[表示 : 全て 最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 05/18 01:27 / Filesize : 285 KB / Number-of Response : 969
[このスレッドの書き込みを削除する]
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧] [類似スレッド一覧]

↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

LDAPについて

1 名前:名無し君 [02/02/02 20:53]
語りましょう。
私は俺はこんなものまでLDAPで管理している等々。。

681 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/08/19(金) 08:55:43 ]
>>680
> Can't contact LDAP server

だと、TCPレベル、TLSレベルでの問題ですから、

> DN には cn=Manager とか Manager も試しましたが同じ結果でした。

は関係ないです。(ここが問題なら別のエラーになる)

etherealで調べてみては? etherealならある程度TLSも追えますから。



682 名前:674 mailto:sage [2005/08/27(土) 04:25:34 ]
ちょっと前に質問させていただいてからじたばたしていたのですが、
openldapのschema ディレクトリに勝手なファイルを置いたり、
そいつをslapd.confでincludeしてやったりすると、「問われているものへの答え」
が用意できるポイ感じを何となく把握しつつあります。
thunderbirdのアドレス帳(LDAPサーバが参照できます)で全部の欄に返事を
返せるように細工しようとしているんですが、

Aug 27 04:07:45 gw slapd[7326]: conn=1 op=1 SRCH attr=modifytimestamp
xmozillausehtmlmail description notes custom4 custom3 custom2 custom1
birthyear homeurl workurl nscpaimscreenname countryname company o
departmentnumber department orgunit ou title countryname zip postalcode
region st locality l streetaddress postofficebox carphone cellphone mobile
pagerphone pager facsimiletelephonenumber fax homephone
telephonenumber xmozillasecondemail mail xmozillanickname displayname
commonname cn surname sn givenname

てのをよく見ていただくと、countrynameてのが2つあります。
アドレス帳での項目としては、勤務先住所としての国名と自宅の国名と2つ
あるにはあるんですが、同じ属性名で問いかけるというのはやっぱこれは
thunderbird の不具合ですか?
それとも「順番」って概念があるのかな?

683 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/08/27(土) 07:16:43 ]
LDAPのobjectの属性空間はフラットです。

ちなみにthunderbirdのアドレス帳には、
勤務先/自宅のスイッチがありませんか? (つまり排他的)

684 名前:674 mailto:sage [2005/08/27(土) 23:39:12 ]
ちなみに、thunderbirdのアドレス帳には、
勤務先/自宅のスイッチはありません。
只で手に入るので、よければご自分でご確認くださいw

685 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/08/28(日) 05:28:00 ]
お前もソースくらい読め。

nsAbLDAPProperties.cppでcountrynameが二回出ているからだろ?
bStoreLocAsHomeは未だ実装途中らしいし、
そもそもHome関係は今だPropertyすら定義されてないな。
homeurl, homephoneなどを除いて。


686 名前:674 mailto:sage [2005/08/31(水) 00:19:45 ]
>>685
ほー そうでござったかw
ありがトン

687 名前:名無しさん@お腹いっぱい。 [2005/09/13(火) 00:36:52 ]
スレ違いだったらご容赦ください。
(PHP4でLDAPで情報を取ってくるプログラムなのですが)
階層は、
DC--root
|--CN=Admin
|--OU=Fruits
|----+-CN=orange
|----+-CN=apple
|----+-CN=banana
|--OU=Animal
|----+-CN=cat
|----+-CN=dog
|----+-CN=bird
このようになっています。

まず、LDAP接続は一応うまくいっています。($dsはコネクトID)
ldap_bind($ds, "CN=Admin,DC=root,DC=local", $password)

次に検索です。
$dn = "OU=Fruits,DC=root,DC=local";
$filter = "(CN=*)";
$sr=ldap_search($ds, $dn, $filter);
これだと、リストで「orange,apple,banana」が取れます。問題ありません。

しかし、
$dn = "DC=root,DC=local";
$filter = "(OU=*)";
$sr=ldap_search($ds, $dn, $filter);
これだと「 Can't contact LDAP server」というようなエラーになってしまいます。
期待するリストは「Fruits,Animal」です。
何が原因かわかりません。DC直下は検索できないのでしょうか?ユーザの権限のせいでしょうか?
長くなってしまい恐縮ですがアドバイス頂けたら幸いです。

688 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/09/13(火) 01:17:17 ]
>>687
> これだと「 Can't contact LDAP server」というようなエラーになってしまいます。

「というような」じゃなくて、ldap_error()の返す文字列を正確に。

689 名前:名無しさん@お腹いっぱい。 [2005/09/13(火) 01:36:04 ]
202.184.38.107



690 名前:687 [2005/09/13(火) 18:02:01 ]
LDAP-Errno: 81
LDAP-Error: Can't contact LDAP server

こんな感じです。

691 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/09/13(火) 18:47:59 ]
LDAPサーバ側のログは見た?
できればログレベルを上げて

692 名前:名無しさん@お腹いっぱい。 [2005/09/13(火) 21:20:57 ]
そんなのあるんですか。知りませんでした。
Windows Server2003です。
確かにあってもおかしくないですね。調べてみます。

693 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/09/14(水) 00:51:35 ]
>>690
「というような」じゃなくて、そのままだったわけか。

このエラーが出る時は、bindまでいっていません。
SSL handshakeも含めた接続の失敗。
もちろんまだ検索もしてないので、

> DC直下は検索できないのでしょうか?ユーザの権限のせいでしょうか?

ではありません。
サーバのログ観ても分からなければ、etherealでpacket captureすることをお勧めします。

694 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/09/14(水) 00:56:18 ]
そういやPHP4動いているマシンでldapsearchで試してみなよ。


695 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/09/14(水) 00:57:23 ]
Windowsなら板違いじゃね?

696 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/09/14(水) 01:26:05 ]
キニシナイ(AA略

697 名前:名無しさん@お腹いっぱい。 [2005/09/16(金) 08:09:44 ]
PHPのLDAP関数では、Windows認証ってできますか?
DNを指定するのではなく…。

698 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/09/16(金) 09:50:26 ]
Windows認証って何やねん! (w

699 名前:名無しさん@お腹いっぱい。 [2005/09/16(金) 10:17:35 ]
www.atmarkit.co.jp/fdotnet/aspnet/aspnet18/aspnet18_01.html



700 名前:名無しさん@お腹いっぱい。 [2005/09/16(金) 10:57:19 ]
LDAP って「えるだっぷ」ってよむ?「えるでぃーえーぴぃ」?

701 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/09/16(金) 14:29:48 ]
えるだっぷでDNをしていしないってなんだよ
すれちがいいたちがいだろ

702 名前:名無しさん@お腹いっぱい。 [2005/09/16(金) 23:14:32 ]
レベルの低い人は来ないでください

703 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/09/16(金) 23:19:55 ]
>>699
このスレで>>698の反応は正しい。
LDAP、左端の | にすら引っかからん。

www.microsoft.com/JAPAN/developer/library/jpiis/core/iiabasc.htm#challenge

704 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/09/17(土) 02:52:15 ]
>>702
ここはゆにっくす板のえるだっぷスレ(w

705 名前:名無しさん@お腹いっぱい。 [2005/09/22(木) 20:04:15 ]
Openldapで相互証明証明書使って暗号通信する
サンプルサイトとかないのかな

706 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/09/23(金) 09:11:34 ]
www.openldap.org/pub/ksoper/OpenLDAP_TLS_howto.html

707 名前:名無しさん@お腹いっぱい。 [2005/09/24(土) 21:01:57 ]
すみません。

master :
replogfile /usr/local/openldap/var/slapd.replog
replica host=rep.test.net:389
binddn="cn=Replicator, ou=People, dc=somedomain, dc=net"
bindmethod=simple credentials=xxxxxx

slave :
updatedn "cn=Replicator, ou=People, dc=somedomain, dc=net"
updateref ldap://master.test.net

と設定して、
slurpd -f slapd.conf -d -1
として、起動したところ、うまくいきません。

Replica rep.test.net:389, skip repl record for xxxxxx (not mine)

原因は、slapd.replog にreplica:行が書き込まれていないことがわかりました。
replica:行を手で書いて、slurpdを起動するとうまくいきました。

どうすればreplica:行が書き込まれるのかお分かりの方お教え願います。

openldap-2.0.25です。


708 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/09/30(金) 07:02:26 ]
sambaのパスワードとsshログイン用のパスワードを
同じものを使うにはsmbldap-passwdを使うと思うのですが
Windowsクライアントから簡単にできる方法はありますか?


709 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/09/30(金) 13:07:31 ]
> Windowsクライアントから
PuttyやTeraTermでsshログインしてsmb.confとOpenLDAPの設定をする。



710 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/10/12(水) 01:51:37 ]
openldap で、コーユーことが出来るんじゃないかと思うんですが、
アホな上に知らんことが多すぎて苦戦中です。
「それ無理」か「ちゃんとやれば出来る」か、どっちか知ってる人
教えてくだされ。

【基本】
メールクライアントで使うアドレス帳サーバを作る。
但し、アドレス帳サーバを利用可能なパスワード(とID)ってものがある。
アドレス帳サーバの利用者は自分のパスワードをバラしたら殺されるという
ルールがあってこのルールは成立していると見なしてよい。

【だいたいの感じ】
LDAP参照できる大概のメールクライアントは、LDAPサーバの指定を
する欄に「バインド識別名」とかいうのがあるんで、こいつがIDに相当
すると思われる。
手元のサンダーバードで試した限りだと、バインド識別名を指定しておくと
確かにパスワードを聞いてくる。

【ここら辺が具合悪い】
アドレスサーバが提供するデータ(メルアドとか)は、
ou=data,dc=hoge みたいなところに格納して、
アドレスサーバが利用可能なユーザのマスタは
ou=user,dc=hoge みたいなところに格納して、
検索ベースは ou=data,dc=hoge
バインド識別子は cn=user01,ou=user,dc=hoge
とかにすりゃあええんじゃと思うんですが、、、
正解でしょうか?
そもそも無理な話なんだったら早々にあきらめたいとおもって。。。

711 名前:名無しさん@お腹いっぱい。 [2005/10/13(木) 14:50:07 ]
inetOrgPerson、posixAccount オブジェクトクラスを使って
cn=user01,ou=user,dc=hoge
にメルアドとパスワードを持たせる。

で、どうよ?


712 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/10/13(木) 23:56:38 ]
いや、そういう話ではなくて、
「電話帳に載ってる人の集合」 と 「電話帳をみる権利のある人の集合」
を別々にしたいんです。
電話帳に載ってるけど自分では電話帳見れない人 とか
電話帳に載ってて、自分もその電話帳見れる人 とか
電話帳に自分は載ってないけど、電話帳みることは出来る人 とか。。。


713 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/10/14(金) 00:00:57 ]
普通に出来るが、早々と諦めてはどうか?

714 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/10/14(金) 01:29:23 ]
>712
おたく、コーユー仕事に向いてないと思うよ。
早々にあきらめたほがいいと思うよ。

715 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/10/14(金) 01:56:39 ]
別にお金貰ってやってる訳じゃないんですがw

色々やってみて、

ou=data,dc=hoge,dc=hoge
の下に cn=yamada とか cn=tanaka
とか作って、こいつらにはパスワードを持たせないで、

ou=user,dc=hoge,dc=hoge
の下に cn=taro とか cn=jiro
とか作って、こいつらにパスワード持たせると、
思ったよーになるんだけど、
やっぱ本当は slapd.conf に access <what> by <who> <access> を
さくっと定義したいんだけど。。。どーやってもうまく行かん。

かね貰ってやってる奴、50万やるからここに答え書いてみろw

716 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/10/14(金) 02:23:33 ]
>715
君ならやれるよ。
ガンバ!

717 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/10/14(金) 02:24:16 ]
/etc/shadow に書いてあるような
$1$foo$bar
ってのを
{MD5}hogehoge
に変換する方法はありますか?

718 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/10/14(金) 10:03:27 ]
{MD5}foobarで終了なんじゃないの?

719 名前:715 mailto:sage [2005/10/17(月) 12:10:53 ]
                      .∧、スチャ ∧_∧  / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
                   /⌒ヽ\  ( ゚,_ゝ゚) < お前はもう用なしだ
                    |( ● )| i\/     \\__________
                    \_ノ ^i | ./\   / ̄\ 
                    |_|,-''iつl ̄ ̄\ /  ヽ \_
     ∧_∧           [__|_|/〉 ̄ ̄ ̄ ̄ ̄ ̄ \__)、
   /(´Д` )ヽ      →   [ニニ〉 \            \
  mn´(_(_nm           └―i'|\|| ̄ ̄ ̄ ̄ ̄ ̄ ̄|| ̄
  ̄ ̄ ̄ /\  ̄ ̄             ||  || ̄ ̄ ̄ ̄ ̄ ̄ ̄||
/ ̄ ̄ ̄   ̄ ̄ ̄ ̄ ̄ ̄\          .||          .||
|  ○○お願いします     |            ××後

     Before                 After




720 名前:715(ほんもの) mailto:sage [2005/10/17(月) 19:56:09 ]
ttp://sapiens.wustl.edu/~sysmain/info/openldap/openldap_configure_acl.html

読んだらわかった。さくっとできたYO!
これで50万は高いなw 500円くらいか?


721 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/10/17(月) 19:59:47 ]
715は sapiens.wustl.edu/~sysmain に50万支払うように。

722 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/10/17(月) 23:29:53 ]
>715
LDAPスキルあげる前に、ヒューマンスキルあげるのが先のようだなw

いや、マジで

723 名前:名無しさん@お腹いっぱい。 [2005/10/18(火) 01:20:50 ]
とりあえず、

$ id test
uid=18000(test) gid=18000(test) groups=18000(test)

まで、できた、眠い、寝る

724 名前:名無しさん@お腹いっぱい。 [2005/11/10(木) 00:48:25 ]
どうもです。
openldapやredhat directory serverには、active directoryの「権限委譲」みたいな機能ってあるのでしょうか?
たとえばある特定のouはそのouに所属するユーザーアカウントで追加も削除もできるとか、
そういう意味での「管理負荷の分散」が可能でしょうか?


725 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/11/10(木) 01:17:51 ]
>>724
どのDNによるアクセスにも、(つまりどのDNでbindしていても)
他の全てのDNに対する権限を設定できます。
非常に自由度が高いです。

www.redhat.com/docs/manuals/dir-server/ag/7.1/acl.html#997355

> ある特定のouは、

というのは以下の意味でしょうか?
uid=*,ou=People,dc=sub,dc=sample,dc=com という形でのワイルドカード指定が可能です。
主体の方(userdn=)も客体の方(target=)もです。

ちなみにOpenLDAPより、iPlanet起源のRed Hat〜がお勧めです。
Fedora〜ってのは無保証版なんでしょうかね?
directory.fedora.redhat.com/wiki/Main_Page

726 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/11/10(木) 01:20:19 ]
>>725
> 非常に自由度が高いです。

ただアクセスコントロールモデルなので、
one-time rightのようなタイプの委譲は出来ませんが。
(Machのportにあるような)

727 名前:名無しさん@お腹いっぱい。 [2005/11/10(木) 23:58:33 ]
ありがとうございます。

>>725

> > ある特定のouは、
>
> というのは以下の意味でしょうか?
> uid=*,ou=People,dc=sub,dc=sample,dc=com という形でのワイルドカード指定が可能です。
> 主体の方(userdn=)も客体の方(target=)もです。
とすると、そのouの「管理者」なるものを任命して、
そのouに関する管理は押し付けることもできてしまいます?
そうすると上級の管理者にとって負担が減るので、とても助かるんです。

> ちなみにOpenLDAPより、iPlanet起源のRed Hat〜がお勧めです。
> Fedora〜ってのは無保証版なんでしょうかね?
> directory.fedora.redhat.com/wiki/Main_Page
これは実績あるのでしょうか?
ま、iPlanetという出自がすでに実績なのかもしれませんが、
SunJavaとはどういう関係なんでしょうね...


728 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/11/11(金) 07:03:36 ]
>>727
そのための階層構造、アクセスコントロールです。> 分散管理

Sun Javaは、iPlanet Directory Server→Sun 〜→Sun Java 〜という名前の変遷です。
iPlanetのLDAPサーバの分岐の一つです。Java 〜のLinux版もあります。
www.sun.com/software/products/directory_srvr_ee/index.xml

それぞれのドキュメントを眺めて貰うと分かりますが、iPlanet系は殆んど同じです。
Red HatのはNetscape Dir〜として実績のあるものです。

729 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/11/11(金) 07:08:52 ]
ちなみにアクセスコントロールしたい場合は、
アクセスコントロールルールの設定方法をよく検討して導入した方がいいです。
ルールを直接editするのが平気な人はなんでもいいと思うけれど、
GUIでやりたい人はちゃんとお金を出した製品を選びましょう。

私はLDIF編集/生成, Net::LDAP叩き派なのでその辺の製品情報は分かりません。
# iPlanetではルールを記述したaci属性を対象エントリに付ける。



730 名前:724/727 [2005/11/11(金) 07:51:18 ]
>>728
>>729
なるほどです。
参考にさせていただきます。
ありがとうございます。


731 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/11/17(木) 08:46:05 ]
Sun ONE Directory Server 5.1のSP4って、
SP3と違って、patch形式になってないなあ。
/usr/iplanet/ds5を指定すると、上書きだよ…
IPLT*なpackageの立場は一体?

732 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/11/18(金) 10:42:24 ]
docs.sun.comのマニュアルに
「LDAPサーバーをそのクライアントとして使用することはできない」
って書いてあるのですが、これってSolarisだけじゃなくて
一般的にそうなのでしょうか。

733 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/11/18(金) 10:48:35 ]
LDAPのクライアントにはなれるよ。
NSSを設定すると、鶏と卵問題が出てきて駄目。
ただし、マスターサーバ以外はマスタサーバを利用すれば問題なし。
一般的ではない。

734 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/11/18(金) 12:50:09 ]
NIS+ もそうだったね。移行しようとがんばったのずいぶん昔だなぁ...

735 名前:732 mailto:sage [2005/11/18(金) 13:29:48 ]
>>733
NSSでLDAPを使ってユーザとグループを一括管理しようと
思っていたのだけど、起動に必要なものはすべてfilesに
書いておいて、エンドユーザのユーザとグループだけ
LDAPに入れるのでもだめ?

736 名前:733 mailto:sage [2005/11/18(金) 15:34:36 ]
/etc/rc2.d/S71ldap.client
/etc/rc2.d/S72directory
なんで、この辺もいじる必要がありますよ。
S71, S72のrcの依存関係に注意する必要があります。

patchあてたり、色々面倒なんで、自分のところはLDAPサーバは専用に。

737 名前:732 mailto:sage [2005/11/18(金) 16:14:15 ]
>>736
thx。
結構いろいろ絡んでくるんですね。
専用LDAPサーバにします。

# 実はSolarisじゃなくてNetBSDなのです。

738 名前:733 mailto:sage [2005/11/19(土) 01:25:04 ]
>>737
え!? じゃあOpenLDAPなの?
NetBSDはまともにいじったことないけど楽勝だと思うよ。
iPlanetやSun Javaでも、Linuxだと問題ないし。

Solarisのクライアントサイドでのポリシーの問題だから。

739 名前:732 mailto:sage [2005/11/19(土) 02:24:47 ]
>>738
情報小出しでごめんなさい。

NetBSD + OpenLDAP + nss_ldap + pam_ldapなのです。

でもやっぱり専用LDAPサーバにします。



740 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/11/19(土) 08:52:49 ]
OpenLDAP、あんまり安定してないから気をつけてね。
NetBSDじゃ他に選択肢ないだろうから仕方ないけど。
データを毎日LDIFでバックアップ取っておいた方がいい。

741 名前:732 mailto:sage [2005/11/19(土) 11:21:16 ]
>>740 了解。


742 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/11/19(土) 11:26:38 ]
運用するなら>>551前後を読んどいた方がいいと思う。

743 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/11/19(土) 11:27:26 ]
LinuxエミュレータでiPlanetやRed Hatって選択肢はないのかね? > NetBSD

744 名前:732 mailto:sage [2005/11/19(土) 17:54:01 ]
「実はユーザが自分と妻の2人だけ」

とかいまさら言えない。

745 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/11/19(土) 20:57:28 ]
ああ、Enterprise用途ならば(ry

746 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/11/20(日) 05:39:08 ]
Tochan and Kachan Enterprise

747 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/11/24(木) 21:42:43 ]
現在LDAPサーバ構築に向けて現在勉強中です。
まだ完全に理解し切れていない点が有るのですが、一つ質問させて下さい。

サーバAとサーバBが有って、両方とも同じLDAPサーバを参照し、
objectClass: posixAccount を使い、認証を行っているとします。
その中にhogeとfugaのuid(アカウント)があるとします。

この時、サーバAにはhogeとfuga。サーバBにはhogeだけを認証させたい…
そんな場合、何処でアクセス制限(認証制限)をかける事になるのでしょうか?

まさかサーバ毎に
access to dn.base="uid=hoge,ou=Users,dc=exsample,dc=com"
by peername="192.168.1.1" read
by peername="192.168.1.2" read
access to dn.base="uid=fuga,ou=Users,dc=exsample,dc=com"
by peername="192.168.1.1" read
のように一つ一つ記述して行く必要が有るのでしょうか?

そもそも考え方が間違っている場合は参考になるサイトなどを
教えていただければ幸いです。よろしくお願い致します。


748 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/11/25(金) 11:49:42 ]
かなり異常な要求だから、列挙するしかないでしょ?

セキュリティ上、サーバ側で拒否する必要はなくて、
クライアント側で制限できればいいのなら、
NSS/PAMのldap.confでfilter書けばいいけども。

749 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/11/25(金) 12:00:31 ]
filterにかけるための属性を定義して、
サーバ側でアクセスコントロールのルールに使えばいい。

というか、↓はちゃんと読んでいるの?
www.openldap.org/doc/admin23/slapdconf2.html#Access%20Control



750 名前:ななし mailto:sage [2005/11/26(土) 06:13:23 ]
>>747
hostAttribute書いてサーバ側でフィルタするだけでも
良い気がするけど。


751 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/11/28(月) 11:10:18 ]
>>748-750
レスありがとうございました。
三つをそれぞれ詳しく調べてどれが最善かしっかりと考えてみようと思います。

また詰まった際はご教授いただけると幸いです。

752 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/11/28(月) 11:23:16 ]
>751
結果を発表していただけると幸いです。

753 名前:名無しさん@お腹いっぱい。 [2005/12/01(木) 16:48:55 ]
dn:< file:///tmp/xxx
といったURIスキームによる値を持つ属性を持ったエントリを追加しようとすると,
ldapmodify: invalid format (line x) entry: "......"
と言われてしまいます.

代わりに
dn: test
という値を持たせると問題ありませんでした.
また,別のマシンに同様のフォーマットによるエントリを追加したところ,
これも,問題ありませんでした.

もちろん /tmp/xxx は存在しています.
検索エンジンに「file:///」と入力しても「file」としてしか扱ってもらえず,
ヒントの探しようがなくて困っています.
何か考えられる原因はありますでしょうか.
よろしくお願いいたします.

754 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/01(木) 16:56:18 ]
どこのldapmodifyなのか、バージョンくらい書けばあ?

755 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/02(金) 01:11:02 ]
directory.fedora.redhat.com/wiki/FDS10Announcement

756 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/02(金) 11:41:29 ]
失礼しました.
OpenLDAP 2.3.11 のldapmodifyです.

757 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/02(金) 22:33:22 ]
OpenLDAPね。

>>753
dnは駄目。
attr: <file://パス名というformatで。空白は厳密に。


758 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/03(土) 13:14:46 ]
ネットワークセキュリティ Expert 3って雑誌にLDAPの話題がたくさん載ってた。
どこらへんがセキュリティなのかわからんけど。

759 名前:753 mailto:sage [2005/12/07(水) 10:48:05 ]
レス遅れまして,申し訳ありません.

>>757
レスありがとうございます.
formatをそのようにしたところ,ちゃんと読み込んでくれました.
手持ちの文献には, "dc:< file:///" と書かれており,
また,別のPCでは,そのformatで読み込んでくれたので,
全く気づきませんでした.
同じOpenLDAPなのに,違う動作をしたのが解せないのですが,
動いたからいいや,という感じです.

本当にありがとうございました.

あと dn: ではなく dc: でした.






760 名前:753 mailto:sage [2005/12/07(水) 11:33:25 ]
attr: <file://path にすると,
"<file://path" という文字列をbase64エンコーディングしたものが
値になってしまうんですけど……






761 名前:753 mailto:sage [2005/12/08(木) 16:17:05 ]
追加です.
attr:< file:///tmp/xxx
は,前述の通りで,未だエラーが返ってきます.

しかし, (current is /<dir>)
attr:< file://./../tmp/xxx
とすると,読み込んでくれました.

ちなみに
attr:< file://../tmp/xxx
では読み込んでくれませんでした.



762 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/10(土) 00:50:37 ]
>>758
Radiusやら、PKIやらに応用すれば、ネットワークセキュリティ話になるな。
さらにそれを応用した話にも繋がるし。
それを前提にした、LDAP話を持ち出しても、別におかしくはあるまい。

このスレの主流となるOpenLDAPとは、関連が薄そうなヨカーン

763 名前:758 [2005/12/10(土) 21:38:35 ]
>>762
RadiusやらPKIの話はないけど、OpenLDAPでUNIXアカウントとメールアカウント(qmail-ldap)
とOpenSSHの公開鍵とautofsのマップ定義管理してたよ。というか買った。
最後までLDIFを1回も書かないところが良かった。他にもSambaとかApacheとかとも
連携してるって書いたあったのでその話も気になった。
あと、証明書関連ってことで自己認証局の作り方も載っててちょっと得した気分。

でも、他の記事に比べると浮きまくりw。SSLやTLSを使ってるから有りなのか?
そんなわけでこのスレと一応関連するんでないかな。見かけたら見てみると良いよ。

764 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/13(火) 12:07:04 ]
先日の IW でも Security Day で
LDAP のセミナーがあったね。
internetweek.jp/program/shosai.asp?progid=T24

最近は NEC が samba 絡みでなんかやってるけど、
流行ってるんだろうかなあ?


765 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/13(火) 12:40:41 ]
NECは独自のLDAP製品持って、
マルチプラットフォーム連携やっている。

東大もMac OS Xに、NECのファイルサーバ、LDAPサーバじゃなかったかな。
前はWindows TSEも動かしていたし。

766 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/14(水) 04:40:26 ]
ちょうど同じようなネタが @IT に
www.atmarkit.co.jp/flinux/rensai/apache2_06/apache06a.html

肝心の LDAP の設定が殆どなんも書いてないや…

767 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/14(水) 07:30:41 ]
> ここでは本文に先行してLDAPのインストールまで行います。ただし、今回はイ
> ンストールを行うだけであり、設定については次回に解説します。


768 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/22(木) 22:07:23 ]
LDAPでLinuxマシンのユーザ認証を行わせる所まで出来ました。
次にldapに登録されているユーザでrootになれるユーザ(su 出来るユーザ)
を限定しようと考えているのですが、pamのwheelを使う方法で
上手く行きません。何か良いアドバイスを頂けませんでしょうか?

/etc/pam.d/su
+auth required /lib/security/pam_wheel.so group=wheel

/etc/login.defs
+SU_WHEEL_ONLY yes

/etc/group
+wheel:x:10:root,user1

変更点は以上の通りです。


769 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/23(金) 08:39:45 ]
sudoにしろ。
それからwheelグループをLDAP上に置かないならスレ違い。



770 名前:名無しさん@お腹いっぱい。 [2005/12/29(木) 01:40:01 ]
WindowsとLinuxのクライアントが混在した環境でログイン認証を統一したいと
思っているんですが、LDAPで可能でしょうか? 現在はWinではAcriveDirectory、
Linuxは各マシンごとにpasswdでやってます。

ネット上で探したところDCをWindowsでなくSambaでつくってやればできそうなのは
なんとなくわかりましたが、WindowsのDCでやらせるのは無理でしょうか?

771 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/29(木) 01:53:20 ]
無理じゃないが面倒くさい。たぶんおまえの手にはおえない。

772 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/29(木) 15:23:19 ]
ttp://www.google.co.jp/search?q=Active/Directory+linux

ググったらめちゃひっかかるやん。がんばれ

773 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/29(木) 15:57:56 ]
winbindでがんばる

774 名前:名無しさん@お腹いっぱい。 [2006/01/01(日) 00:19:50 ]
くだ質っぽいが質問させてください。
環境はFreeBSD6.0、portsからopenldap-sasl-server-2.3.11を入れました
いつの間にかslapdの起動にやたらと時間がかかるようになってしまいました
デバッグ情報を表示させてみたら
ldap_create
ldap_url_parse_ext(ldap://127.0.0.1)
ldap_create
ldap_url_parse_ext(ldap://127.0.0.1)
ldap_simple_bind
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP 127.0.0.1:389
ldap_new_socket: 9
ldap_prepare_socket: 9
ldap_connect_to_host: Trying 127.0.0.1:389
ldap_connect_timeout: fd: 9 tm: 30 async: 0
ldap_ndelay_on: 9
ldap_connect_timeout: timed out
ldap_close_socket: 9
ldap_unbind
とタイムアウトしてるようなんですが
何故タイムアウトしているのかよくわかりません

775 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/01/03(火) 19:49:59 ]
$ telnet 127.0.0.1 389

776 名前:774 mailto:sage [2006/01/09(月) 01:43:08 ]
nsswitch.confからldapを消したらタイムアウトしなくなった
slapdがlistenする前にnssを見に行ってるのだろうか
でも設定をいじった記憶も無いしなにがなんだか

777 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/01/09(月) 10:13:44 ]
hosts: files ldap

として、filesの方に最低限のhost記述がないから、
slapdが立ち上げ時に必要としているホスト名解決ができないんでしょ。

鶏卵問題ですな。(passwd, group, shadowかもしれませんが)

778 名前:初心者 [2006/01/16(月) 20:25:02 ]
NISからOpenLDAPに移行しようとしているのですが、
現在、UNIXにあるデータをLDAPと連携させるには
何を使えばいいですか?
ちなみにFreeBSD5.3を使っています。

やはり、nss_ldapとpam_ldapでしょうか?

779 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/01/16(月) 20:41:55 ]
>>778
> NISからOpenLDAPに移行しようとしているのですが、



> やはり、nss_ldapとpam_ldapでしょうか?

でいいとして、

> 現在、UNIXにあるデータをLDAPと連携させるには

というのは何? 何のデータ?



780 名前:初心者 mailto:sage [2006/01/16(月) 21:23:58 ]
レスありがとうございます。
データはUNIXユーザの情報です。
認証がかかったときに
そこに見に行くようにしたいのですが。


781 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/01/16(月) 21:29:08 ]
NISとの連携なのか、NISからの移行なのかはっきりして。

LDAPだけでいいなら、つまり完全移行なら、
NISからテキストデータベースを持ってきて、
migrationtoolでLDAPサーバに登録して。




[ 続きを読む ] / [ 携帯版 ]
前100 次100 最新50 [ このスレをブックマーク! 携帯に送る ] 2chのread.cgiへ
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧]( ´∀`)<285KB

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef