LDAPについて

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 05/18 01:27 / Filesize : 285 KB / Number-of Response : 969
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

LDAPについて

1 名前：名無し君 [02/02/02 20:53]: 語りましょう。
私は俺はこんなものまでLDAPで管理している等々。。
685 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/28(日) 05:28:00 ]: お前もソースくらい読め。

nsAbLDAPProperties.cppでcountrynameが二回出ているからだろ?
bStoreLocAsHomeは未だ実装途中らしいし、
そもそもHome関係は今だPropertyすら定義されてないな。
homeurl, homephoneなどを除いて。
686 名前：674 mailto:sage [2005/08/31(水) 00:19:45 ]: >>685
ほー　そうでござったかw
ありがトン
687 名前：名無しさん＠お腹いっぱい。 [2005/09/13(火) 00:36:52 ]: スレ違いだったらご容赦ください。
（PHP4でLDAPで情報を取ってくるプログラムなのですが）
階層は、
DC--root
|--CN=Admin
|--OU=Fruits
|----+-CN=orange
|----+-CN=apple
|----+-CN=banana
|--OU=Animal
|----+-CN=cat
|----+-CN=dog
|----+-CN=bird
このようになっています。

まず、LDAP接続は一応うまくいっています。（$dsはコネクトID）
ldap_bind($ds, "CN=Admin,DC=root,DC=local", $password)

次に検索です。
$dn = "OU=Fruits,DC=root,DC=local";
$filter = "(CN=*)";
$sr=ldap_search($ds, $dn, $filter);
これだと、リストで「orange,apple,banana」が取れます。問題ありません。

しかし、
$dn = "DC=root,DC=local";
$filter = "(OU=*)";
$sr=ldap_search($ds, $dn, $filter);
これだと「 Can't contact LDAP server」というようなエラーになってしまいます。
期待するリストは「Fruits,Animal」です。
何が原因かわかりません。DC直下は検索できないのでしょうか？ユーザの権限のせいでしょうか？
長くなってしまい恐縮ですがアドバイス頂けたら幸いです。
688 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/13(火) 01:17:17 ]: >>687
> これだと「 Can't contact LDAP server」というようなエラーになってしまいます。

「というような」じゃなくて、ldap_error()の返す文字列を正確に。
689 名前：名無しさん＠お腹いっぱい。 [2005/09/13(火) 01:36:04 ]: 202.184.38.107
690 名前：687 [2005/09/13(火) 18:02:01 ]: LDAP-Errno: 81
LDAP-Error: Can't contact LDAP server

こんな感じです。
691 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/13(火) 18:47:59 ]: LDAPサーバ側のログは見た？
できればログレベルを上げて
692 名前：名無しさん＠お腹いっぱい。 [2005/09/13(火) 21:20:57 ]: そんなのあるんですか。知りませんでした。
Windows Server2003です。
確かにあってもおかしくないですね。調べてみます。
693 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/14(水) 00:51:35 ]: >>690
「というような」じゃなくて、そのままだったわけか。

このエラーが出る時は、bindまでいっていません。
SSL handshakeも含めた接続の失敗。
もちろんまだ検索もしてないので、

> DC直下は検索できないのでしょうか？ユーザの権限のせいでしょうか？

ではありません。
サーバのログ観ても分からなければ、etherealでpacket captureすることをお勧めします。
694 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/14(水) 00:56:18 ]: そういやPHP4動いているマシンでldapsearchで試してみなよ。
695 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/14(水) 00:57:23 ]: Windowsなら板違いじゃね？
696 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/14(水) 01:26:05 ]: キニシナイ（AA略
697 名前：名無しさん＠お腹いっぱい。 [2005/09/16(金) 08:09:44 ]: PHPのLDAP関数では、Windows認証ってできますか？
DNを指定するのではなく…。
698 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/16(金) 09:50:26 ]: Windows認証って何やねん! (w
699 名前：名無しさん＠お腹いっぱい。 [2005/09/16(金) 10:17:35 ]: www.atmarkit.co.jp/fdotnet/aspnet/aspnet18/aspnet18_01.html
700 名前：名無しさん＠お腹いっぱい。 [2005/09/16(金) 10:57:19 ]: LDAP って「えるだっぷ」ってよむ？「えるでぃーえーぴぃ」？
701 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/16(金) 14:29:48 ]: えるだっぷでDNをしていしないってなんだよ
すれちがいいたちがいだろ
702 名前：名無しさん＠お腹いっぱい。 [2005/09/16(金) 23:14:32 ]: レベルの低い人は来ないでください
703 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/16(金) 23:19:55 ]: >>699
このスレで>>698の反応は正しい。
LDAP、左端の　|　にすら引っかからん。

www.microsoft.com/JAPAN/developer/library/jpiis/core/iiabasc.htm#challenge
704 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/17(土) 02:52:15 ]: >>702
ここはゆにっくす板のえるだっぷスレ(w
705 名前：名無しさん＠お腹いっぱい。 [2005/09/22(木) 20:04:15 ]: Ｏｐｅｎｌｄａｐで相互証明証明書使って暗号通信する
サンプルサイトとかないのかな
706 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/23(金) 09:11:34 ]: www.openldap.org/pub/ksoper/OpenLDAP_TLS_howto.html
707 名前：名無しさん＠お腹いっぱい。 [2005/09/24(土) 21:01:57 ]: すみません。

master :
replogfile /usr/local/openldap/var/slapd.replog
replica host=rep.test.net:389
binddn="cn=Replicator, ou=People, dc=somedomain, dc=net"
bindmethod=simple credentials=xxxxxx

slave :
updatedn "cn=Replicator, ou=People, dc=somedomain, dc=net"
updateref ldap://master.test.net

と設定して、
slurpd -f slapd.conf -d -1
として、起動したところ、うまくいきません。

Replica rep.test.net:389, skip repl record for xxxxxx (not mine)

原因は、slapd.replog にreplica:行が書き込まれていないことがわかりました。
replica:行を手で書いて、slurpdを起動するとうまくいきました。

どうすればreplica:行が書き込まれるのかお分かりの方お教え願います。

openldap-2.0.25です。
708 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/30(金) 07:02:26 ]: sambaのパスワードとsshログイン用のパスワードを
同じものを使うにはsmbldap-passwdを使うと思うのですが
Windowsクライアントから簡単にできる方法はありますか？
709 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/30(金) 13:07:31 ]: > Windowsクライアントから
PuttyやTeraTermでsshログインしてsmb.confとOpenLDAPの設定をする。
710 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/12(水) 01:51:37 ]: openldap で、コーユーことが出来るんじゃないかと思うんですが、
アホな上に知らんことが多すぎて苦戦中です。
「それ無理」か「ちゃんとやれば出来る」か、どっちか知ってる人
教えてくだされ。

【基本】
メールクライアントで使うアドレス帳サーバを作る。
但し、アドレス帳サーバを利用可能なパスワード（とID）ってものがある。
アドレス帳サーバの利用者は自分のパスワードをバラしたら殺されるという
ルールがあってこのルールは成立していると見なしてよい。

【だいたいの感じ】
LDAP参照できる大概のメールクライアントは、LDAPサーバの指定を
する欄に「バインド識別名」とかいうのがあるんで、こいつがIDに相当
すると思われる。
手元のサンダーバードで試した限りだと、バインド識別名を指定しておくと
確かにパスワードを聞いてくる。

【ここら辺が具合悪い】
アドレスサーバが提供するデータ（メルアドとか）は、
ou=data,dc=hoge みたいなところに格納して、
アドレスサーバが利用可能なユーザのマスタは
ou=user,dc=hoge みたいなところに格納して、
検索ベースは ou=data,dc=hoge
バインド識別子は cn=user01,ou=user,dc=hoge
とかにすりゃあええんじゃと思うんですが、、、
正解でしょうか？
そもそも無理な話なんだったら早々にあきらめたいとおもって。。。
711 名前：名無しさん＠お腹いっぱい。 [2005/10/13(木) 14:50:07 ]: inetOrgPerson、posixAccount オブジェクトクラスを使って
cn=user01,ou=user,dc=hoge
にメルアドとパスワードを持たせる。

で、どうよ？
712 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/13(木) 23:56:38 ]: いや、そういう話ではなくて、
「電話帳に載ってる人の集合」と「電話帳をみる権利のある人の集合」
を別々にしたいんです。
電話帳に載ってるけど自分では電話帳見れない人とか
電話帳に載ってて、自分もその電話帳見れる人とか
電話帳に自分は載ってないけど、電話帳みることは出来る人とか。。。
713 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 00:00:57 ]: 普通に出来るが、早々と諦めてはどうか?
714 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 01:29:23 ]: >712
おたく、コーユー仕事に向いてないと思うよ。
早々にあきらめたほがいいと思うよ。
715 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 01:56:39 ]: 別にお金貰ってやってる訳じゃないんですがw

色々やってみて、

ou=data,dc=hoge,dc=hoge
の下に cn=yamada とか cn=tanaka
とか作って、こいつらにはパスワードを持たせないで、

ou=user,dc=hoge,dc=hoge
の下に cn=taro とか cn=jiro
とか作って、こいつらにパスワード持たせると、
思ったよーになるんだけど、
やっぱ本当は slapd.conf に access <what> by <who> <access> を
さくっと定義したいんだけど。。。どーやってもうまく行かん。

かね貰ってやってる奴、５０万やるからここに答え書いてみろw
716 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 02:23:33 ]: >715
君ならやれるよ。
ガンバ！
717 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 02:24:16 ]: /etc/shadow に書いてあるような
$1$foo$bar
ってのを
{MD5}hogehoge
に変換する方法はありますか？
718 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 10:03:27 ]: {MD5}foobarで終了なんじゃないの?
719 名前：715 mailto:sage [2005/10/17(月) 12:10:53 ]: 　　　　　　　　　　　　　　　　　　　　 .∧､ｽﾁｬ　∧＿∧　　／￣￣￣￣￣￣￣￣￣￣
　　　　　　　　　　　　　　　　　　　／⌒ヽ＼　　（　ﾟ,_ゝﾟ）＜　お前はもう用なしだ
　　　　　　　　　　　　　　　　　　 |( ● )|　i＼／　　　　＼＼＿＿＿＿＿＿＿＿＿＿
　　　　　　　　　　　　　　　　　　＼＿ノ　^i | ./＼　　　/￣＼　
　　　　　　　　　　　　　　　　　　　　|＿|,-''iつl￣￣＼　/　ヽ　＼_
　　　　　∧＿∧　　　　　　　　　　[__|_|／〉￣￣￣￣￣￣　＼＿_）、
　　　／（´Д｀　）ヽ　　　　　　→　　　[ニニ〉＼　　　　　　　　　　　＼
　　ｍn´（＿（＿nｍ　　　　　　　　　　└―i'|＼||￣￣￣￣￣￣￣||￣
　￣￣￣ /＼　￣￣　　　　　　　　　　　　　||　 ||￣￣￣￣￣￣￣||
／￣￣￣　　￣￣￣￣￣￣＼　　　　　　　　 .||　　　　　　　　　　.||
|　　○○お願いします　　　　 |　　　　　　　　　　　　××後

　　　　　Before　　　　　　　　　　　　　　　　　After
720 名前：715(ほんもの) mailto:sage [2005/10/17(月) 19:56:09 ]: ttp://sapiens.wustl.edu/~sysmain/info/openldap/openldap_configure_acl.html

読んだらわかった。さくっとできたYO!
これで５０万は高いなw　５００円くらいか？
721 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/17(月) 19:59:47 ]: 715は sapiens.wustl.edu/~sysmain に50万支払うように。
722 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/17(月) 23:29:53 ]: >715
LDAPスキルあげる前に、ヒューマンスキルあげるのが先のようだなｗ

いや、マジで
723 名前：名無しさん＠お腹いっぱい。 [2005/10/18(火) 01:20:50 ]: とりあえず、

$ id test
uid=18000(test) gid=18000(test) groups=18000(test)

まで、できた、眠い、寝る
724 名前：名無しさん＠お腹いっぱい。 [2005/11/10(木) 00:48:25 ]: どうもです。
openldapやredhat directory serverには、active directoryの「権限委譲」みたいな機能ってあるのでしょうか？
たとえばある特定のouはそのouに所属するユーザーアカウントで追加も削除もできるとか、
そういう意味での「管理負荷の分散」が可能でしょうか？
725 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/10(木) 01:17:51 ]: >>724
どのDNによるアクセスにも、(つまりどのDNでbindしていても)
他の全てのDNに対する権限を設定できます。
非常に自由度が高いです。

www.redhat.com/docs/manuals/dir-server/ag/7.1/acl.html#997355

> ある特定のouは、

というのは以下の意味でしょうか?
uid=*,ou=People,dc=sub,dc=sample,dc=com という形でのワイルドカード指定が可能です。
主体の方(userdn=)も客体の方(target=)もです。

ちなみにOpenLDAPより、iPlanet起源のRed Hat～がお勧めです。
Fedora～ってのは無保証版なんでしょうかね?
directory.fedora.redhat.com/wiki/Main_Page
726 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/10(木) 01:20:19 ]: >>725
> 非常に自由度が高いです。

ただアクセスコントロールモデルなので、
one-time rightのようなタイプの委譲は出来ませんが。
(Machのportにあるような)
727 名前：名無しさん＠お腹いっぱい。 [2005/11/10(木) 23:58:33 ]: ありがとうございます。

>>725

> > ある特定のouは、
>
> というのは以下の意味でしょうか?
> uid=*,ou=People,dc=sub,dc=sample,dc=com という形でのワイルドカード指定が可能です。
> 主体の方(userdn=)も客体の方(target=)もです。
とすると、そのouの「管理者」なるものを任命して、
そのouに関する管理は押し付けることもできてしまいます？
そうすると上級の管理者にとって負担が減るので、とても助かるんです。

> ちなみにOpenLDAPより、iPlanet起源のRed Hat～がお勧めです。
> Fedora～ってのは無保証版なんでしょうかね?
> directory.fedora.redhat.com/wiki/Main_Page
これは実績あるのでしょうか？
ま、iPlanetという出自がすでに実績なのかもしれませんが、
SunJavaとはどういう関係なんでしょうね...
728 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/11(金) 07:03:36 ]: >>727
そのための階層構造、アクセスコントロールです。> 分散管理

Sun Javaは、iPlanet Directory Server→Sun ～→Sun Java ～という名前の変遷です。
iPlanetのLDAPサーバの分岐の一つです。Java ～のLinux版もあります。
www.sun.com/software/products/directory_srvr_ee/index.xml

それぞれのドキュメントを眺めて貰うと分かりますが、iPlanet系は殆んど同じです。
Red HatのはNetscape Dir～として実績のあるものです。
729 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/11(金) 07:08:52 ]: ちなみにアクセスコントロールしたい場合は、
アクセスコントロールルールの設定方法をよく検討して導入した方がいいです。
ルールを直接editするのが平気な人はなんでもいいと思うけれど、
GUIでやりたい人はちゃんとお金を出した製品を選びましょう。

私はLDIF編集/生成, Net::LDAP叩き派なのでその辺の製品情報は分かりません。
# iPlanetではルールを記述したaci属性を対象エントリに付ける。
730 名前：724/727 [2005/11/11(金) 07:51:18 ]: >>728
>>729
なるほどです。
参考にさせていただきます。
ありがとうございます。
731 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/17(木) 08:46:05 ]: Sun ONE Directory Server 5.1のSP4って、
SP3と違って、patch形式になってないなあ。
/usr/iplanet/ds5を指定すると、上書きだよ…
IPLT*なpackageの立場は一体?
732 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/18(金) 10:42:24 ]: docs.sun.comのマニュアルに
「LDAPサーバーをそのクライアントとして使用することはできない」
って書いてあるのですが、これってSolarisだけじゃなくて
一般的にそうなのでしょうか。
733 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/18(金) 10:48:35 ]: LDAPのクライアントにはなれるよ。
NSSを設定すると、鶏と卵問題が出てきて駄目。
ただし、マスターサーバ以外はマスタサーバを利用すれば問題なし。
一般的ではない。
734 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/18(金) 12:50:09 ]: NIS+ もそうだったね。移行しようとがんばったのずいぶん昔だなぁ...
735 名前：732 mailto:sage [2005/11/18(金) 13:29:48 ]: >>733
NSSでLDAPを使ってユーザとグループを一括管理しようと
思っていたのだけど、起動に必要なものはすべてfilesに
書いておいて、エンドユーザのユーザとグループだけ
LDAPに入れるのでもだめ?
736 名前：733 mailto:sage [2005/11/18(金) 15:34:36 ]: /etc/rc2.d/S71ldap.client
/etc/rc2.d/S72directory
なんで、この辺もいじる必要がありますよ。
S71, S72のrcの依存関係に注意する必要があります。

patchあてたり、色々面倒なんで、自分のところはLDAPサーバは専用に。
737 名前：732 mailto:sage [2005/11/18(金) 16:14:15 ]: >>736
thx。
結構いろいろ絡んでくるんですね。
専用LDAPサーバにします。

# 実はSolarisじゃなくてNetBSDなのです。
738 名前：733 mailto:sage [2005/11/19(土) 01:25:04 ]: >>737
え!? じゃあOpenLDAPなの?
NetBSDはまともにいじったことないけど楽勝だと思うよ。
iPlanetやSun Javaでも、Linuxだと問題ないし。

Solarisのクライアントサイドでのポリシーの問題だから。
739 名前：732 mailto:sage [2005/11/19(土) 02:24:47 ]: >>738
情報小出しでごめんなさい。

NetBSD + OpenLDAP + nss_ldap + pam_ldapなのです。

でもやっぱり専用LDAPサーバにします。
740 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/19(土) 08:52:49 ]: OpenLDAP、あんまり安定してないから気をつけてね。
NetBSDじゃ他に選択肢ないだろうから仕方ないけど。
データを毎日LDIFでバックアップ取っておいた方がいい。
741 名前：732 mailto:sage [2005/11/19(土) 11:21:16 ]: >>740 了解。
742 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/19(土) 11:26:38 ]: 運用するなら>>551前後を読んどいた方がいいと思う。
743 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/19(土) 11:27:26 ]: LinuxエミュレータでiPlanetやRed Hatって選択肢はないのかね? > NetBSD
744 名前：732 mailto:sage [2005/11/19(土) 17:54:01 ]: 「実はユーザが自分と妻の2人だけ」

とかいまさら言えない。
745 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/19(土) 20:57:28 ]: ああ、Enterprise用途ならば(ry
746 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/20(日) 05:39:08 ]: Tochan and Kachan Enterprise
747 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/24(木) 21:42:43 ]: 現在LDAPサーバ構築に向けて現在勉強中です。
まだ完全に理解し切れていない点が有るのですが、一つ質問させて下さい。

サーバAとサーバBが有って、両方とも同じLDAPサーバを参照し、
objectClass: posixAccount を使い、認証を行っているとします。
その中にhogeとfugaのuid（アカウント）があるとします。

この時、サーバAにはhogeとfuga。サーバBにはhogeだけを認証させたい…
そんな場合、何処でアクセス制限（認証制限）をかける事になるのでしょうか？

まさかサーバ毎に
access to dn.base="uid=hoge,ou=Users,dc=exsample,dc=com"
by peername="192.168.1.1" read
by peername="192.168.1.2" read
access to dn.base="uid=fuga,ou=Users,dc=exsample,dc=com"
by peername="192.168.1.1" read
のように一つ一つ記述して行く必要が有るのでしょうか？

そもそも考え方が間違っている場合は参考になるサイトなどを
教えていただければ幸いです。よろしくお願い致します。
748 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/25(金) 11:49:42 ]: かなり異常な要求だから、列挙するしかないでしょ?

セキュリティ上、サーバ側で拒否する必要はなくて、
クライアント側で制限できればいいのなら、
NSS/PAMのldap.confでfilter書けばいいけども。
749 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/25(金) 12:00:31 ]: filterにかけるための属性を定義して、
サーバ側でアクセスコントロールのルールに使えばいい。

というか、↓はちゃんと読んでいるの?
www.openldap.org/doc/admin23/slapdconf2.html#Access%20Control
750 名前：ななし mailto:sage [2005/11/26(土) 06:13:23 ]: >>747
hostAttribute書いてサーバ側でフィルタするだけでも
良い気がするけど。
751 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/28(月) 11:10:18 ]: >>748-750
レスありがとうございました。
三つをそれぞれ詳しく調べてどれが最善かしっかりと考えてみようと思います。

また詰まった際はご教授いただけると幸いです。
752 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/28(月) 11:23:16 ]: >751
結果を発表していただけると幸いです。
753 名前：名無しさん＠お腹いっぱい。 [2005/12/01(木) 16:48:55 ]: dn:< file:///tmp/xxx
といったURIスキームによる値を持つ属性を持ったエントリを追加しようとすると,
ldapmodify: invalid format (line x) entry: "......"
と言われてしまいます.

代わりに
dn: test
という値を持たせると問題ありませんでした.
また,別のマシンに同様のフォーマットによるエントリを追加したところ,
これも,問題ありませんでした.

もちろん /tmp/xxx は存在しています.
検索エンジンに「file:///」と入力しても「file」としてしか扱ってもらえず,
ヒントの探しようがなくて困っています.
何か考えられる原因はありますでしょうか.
よろしくお願いいたします.
754 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/01(木) 16:56:18 ]: どこのldapmodifyなのか、バージョンくらい書けばあ?
755 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/02(金) 01:11:02 ]: directory.fedora.redhat.com/wiki/FDS10Announcement
756 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/02(金) 11:41:29 ]: 失礼しました.
OpenLDAP 2.3.11 のldapmodifyです.
757 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/02(金) 22:33:22 ]: OpenLDAPね。

>>753
dnは駄目。
attr: <file://パス名というformatで。空白は厳密に。
758 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/03(土) 13:14:46 ]: ネットワークセキュリティ Expert 3って雑誌にLDAPの話題がたくさん載ってた。
どこらへんがセキュリティなのかわからんけど。
759 名前：753 mailto:sage [2005/12/07(水) 10:48:05 ]: レス遅れまして,申し訳ありません.

>>757
レスありがとうございます.
formatをそのようにしたところ,ちゃんと読み込んでくれました.
手持ちの文献には, "dc:< file:///" と書かれており,
また,別のPCでは,そのformatで読み込んでくれたので,
全く気づきませんでした.
同じOpenLDAPなのに,違う動作をしたのが解せないのですが,
動いたからいいや,という感じです.

本当にありがとうございました.

あと dn: ではなく dc: でした.
760 名前：753 mailto:sage [2005/12/07(水) 11:33:25 ]: attr: <file://path にすると,
"<file://path" という文字列をbase64エンコーディングしたものが
値になってしまうんですけど……
761 名前：753 mailto:sage [2005/12/08(木) 16:17:05 ]: 追加です.
attr:< file:///tmp/xxx
は,前述の通りで,未だエラーが返ってきます.

しかし, (current is /<dir>)
attr:< file://./../tmp/xxx
とすると,読み込んでくれました.

ちなみに
attr:< file://../tmp/xxx
では読み込んでくれませんでした.
762 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/10(土) 00:50:37 ]: >>758
Radiusやら、PKIやらに応用すれば、ネットワークセキュリティ話になるな。
さらにそれを応用した話にも繋がるし。
それを前提にした、LDAP話を持ち出しても、別におかしくはあるまい。

このスレの主流となるOpenLDAPとは、関連が薄そうなﾖｶｰﾝ
763 名前：758 [2005/12/10(土) 21:38:35 ]: >>762
RadiusやらPKIの話はないけど、OpenLDAPでUNIXアカウントとメールアカウント(qmail-ldap)
とOpenSSHの公開鍵とautofsのマップ定義管理してたよ。というか買った。
最後までLDIFを1回も書かないところが良かった。他にもSambaとかApacheとかとも
連携してるって書いたあったのでその話も気になった。
あと、証明書関連ってことで自己認証局の作り方も載っててちょっと得した気分。

でも、他の記事に比べると浮きまくりｗ。SSLやTLSを使ってるから有りなのか？
そんなわけでこのスレと一応関連するんでないかな。見かけたら見てみると良いよ。
764 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/13(火) 12:07:04 ]: 先日の IW でも Security Day で
LDAP のセミナーがあったね。
internetweek.jp/program/shosai.asp?progid=T24

最近は NEC が samba 絡みでなんかやってるけど、
流行ってるんだろうかなあ？
765 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/13(火) 12:40:41 ]: NECは独自のLDAP製品持って、
マルチプラットフォーム連携やっている。

東大もMac OS Xに、NECのファイルサーバ、LDAPサーバじゃなかったかな。
前はWindows TSEも動かしていたし。
766 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/14(水) 04:40:26 ]: ちょうど同じようなネタが @IT に
www.atmarkit.co.jp/flinux/rensai/apache2_06/apache06a.html

肝心の LDAP の設定が殆どなんも書いてないや…
767 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/14(水) 07:30:41 ]: > ここでは本文に先行してLDAPのインストールまで行います。ただし、今回はイ
> ンストールを行うだけであり、設定については次回に解説します。
768 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/22(木) 22:07:23 ]: LDAPでLinuxマシンのユーザ認証を行わせる所まで出来ました。
次にldapに登録されているユーザでrootになれるユーザ（su 出来るユーザ）
を限定しようと考えているのですが、pamのwheelを使う方法で
上手く行きません。何か良いアドバイスを頂けませんでしょうか？

/etc/pam.d/su
+auth required /lib/security/pam_wheel.so group=wheel

/etc/login.defs
+SU_WHEEL_ONLY yes

/etc/group
+wheel:x:10:root,user1

変更点は以上の通りです。
769 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/23(金) 08:39:45 ]: sudoにしろ。
それからwheelグループをLDAP上に置かないならスレ違い。
770 名前：名無しさん＠お腹いっぱい。 [2005/12/29(木) 01:40:01 ]: WindowsとLinuxのクライアントが混在した環境でログイン認証を統一したいと
思っているんですが、LDAPで可能でしょうか？　現在はWinではAcriveDirectory、
Linuxは各マシンごとにpasswdでやってます。

ネット上で探したところDCをWindowsでなくSambaでつくってやればできそうなのは
なんとなくわかりましたが、WindowsのDCでやらせるのは無理でしょうか？
771 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/29(木) 01:53:20 ]: 無理じゃないが面倒くさい。たぶんおまえの手にはおえない。
772 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/29(木) 15:23:19 ]: ttp://www.google.co.jp/search?q=Active/Directory+linux

ググったらめちゃひっかかるやん。がんばれ
773 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/29(木) 15:57:56 ]: winbindでがんばる
774 名前：名無しさん＠お腹いっぱい。 [2006/01/01(日) 00:19:50 ]: くだ質っぽいが質問させてください。
環境はFreeBSD6.0、portsからopenldap-sasl-server-2.3.11を入れました
いつの間にかslapdの起動にやたらと時間がかかるようになってしまいました
デバッグ情報を表示させてみたら
ldap_create
ldap_url_parse_ext(ldap://127.0.0.1)
ldap_create
ldap_url_parse_ext(ldap://127.0.0.1)
ldap_simple_bind
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP 127.0.0.1:389
ldap_new_socket: 9
ldap_prepare_socket: 9
ldap_connect_to_host: Trying 127.0.0.1:389
ldap_connect_timeout: fd: 9 tm: 30 async: 0
ldap_ndelay_on: 9
ldap_connect_timeout: timed out
ldap_close_socket: 9
ldap_unbind
とタイムアウトしてるようなんですが
何故タイムアウトしているのかよくわかりません
775 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/03(火) 19:49:59 ]: $ telnet 127.0.0.1 389
776 名前：774 mailto:sage [2006/01/09(月) 01:43:08 ]: nsswitch.confからldapを消したらタイムアウトしなくなった
slapdがlistenする前にnssを見に行ってるのだろうか
でも設定をいじった記憶も無いしなにがなんだか
777 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/09(月) 10:13:44 ]: hosts: files ldap

として、filesの方に最低限のhost記述がないから、
slapdが立ち上げ時に必要としているホスト名解決ができないんでしょ。

鶏卵問題ですな。(passwd, group, shadowかもしれませんが)
778 名前：初心者 [2006/01/16(月) 20:25:02 ]: NISからOpenLDAPに移行しようとしているのですが、
現在、UNIXにあるデータをLDAPと連携させるには
何を使えばいいですか？
ちなみにFreeBSD5.3を使っています。

やはり、nss_ldapとpam_ldapでしょうか？
779 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/16(月) 20:41:55 ]: >>778
> NISからOpenLDAPに移行しようとしているのですが、

は

> やはり、nss_ldapとpam_ldapでしょうか？

でいいとして、

> 現在、UNIXにあるデータをLDAPと連携させるには

というのは何? 何のデータ?
780 名前：初心者 mailto:sage [2006/01/16(月) 21:23:58 ]: レスありがとうございます。
データはUNIXユーザの情報です。
認証がかかったときに
そこに見に行くようにしたいのですが。
781 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/16(月) 21:29:08 ]: NISとの連携なのか、NISからの移行なのかはっきりして。

LDAPだけでいいなら、つまり完全移行なら、
NISからテキストデータベースを持ってきて、
migrationtoolでLDAPサーバに登録して。
782 名前：名無しさん＠お腹いっぱい。 [2006/01/17(火) 00:06:35 ]: filterの書式で、

(|(attr=a*)(attr=b*)(attr=c*)...(attr=z*)(attr=A*)...(attr=Z*))

このfilterはもっと短くできますか？
短くしたfilterを教えてください。
783 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 00:59:19 ]: extensibleMatchに使える特殊なマッチルールを持っているサーバで、
attr型のSYNTAXがそのマッチでない限り、駄目です。

attrの定義でSYNTAX, EQUALITY, SUBSTRを調べてください。

まあ十中八九駄目ですが。
784 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 15:19:18 ]: 初カキコですいません。
ちょっと質問です。
FreeBSD5.3RELESEでOpenLDAPを使って
RADIUS認証をやりたいんですが、
RADIUS鯖でユーザ認証させても

radtest ... ... localhost 0 ...
とテストコマンドを使っても

access reject packet from host 127.0.0.1:1812

って出るですが、
いろんなサイトの設定を試してもできません。
LDAPにRADIUS用の特殊なオブジェクトクラスとかあるんでしょうか？
何か原因があればぜひ教えていただきたいです。
ちなみに、
OpenLDAP-sasl-server2.2.17、FreeRADIUS1.0.1を使用しています。
785 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 15:42:04 ]: とりあえずな、freeradiusのusersファイルにローカルユーザ登録して試しな。

で、次にFreeRADIUSのLDAP RLMモジュールの設定な。

それから"access reject" packetってのは、
radiusプロトコルでの応答パケットの種類な。
アクセス拒否、つまり認証失敗ってこった。
786 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 16:01:47 ]: レスありがとうございます。
ローカルユーザは認証成功しました。

＞次にFreeRADIUSのLDAP RLMモジュールの設定な
についてですが、それはradius.confにあるmodulesの
ところのやつですか？
787 名前：784 mailto:sage [2006/01/17(火) 17:02:23 ]: すいません、違いますね。
調べてわかりました。

しかし、そのLDAP RLMモジュールの設定をどこですればいいのか
がわからないです。
788 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 17:07:08 ]: そう。全部話していると切りがないから、

${FREERADIUS}/doc/rlm_ldap
${FREERADIUS}/doc/ldap_howto.txt

読んで分からないところを聞いて。
789 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 17:07:59 ]: >>787
radius"d".confだって。
${FREERADIUS}/doc/rlm_ldapをちゃんと読め。
790 名前：784 mailto:sage [2006/01/17(火) 19:27:41 ]: >>789
すいません、radiusd.confでした。

>>788
どのファイルも英語でわからないとこだらけですが、
rlm_ldapとradiusd.confの設定内容で
例えば、basednやaccess_attrなんかは
同じ内容にしなきゃだめですよね？

portをとりあえず636から389にしたんですが
結局だめでした。
791 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 19:33:28 ]: rlm_ldapが設定ファイルだと思っている?
もう一回良く読み直して。翻訳サイトで翻訳できるでしょ。

英語ドキュメント駄目そうなら、明日朝一で、
LDAP -設定・管理・プログラミング
www.amazon.co.jp/exec/obidos/ASIN/4274065502/
を購入。
792 名前：784 mailto:sage [2006/01/17(火) 22:48:43 ]: またしても勘違いしてました・・・。

書いてあることはわかるんですが、
実際どうすればいいかがわかんないですね・・・＾＾；

default_profileには、何を指定してやればいいんですか？
radiusprofileっていうオブジェクトクラスを使ってるエントリでは
ないんですか？？
793 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/18(水) 01:34:37 ]: default_profileがLDAP上に必要なの?
usersに書くんじゃダメなの?
794 名前：784 mailto:sage [2006/01/18(水) 16:55:49 ]: usersに書くんですか？

むぅ・・・よくわからんですね。

一応昨日はいろいろ設定して、認証通ったんですが
今日PC起動したらまた認証失敗するようになりましたorz

本買ったほうがいいですかね・・・。
795 名前：名無しさん＠お腹いっぱい。 [2006/02/02(木) 04:14:53 ]: FreeBSDでLDAPやってるのですが、
nss_ldapで作られるはずの/lib/libnss_ldap.soが見当たりません。
nss_ldap内にあるnss_ldap.soとはまた違うものですよね？
796 名前：795 mailto:sage [2006/02/02(木) 04:15:56 ]: sage
797 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/02(木) 08:57:02 ]: >>795
> nss_ldapで作られるはずの
> nss_ldap内にある

意味が分かりません。
798 名前：795 mailto:sage [2006/02/02(木) 19:35:36 ]: ＞797
説明がへたで申し訳ないです。
nss_ldapをコンパイルすると、
libnss_ldap.soが作られるようなのですが。
それに値するものがほかにあるかと思いまして。
799 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/02(木) 20:03:51 ]: 謝る必要はないです(w

FreeBSDは新しくないと、name service switchがよろしくないです。
例えば、5.xの最新など。4は利用出来ません。5.1辺りも怪しい。
www.freebsd.org/releases/5.1R/todo.html ←こういう段階。

6はどうか知りませんが(調べてません)、5.xは{nss,pam}_ldapは入ってません。

www.abk.nu/~nabe/document/openldap.htm
あたりを参考にしてはどうですか?

FreeBSDはこの辺が遅れていると思います。
CVS先端のgetaddrinfoもnssに基づいてないし。
800 名前：795 mailto:sage [2006/02/02(木) 21:30:38 ]: >>799
そうなのですか・・
この間、６を入れたばかりだったんです。
新しい方がいいってわけでもないのですね。
もうちょっと、勉強してみます。
ありがとうございました☆
801 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/02(木) 21:53:47 ]: getaddrinfoについてはCVS先端「でも」nssじゃないという話をしたつもりで、
新しい「方が」ダメだと言ったつもりはない。
get*by*()系は5.xからnssになっているはずです。
FreeBSDの詳しいことはFreeBSDスレできいてねん。
802 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/03(金) 09:51:01 ]: LinuxサーバをLDAP対応にしたんだけど、useraddでローカルに
アカウントを追加しないので、全てのサーバの/home配下に一から
それぞれのユーザのホームディレクトリを作らないといけない…。

凄く怠いんだけど、何か対処法とか良い案有りますか？

ログイン時に/home配下にホームディレクトリが有るかどうかを
確認して、無ければ作る…と言う処理をさせるのが一番無難？
803 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/03(金) 10:32:56 ]: >>802
> useraddでローカルにアカウントを追加しないので、全てのサーバの/home配下
> に一からそれぞれのユーザのホームディレクトリを作らないといけない…。

よくわからん。
ホームは、各ホストでそれぞれ別のローカルディスク上に作りたい、ってこと?
pam_mkhomedirってのがあるから、各ホストの/etc/pam.dのloginやsshに書いて。
# つーかこれLDAP関係ないじゃん。

NFSでホームを共有するなら、LDAPにautomountのtable持ちなよ。
804 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/03(金) 11:13:03 ]: >>803
レスありがとう。
そうか…普通それぞれのユーザのホームディレクトリって
NFSとかで共有するのが普通なんだね…。

俺はご指摘の通りそれぞれのローカルディスクにホームディレクトリ
を作りたいとって事でした。pam_mkhomedirで対処します。

NFS導入も後々考えてみます。
確かにLDAPと関係ないね…。なのに親切にありがとう。
805 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/04(土) 15:37:18 ]: Postfixでバーチャルドメイン、アカウントと認証はLDAPで管理したいのですが、どのようにやればよいのでしょうか？
806 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/04(土) 15:49:28 ]: www.kobitosan.net/postfix/trans-2.1/jhtml/LDAP_README.html
www.kobitosan.net/postfix/ML/arc.3/msg00555.html

認証ってのはどういうことですか? SMTP AUTHですか?
807 名前：名無しさん＠お腹いっぱい。 [2006/03/06(月) 04:45:04 ]: /etc/openldap/slapd.conf
と
/etc/openldap/lapd.conf
の違いを教えてください
808 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/06(月) 06:14:18 ]: slapd.conf: サーバの設定
ldap.conf: クライアントの設定
lapd.conf: しらね
809 名前：名無しさん＠お腹いっぱい。 [2006/03/18(土) 13:55:32 ]: samba と ldap を連携させる時って、 ldap に入っている
あらゆるアカウントが samba が動いているマシンでシステム認証できないといけないの？
810 名前：809 mailto:sage [2006/03/18(土) 20:05:37 ]: >>809 のようなことはないようです。では。
811 名前：名無しさん＠お腹いっぱい。 [2006/03/24(金) 12:54:44 ]: LDAPをユーザアカウント管理に使うようにすると、
サーバ名があちこちの設定ファイル（~/.ldaprcも含む）に埋め込みになるから、
サーバ名変える事態が起きると死ねない？
NISだとカーネル内にドメイン名を持ってて、
ドメイン名から勝手にサーバ探してくれるけど、
LDAPでうまくサーバ探してくれる方法ってないだろうか？
812 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/24(金) 13:38:52 ]: >>811
どうやったらそういうことになるのか分からん。
以下ぐらいしか設定する箇所無いと思うんだけど…。

/etc/openldap/
/etc/ldap.conf
/etc/nsswitch.conf
/etc/pam.d/system-auth
/etc/libuser.conf
813 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/24(金) 14:11:21 ]: 原則的にはそうだけど、
メールのルーティングにLDAP見てたとか、courierで見てたとか、
apacheで見てたとか、
LDAPに情報を集積すればするほど、
サーバ名を書く例外的な設定ファイルが増えて、
サーバ名変わることなんとまずないし、
そのうち忘れられて、更新漏れ、引き継ぎ漏れが心配なのよ。
心配しすぎ？
814 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/24(金) 14:15:47 ]: DNSを変えて解決、という訳にはいかないのか…？
815 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/24(金) 15:07:00 ]: 組織改変とかがあるとDNS的にサーバ名が変わるわけで
816 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/24(金) 15:47:30 ]: openldapの基本的な設定や、データの入力の仕方など、初めての人にわかりやすく解説している
サイトを教えてください
817 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/24(金) 16:19:27 ]: 　　　　　　, イ)ィ　-─ ──- ､ﾐヽ
　　　　ノ／,．-‐'"´ ｀ヾj ii /　 Λ
　　　 ,ｲ／／ ^ヽj(二ﾌ'"´￣｀ヾ､ﾉｲ{
　　ノ/,／ミ三ﾆｦ´　　　　　　　ﾞ､ﾉi!
　　{V /ミ三二,ｲ　, 　／,　　 ,＼　 Yｿ
　　ﾚ'/三二彡ｲ　 .:ィこﾗ　 ;:こﾗ　j{
　　V;;;::. ;ｦヾ!V　　　ｰ '′　i ｰ '　ｿ
　　 Vﾆﾐ( 入　､　　　　r　　j　　,′
　　　ヾﾐ､｀ゝ　　｀ｰ--‐'ゞﾆ<‐-イ
　　　　　ヽ　ヽ　　　　 -''ﾆﾆ‐　 /
　　　　 |　　｀､　　　　 ⌒　 ,/
　　　　　|　　　＞┻━┻'r‐'´
　　　　　　ヽ＿　　　　 |
　　　　　　　　　ヽ＿＿」　　　

　　ググレカス [ Gugurecus ]
　　（ 2006 ～没年不明）
818 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/24(金) 18:32:32 ]: >>813
dnのドメイン名は、DNSのドメイン名と一致しなくてもいいから、
別にLDAPのdnはそのままでいいんじゃない？

あとはフルdn(dc=mydomain,dc=jp)をldap.confに書いておけば、
以下のように省略してldapsearchとかが出来るって知ってる？
ldapsearch -x -b cn=testuser

>>816
LDAPはそう簡単じゃないし、最近は分かりやすい解説書が出てるから、
解説書買って読むのがいいと思われ。
819 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/24(金) 22:42:28 ]: お前は次に「お薦めの解説書ってどれ？」と言う。
820 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/25(土) 01:36:12 ]: まあ最初はこれでしょ。

LDAP -設定・管理・プログラミング
www.amazon.co.jp/exec/obidos/ASIN/4274065502/
821 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/25(土) 01:46:42 ]: >>813
それぞれのサーバの振る舞いを理解して、適切なドキュメンテーションをしてください。
たとえばapacheのauth_ldapやpostfixも別個にサーバ記述できますしね。

>>811
ホストのドメイン名をNISのドメイン名に使うのはshell scriptのお仕事。
822 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/27(月) 10:45:14 ]: おそくなったがレスいろいろありがと。
基本は楽観と、ドキュメントしっかりやるという方向でなんとかしやす。
823 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/09(日) 22:25:51 ]: LDAPでTelnetでのLogonユーザ認証をさせたいのですが、この場合、
LDAP管理者の権限は必要になるのでしょうか？
Apacheでの認証の場合は下記URLに従うと管理者のID、パスワードは必要なかったので、
Telnetでも同様に認証できないかと思っています。
ttp://www.atmarkit.co.jp/flinux/rensai/apache2_07/apache07b.html
LDAPサーバの管理は別のところで、聞きにくいですがパスワードは一本化したいのです。
このような構成を構築した方、おられませんでしょうか？
824 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/09(日) 23:46:10 ]: いる
825 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/09(日) 23:48:00 ]: pam_ldapでtelnetの設定しろ
826 名前：823 mailto:sage [2006/04/10(月) 21:34:44 ]: とりあえずできました。
ldap.confにはHOST、BASEを設定で認証成功。
ただし、LDAP側にposixAccount関連のエントリが無いためローカルに
利用するユーザを作る必要がありました。
今回は、限定ユーザ用のTelnetサーバだったから良かったけど、
LDAP登録ユーザ内の不特定多数だと対応できない。
LDAP側にエントリない場合に、HomeDirectoryとかUID、GIDを
補完してやる方法はないですか？
827 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/10(月) 23:30:13 ]: >>826の状況は、
pamはOKだけど、nssで駄目ということだから、
ローカルユーザを作って回避したって事ね。nsswitch.confでfilesを入れて。

> LDAP側にエントリない場合に、HomeDirectoryとかUID、GIDを
> 補完してやる方法はないですか？

ちゃんとLDAP上に作れ。それが一番簡単。
他の方法は、結局はローカルユーザ作るのと同じだから、(二重管理という意味で)
LDAP上でちゃんとやる以外の方法を模索する意味はない。
828 名前：823 mailto:sage [2006/04/11(火) 23:46:00 ]: >>827
ldapの管理が親会社のWindowsの方を見てるところなんで、
ちゃんと作ってもらうのは難しいですよ。とほほ。
nss_map_attributeとかで何とかなりそうな雰囲気があるんですが。
829 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/12(水) 05:58:15 ]: >>828
> nss_map_attributeとかで何とかなりそうな雰囲気があるんですが。

ローカルユーザ作るより大変じゃん。
830 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/12(水) 22:39:40 ]: >>829
なんで？サーバ一台なら定義してしまえばpam_mkhomedirなんかで勝手に処理できるじゃん
831 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/13(木) 05:56:24 ]: >>830
元のLDAPサーバはいじれないのに(>>828)、
nss_map_attributeでどう解決するんですか?
832 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/15(土) 23:38:04 ]: >>831
代替となるような項目が定義されてると思ったんだろーな。
GIDなんかは固定的な値を使えればいいかもな。
．．．できるんだろーか？
833 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/16(日) 11:14:57 ]: そのmapする先の属性がないとな…
uidNumberなんか絶対にないし。
あったら、SunやAppleやNetwareが苦労してないって。
834 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/16(日) 15:02:48 ]: LDAPなら電話番号を使うなんてできんか？
そうか、無理か。
835 名前：名無しさん＠お腹いっぱい。 mailto:age [2006/04/29(土) 21:48:50 ]: Red Hat Directory Server(昔の Netscape Directory Server)みたいに
導入と管理が簡単ならいいんだけどね。
OpenLDAP 環境を構築するのが意外とメンドイ
836 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/30(日) 00:08:34 ]: つーか安定性も機能も足りないし。
837 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/30(日) 06:15:08 ]: Sun の Directory Server はどうよ？
838 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/30(日) 10:57:04 ]: Netscape→iPlanet系は全部まともでしょ。
OpenLDAPはきつい
839 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/30(日) 12:37:16 ]: Fedora Directory Serverもまともなのか？
840 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/30(日) 22:43:51 ]: Netscape ～ → Red Hat ～ → Fedora ～でいまやOpenSource。
841 名前：名無しさん＠お腹いっぱい。 [2006/05/05(金) 19:26:17 ]: 乙
842 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/10(水) 11:27:43 ]: OpenLDAPを１～２週間稼動していると、
勝手に異常終了して落ちてるんだけど。
エラーコードもでないからさっぱり。

>835-838
OpenLDAPって安定性ないのか？
843 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/10(水) 11:43:01 ]: オレの見てるとこは Samba の認証やらしてるけど落ちないよ。今 51days。
人数知れてるから負荷はかかってないけどね。
844 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/10(水) 11:57:54 ]: 俺んとこもsamba+Linuxのアカウント管理にOpenLDAP使ってるけど
特に問題ないなあ。3ヶ月ぐらい動いてる。
845 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/10(水) 17:31:56 ]: うちもsambaからsubversionなど、LDAPで認証できるもの
ぜんぶをOpenLDAPで運用してる。で、いまuptimeをみたら
236 daysって出た。半年以上。一度も落ちたことないよ。
846 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/10(水) 22:55:11 ]: OpenLDAPはおもいきり負荷をかけるとすぐコケるな。
あと、よくバックエンドのDBが壊れる。
847 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/10(水) 23:28:21 ]: BDB以外でも駄目ですか?
848 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/10(水) 23:47:06 ]: うちBDBをバックエンドにしててホントへこむくらいよく壊れる。
お勧めのバックエンドがあったら教えてくれー。
849 名前：846 mailto:sage [2006/05/11(木) 00:19:38 ]: >>847
まともに使い込んだのはBDBだけだから他は分からない。
あと、コケてたのはOSがLinuxだったせいかもしれぬ。
850 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/11(木) 00:38:25 ]: Linuxなら、SunかRed HatからNetscape直系のヤツ持ってきなよ。
FreeBSDとかなら、OpenLDAPでも仕方ないけど。
851 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/11(木) 08:08:06 ]: おーぷんそーすニナッタンジャナイノ?
852 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/11(木) 08:56:33 ]: まだportsにもないでしょ?
コンパイル成功するのかねえ
853 名前：842 mailto:sage [2006/05/11(木) 10:36:21 ]: >843-845
こちらは、クライアント、サーバともにSolaris9で、
smtp/popサーバのアカウント管理、認証として動いてます。
slapdのCPU使用率5%未満なんだけど、
スパムやら定期受信で常にアクセスはあります。
ずーっと何かしら負荷がかかってるから落ちるのか・・・。
ソース覗いて調査中。
あとメモリが、slapd起動中どんどん減っていくんだけど、これが原因か？。
この減り方だと１～２週間も持たないですけど。

>846-849
BDBはよく壊れますね。
LDAPデータ更新後、すぐ停止起動とかやると高確率で壊れます。
854 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/11(木) 11:14:13 ]: RHEL3でアカウント数10万人で１～２年運用してるけど、
１回もOpenLDAP落ちたり壊れたりしたことないよ。
855 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/11(木) 14:09:38 ]: 壊れるって言ってる奴はしょっちゅうフリーズするようなOS使ってるんだよ
856 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/11(木) 14:17:21 ]: 操作が良く分からなくっていい加減なコマンドたたいて
いじってたらおかしくなってしょっちゅうアボーンするように…
857 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/11(木) 18:00:45 ]: まとめ

＊OpenLDAP自体の信頼性はべつに低くない >854 >843-845
858 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/11(木) 18:27:08 ]: むしろ壊れると言っている人のバークレイDBのバージョンが気になるね。
859 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/11(木) 21:05:12 ]: >>853
メモリが減ってゆくのはUnix系OSとして正しいとゆーか普通の動作だが、
OpenLDAPにはメモリリークするバグを抱えたバージョンもあったな

>>854がユーザにLDAPアドレス帳を提供してThunderbirdを使わせても
大丈夫なんだろうか
860 名前：854 mailto:sage [2006/05/11(木) 23:32:04 ]: SMTP、POP、Web認証ぐらいにしか使ってない。
いろんなデーモンが動いてるけど、OpenLDAPの負荷はそれほど高くないかも。

LDAPアドレス帳はさすがにクラスタ組まないと厳しそうな予感。
861 名前：848 mailto:sage [2006/05/12(金) 01:01:15 ]: うちの環境は RHEL3+OpenLDAP2.2.13+BDB4.2。
slurpdで複製しているスレイブサーバが
ファイルI/Oの負荷が高い状態で、大量の更新(200ユーザくらいの追加)がかかると
だんまりになってしまい、再起動するとDBが壊れているという状況。
組み合わせるBDBのバージョンによっても問題が起こるという話もあるとのことなんだけど、
どのバージョンのBDBが鬼門なのかも分からずゲンナリな状態。
862 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/12(金) 11:53:44 ]: >859
そうでしたね。ある程度消費して止まりました。

>848
こちらは
Solaris9+OpenLDAP2.3.17+BDB4.2です。
試験時に大量の更新後(約1000件)、停止/起動かけますと、壊れてしまいます。
約30分後に再起動だと壊れないです。あと10件ぐらいでも壊れないです。
だんまりになったことは無いですね。
863 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/12(金) 12:32:36 ]: slurpdの有無は無関係？
864 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/12(金) 13:19:35 ]: BDB のチューニングはどのくらいの使用負荷から必要ですか？
865 名前：名無しさん＠お腹いっぱい。 [2006/05/13(土) 11:50:29 ]: >>861
RHEL 使ってるんなら Fedora Directory Server にしたらいいんジャマイカ
866 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/14(日) 09:20:27 ]: Red Hat Directory Serverは有料なんかな? free trialがあるくらいだから。
867 名前：名無しさん＠お腹いっぱい。 [2006/05/16(火) 23:06:13 ]: Openldapでpam_ldap,nss_ldapでユーザ認証しているんだが、一般ユーザには
ldapsearch 等で格納されている情報を検索されたくないんですが、
slapd.confのアクセス制限で、最後の　by * read を　by * auth とかに
すると、マシンにログインできなくなってしまうのです。
なんか良い方法あったらおしえてくらはい。/usr/bin/ldapsearchの実行パーミッ
ション変えてもホームディレクトリとかにバイナリおかれたり、プログラム
書かれたら意みないので。

access to attrs=userPassword
by self write
by dn="cn=Manager,dc=hoge" write
by anonymous auth
by * none

access to *
by dn="cn=Manager,dc=hoge" write
by self write
by * read
868 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/16(火) 23:41:08 ]: ファイルのオーナとかそれに伴うパーミッションのチェックをするには、
/etc/passwd相当の情報は一般ユーザでも読めなきゃいけないんじゃないのかな?
passwd(一般ユーザが読める)とshadow(一般ユーザ読めない)に分かれている理由を考えてみれば納得できるかと。
869 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/17(水) 00:22:18 ]: >>867
試したことないんだが、
nscdをHOME環境変数設定して起動して、
$HOME/ldap.confでbinddn, bindpwを
"cn=Manager,dc=hoge"にしてみてはどうよ?

nscdはrootで動かして、HOME=~root、設定は~root/ldap.confがいいかな?
870 名前：名無しさん＠お腹いっぱい。 [2006/05/17(水) 23:20:50 ]: >>868
確かに
>>869
これは、デフォルトbindをManagerにするってー事？
nscdがどうして関係するのか未熟者なのでわかりません。。
871 名前：868 mailto:sage [2006/05/18(木) 06:49:10 ]: >>869
nscdがManager権限でldapにアクセスしてれば、
nscdを使うプログラムからは、Manager権限でしか見えないものも見えるってことですか。
うまくいけば面白そうですね。

話は少し変わるけど、nscdを見に行くプログラムと直接ldapと話をしようとするプログラムがあるけど、
nscdを見に行くようなプログラムってどうやって書くんでしょう。
(CかPerlで具体的なコードが分かるとうれしい)
nscdを見に行ってくれないプログラムがnscdを見に行ってくれるようにする方法なんかも分かるとかなりうれしいんだけど。
872 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/18(木) 08:12:30 ]: >>871
get*by*()を使う。

強制nscdの方法はない。

ただFreeBSDはよくわかってない。
getaddrinfo()がnss/nscdは無視しているし。
873 名前：名無しさん＠お腹いっぱい。 [2006/05/20(土) 03:12:17 ]: 腐ったOSで、DB回してれば何時か自然に転ぶって、爺ちゃんが言ってた。
874 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/20(土) 11:33:04 ]: なるほど、FreeBSDでバークレイDBを使ってはいけないわけですね。
875 名前：871 mailto:sage [2006/05/20(土) 11:48:13 ]: >>872
gethostbynameとかbyaddrくらいしか使ったことがないんですが、
ユーザ認証するときは具体的にどんなget*by*()になるんでしょう。

ヘボい質問で情けないですが、教えてやってください。
876 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/20(土) 13:15:16 ]: ユーザ認証じゃなくて、ユーザデータベースでしょ。

getpwent
getpwnam
getpwuid

getgrent
getgrnam
getgrgid

この辺でしょ。*by*じゃないけど…

認証は、pam_ldap使えば、auth(bindオペレーション)だけ許可しとけばOK。
877 名前：名無しさん＠お腹いっぱい。 [2006/05/20(土) 21:38:50 ]: Novell eDirectory はどうですか？
Solaris や Linux でも使えるようですが
www.novell.com/products/edirectory/
878 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/20(土) 23:54:35 ]: eDirectoryというか、eDirectoryを中心としたOESはよく出来てると思った。
ちょっと触っただけで、使い込んだわけじゃないけど。
879 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/21(日) 07:23:16 ]: 一番歴史古いからね。
880 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/03(土) 06:10:44 ]: Fedora Directory Serverが公開されてるけど、どんな感じですか?
「サーバの構築が楽になっただけ」という声もありますが
881 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/03(土) 11:52:23 ]: Fedora使ってないので、他のデストリでコンパイルしようとしたら、
へんちくりんな独自build機構で苦労した…

*BSDへのポートは時間がかかりそうだな。
882 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/06(火) 11:03:52 ]: 何だかんだ言ってもActive Directoryは親切設計だった
883 名前：名無しさん＠お腹いっぱい。 [2006/06/06(火) 20:47:14 ]: MS の文書見ても、バックアップ、リカバリがよく見えない気もするが ...
884 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/06(火) 21:29:45 ]: novellのがいい。
885 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/08(木) 22:44:48 ]: >>884
同意。やっぱノーベルがいい。
886 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/10(土) 13:28:16 ]: >>885
そう書かれると何か飴作ってる会社みたいだ。
887 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/10(土) 14:17:54 ]: オレはノーベルというと乾電池だなw。
888 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/10(土) 15:55:00 ]: ノーベルといえばノーベル賞だな。
ダイナマイトってことか。
889 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/10(土) 17:19:38 ]: マイトガイ小林旭
890 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/10(土) 17:58:06 ]: マジレスすると、正式表記はノーベルじゃなくてネベル。
891 名前：890 mailto:sage [2006/06/10(土) 17:59:44 ]: >>890
うわ間違えた。

×ネベル
○ノベル
892 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/10(土) 18:44:55 ]: どれの正式表記? 乾電池?
893 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/10(土) 18:45:29 ]: 正式表記はネスレ。
894 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/10(土) 21:57:07 ]: >>892 Nobellの方。
895 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/10(土) 22:00:32 ]: b?
896 名前：894 mailto:sage [2006/06/11(日) 00:21:12 ]: >>894-895 orz
s/Nobell/Novel/
897 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/11(日) 02:46:59 ]: >>896
Novell!!
898 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/11(日) 03:54:23 ]: >>889
この板にいる人の年齢がわかるレスだな
「熱き心に」を歌いたくなってきた
899 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/11(日) 22:14:33 ]: Nestle
900 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/12(月) 09:45:28 ]: LDAPの標準認証って、
userPasswordに {crypt} と {SSHA} が混在してる状況でも、
LDAPサーバ側がユーザの暗号化方式に応じて認証可否を返してくれるもの？

それとも、システム全体で暗号化方式を統一しておく必要があります？
901 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/12(月) 10:04:54 ]: それはLDAPの仕様じゃなくて、
LDAPサーバの実装仕様によるけれど、
統一しておかないといけないサーバに遭遇したことはないです。
OpenLDAP, iPlanet, Fedora, Netscape, Novell, Active Directoryなど

ただしbasic認証じゃなくて、
自分でuserPassword属性を取得してcrypt()で認証しようとするクライアントが、
結構多いので要注意です。例えばSolarisのpam_ldap。
902 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/13(火) 09:24:35 ]: >>898
１５０トン。
903 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/13(火) 10:43:50 ]: >>902
よろしければどんな車に乗っているのかお聞かせ下さい。
＃個人的にはコルトが欲しいです。
904 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/13(火) 19:06:09 ]: 赤いトラクター以外に何か有るとでも言うのだろうか？
905 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/15(木) 10:23:39 ]: 俺はお前だぜ～♪
906 名前：902 [2006/06/16(金) 16:20:23 ]: はのこほペットにシタクッテっ・・・

それはいい。
OpenLDAP2.4ってな、何時マトモに使えるんだｺﾞﾗ。
907 名前：名無しさん＠お腹いっぱい。 [2006/06/18(日) 09:30:11 ]: 俺はもう OpenLDAP で構築しようとは思わなくなった…
悪いけどプロダクトの質が低いし手間かかりすぎ
908 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/18(日) 09:58:34 ]: NISのほうが楽そうだな
909 名前：名無しさん＠お腹いっぱい。 [2006/06/23(金) 00:55:59 ]: UltraPossum使っている人いる？
冗長構成が良さそうだが、いまいち設定の仕方がよくわからない。
VA以外じゃつかってないのか？
910 名前：名無しさん＠お腹いっぱい。 [2006/06/23(金) 02:58:31 ]: >>907
そうだね。マトモに使うのは楽じゃないかもね。
プロジェクトを進めている学校の質に依存する。
911 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/23(金) 13:42:43 ]: X.500 なんてもうきっぱり捨てて、BIND 改造して使おうぜ。
912 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/24(土) 00:23:57 ]: >>911
Kitchen Sink BINDキタコレwww
913 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/25(日) 19:23:28 ]: それなんてhesiod？
914 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/24(火) 21:20:45 ]: OpenldapでBIND認証させたユーザに
ある特定のOU配下のみに変更権限を与えることはできますか？
915 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/30(月) 22:17:12 ]: 出来ます。
www.openldap.org/doc/admin23/slapdconf2.html#Access%20Control
916 名前：914 mailto:sage [2006/11/01(水) 00:21:47 ]: >915
ありがとうございます。
試し見てみますね
917 名前：名無しさん＠お腹いっぱい。 [2006/11/24(金) 03:16:46 ]: openldap サーバ兼クライアント(CentOS 4.4)で、
authconfig をいろいろ書き換えながら ldap ログイン設定をしているのですが、
○ ldap://xxx/ でログインはOK
○ TLS無効時、id [username on ldap] は読める
× TLS有効時、ldaps://xxx/ でログインがだめ
× TLS有効時、id [username on ldap] が読めない
○ TLS有効時、ldapsearch ldaps://xxx/ は読める
な状態に陥っています。
なにから疑えばいいでしょうか。
(/etc/ldap.conf の TLS_REQCERT never は駄目？)
918 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/24(金) 09:47:13 ]: 要するに、
素のLDAP操作(ldapsearch)はOKだが、
pam_ldap, nss_ldapが駄目だということだから、
CentOSのpam_ldap, nss_ldapのパケージに、
専用のLDAP設定ファイルがないか調べてください。

DebianやRHEにはあります。
Libraryが後から読み込むので、
基本設定が、pam_ldap, nss_ldap専用の設定で上書きされます。

それからidコマンドを実行しながら、
etherealでldap, ldapsのパケットを解析してみるのも吉。
919 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/24(金) 13:39:22 ]: >>917
echo "TLS_REQCERT allow" >> /etc/openldap/ldap.conf

で行くんじゃないかな。/etc/ldap.confとはまた別ものだよ。
920 名前：917 [2006/11/24(金) 19:46:51 ]: slapd loglevel 256 を tail -f | grep -E "389|636" でみながら試行錯誤したところ、

ssl start_tls だとつながらない

だったので、authconfig 後に
----------
/etc/ldap.conf に URI ldaps と tls_reqcert never 明記
/etc/ldap.conf から ssl start_tls 追放
/etc/openldap/ldap.conf に URI ldaps と tls_reqcert never 明記
----------
にしたところ、
openldap サーバ兼クライアント(CentOS 4.4)
openldap クライアント(CentOS 4.4)
で無事動きました。

start_tls と ldaps は内部的になにがちがうのでしょうか？
921 名前：名無しさん＠お腹いっぱい。 [2006/11/25(土) 01:03:47 ]: こういう記事があったよ。

www.linux.or.jp/JF/JFdocs/LDAP-Implementation-HOWTO/ssl.html
Note: Start-TLS は、クライアントが要求したときだけ TLS を有効にする
ことができるようにします。この方法だと、単独の LDAP ポートをセキュアな
接続とそうでない接続の両方に使うことが可能です。
922 名前：917 [2006/11/25(土) 15:09:24 ]: uri 外して ssl on でも動きました。> 921

start_tls だと pam_ldap は 389 を使おうとする
start_tls の pam_ldap 636 は何故か必ず失敗する(tls_reqcert never のせい？)
ので、
ssl on
か
uri ldaps://
で636強制が必要、
という事のようです。
923 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/25(土) 15:15:57 ]: ldap に限った事じゃないけど、start tls って最初は平文で接続してから ssl に
切り替える物だから、いきなり ssl ポートに接続してもセッションは張れないよ。
924 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/25(土) 16:09:07 ]: start_tlsはldapポートのまま、tlsネゴシエイトを始めるのね。
要するにアプリケーション層でtlsをコントロールする。
ldapsはセッション層でtls、ldapプロトコルは関与しない。
925 名前：917 [2006/11/25(土) 16:09:33 ]: start_tls で 389 に接続後、Port 389 のままで SSL になる、という意味でしょうか？
「その場合 SSL が機能していること」はログのどこらへんに注目すればいいでしょうか。
926 名前：917 mailto:sage [2006/11/25(土) 16:19:13 ]: ちょっと言葉たらずでした。
start_tls 「暗号化されてて安心」の確認は、ログのどこみればいいでしょうか。

これまでやったのはopenladap の
loglevel 256（ポート番号しかわからない感じ）
と
loglevel -1 (大量に出るので何みればいいのかわからない)
の２つです。
927 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/25(土) 16:28:58 ]: >>925
そうです。

安心したいなら、パケットキャプチャーするのがいいかと。

ログで見たければ、LDAP_DEBUG_STATS。
starttls.cのstarttls_extop()で、
Statslog( LDAP_DEBUG_STATS, "%s STARTTLS\n",
op->o_log_prefix, 0, 0, 0, 0 );
してる。
928 名前：917 mailto:sage [2006/11/25(土) 17:06:48 ]: loglevel -1 の grep -i tls で
start_tls の id を行うと、
connection_read(12): unable to get TLS client DN error=49 id=【seq】
がかえってきました。
pam_ldap の start_tls は失敗しているようです。
929 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/25(土) 17:37:46 ]: ここ良く読め。
www.openldap.org/doc/admin23/tls.html
ここもかな。
www.openldap.org/doc/admin23/sasl.html
930 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/23(土) 23:13:15 ]: OpenLDAPで構築したサーバと、
SolarisのネイティブLDAPを使ったクライアント。
この組み合わせは無理？
931 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/24(日) 00:57:17 ]: >>930
LDAPv3であってれば大丈夫じゃない?
経験的に、OpenLDAPのサーバはあまり使いたくないですが。
932 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/24(日) 10:00:04 ]: >>931
・OpenLDAP を使いたくない理由
・お勧めするDirectory Server
をご教授願いたい
933 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/24(日) 13:38:26 ]: >>930
Solarisのldapclient manualで設定すれば問題なくLinuxで動いてるOpeｎLDAPサーバのクライアントになれるよ。
4年運用してるけど特に問題ない。
934 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/24(日) 14:18:55 ]: >>932
931じゃないが、
・パフォーマンス悪い。結構バグがある。
・Netscape直系のヤツ。iPlanet, Sun Java, Red Hatなど。
935 名前：931 mailto:sage [2006/12/24(日) 22:16:11 ]: >>930
あ、そこに食いつかれるとは思っていませんでした。
使いたくない理由は
・負荷が高いときの動作が怪しいこと
・BDBのハッシュだけがこわれてエントリをことごとく「ない」と応えられて痛い目をみた
お勧め…というか、仕事のシステムで変えられるならこれに変えてみたいというのは
・Sun Java
・Fedora Directory Server
かな。
936 名前：名無しさん＠お腹いっぱい。 [2006/12/24(日) 22:22:38 ]: 同じく931じゃないが。
ヘヴィーな使い方をする場合にOpenLDAPを選択するというのは、
地雷原に突っ込むようなものだ。
軽く使うだけならOpenLDAPでもOK
937 名前：931 mailto:sage [2006/12/24(日) 22:30:21 ]: あ、FedoraもバックエンドはBDBでした。
ということで、候補からはずしておきます。
(憧れだけで調べてなかったもので…)
938 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/24(日) 23:08:42 ]: Berkeley DBが悪いんじゃなくて、
OpenLDAPの排他制御に問題があるように感じる。
他にもBerkeley DBを多用するアプリで問題出たことないから。
939 名前：名無しさん＠お腹いっぱい。 [2006/12/24(日) 23:14:16 ]: OpenLDAPってそんなに問題あるの？
おれの所はSunとつきあいが長いんでSunJava Directory一辺倒だけど。
世の中OpenLDAPがデファクトになりつつあるんで流されようかなと日和って
きたんだが。SambaやWindows連携で良く使われているしさ。
940 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/24(日) 23:15:26 ]: (931ですが、あまり意味がないので名無しにします)
>>938
MovableTypeとかsubversionとかみてると「やっぱりBDBか?」とおもってしまうんですよぉ。
先入観ですかねぇ。
941 名前：名無しさん＠お腹いっぱい。 [2006/12/24(日) 23:20:35 ]: openldapを数百万ユーザ規模で動かしてるとこって、かなり
手を入れてるってことなのか。使い方にもよると思うけど、
何ユーザくらいで問題が出たりしてるの？数千くらいだったら
軽いかな？
942 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/24(日) 23:23:28 ]: そいつらは問題出てるんですか?
spamassassinがperl5の連想配列/libbdb4.4のtieを使ってるんです。
日に万を越えるメールを処理してますが壊れたこと無いですね。
943 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/24(日) 23:24:59 ]: >>941
VA LinuxがOpenLDAPだけど、
あそこはBackup復旧アプリを付けて出してるよ。
944 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 00:47:13 ]: >>942
直接痛い目にあったわけじゃないですが、結構出てるみたいですよ。
ぐぐってみてください。
私が一番痛い目にあったのはpostfixで宛先の存在を見るようにしてて、
ハッシュが壊れたときにことごとく「ない」と応えてメールを全部叩き落しちゃったこと。
5分くらいで以上に気づいたけど、1000通くらいの被害を出しました。
壊れるタイミングは更新時だけみたい。
ユーザ数は1万弱でメール配送量は1日20000弱。ほとんどがspamですが…。
945 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 01:34:04 ]: 942です。

>>944
ごめん。それはOpenLDAPの事例だよね。
>>942ではアンカー付けなかったけど、>>940への問いかけのつもりでした。

OpenLDAPでは、自分もハッシュ壊れを体験してます。
幸い導入前の負荷テストだったので、OpenLDAPは外しました。
DefaultのBerkeley DBしか試してないけど、テストで駄目ならもう信用できないしね。
946 名前：ななし mailto:sage [2006/12/25(月) 05:54:20 ]: >>941
数十万エントリで2年運用しているけど
特に問題ないなぁ
947 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 07:22:28 ]: ApacheDSとかプンディレとか使ってる人いらっしゃいますか？
948 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 09:28:28 ]: >>947
プンディレってSun Java Directoryとは別系統なのかなあ？
ApacheDSもちょい興味あり。
949 名前：名無しさん＠お腹いっぱい。 mailto:age [2006/12/25(月) 10:15:05 ]: OpenDSはJavaで書いてあるから、
Netscape直系のSun Java Directory Serverとは全く違うだろ。
Sun Java Directory Servderの"Java"には意味がないし。
950 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 11:04:19 ]: Sunは最終的にはOpenDSでJavaDSを置き換える
つもりなのかなぁ？

ApacheDSもJavaだよね？
ちょい試してみようかな。
951 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 11:06:21 ]: てかSunて最近何でも名前にJavaて付けるよな。
952 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 11:26:07 ]: >>950
blogs.sun.com/DirectoryManager/entry/introducing_the_opends_directory_service
https://opends.dev.java.net/public/docs/OpenDS-FAQ.html
読む限りでは、置き換えるつもりらしいね。
953 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 11:38:53 ]: ASFは結構仕事早いから、ApacheDSとプンディレ、
どっちがデファクトスタンダードになるかな…。
954 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 11:42:51 ]: >>953

ApacheDSはもう1.0リリースされてるしね。
使ってみた人います？
955 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 11:57:51 ]: OpenDSも社内で一年かけた上でこの夏に公開したらしいぞ。
まだまじめに評価してないけど、(すぐに飛び付くのは時間の無駄なので)
動いてはいるよ。
956 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 12:14:52 ]: >>951
最近はオープンソース化してOpenを付けるのが流行。

プンソラ
プンディレ
プングルオン
…
957 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 13:19:40 ]: でもLDAPクライアントになるソフトウェアに
OpenLDAPライブラリを使って書かれたものが多い
限り、OpenLDAPは捨てられないのか…。

>>956
プンソラとプンディレはよく聞くけど、
プングルオンはさすがに聞いたことないぞwww
958 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 13:25:47 ]: プングルってなに? オープングルメオンパレード?
959 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 13:30:51 ]: >>958
マジレスすると、OpenSSO

…だよな？？？
960 名前：名無しさん＠お腹いっぱい。 mailto:age [2006/12/25(月) 13:42:46 ]: >>957
OpenLDAPのライブラリは、
基本部分は、RFC1823 "The LDAP Application Program Interface"
他にはRFCにならなかったdraft、本の少しのOpenLDAP独自拡張。
LDAP関連のRFC draft writerとOpenLDAPのmemberはかなり重なっている。

だからアプリがOpenLDAPのlibldapに依存ってことはほとんどない。
TLS使ったときに、OpenSSLをどういうprofileで使うか、
あたりは潜在的に依存していることがあるだろうけど。
961 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 14:01:16 ]: >>960
OpenDSとかApacheDSとか丸々Javaで書かれた
LDAPシステムだと、libldap自体用意できないから、
OpenLDAPみたいなCやCXXで書かれたLDAPシステムは
捨てられないのかな？程度の意味です。

分かりにくくてごめん。
962 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 14:06:02 ]: >>959
おお、Open Web Single Sign-On、知らなんだ。プングルオンw
963 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 14:08:43 ]: >>961
OpenLDAP のサーバーの、Berkeley DB は悪くなくて更新のとこ、とかいう文脈で、
なぜ OpenLDAP クライアントの C++ のライブラリを捨てなきゃならんという話になるのか?
964 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 14:26:49 ]: >>963

よくわからんが、OpenLDAPの更新の話からは
ぶったぎれてて、単純にプンディレ使うんだったら
クライアントも含めてOpenLDAP捨てて全部
プンディレに移行したいってことじゃね？
965 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 14:38:22 ]: ・LDAPはprotocolだけでなくAPIもRFCになっている。

・OpenDSはclientライブラリ作ってない
・OpenLDAPは、DSMLも喋れるJLDAPってのを書いてる
・Sun JDKは、JNDIにLDAP Service Providerを持っている

・mod_ldap, nss_ldapの需要があるからCのライブラリは誰かが維持する。
966 名前：名無しさん＠お腹いっぱい。 mailto:age [2006/12/25(月) 14:40:30 ]: >>965
> ・OpenLDAPは、DSMLも喋れるJLDAPってのを書いてる

↓これ。クライアントライブラリね。
www.openldap.org/jldap/overview.html

ちなみにOpenDSもDSMLをサポートしてる。(これはサーバ側)
967 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 15:11:33 ]: >>966
こんなの作ってたんだ…知らアッー！！！んかった。
968 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/26(火) 09:47:44 ]: Contributed by Novell.

以前はOpenLDAPのサイトに載せていながら、
結局 Novell のところでユーザ登録しないと取得できなかったような。

com.novell.* なパッケージもあるし、ほとんどソースが変更されて無いようなので、
「OpenLDAPが書いてる」っていうより、メンテしてるぐらいかな。

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef