LDAPについて

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 05/18 01:27 / Filesize : 285 KB / Number-of Response : 969
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

LDAPについて

1 名前：名無し君 [02/02/02 20:53]: 語りましょう。
私は俺はこんなものまでLDAPで管理している等々。。
625 名前：名無しさん＠お腹いっぱい。 [2005/05/23(月) 12:44:45 ]: >624
ありがとう。
bdb を ldbm にしたら起動出来るようになりました。
でも、ログをみたらBerkeley DB を使用してるんですね。
プロセスも３個も起動してるし…。

CentOS４とSL４ではコンパイル条件が違うみたい。
626 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/27(金) 16:23:59 ]: >>611
Sunスレの方で、話が出てるけど
pc8.2ch.net/test/read.cgi/unix/1114945256/202-
Sun版にしても、PADL版にしても、simple bind を使った
認証って、LDAP over SSL で使わないと、パスワードが
平文で流れるわけでセキュリティ的にチョー危ないんだね。

over SSL は当然って場合はｽﾏｿ
627 名前：611 mailto:sage [2005/05/27(金) 16:50:34 ]: simple bindじゃなくて、SASL bindだって、
平文で投げるschemeだと危ないから、SSLでやるのがいいね。
628 名前：626 mailto:sage [2005/05/27(金) 17:01:18 ]: やはりSSL大前提ですかあ。
どうも。
629 名前：611 mailto:sage [2005/05/27(金) 17:05:28 ]: あっちのスレでは、SSLは負荷高いなんて言っている人いるけど、
正直データベース本体の所が一番負荷高いです。
stunnel+LDAPサーバで比較してCPU利用率確かめたんで確かです。
OpenLDAPやiPlanetね。
630 名前：611 mailto:sage [2005/05/27(金) 17:08:21 ]: それから大前提って事はない。
平文じゃなければいいんだから。
ただPAM使うなら適当なPAMモジュールがないね。作らないと。
631 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/27(金) 17:22:27 ]: >>629
あっちのスレで話が出てる、SSL と、共有鍵ベースの IPsec の
比較はしました？ IPsec の方が軽いというのはありそうな
話だと思うんだけど。
SSL にしても IPsec にしても、データベース本体への CPU 負荷
は増えるので気になるところです。
632 名前：ディレクトリ統合したい [2005/05/31(火) 22:36:19 ]: メタディレクトリもここで語っていいでしょうか？
このジャンル書籍も少なくて。。。
どなたか運用されている方いらっしゃいます？
633 名前：名無しさん＠お腹いっぱい。 [2005/06/01(水) 00:22:16 ]: メタディレクトリでオープンソースってある?
DirXMLみたいなのだったら
XSLT + LDAPクライアントライブラリで作れそうな気がする。
634 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/01(水) 14:24:51 ]: >>632
Sunのやつならドキュメントがしっかりしているでしょう?
試したことはあるけど、運用はしてない。
結局、アカウント作成アプリで双方に作成、LDAPでの認証でパスワード共有という運用。
統合グループ管理は諦めました。(ACLの仕組みが全然違うし)

Mac OS 10.4がGUIDベースになってきたから、
この辺はどんどん進んでくるんでしょうね。

>>633
そもそもschemaをどう使っているか、Microsoftが公開してないから。
SunとAppleは業務提携したから、情報が出てくるけど。
635 名前：ディレクトリ統合したい [2005/06/01(水) 23:43:25 ]: >>633
>>634
レスさんくす

Sun の　Identity Managerで
でRDBをデータソースとして
ActiveDirectory、OpenLDAPのディレクトリ統合
できるかなと考えてました。
ただ値段が高いのね。３０００ユーザライセンス１０００万。

データ連携＋パスワード同期となるとIdentity Managerしかないかな。

jp.sun.com/products/software/identity/identity_mgr/

あと、MSのMIISもきになる。
636 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/02(木) 00:18:25 ]: Red Hat Directory Serverリリース。
合わせてフリー版のFedora Directory Serverも出た。
ttp://directory.fedora.redhat.com/
ソース、Linuxバイナリの他、Solarisバイナリもあり。
637 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/02(木) 12:34:05 ]: >>636
OpenLDAPはどうなるんだろうか？
638 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/02(木) 12:45:20 ]: >>636
Netscapeから買ったのだから当たり前と言えば当たり前だが、
Sun Java System Directory Serverとほとんど同じだな。

驚いたのはマニュアル類。これ、Sunからパクッただけじゃないの。
それとも、SunがNetscapeからマニュアルも引き継いだだけなのか。
639 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/03(金) 11:52:45 ]: >>635
Identity Managerの動くSunがあるなら、OpenLDAPはいらない。
LDAPサーバはSolarisに(NIS/NIS+の代わりとして)付いてくるから。
640 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/03(金) 11:53:54 ]: >>638
まあ、forkしたんで、*BSD同士みたいな関係。
641 名前：名無しさん＠お腹いっぱい。 [2005/06/09(木) 10:22:45 ]: NISの代わりにLDAP使いたいんですけど
どこの設定を変えたらいいですか？
NISからの以降ではなくLDAPを単独でインストールして
NISと同じように同じユーザ名、同じパスワードでログインしたいです。

OSはdebianです。
642 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/09(木) 10:27:06 ]: >>641
Red Hat系にしとけば簡単だったのに誰に騙されたのかなぁ
643 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/09(木) 10:36:29 ]: >>641
libpam-ldap
これかな？
644 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/09(木) 11:08:07 ]: >>641
えーと、
・debianでLDAPサーバを立ち上げる
・debianのアカウント情報をLDAPサーバで管理する
の両方って事ですか?

まあ前者のHOWTOはLinux板のdebianスレで聞いて貰うとして、
LDAPサーバに何を選ぶかは過去レスを参考に。

後者は、libnss-ldapとlibpam-ldapをinstallして、/etc/nsswitch.confを編集です。
nssはアカウント情報、pamは認証という分担です。(ﾊﾟｹｰｼﾞ名以外Linux共通)
645 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/09(木) 11:23:23 ]: Debian スレで聞いた方がよくね?
646 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/17(金) 18:07:53 ]: ここでもループしてる。。

ldapで環境がDebianだと→Debianに池→Debianでldap→ldapに池
647 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/17(金) 18:27:31 ]: Debian使うのやめればループから脱出出来るよ
648 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/17(金) 18:35:31 ]: それがDebクオリティ
649 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/17(金) 19:41:50 ]: UNIX認証方式いろいろ
ttp://pc8.2ch.net/test/read.cgi/unix/1028026566/

こちらもどうぞ
650 名前：644 mailto:sage [2005/06/17(金) 22:33:09 ]: >>646
あっちに答えといたから。

Debianはパッケージ名が独自なのはもちろん/etc/*ldap.confのファイル名も独自だから。
651 名前：名無しさん＠お腹いっぱい。 [2005/06/19(日) 06:41:43 ]: >650さん
641です。ありがとうございます！！
652 名前：名無しさん＠お腹いっぱい。 [2005/07/05(火) 16:16:03 ]: 使用しているLDAPサーバはiPlanetで、クライアントは
VS.NETのC#で作成しています。

ちょっと板違いだと思うのですが、
LDAPについてやり取りがあるのをここしか
見つけられなかったので質問させてください。

LDAPの接続でpathだけを指定した場合は成功するのですが、
username/passwordも指定すると、
「要求された認証方法はサーバがサポートしていません」
といわれます。
使用している関数はDirectoryEntry()です。

サーバにSSLを設定していないせいなのかなぁとも
考えたのですが、ここでのやり取りをみていると、
SSLがなくてもLDAPでユーザ認証ができそうに見えます。

SSLがなくてもLDAPでのユーザ認証は出来るものなのでしょうか？
653 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/05(火) 22:24:46 ]: SSL有無(SSLのclient/server認証を含んで)は、
LDAPのオペレーションの可否と完全に直交です。

ところでLDAPの認証というとbindオペレーションであることは理解していますか?
また、bindオペレーションは様々な認証方法をサポートしていることをご存じですか?
このスレは最初から読みましたか?
654 名前：名無しさん＠お腹いっぱい。 [2005/07/06(水) 00:13:39 ]: OpenLDAPでback-sqlにしてると、BD側の定義めんどくさすぎません？
3点セット(posixAccount,shadowAccout,posixGroup)のDBでの設定、どっかに無いですかね？
655 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 08:49:36 ]: >>653
ありがとうございます。

SSLがなくてもLDAPでのユーザ認証は出来るということですよね？

> ところでLDAPの認証というとbindオペレーションであることは理解していますか?

このスレを見つけるまでは、
「要求された認証方法はサーバがサポートしていません」
とエラーになるのはSSLのせいかな？と考えていました。

しかし、このスレを最初から読んで【bindオペレーション】がキーで
あるような所までは理解できました。
そこで念のため確認をさせて頂いた次第です。

VS.NETのDirectoryEntryクラスではbindというメソッドは存在せず、
どのように置き換えて考えれば良いのか考えている所です。

SSLは関係が無いということで少しすっきりできました。
ありがとうございます。
656 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 09:22:04 ]: >>655
置き換えるちゅーか、中で何をやっているのか理解しないと。
それからドキュメントのコンストラクタの所くらい読んだ方がいいぞ。

msdn.microsoft.com/library/default.asp?url=/library/en-us/cpref/html/frlrfSystemDirectoryServicesDirectoryEntryClassctorTopic.asp
msdn.microsoft.com/library/default.asp?url=/library/en-us/cpref/html/frlrfSystemDirectoryServicesAuthenticationTypesClassTopic.asp
msdn.microsoft.com/library/default.asp?url=/library/en-us/cpref/html/frlrfsystemdirectoryservices.asp

後は相手がActive Directoryだと仮定した初期設定になっているのが注意かな。
(schemaやACLが)

AuthenticationTypes Enumerationのそれぞれが、
LDAP上だとどんなオペレーションになっているかはこのスレでいいと思うけど、
APIの使い方はWindows板だな。
657 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 09:22:30 ]: ADSIを直接叩くって手もあるけど、LDAPの勉強が必要だなー
658 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 10:46:49 ]: >>654
OpenLDAP-POSTGRESQL HOWTOが一番詳しいんじゃないかな。
完全な設定はないけどね。
659 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 18:53:03 ]: DirectoryEntry()の使い方について教えてください。

pathだけを指定した場合は成功するのですが、
username/passwordも指定すると、
「要求された認証方法はサーバがサポートしていません」
とエラーになります。

何か解決策はあるのでしょうか？
660 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 21:26:11 ]: 取り合えずマニュアルを読んで、
AuthenticationTypes Enumeration
を理解しな。ただ使いたいだけならWindows板にでも行って。
661 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/08(金) 11:25:38 ]: ldapsearch(1)、
TLS_CACERTDIR /usr/share/ssl/certs/
を指定するととたんに遅くなるなあ。(たくさんCA certificateを抱えているため)

opensslみたいに/usr/share/ssl/certs/以下にあるhashを使って、
certificateを探すんじゃなくて、全てのファイルを読んでみるようだ…

$(OPENLDAP)/libraries/libldap/tls.cのget_ca_list()で、
SSL_load_client_CA_file()やってるなあ。
662 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/15(金) 20:49:59 ]: OpenLDAP の Backend を Mysql にしたら安定するかな？
速度とかはどうなんでしょうか？

使われている方はいらっしゃいますか？
663 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/28(木) 06:45:29 ]: Cisco Secure ACS と OpenLDAP を組み合わせて使っているかたは
いらっしゃいます？
664 名前：名無しさん＠お腹いっぱい。 [2005/08/09(火) 22:49:21 ]: ActiveDirectoryはLDAPを話せるという認識だったのですが
それは誤りなんでしょうか？
（ADもopenLDAPも外からみたら同じようにできると思ってました。）
わざわざADとLDAPを同期させるためのソフトもありますし。。
665 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/10(水) 02:23:22 ]: そうです。どちらもLDAP v3プロトコルです。
ただし、OSの利用しているLDAP schemaが違うのです。

つまり、各OSのユーザ、グループ、認証エンティティのデータ構造が違うのです。

UNIX群とWindowsが違うのはもちろん、Mac OS Xも違います。
ただし全般的にWindowsに歩み寄りをみせる方向のようです。
666 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/10(水) 03:13:53 ]: >>657
どうもありがとう御座います。

何でこんなことを質問したかと言うと、統合認証基盤としてLDAPサーバの導入を検討してるの
ですが、業者がSunOneDirectoryとADを導入してそれぞれをSUNのソフトで同期させるという
構成を提案してきたからなんです。
ADもLDAPを話せるのであれば、ADだけ導入してSunOneDirectoryは必要ないのではと
思ったのですが、何か事情があるのでしょうか？業者に聞いたところ、ADだけだとうまく外部と
連携ができない場合がある（具体的にはNISの統合だったかな？？）と言ってました。
ちょっと疑問を持つような回答だったのでここで質問させて頂きました。

ま、きちんとした提案書はまだなので、それをもらった段階で細かく確認するつもりですが。
667 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/10(水) 08:22:36 ]: >>666
> 何か事情があるのでしょうか？

>>665に書いたでしょ。

> 業者がSunOneDirectoryとADを導入してそれぞれをSUNのソフトで同期させるという
> 構成を提案してきたからなんです。

たぶん技術的にも信頼できる業者だと思います。
その構成以外にソリューションはないはずだし、そもそも運用できるところが少ないから。
668 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/12(金) 02:51:43 ]: >>667
うーん。自分、良くわかってないかも知れません。
スキーマが違くても外からうまく聞けば良いだけかと思ってました。
なのでLDAPプロトコルが話せればADでもなんとかなるのかなぁと。

>UNIX群とWindowsが違うのはもちろん、Mac OS Xも違います。
こうなのであれば、ADとSunOneDirectoryだけでは対応できない
（openLDAP　on OSXが必要な）場面もあるのでしょうか？
さらにそれらを同期して・・・。なんか難しいですね。

ADだけでLDAPサーバを賄えない事情があるんですね。もう少し勉強してみます。
669 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/12(金) 10:08:19 ]: はい、かなり知識不足だから、
もっとレイヤーの高いところで、何がやりてくて、何ができるのかということを、
業者の方に教えを乞いながら、詰めていった方がいいと思います。

LDAPプロトコルとかschemaとか、理解してないことをあれこれ云って、
背伸びしてもろくなことはないですよ。
670 名前：名無しさん＠お腹いっぱい。 mailto:ついつい揚げ足を...sage [2005/08/12(金) 13:55:31 ]: >>669
> LDAPプロトコル

背伸びは（・Ａ・）ｲｸﾅｲ!!
671 名前：668 mailto:sage [2005/08/12(金) 17:04:19 ]: WEBページを色々みてみました。

ttp://www.atmarkit.co.jp/fnetwork/rensai/dirt02/01.html
このページの下の方に
>　これらのデメリットにあげたような互換性の問題を解決する決定的な
>策はまだありません。対策としては、LDAPを利用するアプリケーションが
>LDAPを操作する時のオブジェクトクラスの指定や属性の指定を変更で
>きるように実装していくしかないでしょう。
とありますが、現段階では変更できないアプリが結構あるのでしょうか？

>スキーマが違くても外からうまく聞けば良いだけかと思ってました。
前にこう書いた時は、アプリ側で当たり前の様に変更できると思ってました。

アプリ側でサーバのLDAPスキーマに対応している必要があるということであってますか？
だとしたら現在アプリ側が対応しているLDAPスキーマで一番多いものは何なのでしょう？
672 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/12(金) 18:17:58 ]: あなたの場合、統合認証ということなので、
アプリだけの問題じゃなくて、OSの問題も含まれ、
そっちの方が大きいはずです。OSは書き換えられないですよね。
673 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/12(金) 18:52:56 ]: >>670の馬鹿っぷりに泣けた
674 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/16(火) 23:36:04 ]: openldap のサーバに名刺のデータを溜め込んで、マックの「アドレスブック」で
検索して利用している方、おられませんか？

マックの「アドレスブック」で検索をかけると；

Aug 16 23:18:01 gw slapd[23104]: conn=66 op=1 SRCH
attr=givenName sn cn mail telephoneNumber facsimileTelephoneNumber
o title ou buildingName street l st postalCode c jpegPhoto mobile co pager
destinationIndicator labeledURI IMHandle

とサーバのログにでるので、こんだけの種類のアトリビュートを
「アドレスブック」は表示可能なんだとおもうんですが、これらの名刺データを
ldapadd する方法がわかりません。
inetOrgPerson に含まれるアトリビュートを ldapadd することは出来るのですが、
例えば、buildingName を mail と同じ DN にぶっ込む方法がわかりません。。

なんか根本的にわかってないのかとも思ってますが。。。

何かヒントをくださいませんでしょうか。
675 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/17(水) 15:55:33 ]: > 674

RFC1274
676 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/17(水) 19:18:31 ]: >675

ヒントありがとうございます。
がんばってみますw
677 名前：名無しさん＠お腹いっぱい。 [2005/08/18(木) 06:55:15 ]: OpenLDAP2.3 ってどうなんでしょう？
2.2の方が安定しているのでしょうか？
678 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/18(木) 10:14:25 ]: >>674
buildingNameがどのObjectClassの属性か把握しておられるでしょうか?
また当該DNはそのObjectClassのオブジェクトでしょうか?
679 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/18(木) 10:15:20 ]: >>674
それからやってみて失敗したのだろうから、エラーメッセージを書いた方がいいのでは?

> inetOrgPerson に含まれるアトリビュートを ldapadd することは出来るのですが、
> 例えば、buildingName を mail と同じ DN にぶっ込む方法がわかりません。。
680 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/19(金) 08:29:44 ]: Directory Administrator を使ってる人はいますか？
使ってる人がいたら、どうやって設定すればいいか教えて下さい。

まず、ldapsearch -D "cn=Manager,dc=example,dc=com" -H ldaps://ldap.example.com -W では、まったく問題なくアクセスできています。しかし、以下の Profile Settings だと Can't contact LDAP server と言われて何もできません。

Server address: ldap.example.com:636
Security: Enable TLS on this connection をチェック
Search root: dc=example,dc=com
DN/User ID: cn=Manager,dc=example,dc=com
Password: *******

DN には cn=Manager とか Manager も試しましたが同じ結果でした。

サーバ側のログには

slapd[13821]: conn=2544 fd=23 ACCEPT from IP=w.x.y.z:41191 (IP=0.0.0.0:636)
slapd[13821]: conn=2544 fd=23 closed

とあって、アクセス自体はしているようですが、それ以上のことはしてないようです。
681 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/19(金) 08:55:43 ]: >>680
> Can't contact LDAP server

だと、TCPレベル、TLSレベルでの問題ですから、

> DN には cn=Manager とか Manager も試しましたが同じ結果でした。

は関係ないです。(ここが問題なら別のエラーになる)

etherealで調べてみては? etherealならある程度TLSも追えますから。
682 名前：674 mailto:sage [2005/08/27(土) 04:25:34 ]: ちょっと前に質問させていただいてからじたばたしていたのですが、
openldapのschema ディレクトリに勝手なファイルを置いたり、
そいつをslapd.confでincludeしてやったりすると、「問われているものへの答え」
が用意できるポイ感じを何となく把握しつつあります。
thunderbirdのアドレス帳(LDAPサーバが参照できます)で全部の欄に返事を
返せるように細工しようとしているんですが、

Aug 27 04:07:45 gw slapd[7326]: conn=1 op=1 SRCH attr=modifytimestamp
xmozillausehtmlmail description notes custom4 custom3 custom2 custom1
birthyear homeurl workurl nscpaimscreenname countryname company o
departmentnumber department orgunit ou title countryname zip postalcode
region st locality l streetaddress postofficebox carphone cellphone mobile
pagerphone pager facsimiletelephonenumber fax homephone
telephonenumber xmozillasecondemail mail xmozillanickname displayname
commonname cn surname sn givenname

てのをよく見ていただくと、countrynameてのが２つあります。
アドレス帳での項目としては、勤務先住所としての国名と自宅の国名と２つ
あるにはあるんですが、同じ属性名で問いかけるというのはやっぱこれは
thunderbird の不具合ですか？
それとも「順番」って概念があるのかな？
683 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/27(土) 07:16:43 ]: LDAPのobjectの属性空間はフラットです。

ちなみにthunderbirdのアドレス帳には、
勤務先/自宅のスイッチがありませんか? (つまり排他的)
684 名前：674 mailto:sage [2005/08/27(土) 23:39:12 ]: ちなみに、thunderbirdのアドレス帳には、
勤務先/自宅のスイッチはありません。
只で手に入るので、よければご自分でご確認くださいw
685 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/28(日) 05:28:00 ]: お前もソースくらい読め。

nsAbLDAPProperties.cppでcountrynameが二回出ているからだろ?
bStoreLocAsHomeは未だ実装途中らしいし、
そもそもHome関係は今だPropertyすら定義されてないな。
homeurl, homephoneなどを除いて。
686 名前：674 mailto:sage [2005/08/31(水) 00:19:45 ]: >>685
ほー　そうでござったかw
ありがトン
687 名前：名無しさん＠お腹いっぱい。 [2005/09/13(火) 00:36:52 ]: スレ違いだったらご容赦ください。
（PHP4でLDAPで情報を取ってくるプログラムなのですが）
階層は、
DC--root
|--CN=Admin
|--OU=Fruits
|----+-CN=orange
|----+-CN=apple
|----+-CN=banana
|--OU=Animal
|----+-CN=cat
|----+-CN=dog
|----+-CN=bird
このようになっています。

まず、LDAP接続は一応うまくいっています。（$dsはコネクトID）
ldap_bind($ds, "CN=Admin,DC=root,DC=local", $password)

次に検索です。
$dn = "OU=Fruits,DC=root,DC=local";
$filter = "(CN=*)";
$sr=ldap_search($ds, $dn, $filter);
これだと、リストで「orange,apple,banana」が取れます。問題ありません。

しかし、
$dn = "DC=root,DC=local";
$filter = "(OU=*)";
$sr=ldap_search($ds, $dn, $filter);
これだと「 Can't contact LDAP server」というようなエラーになってしまいます。
期待するリストは「Fruits,Animal」です。
何が原因かわかりません。DC直下は検索できないのでしょうか？ユーザの権限のせいでしょうか？
長くなってしまい恐縮ですがアドバイス頂けたら幸いです。
688 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/13(火) 01:17:17 ]: >>687
> これだと「 Can't contact LDAP server」というようなエラーになってしまいます。

「というような」じゃなくて、ldap_error()の返す文字列を正確に。
689 名前：名無しさん＠お腹いっぱい。 [2005/09/13(火) 01:36:04 ]: 202.184.38.107
690 名前：687 [2005/09/13(火) 18:02:01 ]: LDAP-Errno: 81
LDAP-Error: Can't contact LDAP server

こんな感じです。
691 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/13(火) 18:47:59 ]: LDAPサーバ側のログは見た？
できればログレベルを上げて
692 名前：名無しさん＠お腹いっぱい。 [2005/09/13(火) 21:20:57 ]: そんなのあるんですか。知りませんでした。
Windows Server2003です。
確かにあってもおかしくないですね。調べてみます。
693 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/14(水) 00:51:35 ]: >>690
「というような」じゃなくて、そのままだったわけか。

このエラーが出る時は、bindまでいっていません。
SSL handshakeも含めた接続の失敗。
もちろんまだ検索もしてないので、

> DC直下は検索できないのでしょうか？ユーザの権限のせいでしょうか？

ではありません。
サーバのログ観ても分からなければ、etherealでpacket captureすることをお勧めします。
694 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/14(水) 00:56:18 ]: そういやPHP4動いているマシンでldapsearchで試してみなよ。
695 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/14(水) 00:57:23 ]: Windowsなら板違いじゃね？
696 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/14(水) 01:26:05 ]: キニシナイ（AA略
697 名前：名無しさん＠お腹いっぱい。 [2005/09/16(金) 08:09:44 ]: PHPのLDAP関数では、Windows認証ってできますか？
DNを指定するのではなく…。
698 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/16(金) 09:50:26 ]: Windows認証って何やねん! (w
699 名前：名無しさん＠お腹いっぱい。 [2005/09/16(金) 10:17:35 ]: www.atmarkit.co.jp/fdotnet/aspnet/aspnet18/aspnet18_01.html
700 名前：名無しさん＠お腹いっぱい。 [2005/09/16(金) 10:57:19 ]: LDAP って「えるだっぷ」ってよむ？「えるでぃーえーぴぃ」？
701 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/16(金) 14:29:48 ]: えるだっぷでDNをしていしないってなんだよ
すれちがいいたちがいだろ
702 名前：名無しさん＠お腹いっぱい。 [2005/09/16(金) 23:14:32 ]: レベルの低い人は来ないでください
703 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/16(金) 23:19:55 ]: >>699
このスレで>>698の反応は正しい。
LDAP、左端の　|　にすら引っかからん。

www.microsoft.com/JAPAN/developer/library/jpiis/core/iiabasc.htm#challenge
704 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/17(土) 02:52:15 ]: >>702
ここはゆにっくす板のえるだっぷスレ(w
705 名前：名無しさん＠お腹いっぱい。 [2005/09/22(木) 20:04:15 ]: Ｏｐｅｎｌｄａｐで相互証明証明書使って暗号通信する
サンプルサイトとかないのかな
706 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/23(金) 09:11:34 ]: www.openldap.org/pub/ksoper/OpenLDAP_TLS_howto.html
707 名前：名無しさん＠お腹いっぱい。 [2005/09/24(土) 21:01:57 ]: すみません。

master :
replogfile /usr/local/openldap/var/slapd.replog
replica host=rep.test.net:389
binddn="cn=Replicator, ou=People, dc=somedomain, dc=net"
bindmethod=simple credentials=xxxxxx

slave :
updatedn "cn=Replicator, ou=People, dc=somedomain, dc=net"
updateref ldap://master.test.net

と設定して、
slurpd -f slapd.conf -d -1
として、起動したところ、うまくいきません。

Replica rep.test.net:389, skip repl record for xxxxxx (not mine)

原因は、slapd.replog にreplica:行が書き込まれていないことがわかりました。
replica:行を手で書いて、slurpdを起動するとうまくいきました。

どうすればreplica:行が書き込まれるのかお分かりの方お教え願います。

openldap-2.0.25です。
708 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/30(金) 07:02:26 ]: sambaのパスワードとsshログイン用のパスワードを
同じものを使うにはsmbldap-passwdを使うと思うのですが
Windowsクライアントから簡単にできる方法はありますか？
709 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/30(金) 13:07:31 ]: > Windowsクライアントから
PuttyやTeraTermでsshログインしてsmb.confとOpenLDAPの設定をする。
710 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/12(水) 01:51:37 ]: openldap で、コーユーことが出来るんじゃないかと思うんですが、
アホな上に知らんことが多すぎて苦戦中です。
「それ無理」か「ちゃんとやれば出来る」か、どっちか知ってる人
教えてくだされ。

【基本】
メールクライアントで使うアドレス帳サーバを作る。
但し、アドレス帳サーバを利用可能なパスワード（とID）ってものがある。
アドレス帳サーバの利用者は自分のパスワードをバラしたら殺されるという
ルールがあってこのルールは成立していると見なしてよい。

【だいたいの感じ】
LDAP参照できる大概のメールクライアントは、LDAPサーバの指定を
する欄に「バインド識別名」とかいうのがあるんで、こいつがIDに相当
すると思われる。
手元のサンダーバードで試した限りだと、バインド識別名を指定しておくと
確かにパスワードを聞いてくる。

【ここら辺が具合悪い】
アドレスサーバが提供するデータ（メルアドとか）は、
ou=data,dc=hoge みたいなところに格納して、
アドレスサーバが利用可能なユーザのマスタは
ou=user,dc=hoge みたいなところに格納して、
検索ベースは ou=data,dc=hoge
バインド識別子は cn=user01,ou=user,dc=hoge
とかにすりゃあええんじゃと思うんですが、、、
正解でしょうか？
そもそも無理な話なんだったら早々にあきらめたいとおもって。。。
711 名前：名無しさん＠お腹いっぱい。 [2005/10/13(木) 14:50:07 ]: inetOrgPerson、posixAccount オブジェクトクラスを使って
cn=user01,ou=user,dc=hoge
にメルアドとパスワードを持たせる。

で、どうよ？
712 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/13(木) 23:56:38 ]: いや、そういう話ではなくて、
「電話帳に載ってる人の集合」と「電話帳をみる権利のある人の集合」
を別々にしたいんです。
電話帳に載ってるけど自分では電話帳見れない人とか
電話帳に載ってて、自分もその電話帳見れる人とか
電話帳に自分は載ってないけど、電話帳みることは出来る人とか。。。
713 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 00:00:57 ]: 普通に出来るが、早々と諦めてはどうか?
714 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 01:29:23 ]: >712
おたく、コーユー仕事に向いてないと思うよ。
早々にあきらめたほがいいと思うよ。
715 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 01:56:39 ]: 別にお金貰ってやってる訳じゃないんですがw

色々やってみて、

ou=data,dc=hoge,dc=hoge
の下に cn=yamada とか cn=tanaka
とか作って、こいつらにはパスワードを持たせないで、

ou=user,dc=hoge,dc=hoge
の下に cn=taro とか cn=jiro
とか作って、こいつらにパスワード持たせると、
思ったよーになるんだけど、
やっぱ本当は slapd.conf に access <what> by <who> <access> を
さくっと定義したいんだけど。。。どーやってもうまく行かん。

かね貰ってやってる奴、５０万やるからここに答え書いてみろw
716 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 02:23:33 ]: >715
君ならやれるよ。
ガンバ！
717 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 02:24:16 ]: /etc/shadow に書いてあるような
$1$foo$bar
ってのを
{MD5}hogehoge
に変換する方法はありますか？
718 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 10:03:27 ]: {MD5}foobarで終了なんじゃないの?
719 名前：715 mailto:sage [2005/10/17(月) 12:10:53 ]: 　　　　　　　　　　　　　　　　　　　　 .∧､ｽﾁｬ　∧＿∧　　／￣￣￣￣￣￣￣￣￣￣
　　　　　　　　　　　　　　　　　　　／⌒ヽ＼　　（　ﾟ,_ゝﾟ）＜　お前はもう用なしだ
　　　　　　　　　　　　　　　　　　 |( ● )|　i＼／　　　　＼＼＿＿＿＿＿＿＿＿＿＿
　　　　　　　　　　　　　　　　　　＼＿ノ　^i | ./＼　　　/￣＼　
　　　　　　　　　　　　　　　　　　　　|＿|,-''iつl￣￣＼　/　ヽ　＼_
　　　　　∧＿∧　　　　　　　　　　[__|_|／〉￣￣￣￣￣￣　＼＿_）、
　　　／（´Д｀　）ヽ　　　　　　→　　　[ニニ〉＼　　　　　　　　　　　＼
　　ｍn´（＿（＿nｍ　　　　　　　　　　└―i'|＼||￣￣￣￣￣￣￣||￣
　￣￣￣ /＼　￣￣　　　　　　　　　　　　　||　 ||￣￣￣￣￣￣￣||
／￣￣￣　　￣￣￣￣￣￣＼　　　　　　　　 .||　　　　　　　　　　.||
|　　○○お願いします　　　　 |　　　　　　　　　　　　××後

　　　　　Before　　　　　　　　　　　　　　　　　After
720 名前：715(ほんもの) mailto:sage [2005/10/17(月) 19:56:09 ]: ttp://sapiens.wustl.edu/~sysmain/info/openldap/openldap_configure_acl.html

読んだらわかった。さくっとできたYO!
これで５０万は高いなw　５００円くらいか？
721 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/17(月) 19:59:47 ]: 715は sapiens.wustl.edu/~sysmain に50万支払うように。
722 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/17(月) 23:29:53 ]: >715
LDAPスキルあげる前に、ヒューマンスキルあげるのが先のようだなｗ

いや、マジで
723 名前：名無しさん＠お腹いっぱい。 [2005/10/18(火) 01:20:50 ]: とりあえず、

$ id test
uid=18000(test) gid=18000(test) groups=18000(test)

まで、できた、眠い、寝る
724 名前：名無しさん＠お腹いっぱい。 [2005/11/10(木) 00:48:25 ]: どうもです。
openldapやredhat directory serverには、active directoryの「権限委譲」みたいな機能ってあるのでしょうか？
たとえばある特定のouはそのouに所属するユーザーアカウントで追加も削除もできるとか、
そういう意味での「管理負荷の分散」が可能でしょうか？
725 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/10(木) 01:17:51 ]: >>724
どのDNによるアクセスにも、(つまりどのDNでbindしていても)
他の全てのDNに対する権限を設定できます。
非常に自由度が高いです。

www.redhat.com/docs/manuals/dir-server/ag/7.1/acl.html#997355

> ある特定のouは、

というのは以下の意味でしょうか?
uid=*,ou=People,dc=sub,dc=sample,dc=com という形でのワイルドカード指定が可能です。
主体の方(userdn=)も客体の方(target=)もです。

ちなみにOpenLDAPより、iPlanet起源のRed Hat～がお勧めです。
Fedora～ってのは無保証版なんでしょうかね?
directory.fedora.redhat.com/wiki/Main_Page

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef