LDAPについて

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 05/18 01:27 / Filesize : 285 KB / Number-of Response : 969
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

LDAPについて

1 名前：名無し君 [02/02/02 20:53]: 語りましょう。
私は俺はこんなものまでLDAPで管理している等々。。
694 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/14(水) 00:56:18 ]: そういやPHP4動いているマシンでldapsearchで試してみなよ。
695 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/14(水) 00:57:23 ]: Windowsなら板違いじゃね？
696 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/14(水) 01:26:05 ]: キニシナイ（AA略
697 名前：名無しさん＠お腹いっぱい。 [2005/09/16(金) 08:09:44 ]: PHPのLDAP関数では、Windows認証ってできますか？
DNを指定するのではなく…。
698 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/16(金) 09:50:26 ]: Windows認証って何やねん! (w
699 名前：名無しさん＠お腹いっぱい。 [2005/09/16(金) 10:17:35 ]: www.atmarkit.co.jp/fdotnet/aspnet/aspnet18/aspnet18_01.html
700 名前：名無しさん＠お腹いっぱい。 [2005/09/16(金) 10:57:19 ]: LDAP って「えるだっぷ」ってよむ？「えるでぃーえーぴぃ」？
701 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/16(金) 14:29:48 ]: えるだっぷでDNをしていしないってなんだよ
すれちがいいたちがいだろ
702 名前：名無しさん＠お腹いっぱい。 [2005/09/16(金) 23:14:32 ]: レベルの低い人は来ないでください
703 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/16(金) 23:19:55 ]: >>699
このスレで>>698の反応は正しい。
LDAP、左端の　|　にすら引っかからん。

www.microsoft.com/JAPAN/developer/library/jpiis/core/iiabasc.htm#challenge
704 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/17(土) 02:52:15 ]: >>702
ここはゆにっくす板のえるだっぷスレ(w
705 名前：名無しさん＠お腹いっぱい。 [2005/09/22(木) 20:04:15 ]: Ｏｐｅｎｌｄａｐで相互証明証明書使って暗号通信する
サンプルサイトとかないのかな
706 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/23(金) 09:11:34 ]: www.openldap.org/pub/ksoper/OpenLDAP_TLS_howto.html
707 名前：名無しさん＠お腹いっぱい。 [2005/09/24(土) 21:01:57 ]: すみません。

master :
replogfile /usr/local/openldap/var/slapd.replog
replica host=rep.test.net:389
binddn="cn=Replicator, ou=People, dc=somedomain, dc=net"
bindmethod=simple credentials=xxxxxx

slave :
updatedn "cn=Replicator, ou=People, dc=somedomain, dc=net"
updateref ldap://master.test.net

と設定して、
slurpd -f slapd.conf -d -1
として、起動したところ、うまくいきません。

Replica rep.test.net:389, skip repl record for xxxxxx (not mine)

原因は、slapd.replog にreplica:行が書き込まれていないことがわかりました。
replica:行を手で書いて、slurpdを起動するとうまくいきました。

どうすればreplica:行が書き込まれるのかお分かりの方お教え願います。

openldap-2.0.25です。
708 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/30(金) 07:02:26 ]: sambaのパスワードとsshログイン用のパスワードを
同じものを使うにはsmbldap-passwdを使うと思うのですが
Windowsクライアントから簡単にできる方法はありますか？
709 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/30(金) 13:07:31 ]: > Windowsクライアントから
PuttyやTeraTermでsshログインしてsmb.confとOpenLDAPの設定をする。
710 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/12(水) 01:51:37 ]: openldap で、コーユーことが出来るんじゃないかと思うんですが、
アホな上に知らんことが多すぎて苦戦中です。
「それ無理」か「ちゃんとやれば出来る」か、どっちか知ってる人
教えてくだされ。

【基本】
メールクライアントで使うアドレス帳サーバを作る。
但し、アドレス帳サーバを利用可能なパスワード（とID）ってものがある。
アドレス帳サーバの利用者は自分のパスワードをバラしたら殺されるという
ルールがあってこのルールは成立していると見なしてよい。

【だいたいの感じ】
LDAP参照できる大概のメールクライアントは、LDAPサーバの指定を
する欄に「バインド識別名」とかいうのがあるんで、こいつがIDに相当
すると思われる。
手元のサンダーバードで試した限りだと、バインド識別名を指定しておくと
確かにパスワードを聞いてくる。

【ここら辺が具合悪い】
アドレスサーバが提供するデータ（メルアドとか）は、
ou=data,dc=hoge みたいなところに格納して、
アドレスサーバが利用可能なユーザのマスタは
ou=user,dc=hoge みたいなところに格納して、
検索ベースは ou=data,dc=hoge
バインド識別子は cn=user01,ou=user,dc=hoge
とかにすりゃあええんじゃと思うんですが、、、
正解でしょうか？
そもそも無理な話なんだったら早々にあきらめたいとおもって。。。
711 名前：名無しさん＠お腹いっぱい。 [2005/10/13(木) 14:50:07 ]: inetOrgPerson、posixAccount オブジェクトクラスを使って
cn=user01,ou=user,dc=hoge
にメルアドとパスワードを持たせる。

で、どうよ？
712 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/13(木) 23:56:38 ]: いや、そういう話ではなくて、
「電話帳に載ってる人の集合」と「電話帳をみる権利のある人の集合」
を別々にしたいんです。
電話帳に載ってるけど自分では電話帳見れない人とか
電話帳に載ってて、自分もその電話帳見れる人とか
電話帳に自分は載ってないけど、電話帳みることは出来る人とか。。。
713 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 00:00:57 ]: 普通に出来るが、早々と諦めてはどうか?
714 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 01:29:23 ]: >712
おたく、コーユー仕事に向いてないと思うよ。
早々にあきらめたほがいいと思うよ。
715 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 01:56:39 ]: 別にお金貰ってやってる訳じゃないんですがw

色々やってみて、

ou=data,dc=hoge,dc=hoge
の下に cn=yamada とか cn=tanaka
とか作って、こいつらにはパスワードを持たせないで、

ou=user,dc=hoge,dc=hoge
の下に cn=taro とか cn=jiro
とか作って、こいつらにパスワード持たせると、
思ったよーになるんだけど、
やっぱ本当は slapd.conf に access <what> by <who> <access> を
さくっと定義したいんだけど。。。どーやってもうまく行かん。

かね貰ってやってる奴、５０万やるからここに答え書いてみろw
716 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 02:23:33 ]: >715
君ならやれるよ。
ガンバ！
717 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 02:24:16 ]: /etc/shadow に書いてあるような
$1$foo$bar
ってのを
{MD5}hogehoge
に変換する方法はありますか？
718 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 10:03:27 ]: {MD5}foobarで終了なんじゃないの?
719 名前：715 mailto:sage [2005/10/17(月) 12:10:53 ]: 　　　　　　　　　　　　　　　　　　　　 .∧､ｽﾁｬ　∧＿∧　　／￣￣￣￣￣￣￣￣￣￣
　　　　　　　　　　　　　　　　　　　／⌒ヽ＼　　（　ﾟ,_ゝﾟ）＜　お前はもう用なしだ
　　　　　　　　　　　　　　　　　　 |( ● )|　i＼／　　　　＼＼＿＿＿＿＿＿＿＿＿＿
　　　　　　　　　　　　　　　　　　＼＿ノ　^i | ./＼　　　/￣＼　
　　　　　　　　　　　　　　　　　　　　|＿|,-''iつl￣￣＼　/　ヽ　＼_
　　　　　∧＿∧　　　　　　　　　　[__|_|／〉￣￣￣￣￣￣　＼＿_）、
　　　／（´Д｀　）ヽ　　　　　　→　　　[ニニ〉＼　　　　　　　　　　　＼
　　ｍn´（＿（＿nｍ　　　　　　　　　　└―i'|＼||￣￣￣￣￣￣￣||￣
　￣￣￣ /＼　￣￣　　　　　　　　　　　　　||　 ||￣￣￣￣￣￣￣||
／￣￣￣　　￣￣￣￣￣￣＼　　　　　　　　 .||　　　　　　　　　　.||
|　　○○お願いします　　　　 |　　　　　　　　　　　　××後

　　　　　Before　　　　　　　　　　　　　　　　　After
720 名前：715(ほんもの) mailto:sage [2005/10/17(月) 19:56:09 ]: ttp://sapiens.wustl.edu/~sysmain/info/openldap/openldap_configure_acl.html

読んだらわかった。さくっとできたYO!
これで５０万は高いなw　５００円くらいか？
721 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/17(月) 19:59:47 ]: 715は sapiens.wustl.edu/~sysmain に50万支払うように。
722 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/17(月) 23:29:53 ]: >715
LDAPスキルあげる前に、ヒューマンスキルあげるのが先のようだなｗ

いや、マジで
723 名前：名無しさん＠お腹いっぱい。 [2005/10/18(火) 01:20:50 ]: とりあえず、

$ id test
uid=18000(test) gid=18000(test) groups=18000(test)

まで、できた、眠い、寝る
724 名前：名無しさん＠お腹いっぱい。 [2005/11/10(木) 00:48:25 ]: どうもです。
openldapやredhat directory serverには、active directoryの「権限委譲」みたいな機能ってあるのでしょうか？
たとえばある特定のouはそのouに所属するユーザーアカウントで追加も削除もできるとか、
そういう意味での「管理負荷の分散」が可能でしょうか？
725 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/10(木) 01:17:51 ]: >>724
どのDNによるアクセスにも、(つまりどのDNでbindしていても)
他の全てのDNに対する権限を設定できます。
非常に自由度が高いです。

www.redhat.com/docs/manuals/dir-server/ag/7.1/acl.html#997355

> ある特定のouは、

というのは以下の意味でしょうか?
uid=*,ou=People,dc=sub,dc=sample,dc=com という形でのワイルドカード指定が可能です。
主体の方(userdn=)も客体の方(target=)もです。

ちなみにOpenLDAPより、iPlanet起源のRed Hat～がお勧めです。
Fedora～ってのは無保証版なんでしょうかね?
directory.fedora.redhat.com/wiki/Main_Page
726 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/10(木) 01:20:19 ]: >>725
> 非常に自由度が高いです。

ただアクセスコントロールモデルなので、
one-time rightのようなタイプの委譲は出来ませんが。
(Machのportにあるような)
727 名前：名無しさん＠お腹いっぱい。 [2005/11/10(木) 23:58:33 ]: ありがとうございます。

>>725

> > ある特定のouは、
>
> というのは以下の意味でしょうか?
> uid=*,ou=People,dc=sub,dc=sample,dc=com という形でのワイルドカード指定が可能です。
> 主体の方(userdn=)も客体の方(target=)もです。
とすると、そのouの「管理者」なるものを任命して、
そのouに関する管理は押し付けることもできてしまいます？
そうすると上級の管理者にとって負担が減るので、とても助かるんです。

> ちなみにOpenLDAPより、iPlanet起源のRed Hat～がお勧めです。
> Fedora～ってのは無保証版なんでしょうかね?
> directory.fedora.redhat.com/wiki/Main_Page
これは実績あるのでしょうか？
ま、iPlanetという出自がすでに実績なのかもしれませんが、
SunJavaとはどういう関係なんでしょうね...
728 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/11(金) 07:03:36 ]: >>727
そのための階層構造、アクセスコントロールです。> 分散管理

Sun Javaは、iPlanet Directory Server→Sun ～→Sun Java ～という名前の変遷です。
iPlanetのLDAPサーバの分岐の一つです。Java ～のLinux版もあります。
www.sun.com/software/products/directory_srvr_ee/index.xml

それぞれのドキュメントを眺めて貰うと分かりますが、iPlanet系は殆んど同じです。
Red HatのはNetscape Dir～として実績のあるものです。
729 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/11(金) 07:08:52 ]: ちなみにアクセスコントロールしたい場合は、
アクセスコントロールルールの設定方法をよく検討して導入した方がいいです。
ルールを直接editするのが平気な人はなんでもいいと思うけれど、
GUIでやりたい人はちゃんとお金を出した製品を選びましょう。

私はLDIF編集/生成, Net::LDAP叩き派なのでその辺の製品情報は分かりません。
# iPlanetではルールを記述したaci属性を対象エントリに付ける。
730 名前：724/727 [2005/11/11(金) 07:51:18 ]: >>728
>>729
なるほどです。
参考にさせていただきます。
ありがとうございます。
731 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/17(木) 08:46:05 ]: Sun ONE Directory Server 5.1のSP4って、
SP3と違って、patch形式になってないなあ。
/usr/iplanet/ds5を指定すると、上書きだよ…
IPLT*なpackageの立場は一体?
732 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/18(金) 10:42:24 ]: docs.sun.comのマニュアルに
「LDAPサーバーをそのクライアントとして使用することはできない」
って書いてあるのですが、これってSolarisだけじゃなくて
一般的にそうなのでしょうか。
733 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/18(金) 10:48:35 ]: LDAPのクライアントにはなれるよ。
NSSを設定すると、鶏と卵問題が出てきて駄目。
ただし、マスターサーバ以外はマスタサーバを利用すれば問題なし。
一般的ではない。
734 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/18(金) 12:50:09 ]: NIS+ もそうだったね。移行しようとがんばったのずいぶん昔だなぁ...
735 名前：732 mailto:sage [2005/11/18(金) 13:29:48 ]: >>733
NSSでLDAPを使ってユーザとグループを一括管理しようと
思っていたのだけど、起動に必要なものはすべてfilesに
書いておいて、エンドユーザのユーザとグループだけ
LDAPに入れるのでもだめ?
736 名前：733 mailto:sage [2005/11/18(金) 15:34:36 ]: /etc/rc2.d/S71ldap.client
/etc/rc2.d/S72directory
なんで、この辺もいじる必要がありますよ。
S71, S72のrcの依存関係に注意する必要があります。

patchあてたり、色々面倒なんで、自分のところはLDAPサーバは専用に。
737 名前：732 mailto:sage [2005/11/18(金) 16:14:15 ]: >>736
thx。
結構いろいろ絡んでくるんですね。
専用LDAPサーバにします。

# 実はSolarisじゃなくてNetBSDなのです。
738 名前：733 mailto:sage [2005/11/19(土) 01:25:04 ]: >>737
え!? じゃあOpenLDAPなの?
NetBSDはまともにいじったことないけど楽勝だと思うよ。
iPlanetやSun Javaでも、Linuxだと問題ないし。

Solarisのクライアントサイドでのポリシーの問題だから。
739 名前：732 mailto:sage [2005/11/19(土) 02:24:47 ]: >>738
情報小出しでごめんなさい。

NetBSD + OpenLDAP + nss_ldap + pam_ldapなのです。

でもやっぱり専用LDAPサーバにします。
740 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/19(土) 08:52:49 ]: OpenLDAP、あんまり安定してないから気をつけてね。
NetBSDじゃ他に選択肢ないだろうから仕方ないけど。
データを毎日LDIFでバックアップ取っておいた方がいい。
741 名前：732 mailto:sage [2005/11/19(土) 11:21:16 ]: >>740 了解。
742 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/19(土) 11:26:38 ]: 運用するなら>>551前後を読んどいた方がいいと思う。
743 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/19(土) 11:27:26 ]: LinuxエミュレータでiPlanetやRed Hatって選択肢はないのかね? > NetBSD
744 名前：732 mailto:sage [2005/11/19(土) 17:54:01 ]: 「実はユーザが自分と妻の2人だけ」

とかいまさら言えない。
745 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/19(土) 20:57:28 ]: ああ、Enterprise用途ならば(ry
746 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/20(日) 05:39:08 ]: Tochan and Kachan Enterprise
747 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/24(木) 21:42:43 ]: 現在LDAPサーバ構築に向けて現在勉強中です。
まだ完全に理解し切れていない点が有るのですが、一つ質問させて下さい。

サーバAとサーバBが有って、両方とも同じLDAPサーバを参照し、
objectClass: posixAccount を使い、認証を行っているとします。
その中にhogeとfugaのuid（アカウント）があるとします。

この時、サーバAにはhogeとfuga。サーバBにはhogeだけを認証させたい…
そんな場合、何処でアクセス制限（認証制限）をかける事になるのでしょうか？

まさかサーバ毎に
access to dn.base="uid=hoge,ou=Users,dc=exsample,dc=com"
by peername="192.168.1.1" read
by peername="192.168.1.2" read
access to dn.base="uid=fuga,ou=Users,dc=exsample,dc=com"
by peername="192.168.1.1" read
のように一つ一つ記述して行く必要が有るのでしょうか？

そもそも考え方が間違っている場合は参考になるサイトなどを
教えていただければ幸いです。よろしくお願い致します。
748 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/25(金) 11:49:42 ]: かなり異常な要求だから、列挙するしかないでしょ?

セキュリティ上、サーバ側で拒否する必要はなくて、
クライアント側で制限できればいいのなら、
NSS/PAMのldap.confでfilter書けばいいけども。
749 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/25(金) 12:00:31 ]: filterにかけるための属性を定義して、
サーバ側でアクセスコントロールのルールに使えばいい。

というか、↓はちゃんと読んでいるの?
www.openldap.org/doc/admin23/slapdconf2.html#Access%20Control
750 名前：ななし mailto:sage [2005/11/26(土) 06:13:23 ]: >>747
hostAttribute書いてサーバ側でフィルタするだけでも
良い気がするけど。
751 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/28(月) 11:10:18 ]: >>748-750
レスありがとうございました。
三つをそれぞれ詳しく調べてどれが最善かしっかりと考えてみようと思います。

また詰まった際はご教授いただけると幸いです。
752 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/28(月) 11:23:16 ]: >751
結果を発表していただけると幸いです。
753 名前：名無しさん＠お腹いっぱい。 [2005/12/01(木) 16:48:55 ]: dn:< file:///tmp/xxx
といったURIスキームによる値を持つ属性を持ったエントリを追加しようとすると,
ldapmodify: invalid format (line x) entry: "......"
と言われてしまいます.

代わりに
dn: test
という値を持たせると問題ありませんでした.
また,別のマシンに同様のフォーマットによるエントリを追加したところ,
これも,問題ありませんでした.

もちろん /tmp/xxx は存在しています.
検索エンジンに「file:///」と入力しても「file」としてしか扱ってもらえず,
ヒントの探しようがなくて困っています.
何か考えられる原因はありますでしょうか.
よろしくお願いいたします.
754 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/01(木) 16:56:18 ]: どこのldapmodifyなのか、バージョンくらい書けばあ?
755 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/02(金) 01:11:02 ]: directory.fedora.redhat.com/wiki/FDS10Announcement
756 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/02(金) 11:41:29 ]: 失礼しました.
OpenLDAP 2.3.11 のldapmodifyです.
757 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/02(金) 22:33:22 ]: OpenLDAPね。

>>753
dnは駄目。
attr: <file://パス名というformatで。空白は厳密に。
758 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/03(土) 13:14:46 ]: ネットワークセキュリティ Expert 3って雑誌にLDAPの話題がたくさん載ってた。
どこらへんがセキュリティなのかわからんけど。
759 名前：753 mailto:sage [2005/12/07(水) 10:48:05 ]: レス遅れまして,申し訳ありません.

>>757
レスありがとうございます.
formatをそのようにしたところ,ちゃんと読み込んでくれました.
手持ちの文献には, "dc:< file:///" と書かれており,
また,別のPCでは,そのformatで読み込んでくれたので,
全く気づきませんでした.
同じOpenLDAPなのに,違う動作をしたのが解せないのですが,
動いたからいいや,という感じです.

本当にありがとうございました.

あと dn: ではなく dc: でした.
760 名前：753 mailto:sage [2005/12/07(水) 11:33:25 ]: attr: <file://path にすると,
"<file://path" という文字列をbase64エンコーディングしたものが
値になってしまうんですけど……
761 名前：753 mailto:sage [2005/12/08(木) 16:17:05 ]: 追加です.
attr:< file:///tmp/xxx
は,前述の通りで,未だエラーが返ってきます.

しかし, (current is /<dir>)
attr:< file://./../tmp/xxx
とすると,読み込んでくれました.

ちなみに
attr:< file://../tmp/xxx
では読み込んでくれませんでした.
762 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/10(土) 00:50:37 ]: >>758
Radiusやら、PKIやらに応用すれば、ネットワークセキュリティ話になるな。
さらにそれを応用した話にも繋がるし。
それを前提にした、LDAP話を持ち出しても、別におかしくはあるまい。

このスレの主流となるOpenLDAPとは、関連が薄そうなﾖｶｰﾝ
763 名前：758 [2005/12/10(土) 21:38:35 ]: >>762
RadiusやらPKIの話はないけど、OpenLDAPでUNIXアカウントとメールアカウント(qmail-ldap)
とOpenSSHの公開鍵とautofsのマップ定義管理してたよ。というか買った。
最後までLDIFを1回も書かないところが良かった。他にもSambaとかApacheとかとも
連携してるって書いたあったのでその話も気になった。
あと、証明書関連ってことで自己認証局の作り方も載っててちょっと得した気分。

でも、他の記事に比べると浮きまくりｗ。SSLやTLSを使ってるから有りなのか？
そんなわけでこのスレと一応関連するんでないかな。見かけたら見てみると良いよ。
764 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/13(火) 12:07:04 ]: 先日の IW でも Security Day で
LDAP のセミナーがあったね。
internetweek.jp/program/shosai.asp?progid=T24

最近は NEC が samba 絡みでなんかやってるけど、
流行ってるんだろうかなあ？
765 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/13(火) 12:40:41 ]: NECは独自のLDAP製品持って、
マルチプラットフォーム連携やっている。

東大もMac OS Xに、NECのファイルサーバ、LDAPサーバじゃなかったかな。
前はWindows TSEも動かしていたし。
766 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/14(水) 04:40:26 ]: ちょうど同じようなネタが @IT に
www.atmarkit.co.jp/flinux/rensai/apache2_06/apache06a.html

肝心の LDAP の設定が殆どなんも書いてないや…
767 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/14(水) 07:30:41 ]: > ここでは本文に先行してLDAPのインストールまで行います。ただし、今回はイ
> ンストールを行うだけであり、設定については次回に解説します。
768 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/22(木) 22:07:23 ]: LDAPでLinuxマシンのユーザ認証を行わせる所まで出来ました。
次にldapに登録されているユーザでrootになれるユーザ（su 出来るユーザ）
を限定しようと考えているのですが、pamのwheelを使う方法で
上手く行きません。何か良いアドバイスを頂けませんでしょうか？

/etc/pam.d/su
+auth required /lib/security/pam_wheel.so group=wheel

/etc/login.defs
+SU_WHEEL_ONLY yes

/etc/group
+wheel:x:10:root,user1

変更点は以上の通りです。
769 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/23(金) 08:39:45 ]: sudoにしろ。
それからwheelグループをLDAP上に置かないならスレ違い。
770 名前：名無しさん＠お腹いっぱい。 [2005/12/29(木) 01:40:01 ]: WindowsとLinuxのクライアントが混在した環境でログイン認証を統一したいと
思っているんですが、LDAPで可能でしょうか？　現在はWinではAcriveDirectory、
Linuxは各マシンごとにpasswdでやってます。

ネット上で探したところDCをWindowsでなくSambaでつくってやればできそうなのは
なんとなくわかりましたが、WindowsのDCでやらせるのは無理でしょうか？
771 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/29(木) 01:53:20 ]: 無理じゃないが面倒くさい。たぶんおまえの手にはおえない。
772 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/29(木) 15:23:19 ]: ttp://www.google.co.jp/search?q=Active/Directory+linux

ググったらめちゃひっかかるやん。がんばれ
773 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/29(木) 15:57:56 ]: winbindでがんばる
774 名前：名無しさん＠お腹いっぱい。 [2006/01/01(日) 00:19:50 ]: くだ質っぽいが質問させてください。
環境はFreeBSD6.0、portsからopenldap-sasl-server-2.3.11を入れました
いつの間にかslapdの起動にやたらと時間がかかるようになってしまいました
デバッグ情報を表示させてみたら
ldap_create
ldap_url_parse_ext(ldap://127.0.0.1)
ldap_create
ldap_url_parse_ext(ldap://127.0.0.1)
ldap_simple_bind
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP 127.0.0.1:389
ldap_new_socket: 9
ldap_prepare_socket: 9
ldap_connect_to_host: Trying 127.0.0.1:389
ldap_connect_timeout: fd: 9 tm: 30 async: 0
ldap_ndelay_on: 9
ldap_connect_timeout: timed out
ldap_close_socket: 9
ldap_unbind
とタイムアウトしてるようなんですが
何故タイムアウトしているのかよくわかりません
775 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/03(火) 19:49:59 ]: $ telnet 127.0.0.1 389
776 名前：774 mailto:sage [2006/01/09(月) 01:43:08 ]: nsswitch.confからldapを消したらタイムアウトしなくなった
slapdがlistenする前にnssを見に行ってるのだろうか
でも設定をいじった記憶も無いしなにがなんだか
777 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/09(月) 10:13:44 ]: hosts: files ldap

として、filesの方に最低限のhost記述がないから、
slapdが立ち上げ時に必要としているホスト名解決ができないんでしょ。

鶏卵問題ですな。(passwd, group, shadowかもしれませんが)
778 名前：初心者 [2006/01/16(月) 20:25:02 ]: NISからOpenLDAPに移行しようとしているのですが、
現在、UNIXにあるデータをLDAPと連携させるには
何を使えばいいですか？
ちなみにFreeBSD5.3を使っています。

やはり、nss_ldapとpam_ldapでしょうか？
779 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/16(月) 20:41:55 ]: >>778
> NISからOpenLDAPに移行しようとしているのですが、

は

> やはり、nss_ldapとpam_ldapでしょうか？

でいいとして、

> 現在、UNIXにあるデータをLDAPと連携させるには

というのは何? 何のデータ?
780 名前：初心者 mailto:sage [2006/01/16(月) 21:23:58 ]: レスありがとうございます。
データはUNIXユーザの情報です。
認証がかかったときに
そこに見に行くようにしたいのですが。
781 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/16(月) 21:29:08 ]: NISとの連携なのか、NISからの移行なのかはっきりして。

LDAPだけでいいなら、つまり完全移行なら、
NISからテキストデータベースを持ってきて、
migrationtoolでLDAPサーバに登録して。
782 名前：名無しさん＠お腹いっぱい。 [2006/01/17(火) 00:06:35 ]: filterの書式で、

(|(attr=a*)(attr=b*)(attr=c*)...(attr=z*)(attr=A*)...(attr=Z*))

このfilterはもっと短くできますか？
短くしたfilterを教えてください。
783 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 00:59:19 ]: extensibleMatchに使える特殊なマッチルールを持っているサーバで、
attr型のSYNTAXがそのマッチでない限り、駄目です。

attrの定義でSYNTAX, EQUALITY, SUBSTRを調べてください。

まあ十中八九駄目ですが。
784 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 15:19:18 ]: 初カキコですいません。
ちょっと質問です。
FreeBSD5.3RELESEでOpenLDAPを使って
RADIUS認証をやりたいんですが、
RADIUS鯖でユーザ認証させても

radtest ... ... localhost 0 ...
とテストコマンドを使っても

access reject packet from host 127.0.0.1:1812

って出るですが、
いろんなサイトの設定を試してもできません。
LDAPにRADIUS用の特殊なオブジェクトクラスとかあるんでしょうか？
何か原因があればぜひ教えていただきたいです。
ちなみに、
OpenLDAP-sasl-server2.2.17、FreeRADIUS1.0.1を使用しています。
785 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 15:42:04 ]: とりあえずな、freeradiusのusersファイルにローカルユーザ登録して試しな。

で、次にFreeRADIUSのLDAP RLMモジュールの設定な。

それから"access reject" packetってのは、
radiusプロトコルでの応答パケットの種類な。
アクセス拒否、つまり認証失敗ってこった。
786 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 16:01:47 ]: レスありがとうございます。
ローカルユーザは認証成功しました。

＞次にFreeRADIUSのLDAP RLMモジュールの設定な
についてですが、それはradius.confにあるmodulesの
ところのやつですか？
787 名前：784 mailto:sage [2006/01/17(火) 17:02:23 ]: すいません、違いますね。
調べてわかりました。

しかし、そのLDAP RLMモジュールの設定をどこですればいいのか
がわからないです。
788 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 17:07:08 ]: そう。全部話していると切りがないから、

${FREERADIUS}/doc/rlm_ldap
${FREERADIUS}/doc/ldap_howto.txt

読んで分からないところを聞いて。
789 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 17:07:59 ]: >>787
radius"d".confだって。
${FREERADIUS}/doc/rlm_ldapをちゃんと読め。
790 名前：784 mailto:sage [2006/01/17(火) 19:27:41 ]: >>789
すいません、radiusd.confでした。

>>788
どのファイルも英語でわからないとこだらけですが、
rlm_ldapとradiusd.confの設定内容で
例えば、basednやaccess_attrなんかは
同じ内容にしなきゃだめですよね？

portをとりあえず636から389にしたんですが
結局だめでした。
791 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 19:33:28 ]: rlm_ldapが設定ファイルだと思っている?
もう一回良く読み直して。翻訳サイトで翻訳できるでしょ。

英語ドキュメント駄目そうなら、明日朝一で、
LDAP -設定・管理・プログラミング
www.amazon.co.jp/exec/obidos/ASIN/4274065502/
を購入。
792 名前：784 mailto:sage [2006/01/17(火) 22:48:43 ]: またしても勘違いしてました・・・。

書いてあることはわかるんですが、
実際どうすればいいかがわかんないですね・・・＾＾；

default_profileには、何を指定してやればいいんですか？
radiusprofileっていうオブジェクトクラスを使ってるエントリでは
ないんですか？？
793 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/18(水) 01:34:37 ]: default_profileがLDAP上に必要なの?
usersに書くんじゃダメなの?
794 名前：784 mailto:sage [2006/01/18(水) 16:55:49 ]: usersに書くんですか？

むぅ・・・よくわからんですね。

一応昨日はいろいろ設定して、認証通ったんですが
今日PC起動したらまた認証失敗するようになりましたorz

本買ったほうがいいですかね・・・。

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef