 623 名前：619 mailto:sage [2005/05/21(土) 15:00:00 ] 再構築＿|￣|● Linux 経験約３週間ではハードルが高いです。 VMWare上のSL4 では下記のパッケージで動いてるのに・・・。 db4-utils-4.2.52-7.1 db4-4.2.52-7.1 nss_ldap-226-1 openldap-servers-2.2.13-2 openldap-clients-2.2.13-2 openldap-2.2.13-2 SL4は実機にはインストーで出来なかったんで CentOS4 （実機：Pentium MMX 166 MEM:80MB DISK:6GB） を入れてるんですけど db4-devel-4.2.52-7.1 openldap-devel-2.2.13-2 のパッケージは関係ないですよね。 あと、/var/lib/ldap の所有者とグループは ldap になってます。 他に情報があれば教えて下さい。 624 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/23(月) 08:27:07 ] >>623 つーか、 > Berkeley DB library configured to support only DB_PRIVATE environments をどうにかしろ！ A. db4をsrpmからコンパイルしなよ。 CentOS part 2 【RHEL Clone】 pc8.2ch.net/test/read.cgi/linux/1115030013/ B. bdbじゃなくてldbmを使う。man slapd.conf 625 名前：名無しさん＠お腹いっぱい。 [2005/05/23(月) 12:44:45 ] >624 ありがとう。 bdb を ldbm にしたら起動出来るようになりました。 でも、ログをみたらBerkeley DB を使用してるんですね。 プロセスも３個も起動してるし…。 CentOS４ とSL４ではコンパイル条件が違うみたい。 626 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/27(金) 16:23:59 ] >>611 Sunスレの方で、話が出てるけど pc8.2ch.net/test/read.cgi/unix/1114945256/202- Sun版にしても、PADL版にしても、simple bind を使った 認証って、LDAP over SSL で使わないと、パスワードが 平文で流れるわけでセキュリティ的にチョー危ないんだね。 over SSL は当然って場合はｽﾏｿ 627 名前：611 mailto:sage [2005/05/27(金) 16:50:34 ] simple bindじゃなくて、SASL bindだって、 平文で投げるschemeだと危ないから、SSLでやるのがいいね。 628 名前：626 mailto:sage [2005/05/27(金) 17:01:18 ] やはりSSL大前提ですかあ。 どうも。 629 名前：611 mailto:sage [2005/05/27(金) 17:05:28 ] あっちのスレでは、SSLは負荷高いなんて言っている人いるけど、 正直データベース本体の所が一番負荷高いです。 stunnel+LDAPサーバで比較してCPU利用率確かめたんで確かです。 OpenLDAPやiPlanetね。 630 名前：611 mailto:sage [2005/05/27(金) 17:08:21 ] それから大前提って事はない。 平文じゃなければいいんだから。 ただPAM使うなら適当なPAMモジュールがないね。作らないと。 631 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/27(金) 17:22:27 ] >>629 あっちのスレで話が出てる、SSL と、共有鍵ベースの IPsec の 比較はしました？ IPsec の方が軽いというのはありそうな 話だと思うんだけど。 SSL にしても IPsec にしても、データベース本体への CPU 負荷 は増えるので気になるところです。 632 名前：ディレクトリ統合したい [2005/05/31(火) 22:36:19 ] メタディレクトリもここで語っていいでしょうか？ このジャンル書籍も少なくて。。。 どなたか運用されている方いらっしゃいます？ 633 名前：名無しさん＠お腹いっぱい。 [2005/06/01(水) 00:22:16 ] メタディレクトリでオープンソースってある? DirXMLみたいなのだったら XSLT + LDAPクライアントライブラリ で作れそうな気がする。 634 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/01(水) 14:24:51 ] >>632 Sunのやつならドキュメントがしっかりしているでしょう? 試したことはあるけど、運用はしてない。 結局、アカウント作成アプリで双方に作成、LDAPでの認証でパスワード共有という運用。 統合グループ管理は諦めました。(ACLの仕組みが全然違うし) Mac OS 10.4がGUIDベースになってきたから、 この辺はどんどん進んでくるんでしょうね。 >>633 そもそもschemaをどう使っているか、Microsoftが公開してないから。 SunとAppleは業務提携したから、情報が出てくるけど。 635 名前：ディレクトリ統合したい [2005/06/01(水) 23:43:25 ] >>633 >>634 レスさんくす Sun の　Identity Managerで でRDBをデータソースとして ActiveDirectory、OpenLDAPのディレクトリ統合 できるかなと考えてました。 ただ値段が高いのね。３０００ユーザライセンス１０００万。 データ連携＋パスワード同期となるとIdentity Managerしかないかな。 jp.sun.com/products/software/identity/identity_mgr/ あと、MSのMIISもきになる。 636 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/02(木) 00:18:25 ] Red Hat Directory Serverリリース。 合わせてフリー版のFedora Directory Serverも出た。 ttp://directory.fedora.redhat.com/ ソース、Linuxバイナリの他、Solarisバイナリもあり。 637 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/02(木) 12:34:05 ] >>636 OpenLDAPはどうなるんだろうか？ 638 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/02(木) 12:45:20 ] >>636 Netscapeから買ったのだから当たり前と言えば当たり前だが、 Sun Java System Directory Serverとほとんど同じだな。 驚いたのはマニュアル類。これ、Sunからパクッただけじゃないの。 それとも、SunがNetscapeからマニュアルも引き継いだだけなのか。 639 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/03(金) 11:52:45 ] >>635 Identity Managerの動くSunがあるなら、OpenLDAPはいらない。 LDAPサーバはSolarisに(NIS/NIS+の代わりとして)付いてくるから。 640 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/03(金) 11:53:54 ] >>638 まあ、forkしたんで、*BSD同士みたいな関係。 641 名前：名無しさん＠お腹いっぱい。 [2005/06/09(木) 10:22:45 ] NISの代わりにLDAP使いたいんですけど どこの設定を変えたらいいですか？ NISからの以降ではなくLDAPを単独でインストールして NISと同じように同じユーザ名、同じパスワードでログインしたいです。 OSはdebianです。 642 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/09(木) 10:27:06 ] >>641 Red Hat系にしとけば簡単だったのに誰に騙されたのかなぁ 643 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/09(木) 10:36:29 ] >>641 libpam-ldap これかな？ 644 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/09(木) 11:08:07 ] >>641 えーと、 ・debianでLDAPサーバを立ち上げる ・debianのアカウント情報をLDAPサーバで管理する の両方って事ですか? まあ前者のHOWTOはLinux板のdebianスレで聞いて貰うとして、 LDAPサーバに何を選ぶかは過去レスを参考に。 後者は、libnss-ldapとlibpam-ldapをinstallして、/etc/nsswitch.confを編集です。 nssはアカウント情報、pamは認証という分担です。(ﾊﾟｹｰｼﾞ名以外Linux共通) 645 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/09(木) 11:23:23 ] Debian スレで聞いた方がよくね? 646 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/17(金) 18:07:53 ] ここでもループしてる。。 ldapで環境がDebianだと→Debianに池→Debianでldap→ldapに池 647 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/17(金) 18:27:31 ] Debian使うのやめればループから脱出出来るよ 648 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/17(金) 18:35:31 ] それがDebクオリティ 649 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/17(金) 19:41:50 ] UNIX認証方式いろいろ ttp://pc8.2ch.net/test/read.cgi/unix/1028026566/ こちらもどうぞ 650 名前：644 mailto:sage [2005/06/17(金) 22:33:09 ] >>646 あっちに答えといたから。 Debianはパッケージ名が独自なのはもちろん/etc/*ldap.confのファイル名も独自だから。 651 名前：名無しさん＠お腹いっぱい。 [2005/06/19(日) 06:41:43 ] >650さん 641です。ありがとうございます！！ 652 名前：名無しさん＠お腹いっぱい。 [2005/07/05(火) 16:16:03 ] 使用しているLDAPサーバはiPlanetで、クライアントは VS.NETのC#で作成しています。 ちょっと板違いだと思うのですが、 LDAPについてやり取りがあるのをここしか 見つけられなかったので質問させてください。 LDAPの接続でpathだけを指定した場合は成功するのですが、 username/passwordも指定すると、 「要求された認証方法はサーバがサポートしていません」 といわれます。 使用している関数はDirectoryEntry()です。 サーバにSSLを設定していないせいなのかなぁとも 考えたのですが、ここでのやり取りをみていると、 SSLがなくてもLDAPでユーザ認証ができそうに見えます。 SSLがなくてもLDAPでのユーザ認証は出来るものなのでしょうか？ 653 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/05(火) 22:24:46 ] SSL有無(SSLのclient/server認証を含んで)は、 LDAPのオペレーションの可否と完全に直交です。 ところでLDAPの認証というとbindオペレーションであることは理解していますか? また、bindオペレーションは様々な認証方法をサポートしていることをご存じですか? このスレは最初から読みましたか? 654 名前：名無しさん＠お腹いっぱい。 [2005/07/06(水) 00:13:39 ] OpenLDAPでback-sqlにしてると、BD側の定義めんどくさすぎません？ 3点セット(posixAccount,shadowAccout,posixGroup)のDBでの設定、どっかに無いですかね？ 655 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 08:49:36 ] >>653 ありがとうございます。 SSLがなくてもLDAPでのユーザ認証は出来るということですよね？ > ところでLDAPの認証というとbindオペレーションであることは理解していますか? このスレを見つけるまでは、 「要求された認証方法はサーバがサポートしていません」 とエラーになるのはSSLのせいかな？と考えていました。 しかし、このスレを最初から読んで【bindオペレーション】がキーで あるような所までは理解できました。 そこで念のため確認をさせて頂いた次第です。 VS.NETのDirectoryEntryクラスではbindというメソッドは存在せず、 どのように置き換えて考えれば良いのか考えている所です。 SSLは関係が無いということで少しすっきりできました。 ありがとうございます。 656 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 09:22:04 ] >>655 置き換えるちゅーか、中で何をやっているのか理解しないと。 それからドキュメントのコンストラクタの所くらい読んだ方がいいぞ。 msdn.microsoft.com/library/default.asp?url=/library/en-us/cpref/html/frlrfSystemDirectoryServicesDirectoryEntryClassctorTopic.asp msdn.microsoft.com/library/default.asp?url=/library/en-us/cpref/html/frlrfSystemDirectoryServicesAuthenticationTypesClassTopic.asp msdn.microsoft.com/library/default.asp?url=/library/en-us/cpref/html/frlrfsystemdirectoryservices.asp 後は相手がActive Directoryだと仮定した初期設定になっているのが注意かな。 (schemaやACLが) AuthenticationTypes Enumerationのそれぞれが、 LDAP上だとどんなオペレーションになっているかはこのスレでいいと思うけど、 APIの使い方はWindows板だな。 657 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 09:22:30 ] ADSIを直接叩くって手もあるけど、LDAPの勉強が必要だなー 658 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 10:46:49 ] >>654 OpenLDAP-POSTGRESQL HOWTOが一番詳しいんじゃないかな。 完全な設定はないけどね。 659 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 18:53:03 ] DirectoryEntry()の使い方について教えてください。 pathだけを指定した場合は成功するのですが、 username/passwordも指定すると、 「要求された認証方法はサーバがサポートしていません」 とエラーになります。 何か解決策はあるのでしょうか？ 660 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 21:26:11 ] 取り合えずマニュアルを読んで、 AuthenticationTypes Enumeration を理解しな。ただ使いたいだけならWindows板にでも行って。 661 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/08(金) 11:25:38 ] ldapsearch(1)、 TLS_CACERTDIR /usr/share/ssl/certs/ を指定するととたんに遅くなるなあ。(たくさんCA certificateを抱えているため) opensslみたいに/usr/share/ssl/certs/以下にあるhashを使って、 certificateを探すんじゃなくて、全てのファイルを読んでみるようだ… $(OPENLDAP)/libraries/libldap/tls.cのget_ca_list()で、 SSL_load_client_CA_file()やってるなあ。 662 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/15(金) 20:49:59 ] OpenLDAP の Backend を Mysql にしたら安定するかな？ 速度とかはどうなんでしょうか？ 使われている方はいらっしゃいますか？ 663 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/28(木) 06:45:29 ] Cisco Secure ACS と OpenLDAP を組み合わせて使っているかたは いらっしゃいます？ 664 名前：名無しさん＠お腹いっぱい。 [2005/08/09(火) 22:49:21 ] ActiveDirectoryはLDAPを話せるという認識だったのですが それは誤りなんでしょうか？ （ADもopenLDAPも外からみたら同じようにできると思ってました。） わざわざADとLDAPを同期させるためのソフトもありますし。。 665 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/10(水) 02:23:22 ] そうです。どちらもLDAP v3プロトコルです。 ただし、OSの利用しているLDAP schemaが違うのです。 つまり、各OSのユーザ、グループ、認証エンティティのデータ構造が違うのです。 UNIX群とWindowsが違うのはもちろん、Mac OS Xも違います。 ただし全般的にWindowsに歩み寄りをみせる方向のようです。 666 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/10(水) 03:13:53 ] >>657 どうもありがとう御座います。 何でこんなことを質問したかと言うと、統合認証基盤としてLDAPサーバの導入を検討してるの ですが、業者がSunOneDirectoryとADを導入してそれぞれをSUNのソフトで同期させるという 構成を提案してきたからなんです。 ADもLDAPを話せるのであれば、ADだけ導入してSunOneDirectoryは必要ないのではと 思ったのですが、何か事情があるのでしょうか？業者に聞いたところ、ADだけだとうまく外部と 連携ができない場合がある（具体的にはNISの統合だったかな？？）と言ってました。 ちょっと疑問を持つような回答だったのでここで質問させて頂きました。 ま、きちんとした提案書はまだなので、それをもらった段階で細かく確認するつもりですが。

---

---

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef