LDAPについて

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 05/18 01:27 / Filesize : 285 KB / Number-of Response : 969
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

LDAPについて

1 名前：名無し君 [02/02/02 20:53]: 語りましょう。
私は俺はこんなものまでLDAPで管理している等々。。
712 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/13(木) 23:56:38 ]: いや、そういう話ではなくて、
「電話帳に載ってる人の集合」と「電話帳をみる権利のある人の集合」
を別々にしたいんです。
電話帳に載ってるけど自分では電話帳見れない人とか
電話帳に載ってて、自分もその電話帳見れる人とか
電話帳に自分は載ってないけど、電話帳みることは出来る人とか。。。
713 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 00:00:57 ]: 普通に出来るが、早々と諦めてはどうか?
714 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 01:29:23 ]: >712
おたく、コーユー仕事に向いてないと思うよ。
早々にあきらめたほがいいと思うよ。
715 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 01:56:39 ]: 別にお金貰ってやってる訳じゃないんですがw

色々やってみて、

ou=data,dc=hoge,dc=hoge
の下に cn=yamada とか cn=tanaka
とか作って、こいつらにはパスワードを持たせないで、

ou=user,dc=hoge,dc=hoge
の下に cn=taro とか cn=jiro
とか作って、こいつらにパスワード持たせると、
思ったよーになるんだけど、
やっぱ本当は slapd.conf に access <what> by <who> <access> を
さくっと定義したいんだけど。。。どーやってもうまく行かん。

かね貰ってやってる奴、５０万やるからここに答え書いてみろw
716 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 02:23:33 ]: >715
君ならやれるよ。
ガンバ！
717 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 02:24:16 ]: /etc/shadow に書いてあるような
$1$foo$bar
ってのを
{MD5}hogehoge
に変換する方法はありますか？
718 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/14(金) 10:03:27 ]: {MD5}foobarで終了なんじゃないの?
719 名前：715 mailto:sage [2005/10/17(月) 12:10:53 ]: 　　　　　　　　　　　　　　　　　　　　 .∧､ｽﾁｬ　∧＿∧　　／￣￣￣￣￣￣￣￣￣￣
　　　　　　　　　　　　　　　　　　　／⌒ヽ＼　　（　ﾟ,_ゝﾟ）＜　お前はもう用なしだ
　　　　　　　　　　　　　　　　　　 |( ● )|　i＼／　　　　＼＼＿＿＿＿＿＿＿＿＿＿
　　　　　　　　　　　　　　　　　　＼＿ノ　^i | ./＼　　　/￣＼　
　　　　　　　　　　　　　　　　　　　　|＿|,-''iつl￣￣＼　/　ヽ　＼_
　　　　　∧＿∧　　　　　　　　　　[__|_|／〉￣￣￣￣￣￣　＼＿_）、
　　　／（´Д｀　）ヽ　　　　　　→　　　[ニニ〉＼　　　　　　　　　　　＼
　　ｍn´（＿（＿nｍ　　　　　　　　　　└―i'|＼||￣￣￣￣￣￣￣||￣
　￣￣￣ /＼　￣￣　　　　　　　　　　　　　||　 ||￣￣￣￣￣￣￣||
／￣￣￣　　￣￣￣￣￣￣＼　　　　　　　　 .||　　　　　　　　　　.||
|　　○○お願いします　　　　 |　　　　　　　　　　　　××後

　　　　　Before　　　　　　　　　　　　　　　　　After
720 名前：715(ほんもの) mailto:sage [2005/10/17(月) 19:56:09 ]: ttp://sapiens.wustl.edu/~sysmain/info/openldap/openldap_configure_acl.html

読んだらわかった。さくっとできたYO!
これで５０万は高いなw　５００円くらいか？
721 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/17(月) 19:59:47 ]: 715は sapiens.wustl.edu/~sysmain に50万支払うように。
722 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/17(月) 23:29:53 ]: >715
LDAPスキルあげる前に、ヒューマンスキルあげるのが先のようだなｗ

いや、マジで
723 名前：名無しさん＠お腹いっぱい。 [2005/10/18(火) 01:20:50 ]: とりあえず、

$ id test
uid=18000(test) gid=18000(test) groups=18000(test)

まで、できた、眠い、寝る
724 名前：名無しさん＠お腹いっぱい。 [2005/11/10(木) 00:48:25 ]: どうもです。
openldapやredhat directory serverには、active directoryの「権限委譲」みたいな機能ってあるのでしょうか？
たとえばある特定のouはそのouに所属するユーザーアカウントで追加も削除もできるとか、
そういう意味での「管理負荷の分散」が可能でしょうか？
725 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/10(木) 01:17:51 ]: >>724
どのDNによるアクセスにも、(つまりどのDNでbindしていても)
他の全てのDNに対する権限を設定できます。
非常に自由度が高いです。

www.redhat.com/docs/manuals/dir-server/ag/7.1/acl.html#997355

> ある特定のouは、

というのは以下の意味でしょうか?
uid=*,ou=People,dc=sub,dc=sample,dc=com という形でのワイルドカード指定が可能です。
主体の方(userdn=)も客体の方(target=)もです。

ちなみにOpenLDAPより、iPlanet起源のRed Hat～がお勧めです。
Fedora～ってのは無保証版なんでしょうかね?
directory.fedora.redhat.com/wiki/Main_Page
726 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/10(木) 01:20:19 ]: >>725
> 非常に自由度が高いです。

ただアクセスコントロールモデルなので、
one-time rightのようなタイプの委譲は出来ませんが。
(Machのportにあるような)
727 名前：名無しさん＠お腹いっぱい。 [2005/11/10(木) 23:58:33 ]: ありがとうございます。

>>725

> > ある特定のouは、
>
> というのは以下の意味でしょうか?
> uid=*,ou=People,dc=sub,dc=sample,dc=com という形でのワイルドカード指定が可能です。
> 主体の方(userdn=)も客体の方(target=)もです。
とすると、そのouの「管理者」なるものを任命して、
そのouに関する管理は押し付けることもできてしまいます？
そうすると上級の管理者にとって負担が減るので、とても助かるんです。

> ちなみにOpenLDAPより、iPlanet起源のRed Hat～がお勧めです。
> Fedora～ってのは無保証版なんでしょうかね?
> directory.fedora.redhat.com/wiki/Main_Page
これは実績あるのでしょうか？
ま、iPlanetという出自がすでに実績なのかもしれませんが、
SunJavaとはどういう関係なんでしょうね...
728 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/11(金) 07:03:36 ]: >>727
そのための階層構造、アクセスコントロールです。> 分散管理

Sun Javaは、iPlanet Directory Server→Sun ～→Sun Java ～という名前の変遷です。
iPlanetのLDAPサーバの分岐の一つです。Java ～のLinux版もあります。
www.sun.com/software/products/directory_srvr_ee/index.xml

それぞれのドキュメントを眺めて貰うと分かりますが、iPlanet系は殆んど同じです。
Red HatのはNetscape Dir～として実績のあるものです。
729 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/11(金) 07:08:52 ]: ちなみにアクセスコントロールしたい場合は、
アクセスコントロールルールの設定方法をよく検討して導入した方がいいです。
ルールを直接editするのが平気な人はなんでもいいと思うけれど、
GUIでやりたい人はちゃんとお金を出した製品を選びましょう。

私はLDIF編集/生成, Net::LDAP叩き派なのでその辺の製品情報は分かりません。
# iPlanetではルールを記述したaci属性を対象エントリに付ける。
730 名前：724/727 [2005/11/11(金) 07:51:18 ]: >>728
>>729
なるほどです。
参考にさせていただきます。
ありがとうございます。
731 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/17(木) 08:46:05 ]: Sun ONE Directory Server 5.1のSP4って、
SP3と違って、patch形式になってないなあ。
/usr/iplanet/ds5を指定すると、上書きだよ…
IPLT*なpackageの立場は一体?
732 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/18(金) 10:42:24 ]: docs.sun.comのマニュアルに
「LDAPサーバーをそのクライアントとして使用することはできない」
って書いてあるのですが、これってSolarisだけじゃなくて
一般的にそうなのでしょうか。
733 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/18(金) 10:48:35 ]: LDAPのクライアントにはなれるよ。
NSSを設定すると、鶏と卵問題が出てきて駄目。
ただし、マスターサーバ以外はマスタサーバを利用すれば問題なし。
一般的ではない。
734 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/18(金) 12:50:09 ]: NIS+ もそうだったね。移行しようとがんばったのずいぶん昔だなぁ...
735 名前：732 mailto:sage [2005/11/18(金) 13:29:48 ]: >>733
NSSでLDAPを使ってユーザとグループを一括管理しようと
思っていたのだけど、起動に必要なものはすべてfilesに
書いておいて、エンドユーザのユーザとグループだけ
LDAPに入れるのでもだめ?
736 名前：733 mailto:sage [2005/11/18(金) 15:34:36 ]: /etc/rc2.d/S71ldap.client
/etc/rc2.d/S72directory
なんで、この辺もいじる必要がありますよ。
S71, S72のrcの依存関係に注意する必要があります。

patchあてたり、色々面倒なんで、自分のところはLDAPサーバは専用に。
737 名前：732 mailto:sage [2005/11/18(金) 16:14:15 ]: >>736
thx。
結構いろいろ絡んでくるんですね。
専用LDAPサーバにします。

# 実はSolarisじゃなくてNetBSDなのです。
738 名前：733 mailto:sage [2005/11/19(土) 01:25:04 ]: >>737
え!? じゃあOpenLDAPなの?
NetBSDはまともにいじったことないけど楽勝だと思うよ。
iPlanetやSun Javaでも、Linuxだと問題ないし。

Solarisのクライアントサイドでのポリシーの問題だから。
739 名前：732 mailto:sage [2005/11/19(土) 02:24:47 ]: >>738
情報小出しでごめんなさい。

NetBSD + OpenLDAP + nss_ldap + pam_ldapなのです。

でもやっぱり専用LDAPサーバにします。
740 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/19(土) 08:52:49 ]: OpenLDAP、あんまり安定してないから気をつけてね。
NetBSDじゃ他に選択肢ないだろうから仕方ないけど。
データを毎日LDIFでバックアップ取っておいた方がいい。
741 名前：732 mailto:sage [2005/11/19(土) 11:21:16 ]: >>740 了解。
742 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/19(土) 11:26:38 ]: 運用するなら>>551前後を読んどいた方がいいと思う。
743 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/19(土) 11:27:26 ]: LinuxエミュレータでiPlanetやRed Hatって選択肢はないのかね? > NetBSD
744 名前：732 mailto:sage [2005/11/19(土) 17:54:01 ]: 「実はユーザが自分と妻の2人だけ」

とかいまさら言えない。
745 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/19(土) 20:57:28 ]: ああ、Enterprise用途ならば(ry
746 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/20(日) 05:39:08 ]: Tochan and Kachan Enterprise
747 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/24(木) 21:42:43 ]: 現在LDAPサーバ構築に向けて現在勉強中です。
まだ完全に理解し切れていない点が有るのですが、一つ質問させて下さい。

サーバAとサーバBが有って、両方とも同じLDAPサーバを参照し、
objectClass: posixAccount を使い、認証を行っているとします。
その中にhogeとfugaのuid（アカウント）があるとします。

この時、サーバAにはhogeとfuga。サーバBにはhogeだけを認証させたい…
そんな場合、何処でアクセス制限（認証制限）をかける事になるのでしょうか？

まさかサーバ毎に
access to dn.base="uid=hoge,ou=Users,dc=exsample,dc=com"
by peername="192.168.1.1" read
by peername="192.168.1.2" read
access to dn.base="uid=fuga,ou=Users,dc=exsample,dc=com"
by peername="192.168.1.1" read
のように一つ一つ記述して行く必要が有るのでしょうか？

そもそも考え方が間違っている場合は参考になるサイトなどを
教えていただければ幸いです。よろしくお願い致します。
748 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/25(金) 11:49:42 ]: かなり異常な要求だから、列挙するしかないでしょ?

セキュリティ上、サーバ側で拒否する必要はなくて、
クライアント側で制限できればいいのなら、
NSS/PAMのldap.confでfilter書けばいいけども。
749 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/25(金) 12:00:31 ]: filterにかけるための属性を定義して、
サーバ側でアクセスコントロールのルールに使えばいい。

というか、↓はちゃんと読んでいるの?
www.openldap.org/doc/admin23/slapdconf2.html#Access%20Control
750 名前：ななし mailto:sage [2005/11/26(土) 06:13:23 ]: >>747
hostAttribute書いてサーバ側でフィルタするだけでも
良い気がするけど。
751 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/28(月) 11:10:18 ]: >>748-750
レスありがとうございました。
三つをそれぞれ詳しく調べてどれが最善かしっかりと考えてみようと思います。

また詰まった際はご教授いただけると幸いです。
752 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/28(月) 11:23:16 ]: >751
結果を発表していただけると幸いです。
753 名前：名無しさん＠お腹いっぱい。 [2005/12/01(木) 16:48:55 ]: dn:< file:///tmp/xxx
といったURIスキームによる値を持つ属性を持ったエントリを追加しようとすると,
ldapmodify: invalid format (line x) entry: "......"
と言われてしまいます.

代わりに
dn: test
という値を持たせると問題ありませんでした.
また,別のマシンに同様のフォーマットによるエントリを追加したところ,
これも,問題ありませんでした.

もちろん /tmp/xxx は存在しています.
検索エンジンに「file:///」と入力しても「file」としてしか扱ってもらえず,
ヒントの探しようがなくて困っています.
何か考えられる原因はありますでしょうか.
よろしくお願いいたします.
754 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/01(木) 16:56:18 ]: どこのldapmodifyなのか、バージョンくらい書けばあ?
755 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/02(金) 01:11:02 ]: directory.fedora.redhat.com/wiki/FDS10Announcement
756 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/02(金) 11:41:29 ]: 失礼しました.
OpenLDAP 2.3.11 のldapmodifyです.
757 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/02(金) 22:33:22 ]: OpenLDAPね。

>>753
dnは駄目。
attr: <file://パス名というformatで。空白は厳密に。
758 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/03(土) 13:14:46 ]: ネットワークセキュリティ Expert 3って雑誌にLDAPの話題がたくさん載ってた。
どこらへんがセキュリティなのかわからんけど。
759 名前：753 mailto:sage [2005/12/07(水) 10:48:05 ]: レス遅れまして,申し訳ありません.

>>757
レスありがとうございます.
formatをそのようにしたところ,ちゃんと読み込んでくれました.
手持ちの文献には, "dc:< file:///" と書かれており,
また,別のPCでは,そのformatで読み込んでくれたので,
全く気づきませんでした.
同じOpenLDAPなのに,違う動作をしたのが解せないのですが,
動いたからいいや,という感じです.

本当にありがとうございました.

あと dn: ではなく dc: でした.
760 名前：753 mailto:sage [2005/12/07(水) 11:33:25 ]: attr: <file://path にすると,
"<file://path" という文字列をbase64エンコーディングしたものが
値になってしまうんですけど……
761 名前：753 mailto:sage [2005/12/08(木) 16:17:05 ]: 追加です.
attr:< file:///tmp/xxx
は,前述の通りで,未だエラーが返ってきます.

しかし, (current is /<dir>)
attr:< file://./../tmp/xxx
とすると,読み込んでくれました.

ちなみに
attr:< file://../tmp/xxx
では読み込んでくれませんでした.
762 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/10(土) 00:50:37 ]: >>758
Radiusやら、PKIやらに応用すれば、ネットワークセキュリティ話になるな。
さらにそれを応用した話にも繋がるし。
それを前提にした、LDAP話を持ち出しても、別におかしくはあるまい。

このスレの主流となるOpenLDAPとは、関連が薄そうなﾖｶｰﾝ
763 名前：758 [2005/12/10(土) 21:38:35 ]: >>762
RadiusやらPKIの話はないけど、OpenLDAPでUNIXアカウントとメールアカウント(qmail-ldap)
とOpenSSHの公開鍵とautofsのマップ定義管理してたよ。というか買った。
最後までLDIFを1回も書かないところが良かった。他にもSambaとかApacheとかとも
連携してるって書いたあったのでその話も気になった。
あと、証明書関連ってことで自己認証局の作り方も載っててちょっと得した気分。

でも、他の記事に比べると浮きまくりｗ。SSLやTLSを使ってるから有りなのか？
そんなわけでこのスレと一応関連するんでないかな。見かけたら見てみると良いよ。
764 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/13(火) 12:07:04 ]: 先日の IW でも Security Day で
LDAP のセミナーがあったね。
internetweek.jp/program/shosai.asp?progid=T24

最近は NEC が samba 絡みでなんかやってるけど、
流行ってるんだろうかなあ？
765 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/13(火) 12:40:41 ]: NECは独自のLDAP製品持って、
マルチプラットフォーム連携やっている。

東大もMac OS Xに、NECのファイルサーバ、LDAPサーバじゃなかったかな。
前はWindows TSEも動かしていたし。
766 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/14(水) 04:40:26 ]: ちょうど同じようなネタが @IT に
www.atmarkit.co.jp/flinux/rensai/apache2_06/apache06a.html

肝心の LDAP の設定が殆どなんも書いてないや…
767 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/14(水) 07:30:41 ]: > ここでは本文に先行してLDAPのインストールまで行います。ただし、今回はイ
> ンストールを行うだけであり、設定については次回に解説します。
768 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/22(木) 22:07:23 ]: LDAPでLinuxマシンのユーザ認証を行わせる所まで出来ました。
次にldapに登録されているユーザでrootになれるユーザ（su 出来るユーザ）
を限定しようと考えているのですが、pamのwheelを使う方法で
上手く行きません。何か良いアドバイスを頂けませんでしょうか？

/etc/pam.d/su
+auth required /lib/security/pam_wheel.so group=wheel

/etc/login.defs
+SU_WHEEL_ONLY yes

/etc/group
+wheel:x:10:root,user1

変更点は以上の通りです。
769 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/23(金) 08:39:45 ]: sudoにしろ。
それからwheelグループをLDAP上に置かないならスレ違い。
770 名前：名無しさん＠お腹いっぱい。 [2005/12/29(木) 01:40:01 ]: WindowsとLinuxのクライアントが混在した環境でログイン認証を統一したいと
思っているんですが、LDAPで可能でしょうか？　現在はWinではAcriveDirectory、
Linuxは各マシンごとにpasswdでやってます。

ネット上で探したところDCをWindowsでなくSambaでつくってやればできそうなのは
なんとなくわかりましたが、WindowsのDCでやらせるのは無理でしょうか？
771 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/29(木) 01:53:20 ]: 無理じゃないが面倒くさい。たぶんおまえの手にはおえない。
772 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/29(木) 15:23:19 ]: ttp://www.google.co.jp/search?q=Active/Directory+linux

ググったらめちゃひっかかるやん。がんばれ
773 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/29(木) 15:57:56 ]: winbindでがんばる
774 名前：名無しさん＠お腹いっぱい。 [2006/01/01(日) 00:19:50 ]: くだ質っぽいが質問させてください。
環境はFreeBSD6.0、portsからopenldap-sasl-server-2.3.11を入れました
いつの間にかslapdの起動にやたらと時間がかかるようになってしまいました
デバッグ情報を表示させてみたら
ldap_create
ldap_url_parse_ext(ldap://127.0.0.1)
ldap_create
ldap_url_parse_ext(ldap://127.0.0.1)
ldap_simple_bind
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP 127.0.0.1:389
ldap_new_socket: 9
ldap_prepare_socket: 9
ldap_connect_to_host: Trying 127.0.0.1:389
ldap_connect_timeout: fd: 9 tm: 30 async: 0
ldap_ndelay_on: 9
ldap_connect_timeout: timed out
ldap_close_socket: 9
ldap_unbind
とタイムアウトしてるようなんですが
何故タイムアウトしているのかよくわかりません
775 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/03(火) 19:49:59 ]: $ telnet 127.0.0.1 389
776 名前：774 mailto:sage [2006/01/09(月) 01:43:08 ]: nsswitch.confからldapを消したらタイムアウトしなくなった
slapdがlistenする前にnssを見に行ってるのだろうか
でも設定をいじった記憶も無いしなにがなんだか
777 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/09(月) 10:13:44 ]: hosts: files ldap

として、filesの方に最低限のhost記述がないから、
slapdが立ち上げ時に必要としているホスト名解決ができないんでしょ。

鶏卵問題ですな。(passwd, group, shadowかもしれませんが)
778 名前：初心者 [2006/01/16(月) 20:25:02 ]: NISからOpenLDAPに移行しようとしているのですが、
現在、UNIXにあるデータをLDAPと連携させるには
何を使えばいいですか？
ちなみにFreeBSD5.3を使っています。

やはり、nss_ldapとpam_ldapでしょうか？
779 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/16(月) 20:41:55 ]: >>778
> NISからOpenLDAPに移行しようとしているのですが、

は

> やはり、nss_ldapとpam_ldapでしょうか？

でいいとして、

> 現在、UNIXにあるデータをLDAPと連携させるには

というのは何? 何のデータ?
780 名前：初心者 mailto:sage [2006/01/16(月) 21:23:58 ]: レスありがとうございます。
データはUNIXユーザの情報です。
認証がかかったときに
そこに見に行くようにしたいのですが。
781 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/16(月) 21:29:08 ]: NISとの連携なのか、NISからの移行なのかはっきりして。

LDAPだけでいいなら、つまり完全移行なら、
NISからテキストデータベースを持ってきて、
migrationtoolでLDAPサーバに登録して。
782 名前：名無しさん＠お腹いっぱい。 [2006/01/17(火) 00:06:35 ]: filterの書式で、

(|(attr=a*)(attr=b*)(attr=c*)...(attr=z*)(attr=A*)...(attr=Z*))

このfilterはもっと短くできますか？
短くしたfilterを教えてください。
783 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 00:59:19 ]: extensibleMatchに使える特殊なマッチルールを持っているサーバで、
attr型のSYNTAXがそのマッチでない限り、駄目です。

attrの定義でSYNTAX, EQUALITY, SUBSTRを調べてください。

まあ十中八九駄目ですが。
784 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 15:19:18 ]: 初カキコですいません。
ちょっと質問です。
FreeBSD5.3RELESEでOpenLDAPを使って
RADIUS認証をやりたいんですが、
RADIUS鯖でユーザ認証させても

radtest ... ... localhost 0 ...
とテストコマンドを使っても

access reject packet from host 127.0.0.1:1812

って出るですが、
いろんなサイトの設定を試してもできません。
LDAPにRADIUS用の特殊なオブジェクトクラスとかあるんでしょうか？
何か原因があればぜひ教えていただきたいです。
ちなみに、
OpenLDAP-sasl-server2.2.17、FreeRADIUS1.0.1を使用しています。
785 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 15:42:04 ]: とりあえずな、freeradiusのusersファイルにローカルユーザ登録して試しな。

で、次にFreeRADIUSのLDAP RLMモジュールの設定な。

それから"access reject" packetってのは、
radiusプロトコルでの応答パケットの種類な。
アクセス拒否、つまり認証失敗ってこった。
786 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 16:01:47 ]: レスありがとうございます。
ローカルユーザは認証成功しました。

＞次にFreeRADIUSのLDAP RLMモジュールの設定な
についてですが、それはradius.confにあるmodulesの
ところのやつですか？
787 名前：784 mailto:sage [2006/01/17(火) 17:02:23 ]: すいません、違いますね。
調べてわかりました。

しかし、そのLDAP RLMモジュールの設定をどこですればいいのか
がわからないです。
788 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 17:07:08 ]: そう。全部話していると切りがないから、

${FREERADIUS}/doc/rlm_ldap
${FREERADIUS}/doc/ldap_howto.txt

読んで分からないところを聞いて。
789 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 17:07:59 ]: >>787
radius"d".confだって。
${FREERADIUS}/doc/rlm_ldapをちゃんと読め。
790 名前：784 mailto:sage [2006/01/17(火) 19:27:41 ]: >>789
すいません、radiusd.confでした。

>>788
どのファイルも英語でわからないとこだらけですが、
rlm_ldapとradiusd.confの設定内容で
例えば、basednやaccess_attrなんかは
同じ内容にしなきゃだめですよね？

portをとりあえず636から389にしたんですが
結局だめでした。
791 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/17(火) 19:33:28 ]: rlm_ldapが設定ファイルだと思っている?
もう一回良く読み直して。翻訳サイトで翻訳できるでしょ。

英語ドキュメント駄目そうなら、明日朝一で、
LDAP -設定・管理・プログラミング
www.amazon.co.jp/exec/obidos/ASIN/4274065502/
を購入。
792 名前：784 mailto:sage [2006/01/17(火) 22:48:43 ]: またしても勘違いしてました・・・。

書いてあることはわかるんですが、
実際どうすればいいかがわかんないですね・・・＾＾；

default_profileには、何を指定してやればいいんですか？
radiusprofileっていうオブジェクトクラスを使ってるエントリでは
ないんですか？？
793 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/18(水) 01:34:37 ]: default_profileがLDAP上に必要なの?
usersに書くんじゃダメなの?
794 名前：784 mailto:sage [2006/01/18(水) 16:55:49 ]: usersに書くんですか？

むぅ・・・よくわからんですね。

一応昨日はいろいろ設定して、認証通ったんですが
今日PC起動したらまた認証失敗するようになりましたorz

本買ったほうがいいですかね・・・。
795 名前：名無しさん＠お腹いっぱい。 [2006/02/02(木) 04:14:53 ]: FreeBSDでLDAPやってるのですが、
nss_ldapで作られるはずの/lib/libnss_ldap.soが見当たりません。
nss_ldap内にあるnss_ldap.soとはまた違うものですよね？
796 名前：795 mailto:sage [2006/02/02(木) 04:15:56 ]: sage
797 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/02(木) 08:57:02 ]: >>795
> nss_ldapで作られるはずの
> nss_ldap内にある

意味が分かりません。
798 名前：795 mailto:sage [2006/02/02(木) 19:35:36 ]: ＞797
説明がへたで申し訳ないです。
nss_ldapをコンパイルすると、
libnss_ldap.soが作られるようなのですが。
それに値するものがほかにあるかと思いまして。
799 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/02(木) 20:03:51 ]: 謝る必要はないです(w

FreeBSDは新しくないと、name service switchがよろしくないです。
例えば、5.xの最新など。4は利用出来ません。5.1辺りも怪しい。
www.freebsd.org/releases/5.1R/todo.html ←こういう段階。

6はどうか知りませんが(調べてません)、5.xは{nss,pam}_ldapは入ってません。

www.abk.nu/~nabe/document/openldap.htm
あたりを参考にしてはどうですか?

FreeBSDはこの辺が遅れていると思います。
CVS先端のgetaddrinfoもnssに基づいてないし。
800 名前：795 mailto:sage [2006/02/02(木) 21:30:38 ]: >>799
そうなのですか・・
この間、６を入れたばかりだったんです。
新しい方がいいってわけでもないのですね。
もうちょっと、勉強してみます。
ありがとうございました☆
801 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/02(木) 21:53:47 ]: getaddrinfoについてはCVS先端「でも」nssじゃないという話をしたつもりで、
新しい「方が」ダメだと言ったつもりはない。
get*by*()系は5.xからnssになっているはずです。
FreeBSDの詳しいことはFreeBSDスレできいてねん。
802 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/03(金) 09:51:01 ]: LinuxサーバをLDAP対応にしたんだけど、useraddでローカルに
アカウントを追加しないので、全てのサーバの/home配下に一から
それぞれのユーザのホームディレクトリを作らないといけない…。

凄く怠いんだけど、何か対処法とか良い案有りますか？

ログイン時に/home配下にホームディレクトリが有るかどうかを
確認して、無ければ作る…と言う処理をさせるのが一番無難？
803 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/03(金) 10:32:56 ]: >>802
> useraddでローカルにアカウントを追加しないので、全てのサーバの/home配下
> に一からそれぞれのユーザのホームディレクトリを作らないといけない…。

よくわからん。
ホームは、各ホストでそれぞれ別のローカルディスク上に作りたい、ってこと?
pam_mkhomedirってのがあるから、各ホストの/etc/pam.dのloginやsshに書いて。
# つーかこれLDAP関係ないじゃん。

NFSでホームを共有するなら、LDAPにautomountのtable持ちなよ。
804 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/03(金) 11:13:03 ]: >>803
レスありがとう。
そうか…普通それぞれのユーザのホームディレクトリって
NFSとかで共有するのが普通なんだね…。

俺はご指摘の通りそれぞれのローカルディスクにホームディレクトリ
を作りたいとって事でした。pam_mkhomedirで対処します。

NFS導入も後々考えてみます。
確かにLDAPと関係ないね…。なのに親切にありがとう。
805 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/04(土) 15:37:18 ]: Postfixでバーチャルドメイン、アカウントと認証はLDAPで管理したいのですが、どのようにやればよいのでしょうか？
806 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/04(土) 15:49:28 ]: www.kobitosan.net/postfix/trans-2.1/jhtml/LDAP_README.html
www.kobitosan.net/postfix/ML/arc.3/msg00555.html

認証ってのはどういうことですか? SMTP AUTHですか?
807 名前：名無しさん＠お腹いっぱい。 [2006/03/06(月) 04:45:04 ]: /etc/openldap/slapd.conf
と
/etc/openldap/lapd.conf
の違いを教えてください
808 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/06(月) 06:14:18 ]: slapd.conf: サーバの設定
ldap.conf: クライアントの設定
lapd.conf: しらね
809 名前：名無しさん＠お腹いっぱい。 [2006/03/18(土) 13:55:32 ]: samba と ldap を連携させる時って、 ldap に入っている
あらゆるアカウントが samba が動いているマシンでシステム認証できないといけないの？
810 名前：809 mailto:sage [2006/03/18(土) 20:05:37 ]: >>809 のようなことはないようです。では。
811 名前：名無しさん＠お腹いっぱい。 [2006/03/24(金) 12:54:44 ]: LDAPをユーザアカウント管理に使うようにすると、
サーバ名があちこちの設定ファイル（~/.ldaprcも含む）に埋め込みになるから、
サーバ名変える事態が起きると死ねない？
NISだとカーネル内にドメイン名を持ってて、
ドメイン名から勝手にサーバ探してくれるけど、
LDAPでうまくサーバ探してくれる方法ってないだろうか？
812 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/24(金) 13:38:52 ]: >>811
どうやったらそういうことになるのか分からん。
以下ぐらいしか設定する箇所無いと思うんだけど…。

/etc/openldap/
/etc/ldap.conf
/etc/nsswitch.conf
/etc/pam.d/system-auth
/etc/libuser.conf

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef