LDAPについて

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 05/18 01:27 / Filesize : 285 KB / Number-of Response : 969
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

LDAPについて

1 名前：名無し君 [02/02/02 20:53]: 語りましょう。
私は俺はこんなものまでLDAPで管理している等々。。
653 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/05(火) 22:24:46 ]: SSL有無(SSLのclient/server認証を含んで)は、
LDAPのオペレーションの可否と完全に直交です。

ところでLDAPの認証というとbindオペレーションであることは理解していますか?
また、bindオペレーションは様々な認証方法をサポートしていることをご存じですか?
このスレは最初から読みましたか?
654 名前：名無しさん＠お腹いっぱい。 [2005/07/06(水) 00:13:39 ]: OpenLDAPでback-sqlにしてると、BD側の定義めんどくさすぎません？
3点セット(posixAccount,shadowAccout,posixGroup)のDBでの設定、どっかに無いですかね？
655 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 08:49:36 ]: >>653
ありがとうございます。

SSLがなくてもLDAPでのユーザ認証は出来るということですよね？

> ところでLDAPの認証というとbindオペレーションであることは理解していますか?

このスレを見つけるまでは、
「要求された認証方法はサーバがサポートしていません」
とエラーになるのはSSLのせいかな？と考えていました。

しかし、このスレを最初から読んで【bindオペレーション】がキーで
あるような所までは理解できました。
そこで念のため確認をさせて頂いた次第です。

VS.NETのDirectoryEntryクラスではbindというメソッドは存在せず、
どのように置き換えて考えれば良いのか考えている所です。

SSLは関係が無いということで少しすっきりできました。
ありがとうございます。
656 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 09:22:04 ]: >>655
置き換えるちゅーか、中で何をやっているのか理解しないと。
それからドキュメントのコンストラクタの所くらい読んだ方がいいぞ。

msdn.microsoft.com/library/default.asp?url=/library/en-us/cpref/html/frlrfSystemDirectoryServicesDirectoryEntryClassctorTopic.asp
msdn.microsoft.com/library/default.asp?url=/library/en-us/cpref/html/frlrfSystemDirectoryServicesAuthenticationTypesClassTopic.asp
msdn.microsoft.com/library/default.asp?url=/library/en-us/cpref/html/frlrfsystemdirectoryservices.asp

後は相手がActive Directoryだと仮定した初期設定になっているのが注意かな。
(schemaやACLが)

AuthenticationTypes Enumerationのそれぞれが、
LDAP上だとどんなオペレーションになっているかはこのスレでいいと思うけど、
APIの使い方はWindows板だな。
657 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 09:22:30 ]: ADSIを直接叩くって手もあるけど、LDAPの勉強が必要だなー
658 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 10:46:49 ]: >>654
OpenLDAP-POSTGRESQL HOWTOが一番詳しいんじゃないかな。
完全な設定はないけどね。
659 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 18:53:03 ]: DirectoryEntry()の使い方について教えてください。

pathだけを指定した場合は成功するのですが、
username/passwordも指定すると、
「要求された認証方法はサーバがサポートしていません」
とエラーになります。

何か解決策はあるのでしょうか？
660 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/06(水) 21:26:11 ]: 取り合えずマニュアルを読んで、
AuthenticationTypes Enumeration
を理解しな。ただ使いたいだけならWindows板にでも行って。
661 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/08(金) 11:25:38 ]: ldapsearch(1)、
TLS_CACERTDIR /usr/share/ssl/certs/
を指定するととたんに遅くなるなあ。(たくさんCA certificateを抱えているため)

opensslみたいに/usr/share/ssl/certs/以下にあるhashを使って、
certificateを探すんじゃなくて、全てのファイルを読んでみるようだ…

$(OPENLDAP)/libraries/libldap/tls.cのget_ca_list()で、
SSL_load_client_CA_file()やってるなあ。
662 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/15(金) 20:49:59 ]: OpenLDAP の Backend を Mysql にしたら安定するかな？
速度とかはどうなんでしょうか？

使われている方はいらっしゃいますか？
663 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/07/28(木) 06:45:29 ]: Cisco Secure ACS と OpenLDAP を組み合わせて使っているかたは
いらっしゃいます？
664 名前：名無しさん＠お腹いっぱい。 [2005/08/09(火) 22:49:21 ]: ActiveDirectoryはLDAPを話せるという認識だったのですが
それは誤りなんでしょうか？
（ADもopenLDAPも外からみたら同じようにできると思ってました。）
わざわざADとLDAPを同期させるためのソフトもありますし。。
665 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/10(水) 02:23:22 ]: そうです。どちらもLDAP v3プロトコルです。
ただし、OSの利用しているLDAP schemaが違うのです。

つまり、各OSのユーザ、グループ、認証エンティティのデータ構造が違うのです。

UNIX群とWindowsが違うのはもちろん、Mac OS Xも違います。
ただし全般的にWindowsに歩み寄りをみせる方向のようです。
666 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/10(水) 03:13:53 ]: >>657
どうもありがとう御座います。

何でこんなことを質問したかと言うと、統合認証基盤としてLDAPサーバの導入を検討してるの
ですが、業者がSunOneDirectoryとADを導入してそれぞれをSUNのソフトで同期させるという
構成を提案してきたからなんです。
ADもLDAPを話せるのであれば、ADだけ導入してSunOneDirectoryは必要ないのではと
思ったのですが、何か事情があるのでしょうか？業者に聞いたところ、ADだけだとうまく外部と
連携ができない場合がある（具体的にはNISの統合だったかな？？）と言ってました。
ちょっと疑問を持つような回答だったのでここで質問させて頂きました。

ま、きちんとした提案書はまだなので、それをもらった段階で細かく確認するつもりですが。
667 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/10(水) 08:22:36 ]: >>666
> 何か事情があるのでしょうか？

>>665に書いたでしょ。

> 業者がSunOneDirectoryとADを導入してそれぞれをSUNのソフトで同期させるという
> 構成を提案してきたからなんです。

たぶん技術的にも信頼できる業者だと思います。
その構成以外にソリューションはないはずだし、そもそも運用できるところが少ないから。
668 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/12(金) 02:51:43 ]: >>667
うーん。自分、良くわかってないかも知れません。
スキーマが違くても外からうまく聞けば良いだけかと思ってました。
なのでLDAPプロトコルが話せればADでもなんとかなるのかなぁと。

>UNIX群とWindowsが違うのはもちろん、Mac OS Xも違います。
こうなのであれば、ADとSunOneDirectoryだけでは対応できない
（openLDAP　on OSXが必要な）場面もあるのでしょうか？
さらにそれらを同期して・・・。なんか難しいですね。

ADだけでLDAPサーバを賄えない事情があるんですね。もう少し勉強してみます。
669 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/12(金) 10:08:19 ]: はい、かなり知識不足だから、
もっとレイヤーの高いところで、何がやりてくて、何ができるのかということを、
業者の方に教えを乞いながら、詰めていった方がいいと思います。

LDAPプロトコルとかschemaとか、理解してないことをあれこれ云って、
背伸びしてもろくなことはないですよ。
670 名前：名無しさん＠お腹いっぱい。 mailto:ついつい揚げ足を...sage [2005/08/12(金) 13:55:31 ]: >>669
> LDAPプロトコル

背伸びは（・Ａ・）ｲｸﾅｲ!!
671 名前：668 mailto:sage [2005/08/12(金) 17:04:19 ]: WEBページを色々みてみました。

ttp://www.atmarkit.co.jp/fnetwork/rensai/dirt02/01.html
このページの下の方に
>　これらのデメリットにあげたような互換性の問題を解決する決定的な
>策はまだありません。対策としては、LDAPを利用するアプリケーションが
>LDAPを操作する時のオブジェクトクラスの指定や属性の指定を変更で
>きるように実装していくしかないでしょう。
とありますが、現段階では変更できないアプリが結構あるのでしょうか？

>スキーマが違くても外からうまく聞けば良いだけかと思ってました。
前にこう書いた時は、アプリ側で当たり前の様に変更できると思ってました。

アプリ側でサーバのLDAPスキーマに対応している必要があるということであってますか？
だとしたら現在アプリ側が対応しているLDAPスキーマで一番多いものは何なのでしょう？
672 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/12(金) 18:17:58 ]: あなたの場合、統合認証ということなので、
アプリだけの問題じゃなくて、OSの問題も含まれ、
そっちの方が大きいはずです。OSは書き換えられないですよね。
673 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/12(金) 18:52:56 ]: >>670の馬鹿っぷりに泣けた
674 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/16(火) 23:36:04 ]: openldap のサーバに名刺のデータを溜め込んで、マックの「アドレスブック」で
検索して利用している方、おられませんか？

マックの「アドレスブック」で検索をかけると；

Aug 16 23:18:01 gw slapd[23104]: conn=66 op=1 SRCH
attr=givenName sn cn mail telephoneNumber facsimileTelephoneNumber
o title ou buildingName street l st postalCode c jpegPhoto mobile co pager
destinationIndicator labeledURI IMHandle

とサーバのログにでるので、こんだけの種類のアトリビュートを
「アドレスブック」は表示可能なんだとおもうんですが、これらの名刺データを
ldapadd する方法がわかりません。
inetOrgPerson に含まれるアトリビュートを ldapadd することは出来るのですが、
例えば、buildingName を mail と同じ DN にぶっ込む方法がわかりません。。

なんか根本的にわかってないのかとも思ってますが。。。

何かヒントをくださいませんでしょうか。
675 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/17(水) 15:55:33 ]: > 674

RFC1274
676 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/17(水) 19:18:31 ]: >675

ヒントありがとうございます。
がんばってみますw
677 名前：名無しさん＠お腹いっぱい。 [2005/08/18(木) 06:55:15 ]: OpenLDAP2.3 ってどうなんでしょう？
2.2の方が安定しているのでしょうか？
678 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/18(木) 10:14:25 ]: >>674
buildingNameがどのObjectClassの属性か把握しておられるでしょうか?
また当該DNはそのObjectClassのオブジェクトでしょうか?
679 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/18(木) 10:15:20 ]: >>674
それからやってみて失敗したのだろうから、エラーメッセージを書いた方がいいのでは?

> inetOrgPerson に含まれるアトリビュートを ldapadd することは出来るのですが、
> 例えば、buildingName を mail と同じ DN にぶっ込む方法がわかりません。。
680 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/19(金) 08:29:44 ]: Directory Administrator を使ってる人はいますか？
使ってる人がいたら、どうやって設定すればいいか教えて下さい。

まず、ldapsearch -D "cn=Manager,dc=example,dc=com" -H ldaps://ldap.example.com -W では、まったく問題なくアクセスできています。しかし、以下の Profile Settings だと Can't contact LDAP server と言われて何もできません。

Server address: ldap.example.com:636
Security: Enable TLS on this connection をチェック
Search root: dc=example,dc=com
DN/User ID: cn=Manager,dc=example,dc=com
Password: *******

DN には cn=Manager とか Manager も試しましたが同じ結果でした。

サーバ側のログには

slapd[13821]: conn=2544 fd=23 ACCEPT from IP=w.x.y.z:41191 (IP=0.0.0.0:636)
slapd[13821]: conn=2544 fd=23 closed

とあって、アクセス自体はしているようですが、それ以上のことはしてないようです。
681 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/19(金) 08:55:43 ]: >>680
> Can't contact LDAP server

だと、TCPレベル、TLSレベルでの問題ですから、

> DN には cn=Manager とか Manager も試しましたが同じ結果でした。

は関係ないです。(ここが問題なら別のエラーになる)

etherealで調べてみては? etherealならある程度TLSも追えますから。
682 名前：674 mailto:sage [2005/08/27(土) 04:25:34 ]: ちょっと前に質問させていただいてからじたばたしていたのですが、
openldapのschema ディレクトリに勝手なファイルを置いたり、
そいつをslapd.confでincludeしてやったりすると、「問われているものへの答え」
が用意できるポイ感じを何となく把握しつつあります。
thunderbirdのアドレス帳(LDAPサーバが参照できます)で全部の欄に返事を
返せるように細工しようとしているんですが、

Aug 27 04:07:45 gw slapd[7326]: conn=1 op=1 SRCH attr=modifytimestamp
xmozillausehtmlmail description notes custom4 custom3 custom2 custom1
birthyear homeurl workurl nscpaimscreenname countryname company o
departmentnumber department orgunit ou title countryname zip postalcode
region st locality l streetaddress postofficebox carphone cellphone mobile
pagerphone pager facsimiletelephonenumber fax homephone
telephonenumber xmozillasecondemail mail xmozillanickname displayname
commonname cn surname sn givenname

てのをよく見ていただくと、countrynameてのが２つあります。
アドレス帳での項目としては、勤務先住所としての国名と自宅の国名と２つ
あるにはあるんですが、同じ属性名で問いかけるというのはやっぱこれは
thunderbird の不具合ですか？
それとも「順番」って概念があるのかな？
683 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/27(土) 07:16:43 ]: LDAPのobjectの属性空間はフラットです。

ちなみにthunderbirdのアドレス帳には、
勤務先/自宅のスイッチがありませんか? (つまり排他的)
684 名前：674 mailto:sage [2005/08/27(土) 23:39:12 ]: ちなみに、thunderbirdのアドレス帳には、
勤務先/自宅のスイッチはありません。
只で手に入るので、よければご自分でご確認くださいw
685 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/28(日) 05:28:00 ]: お前もソースくらい読め。

nsAbLDAPProperties.cppでcountrynameが二回出ているからだろ?
bStoreLocAsHomeは未だ実装途中らしいし、
そもそもHome関係は今だPropertyすら定義されてないな。
homeurl, homephoneなどを除いて。
686 名前：674 mailto:sage [2005/08/31(水) 00:19:45 ]: >>685
ほー　そうでござったかw
ありがトン
687 名前：名無しさん＠お腹いっぱい。 [2005/09/13(火) 00:36:52 ]: スレ違いだったらご容赦ください。
（PHP4でLDAPで情報を取ってくるプログラムなのですが）
階層は、
DC--root
|--CN=Admin
|--OU=Fruits
|----+-CN=orange
|----+-CN=apple
|----+-CN=banana
|--OU=Animal
|----+-CN=cat
|----+-CN=dog
|----+-CN=bird
このようになっています。

まず、LDAP接続は一応うまくいっています。（$dsはコネクトID）
ldap_bind($ds, "CN=Admin,DC=root,DC=local", $password)

次に検索です。
$dn = "OU=Fruits,DC=root,DC=local";
$filter = "(CN=*)";
$sr=ldap_search($ds, $dn, $filter);
これだと、リストで「orange,apple,banana」が取れます。問題ありません。

しかし、
$dn = "DC=root,DC=local";
$filter = "(OU=*)";
$sr=ldap_search($ds, $dn, $filter);
これだと「 Can't contact LDAP server」というようなエラーになってしまいます。
期待するリストは「Fruits,Animal」です。
何が原因かわかりません。DC直下は検索できないのでしょうか？ユーザの権限のせいでしょうか？
長くなってしまい恐縮ですがアドバイス頂けたら幸いです。
688 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/13(火) 01:17:17 ]: >>687
> これだと「 Can't contact LDAP server」というようなエラーになってしまいます。

「というような」じゃなくて、ldap_error()の返す文字列を正確に。
689 名前：名無しさん＠お腹いっぱい。 [2005/09/13(火) 01:36:04 ]: 202.184.38.107
690 名前：687 [2005/09/13(火) 18:02:01 ]: LDAP-Errno: 81
LDAP-Error: Can't contact LDAP server

こんな感じです。
691 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/13(火) 18:47:59 ]: LDAPサーバ側のログは見た？
できればログレベルを上げて
692 名前：名無しさん＠お腹いっぱい。 [2005/09/13(火) 21:20:57 ]: そんなのあるんですか。知りませんでした。
Windows Server2003です。
確かにあってもおかしくないですね。調べてみます。
693 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/14(水) 00:51:35 ]: >>690
「というような」じゃなくて、そのままだったわけか。

このエラーが出る時は、bindまでいっていません。
SSL handshakeも含めた接続の失敗。
もちろんまだ検索もしてないので、

> DC直下は検索できないのでしょうか？ユーザの権限のせいでしょうか？

ではありません。
サーバのログ観ても分からなければ、etherealでpacket captureすることをお勧めします。
694 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/14(水) 00:56:18 ]: そういやPHP4動いているマシンでldapsearchで試してみなよ。
695 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/14(水) 00:57:23 ]: Windowsなら板違いじゃね？
696 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/14(水) 01:26:05 ]: キニシナイ（AA略
697 名前：名無しさん＠お腹いっぱい。 [2005/09/16(金) 08:09:44 ]: PHPのLDAP関数では、Windows認証ってできますか？
DNを指定するのではなく…。
698 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/16(金) 09:50:26 ]: Windows認証って何やねん! (w
699 名前：名無しさん＠お腹いっぱい。 [2005/09/16(金) 10:17:35 ]: www.atmarkit.co.jp/fdotnet/aspnet/aspnet18/aspnet18_01.html
700 名前：名無しさん＠お腹いっぱい。 [2005/09/16(金) 10:57:19 ]: LDAP って「えるだっぷ」ってよむ？「えるでぃーえーぴぃ」？
701 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/16(金) 14:29:48 ]: えるだっぷでDNをしていしないってなんだよ
すれちがいいたちがいだろ
702 名前：名無しさん＠お腹いっぱい。 [2005/09/16(金) 23:14:32 ]: レベルの低い人は来ないでください
703 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/16(金) 23:19:55 ]: >>699
このスレで>>698の反応は正しい。
LDAP、左端の　|　にすら引っかからん。

www.microsoft.com/JAPAN/developer/library/jpiis/core/iiabasc.htm#challenge
704 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/17(土) 02:52:15 ]: >>702
ここはゆにっくす板のえるだっぷスレ(w
705 名前：名無しさん＠お腹いっぱい。 [2005/09/22(木) 20:04:15 ]: Ｏｐｅｎｌｄａｐで相互証明証明書使って暗号通信する
サンプルサイトとかないのかな
706 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/23(金) 09:11:34 ]: www.openldap.org/pub/ksoper/OpenLDAP_TLS_howto.html
707 名前：名無しさん＠お腹いっぱい。 [2005/09/24(土) 21:01:57 ]: すみません。

master :
replogfile /usr/local/openldap/var/slapd.replog
replica host=rep.test.net:389
binddn="cn=Replicator, ou=People, dc=somedomain, dc=net"
bindmethod=simple credentials=xxxxxx

slave :
updatedn "cn=Replicator, ou=People, dc=somedomain, dc=net"
updateref ldap://master.test.net

と設定して、
slurpd -f slapd.conf -d -1
として、起動したところ、うまくいきません。

Replica rep.test.net:389, skip repl record for xxxxxx (not mine)

原因は、slapd.replog にreplica:行が書き込まれていないことがわかりました。
replica:行を手で書いて、slurpdを起動するとうまくいきました。

どうすればreplica:行が書き込まれるのかお分かりの方お教え願います。

openldap-2.0.25です。
708 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/30(金) 07:02:26 ]: sambaのパスワードとsshログイン用のパスワードを
同じものを使うにはsmbldap-passwdを使うと思うのですが
Windowsクライアントから簡単にできる方法はありますか？
709 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/30(金) 13:07:31 ]: > Windowsクライアントから
PuttyやTeraTermでsshログインしてsmb.confとOpenLDAPの設定をする。
710 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/12(水) 01:51:37 ]: openldap で、コーユーことが出来るんじゃないかと思うんですが、
アホな上に知らんことが多すぎて苦戦中です。
「それ無理」か「ちゃんとやれば出来る」か、どっちか知ってる人
教えてくだされ。

【基本】
メールクライアントで使うアドレス帳サーバを作る。
但し、アドレス帳サーバを利用可能なパスワード（とID）ってものがある。
アドレス帳サーバの利用者は自分のパスワードをバラしたら殺されるという
ルールがあってこのルールは成立していると見なしてよい。

【だいたいの感じ】
LDAP参照できる大概のメールクライアントは、LDAPサーバの指定を
する欄に「バインド識別名」とかいうのがあるんで、こいつがIDに相当
すると思われる。
手元のサンダーバードで試した限りだと、バインド識別名を指定しておくと
確かにパスワードを聞いてくる。

【ここら辺が具合悪い】
アドレスサーバが提供するデータ（メルアドとか）は、
ou=data,dc=hoge みたいなところに格納して、
アドレスサーバが利用可能なユーザのマスタは
ou=user,dc=hoge みたいなところに格納して、
検索ベースは ou=data,dc=hoge
バインド識別子は cn=user01,ou=user,dc=hoge
とかにすりゃあええんじゃと思うんですが、、、
正解でしょうか？
そもそも無理な話なんだったら早々にあきらめたいとおもって。。。
711 名前：名無しさん＠お腹いっぱい。 [2005/10/13(木) 14:50:07 ]: inetOrgPerson、posixAccount オブジェクトクラスを使って
cn=user01,ou=user,dc=hoge
にメルアドとパスワードを持たせる。

で、どうよ？
712 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/13(木) 23:56:38 ]: いや、そういう話ではなくて、
「電話帳に載ってる人の集合」と「電話帳をみる権利のある人の集合」
を別々にしたいんです。
電話帳に載ってるけど自分では電話帳見れない人とか
電話帳に載ってて、自分もその電話帳見れる人とか
電話帳に自分は載ってないけど、電話帳みることは出来る人とか。。。
713 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 00:00:57 ]: 普通に出来るが、早々と諦めてはどうか?
714 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 01:29:23 ]: >712
おたく、コーユー仕事に向いてないと思うよ。
早々にあきらめたほがいいと思うよ。
715 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 01:56:39 ]: 別にお金貰ってやってる訳じゃないんですがw

色々やってみて、

ou=data,dc=hoge,dc=hoge
の下に cn=yamada とか cn=tanaka
とか作って、こいつらにはパスワードを持たせないで、

ou=user,dc=hoge,dc=hoge
の下に cn=taro とか cn=jiro
とか作って、こいつらにパスワード持たせると、
思ったよーになるんだけど、
やっぱ本当は slapd.conf に access <what> by <who> <access> を
さくっと定義したいんだけど。。。どーやってもうまく行かん。

かね貰ってやってる奴、５０万やるからここに答え書いてみろw
716 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 02:23:33 ]: >715
君ならやれるよ。
ガンバ！
717 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 02:24:16 ]: /etc/shadow に書いてあるような
$1$foo$bar
ってのを
{MD5}hogehoge
に変換する方法はありますか？
718 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 10:03:27 ]: {MD5}foobarで終了なんじゃないの?
719 名前：715 mailto:sage [2005/10/17(月) 12:10:53 ]: 　　　　　　　　　　　　　　　　　　　　 .∧､ｽﾁｬ　∧＿∧　　／￣￣￣￣￣￣￣￣￣￣
　　　　　　　　　　　　　　　　　　　／⌒ヽ＼　　（　ﾟ,_ゝﾟ）＜　お前はもう用なしだ
　　　　　　　　　　　　　　　　　　 |( ● )|　i＼／　　　　＼＼＿＿＿＿＿＿＿＿＿＿
　　　　　　　　　　　　　　　　　　＼＿ノ　^i | ./＼　　　/￣＼　
　　　　　　　　　　　　　　　　　　　　|＿|,-''iつl￣￣＼　/　ヽ　＼_
　　　　　∧＿∧　　　　　　　　　　[__|_|／〉￣￣￣￣￣￣　＼＿_）、
　　　／（´Д｀　）ヽ　　　　　　→　　　[ニニ〉＼　　　　　　　　　　　＼
　　ｍn´（＿（＿nｍ　　　　　　　　　　└―i'|＼||￣￣￣￣￣￣￣||￣
　￣￣￣ /＼　￣￣　　　　　　　　　　　　　||　 ||￣￣￣￣￣￣￣||
／￣￣￣　　￣￣￣￣￣￣＼　　　　　　　　 .||　　　　　　　　　　.||
|　　○○お願いします　　　　 |　　　　　　　　　　　　××後

　　　　　Before　　　　　　　　　　　　　　　　　After
720 名前：715(ほんもの) mailto:sage [2005/10/17(月) 19:56:09 ]: ttp://sapiens.wustl.edu/~sysmain/info/openldap/openldap_configure_acl.html

読んだらわかった。さくっとできたYO!
これで５０万は高いなw　５００円くらいか？
721 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/17(月) 19:59:47 ]: 715は sapiens.wustl.edu/~sysmain に50万支払うように。
722 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/17(月) 23:29:53 ]: >715
LDAPスキルあげる前に、ヒューマンスキルあげるのが先のようだなｗ

いや、マジで
723 名前：名無しさん＠お腹いっぱい。 [2005/10/18(火) 01:20:50 ]: とりあえず、

$ id test
uid=18000(test) gid=18000(test) groups=18000(test)

まで、できた、眠い、寝る
724 名前：名無しさん＠お腹いっぱい。 [2005/11/10(木) 00:48:25 ]: どうもです。
openldapやredhat directory serverには、active directoryの「権限委譲」みたいな機能ってあるのでしょうか？
たとえばある特定のouはそのouに所属するユーザーアカウントで追加も削除もできるとか、
そういう意味での「管理負荷の分散」が可能でしょうか？
725 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/10(木) 01:17:51 ]: >>724
どのDNによるアクセスにも、(つまりどのDNでbindしていても)
他の全てのDNに対する権限を設定できます。
非常に自由度が高いです。

www.redhat.com/docs/manuals/dir-server/ag/7.1/acl.html#997355

> ある特定のouは、

というのは以下の意味でしょうか?
uid=*,ou=People,dc=sub,dc=sample,dc=com という形でのワイルドカード指定が可能です。
主体の方(userdn=)も客体の方(target=)もです。

ちなみにOpenLDAPより、iPlanet起源のRed Hat～がお勧めです。
Fedora～ってのは無保証版なんでしょうかね?
directory.fedora.redhat.com/wiki/Main_Page
726 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/10(木) 01:20:19 ]: >>725
> 非常に自由度が高いです。

ただアクセスコントロールモデルなので、
one-time rightのようなタイプの委譲は出来ませんが。
(Machのportにあるような)
727 名前：名無しさん＠お腹いっぱい。 [2005/11/10(木) 23:58:33 ]: ありがとうございます。

>>725

> > ある特定のouは、
>
> というのは以下の意味でしょうか?
> uid=*,ou=People,dc=sub,dc=sample,dc=com という形でのワイルドカード指定が可能です。
> 主体の方(userdn=)も客体の方(target=)もです。
とすると、そのouの「管理者」なるものを任命して、
そのouに関する管理は押し付けることもできてしまいます？
そうすると上級の管理者にとって負担が減るので、とても助かるんです。

> ちなみにOpenLDAPより、iPlanet起源のRed Hat～がお勧めです。
> Fedora～ってのは無保証版なんでしょうかね?
> directory.fedora.redhat.com/wiki/Main_Page
これは実績あるのでしょうか？
ま、iPlanetという出自がすでに実績なのかもしれませんが、
SunJavaとはどういう関係なんでしょうね...
728 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/11(金) 07:03:36 ]: >>727
そのための階層構造、アクセスコントロールです。> 分散管理

Sun Javaは、iPlanet Directory Server→Sun ～→Sun Java ～という名前の変遷です。
iPlanetのLDAPサーバの分岐の一つです。Java ～のLinux版もあります。
www.sun.com/software/products/directory_srvr_ee/index.xml

それぞれのドキュメントを眺めて貰うと分かりますが、iPlanet系は殆んど同じです。
Red HatのはNetscape Dir～として実績のあるものです。
729 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/11(金) 07:08:52 ]: ちなみにアクセスコントロールしたい場合は、
アクセスコントロールルールの設定方法をよく検討して導入した方がいいです。
ルールを直接editするのが平気な人はなんでもいいと思うけれど、
GUIでやりたい人はちゃんとお金を出した製品を選びましょう。

私はLDIF編集/生成, Net::LDAP叩き派なのでその辺の製品情報は分かりません。
# iPlanetではルールを記述したaci属性を対象エントリに付ける。
730 名前：724/727 [2005/11/11(金) 07:51:18 ]: >>728
>>729
なるほどです。
参考にさせていただきます。
ありがとうございます。
731 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/17(木) 08:46:05 ]: Sun ONE Directory Server 5.1のSP4って、
SP3と違って、patch形式になってないなあ。
/usr/iplanet/ds5を指定すると、上書きだよ…
IPLT*なpackageの立場は一体?
732 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/18(金) 10:42:24 ]: docs.sun.comのマニュアルに
「LDAPサーバーをそのクライアントとして使用することはできない」
って書いてあるのですが、これってSolarisだけじゃなくて
一般的にそうなのでしょうか。
733 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/18(金) 10:48:35 ]: LDAPのクライアントにはなれるよ。
NSSを設定すると、鶏と卵問題が出てきて駄目。
ただし、マスターサーバ以外はマスタサーバを利用すれば問題なし。
一般的ではない。
734 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/18(金) 12:50:09 ]: NIS+ もそうだったね。移行しようとがんばったのずいぶん昔だなぁ...
735 名前：732 mailto:sage [2005/11/18(金) 13:29:48 ]: >>733
NSSでLDAPを使ってユーザとグループを一括管理しようと
思っていたのだけど、起動に必要なものはすべてfilesに
書いておいて、エンドユーザのユーザとグループだけ
LDAPに入れるのでもだめ?
736 名前：733 mailto:sage [2005/11/18(金) 15:34:36 ]: /etc/rc2.d/S71ldap.client
/etc/rc2.d/S72directory
なんで、この辺もいじる必要がありますよ。
S71, S72のrcの依存関係に注意する必要があります。

patchあてたり、色々面倒なんで、自分のところはLDAPサーバは専用に。
737 名前：732 mailto:sage [2005/11/18(金) 16:14:15 ]: >>736
thx。
結構いろいろ絡んでくるんですね。
専用LDAPサーバにします。

# 実はSolarisじゃなくてNetBSDなのです。
738 名前：733 mailto:sage [2005/11/19(土) 01:25:04 ]: >>737
え!? じゃあOpenLDAPなの?
NetBSDはまともにいじったことないけど楽勝だと思うよ。
iPlanetやSun Javaでも、Linuxだと問題ないし。

Solarisのクライアントサイドでのポリシーの問題だから。
739 名前：732 mailto:sage [2005/11/19(土) 02:24:47 ]: >>738
情報小出しでごめんなさい。

NetBSD + OpenLDAP + nss_ldap + pam_ldapなのです。

でもやっぱり専用LDAPサーバにします。
740 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/19(土) 08:52:49 ]: OpenLDAP、あんまり安定してないから気をつけてね。
NetBSDじゃ他に選択肢ないだろうから仕方ないけど。
データを毎日LDIFでバックアップ取っておいた方がいい。
741 名前：732 mailto:sage [2005/11/19(土) 11:21:16 ]: >>740 了解。
742 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/19(土) 11:26:38 ]: 運用するなら>>551前後を読んどいた方がいいと思う。
743 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/19(土) 11:27:26 ]: LinuxエミュレータでiPlanetやRed Hatって選択肢はないのかね? > NetBSD
744 名前：732 mailto:sage [2005/11/19(土) 17:54:01 ]: 「実はユーザが自分と妻の2人だけ」

とかいまさら言えない。
745 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/19(土) 20:57:28 ]: ああ、Enterprise用途ならば(ry
746 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/20(日) 05:39:08 ]: Tochan and Kachan Enterprise
747 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/24(木) 21:42:43 ]: 現在LDAPサーバ構築に向けて現在勉強中です。
まだ完全に理解し切れていない点が有るのですが、一つ質問させて下さい。

サーバAとサーバBが有って、両方とも同じLDAPサーバを参照し、
objectClass: posixAccount を使い、認証を行っているとします。
その中にhogeとfugaのuid（アカウント）があるとします。

この時、サーバAにはhogeとfuga。サーバBにはhogeだけを認証させたい…
そんな場合、何処でアクセス制限（認証制限）をかける事になるのでしょうか？

まさかサーバ毎に
access to dn.base="uid=hoge,ou=Users,dc=exsample,dc=com"
by peername="192.168.1.1" read
by peername="192.168.1.2" read
access to dn.base="uid=fuga,ou=Users,dc=exsample,dc=com"
by peername="192.168.1.1" read
のように一つ一つ記述して行く必要が有るのでしょうか？

そもそも考え方が間違っている場合は参考になるサイトなどを
教えていただければ幸いです。よろしくお願い致します。
748 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/25(金) 11:49:42 ]: かなり異常な要求だから、列挙するしかないでしょ?

セキュリティ上、サーバ側で拒否する必要はなくて、
クライアント側で制限できればいいのなら、
NSS/PAMのldap.confでfilter書けばいいけども。
749 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/25(金) 12:00:31 ]: filterにかけるための属性を定義して、
サーバ側でアクセスコントロールのルールに使えばいい。

というか、↓はちゃんと読んでいるの?
www.openldap.org/doc/admin23/slapdconf2.html#Access%20Control
750 名前：ななし mailto:sage [2005/11/26(土) 06:13:23 ]: >>747
hostAttribute書いてサーバ側でフィルタするだけでも
良い気がするけど。
751 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/28(月) 11:10:18 ]: >>748-750
レスありがとうございました。
三つをそれぞれ詳しく調べてどれが最善かしっかりと考えてみようと思います。

また詰まった際はご教授いただけると幸いです。
752 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/28(月) 11:23:16 ]: >751
結果を発表していただけると幸いです。
753 名前：名無しさん＠お腹いっぱい。 [2005/12/01(木) 16:48:55 ]: dn:< file:///tmp/xxx
といったURIスキームによる値を持つ属性を持ったエントリを追加しようとすると,
ldapmodify: invalid format (line x) entry: "......"
と言われてしまいます.

代わりに
dn: test
という値を持たせると問題ありませんでした.
また,別のマシンに同様のフォーマットによるエントリを追加したところ,
これも,問題ありませんでした.

もちろん /tmp/xxx は存在しています.
検索エンジンに「file:///」と入力しても「file」としてしか扱ってもらえず,
ヒントの探しようがなくて困っています.
何か考えられる原因はありますでしょうか.
よろしくお願いいたします.

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef