- 1 名前:名無し君 [02/02/02 20:53]
- 語りましょう。
私は俺はこんなものまでLDAPで管理している等々。。
- 754 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/01(木) 16:56:18 ]
- どこのldapmodifyなのか、バージョンくらい書けばあ?
- 755 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/02(金) 01:11:02 ]
- directory.fedora.redhat.com/wiki/FDS10Announcement
- 756 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/02(金) 11:41:29 ]
- 失礼しました.
OpenLDAP 2.3.11 のldapmodifyです.
- 757 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/02(金) 22:33:22 ]
- OpenLDAPね。
>>753
dnは駄目。
attr: <file://パス名というformatで。空白は厳密に。
- 758 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/03(土) 13:14:46 ]
- ネットワークセキュリティ Expert 3って雑誌にLDAPの話題がたくさん載ってた。
どこらへんがセキュリティなのかわからんけど。
- 759 名前:753 mailto:sage [2005/12/07(水) 10:48:05 ]
- レス遅れまして,申し訳ありません.
>>757
レスありがとうございます.
formatをそのようにしたところ,ちゃんと読み込んでくれました.
手持ちの文献には, "dc:< file:///" と書かれており,
また,別のPCでは,そのformatで読み込んでくれたので,
全く気づきませんでした.
同じOpenLDAPなのに,違う動作をしたのが解せないのですが,
動いたからいいや,という感じです.
本当にありがとうございました.
あと dn: ではなく dc: でした.
- 760 名前:753 mailto:sage [2005/12/07(水) 11:33:25 ]
- attr: <file://path にすると,
"<file://path" という文字列をbase64エンコーディングしたものが
値になってしまうんですけど……
- 761 名前:753 mailto:sage [2005/12/08(木) 16:17:05 ]
- 追加です.
attr:< file:///tmp/xxx
は,前述の通りで,未だエラーが返ってきます.
しかし, (current is /<dir>)
attr:< file://./../tmp/xxx
とすると,読み込んでくれました.
ちなみに
attr:< file://../tmp/xxx
では読み込んでくれませんでした.
- 762 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/10(土) 00:50:37 ]
- >>758
Radiusやら、PKIやらに応用すれば、ネットワークセキュリティ話になるな。
さらにそれを応用した話にも繋がるし。
それを前提にした、LDAP話を持ち出しても、別におかしくはあるまい。
このスレの主流となるOpenLDAPとは、関連が薄そうなヨカーン
- 763 名前:758 [2005/12/10(土) 21:38:35 ]
- >>762
RadiusやらPKIの話はないけど、OpenLDAPでUNIXアカウントとメールアカウント(qmail-ldap)
とOpenSSHの公開鍵とautofsのマップ定義管理してたよ。というか買った。
最後までLDIFを1回も書かないところが良かった。他にもSambaとかApacheとかとも
連携してるって書いたあったのでその話も気になった。
あと、証明書関連ってことで自己認証局の作り方も載っててちょっと得した気分。
でも、他の記事に比べると浮きまくりw。SSLやTLSを使ってるから有りなのか?
そんなわけでこのスレと一応関連するんでないかな。見かけたら見てみると良いよ。
- 764 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/13(火) 12:07:04 ]
- 先日の IW でも Security Day で
LDAP のセミナーがあったね。
internetweek.jp/program/shosai.asp?progid=T24
最近は NEC が samba 絡みでなんかやってるけど、
流行ってるんだろうかなあ?
- 765 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/13(火) 12:40:41 ]
- NECは独自のLDAP製品持って、
マルチプラットフォーム連携やっている。
東大もMac OS Xに、NECのファイルサーバ、LDAPサーバじゃなかったかな。
前はWindows TSEも動かしていたし。
- 766 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/14(水) 04:40:26 ]
- ちょうど同じようなネタが @IT に
www.atmarkit.co.jp/flinux/rensai/apache2_06/apache06a.html
肝心の LDAP の設定が殆どなんも書いてないや…
- 767 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/14(水) 07:30:41 ]
- > ここでは本文に先行してLDAPのインストールまで行います。ただし、今回はイ
> ンストールを行うだけであり、設定については次回に解説します。
- 768 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/22(木) 22:07:23 ]
- LDAPでLinuxマシンのユーザ認証を行わせる所まで出来ました。
次にldapに登録されているユーザでrootになれるユーザ(su 出来るユーザ)
を限定しようと考えているのですが、pamのwheelを使う方法で
上手く行きません。何か良いアドバイスを頂けませんでしょうか?
/etc/pam.d/su
+auth required /lib/security/pam_wheel.so group=wheel
/etc/login.defs
+SU_WHEEL_ONLY yes
/etc/group
+wheel:x:10:root,user1
変更点は以上の通りです。
- 769 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/23(金) 08:39:45 ]
- sudoにしろ。
それからwheelグループをLDAP上に置かないならスレ違い。
- 770 名前:名無しさん@お腹いっぱい。 [2005/12/29(木) 01:40:01 ]
- WindowsとLinuxのクライアントが混在した環境でログイン認証を統一したいと
思っているんですが、LDAPで可能でしょうか? 現在はWinではAcriveDirectory、
Linuxは各マシンごとにpasswdでやってます。
ネット上で探したところDCをWindowsでなくSambaでつくってやればできそうなのは
なんとなくわかりましたが、WindowsのDCでやらせるのは無理でしょうか?
- 771 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/29(木) 01:53:20 ]
- 無理じゃないが面倒くさい。たぶんおまえの手にはおえない。
- 772 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/29(木) 15:23:19 ]
- ttp://www.google.co.jp/search?q=Active/Directory+linux
ググったらめちゃひっかかるやん。がんばれ
- 773 名前:名無しさん@お腹いっぱい。 mailto:sage [2005/12/29(木) 15:57:56 ]
- winbindでがんばる
- 774 名前:名無しさん@お腹いっぱい。 [2006/01/01(日) 00:19:50 ]
- くだ質っぽいが質問させてください。
環境はFreeBSD6.0、portsからopenldap-sasl-server-2.3.11を入れました
いつの間にかslapdの起動にやたらと時間がかかるようになってしまいました
デバッグ情報を表示させてみたら
ldap_create
ldap_url_parse_ext(ldap://127.0.0.1)
ldap_create
ldap_url_parse_ext(ldap://127.0.0.1)
ldap_simple_bind
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP 127.0.0.1:389
ldap_new_socket: 9
ldap_prepare_socket: 9
ldap_connect_to_host: Trying 127.0.0.1:389
ldap_connect_timeout: fd: 9 tm: 30 async: 0
ldap_ndelay_on: 9
ldap_connect_timeout: timed out
ldap_close_socket: 9
ldap_unbind
とタイムアウトしてるようなんですが
何故タイムアウトしているのかよくわかりません
- 775 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/01/03(火) 19:49:59 ]
- $ telnet 127.0.0.1 389
- 776 名前:774 mailto:sage [2006/01/09(月) 01:43:08 ]
- nsswitch.confからldapを消したらタイムアウトしなくなった
slapdがlistenする前にnssを見に行ってるのだろうか
でも設定をいじった記憶も無いしなにがなんだか
- 777 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/01/09(月) 10:13:44 ]
- hosts: files ldap
として、filesの方に最低限のhost記述がないから、
slapdが立ち上げ時に必要としているホスト名解決ができないんでしょ。
鶏卵問題ですな。(passwd, group, shadowかもしれませんが)
- 778 名前:初心者 [2006/01/16(月) 20:25:02 ]
- NISからOpenLDAPに移行しようとしているのですが、
現在、UNIXにあるデータをLDAPと連携させるには
何を使えばいいですか?
ちなみにFreeBSD5.3を使っています。
やはり、nss_ldapとpam_ldapでしょうか?
- 779 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/01/16(月) 20:41:55 ]
- >>778
> NISからOpenLDAPに移行しようとしているのですが、
は
> やはり、nss_ldapとpam_ldapでしょうか?
でいいとして、
> 現在、UNIXにあるデータをLDAPと連携させるには
というのは何? 何のデータ?
- 780 名前:初心者 mailto:sage [2006/01/16(月) 21:23:58 ]
- レスありがとうございます。
データはUNIXユーザの情報です。
認証がかかったときに
そこに見に行くようにしたいのですが。
- 781 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/01/16(月) 21:29:08 ]
- NISとの連携なのか、NISからの移行なのかはっきりして。
LDAPだけでいいなら、つまり完全移行なら、
NISからテキストデータベースを持ってきて、
migrationtoolでLDAPサーバに登録して。
- 782 名前:名無しさん@お腹いっぱい。 [2006/01/17(火) 00:06:35 ]
- filterの書式で、
(|(attr=a*)(attr=b*)(attr=c*)...(attr=z*)(attr=A*)...(attr=Z*))
このfilterはもっと短くできますか?
短くしたfilterを教えてください。
- 783 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/01/17(火) 00:59:19 ]
- extensibleMatchに使える特殊なマッチルールを持っているサーバで、
attr型のSYNTAXがそのマッチでない限り、駄目です。
attrの定義でSYNTAX, EQUALITY, SUBSTRを調べてください。
まあ十中八九駄目ですが。
- 784 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/01/17(火) 15:19:18 ]
- 初カキコですいません。
ちょっと質問です。
FreeBSD5.3RELESEでOpenLDAPを使って
RADIUS認証をやりたいんですが、
RADIUS鯖でユーザ認証させても
radtest ... ... localhost 0 ...
とテストコマンドを使っても
access reject packet from host 127.0.0.1:1812
って出るですが、
いろんなサイトの設定を試してもできません。
LDAPにRADIUS用の特殊なオブジェクトクラスとかあるんでしょうか?
何か原因があればぜひ教えていただきたいです。
ちなみに、
OpenLDAP-sasl-server2.2.17、FreeRADIUS1.0.1を使用しています。
- 785 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/01/17(火) 15:42:04 ]
- とりあえずな、freeradiusのusersファイルにローカルユーザ登録して試しな。
で、次にFreeRADIUSのLDAP RLMモジュールの設定な。
それから"access reject" packetってのは、
radiusプロトコルでの応答パケットの種類な。
アクセス拒否、つまり認証失敗ってこった。
- 786 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/01/17(火) 16:01:47 ]
- レスありがとうございます。
ローカルユーザは認証成功しました。
>次にFreeRADIUSのLDAP RLMモジュールの設定な
についてですが、それはradius.confにあるmodulesの
ところのやつですか?
- 787 名前:784 mailto:sage [2006/01/17(火) 17:02:23 ]
- すいません、違いますね。
調べてわかりました。
しかし、そのLDAP RLMモジュールの設定をどこですればいいのか
がわからないです。
- 788 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/01/17(火) 17:07:08 ]
- そう。全部話していると切りがないから、
${FREERADIUS}/doc/rlm_ldap
${FREERADIUS}/doc/ldap_howto.txt
読んで分からないところを聞いて。
- 789 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/01/17(火) 17:07:59 ]
- >>787
radius"d".confだって。
${FREERADIUS}/doc/rlm_ldapをちゃんと読め。
- 790 名前:784 mailto:sage [2006/01/17(火) 19:27:41 ]
- >>789
すいません、radiusd.confでした。
>>788
どのファイルも英語でわからないとこだらけですが、
rlm_ldapとradiusd.confの設定内容で
例えば、basednやaccess_attrなんかは
同じ内容にしなきゃだめですよね?
portをとりあえず636から389にしたんですが
結局だめでした。
- 791 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/01/17(火) 19:33:28 ]
- rlm_ldapが設定ファイルだと思っている?
もう一回良く読み直して。翻訳サイトで翻訳できるでしょ。
英語ドキュメント駄目そうなら、明日朝一で、
LDAP -設定・管理・プログラミング
www.amazon.co.jp/exec/obidos/ASIN/4274065502/
を購入。
- 792 名前:784 mailto:sage [2006/01/17(火) 22:48:43 ]
- またしても勘違いしてました・・・。
書いてあることはわかるんですが、
実際どうすればいいかがわかんないですね・・・^^;
default_profileには、何を指定してやればいいんですか?
radiusprofileっていうオブジェクトクラスを使ってるエントリでは
ないんですか??
- 793 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/01/18(水) 01:34:37 ]
- default_profileがLDAP上に必要なの?
usersに書くんじゃダメなの?
- 794 名前:784 mailto:sage [2006/01/18(水) 16:55:49 ]
- usersに書くんですか?
むぅ・・・よくわからんですね。
一応昨日はいろいろ設定して、認証通ったんですが
今日PC起動したらまた認証失敗するようになりましたorz
本買ったほうがいいですかね・・・。
- 795 名前:名無しさん@お腹いっぱい。 [2006/02/02(木) 04:14:53 ]
- FreeBSDでLDAPやってるのですが、
nss_ldapで作られるはずの/lib/libnss_ldap.soが見当たりません。
nss_ldap内にあるnss_ldap.soとはまた違うものですよね?
- 796 名前:795 mailto:sage [2006/02/02(木) 04:15:56 ]
- sage
- 797 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/02/02(木) 08:57:02 ]
- >>795
> nss_ldapで作られるはずの
> nss_ldap内にある
意味が分かりません。
- 798 名前:795 mailto:sage [2006/02/02(木) 19:35:36 ]
- >797
説明がへたで申し訳ないです。
nss_ldapをコンパイルすると、
libnss_ldap.soが作られるようなのですが。
それに値するものがほかにあるかと思いまして。
- 799 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/02/02(木) 20:03:51 ]
- 謝る必要はないです(w
FreeBSDは新しくないと、name service switchがよろしくないです。
例えば、5.xの最新など。4は利用出来ません。5.1辺りも怪しい。
www.freebsd.org/releases/5.1R/todo.html ←こういう段階。
6はどうか知りませんが(調べてません)、5.xは{nss,pam}_ldapは入ってません。
www.abk.nu/~nabe/document/openldap.htm
あたりを参考にしてはどうですか?
FreeBSDはこの辺が遅れていると思います。
CVS先端のgetaddrinfoもnssに基づいてないし。
- 800 名前:795 mailto:sage [2006/02/02(木) 21:30:38 ]
- >>799
そうなのですか・・
この間、6を入れたばかりだったんです。
新しい方がいいってわけでもないのですね。
もうちょっと、勉強してみます。
ありがとうございました☆
- 801 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/02/02(木) 21:53:47 ]
- getaddrinfoについてはCVS先端「でも」nssじゃないという話をしたつもりで、
新しい「方が」ダメだと言ったつもりはない。
get*by*()系は5.xからnssになっているはずです。
FreeBSDの詳しいことはFreeBSDスレできいてねん。
- 802 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/02/03(金) 09:51:01 ]
- LinuxサーバをLDAP対応にしたんだけど、useraddでローカルに
アカウントを追加しないので、全てのサーバの/home配下に一から
それぞれのユーザのホームディレクトリを作らないといけない…。
凄く怠いんだけど、何か対処法とか良い案有りますか?
ログイン時に/home配下にホームディレクトリが有るかどうかを
確認して、無ければ作る…と言う処理をさせるのが一番無難?
- 803 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/02/03(金) 10:32:56 ]
- >>802
> useraddでローカルにアカウントを追加しないので、全てのサーバの/home配下
> に一からそれぞれのユーザのホームディレクトリを作らないといけない…。
よくわからん。
ホームは、各ホストでそれぞれ別のローカルディスク上に作りたい、ってこと?
pam_mkhomedirってのがあるから、各ホストの/etc/pam.dのloginやsshに書いて。
# つーかこれLDAP関係ないじゃん。
NFSでホームを共有するなら、LDAPにautomountのtable持ちなよ。
- 804 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/02/03(金) 11:13:03 ]
- >>803
レスありがとう。
そうか…普通それぞれのユーザのホームディレクトリって
NFSとかで共有するのが普通なんだね…。
俺はご指摘の通りそれぞれのローカルディスクにホームディレクトリ
を作りたいとって事でした。pam_mkhomedirで対処します。
NFS導入も後々考えてみます。
確かにLDAPと関係ないね…。なのに親切にありがとう。
- 805 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/02/04(土) 15:37:18 ]
- Postfixでバーチャルドメイン、アカウントと認証はLDAPで管理したいのですが、どのようにやればよいのでしょうか?
- 806 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/02/04(土) 15:49:28 ]
- www.kobitosan.net/postfix/trans-2.1/jhtml/LDAP_README.html
www.kobitosan.net/postfix/ML/arc.3/msg00555.html
認証ってのはどういうことですか? SMTP AUTHですか?
- 807 名前:名無しさん@お腹いっぱい。 [2006/03/06(月) 04:45:04 ]
- /etc/openldap/slapd.conf
と
/etc/openldap/lapd.conf
の違いを教えてください
- 808 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/03/06(月) 06:14:18 ]
- slapd.conf: サーバの設定
ldap.conf: クライアントの設定
lapd.conf: しらね
- 809 名前:名無しさん@お腹いっぱい。 [2006/03/18(土) 13:55:32 ]
- samba と ldap を連携させる時って、 ldap に入っている
あらゆるアカウントが samba が動いているマシンでシステム認証できないといけないの?
- 810 名前:809 mailto:sage [2006/03/18(土) 20:05:37 ]
- >>809 のようなことはないようです。では。
- 811 名前:名無しさん@お腹いっぱい。 [2006/03/24(金) 12:54:44 ]
- LDAPをユーザアカウント管理に使うようにすると、
サーバ名があちこちの設定ファイル(~/.ldaprcも含む)に埋め込みになるから、
サーバ名変える事態が起きると死ねない?
NISだとカーネル内にドメイン名を持ってて、
ドメイン名から勝手にサーバ探してくれるけど、
LDAPでうまくサーバ探してくれる方法ってないだろうか?
- 812 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/03/24(金) 13:38:52 ]
- >>811
どうやったらそういうことになるのか分からん。
以下ぐらいしか設定する箇所無いと思うんだけど…。
/etc/openldap/
/etc/ldap.conf
/etc/nsswitch.conf
/etc/pam.d/system-auth
/etc/libuser.conf
- 813 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/03/24(金) 14:11:21 ]
- 原則的にはそうだけど、
メールのルーティングにLDAP見てたとか、courierで見てたとか、
apacheで見てたとか、
LDAPに情報を集積すればするほど、
サーバ名を書く例外的な設定ファイルが増えて、
サーバ名変わることなんとまずないし、
そのうち忘れられて、更新漏れ、引き継ぎ漏れが心配なのよ。
心配しすぎ?
- 814 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/03/24(金) 14:15:47 ]
- DNSを変えて解決、という訳にはいかないのか…?
- 815 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/03/24(金) 15:07:00 ]
- 組織改変とかがあるとDNS的にサーバ名が変わるわけで
- 816 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/03/24(金) 15:47:30 ]
- openldapの基本的な設定や、データの入力の仕方など、初めての人にわかりやすく解説している
サイトを教えてください
- 817 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/03/24(金) 16:19:27 ]
- , イ)ィ -─ ──- 、ミヽ
ノ /,.-‐'"´ `ヾj ii / Λ
,イ// ^ヽj(二フ'"´ ̄`ヾ、ノイ{
ノ/,/ミ三ニヲ´ ゙、ノi!
{V /ミ三二,イ , /, ,\ Yソ
レ'/三二彡イ .:ィこラ ;:こラ j{
V;;;::. ;ヲヾ!V ー '′ i ー ' ソ
Vニミ( 入 、 r j ,′
ヾミ、`ゝ ` ー--‐'ゞニ<‐-イ
ヽ ヽ -''ニニ‐ /
| `、 ⌒ ,/
| >┻━┻'r‐'´
ヽ_ |
ヽ _ _ 」
ググレカス [ Gugurecus ]
( 2006 〜 没年不明 )
- 818 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/03/24(金) 18:32:32 ]
- >>813
dnのドメイン名は、DNSのドメイン名と一致しなくてもいいから、
別にLDAPのdnはそのままでいいんじゃない?
あとはフルdn(dc=mydomain,dc=jp)をldap.confに書いておけば、
以下のように省略してldapsearchとかが出来るって知ってる?
ldapsearch -x -b cn=testuser
>>816
LDAPはそう簡単じゃないし、最近は分かりやすい解説書が出てるから、
解説書買って読むのがいいと思われ。
- 819 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/03/24(金) 22:42:28 ]
- お前は次に「お薦めの解説書ってどれ?」と言う。
- 820 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/03/25(土) 01:36:12 ]
- まあ最初はこれでしょ。
LDAP -設定・管理・プログラミング
www.amazon.co.jp/exec/obidos/ASIN/4274065502/
- 821 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/03/25(土) 01:46:42 ]
- >>813
それぞれのサーバの振る舞いを理解して、適切なドキュメンテーションをしてください。
たとえばapacheのauth_ldapやpostfixも別個にサーバ記述できますしね。
>>811
ホストのドメイン名をNISのドメイン名に使うのはshell scriptのお仕事。
- 822 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/03/27(月) 10:45:14 ]
- おそくなったがレスいろいろありがと。
基本は楽観と、ドキュメントしっかりやるという方向でなんとかしやす。
- 823 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/09(日) 22:25:51 ]
- LDAPでTelnetでのLogonユーザ認証をさせたいのですが、この場合、
LDAP管理者の権限は必要になるのでしょうか?
Apacheでの認証の場合は下記URLに従うと管理者のID、パスワードは必要なかったので、
Telnetでも同様に認証できないかと思っています。
ttp://www.atmarkit.co.jp/flinux/rensai/apache2_07/apache07b.html
LDAPサーバの管理は別のところで、聞きにくいですがパスワードは一本化したいのです。
このような構成を構築した方、おられませんでしょうか?
- 824 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/09(日) 23:46:10 ]
- いる
- 825 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/09(日) 23:48:00 ]
- pam_ldapでtelnetの設定しろ
- 826 名前:823 mailto:sage [2006/04/10(月) 21:34:44 ]
- とりあえずできました。
ldap.confにはHOST、BASEを設定で認証成功。
ただし、LDAP側にposixAccount関連のエントリが無いためローカルに
利用するユーザを作る必要がありました。
今回は、限定ユーザ用のTelnetサーバだったから良かったけど、
LDAP登録ユーザ内の不特定多数だと対応できない。
LDAP側にエントリない場合に、HomeDirectoryとかUID、GIDを
補完してやる方法はないですか?
- 827 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/10(月) 23:30:13 ]
- >>826の状況は、
pamはOKだけど、nssで駄目ということだから、
ローカルユーザを作って回避したって事ね。nsswitch.confでfilesを入れて。
> LDAP側にエントリない場合に、HomeDirectoryとかUID、GIDを
> 補完してやる方法はないですか?
ちゃんとLDAP上に作れ。それが一番簡単。
他の方法は、結局はローカルユーザ作るのと同じだから、(二重管理という意味で)
LDAP上でちゃんとやる以外の方法を模索する意味はない。
- 828 名前:823 mailto:sage [2006/04/11(火) 23:46:00 ]
- >>827
ldapの管理が親会社のWindowsの方を見てるところなんで、
ちゃんと作ってもらうのは難しいですよ。とほほ。
nss_map_attributeとかで何とかなりそうな雰囲気があるんですが。
- 829 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/12(水) 05:58:15 ]
- >>828
> nss_map_attributeとかで何とかなりそうな雰囲気があるんですが。
ローカルユーザ作るより大変じゃん。
- 830 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/12(水) 22:39:40 ]
- >>829
なんで?サーバ一台なら定義してしまえばpam_mkhomedirなんかで勝手に処理できるじゃん
- 831 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/13(木) 05:56:24 ]
- >>830
元のLDAPサーバはいじれないのに(>>828)、
nss_map_attributeでどう解決するんですか?
- 832 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/15(土) 23:38:04 ]
- >>831
代替となるような項目が定義されてると思ったんだろーな。
GIDなんかは固定的な値を使えればいいかもな。
...できるんだろーか?
- 833 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/16(日) 11:14:57 ]
- そのmapする先の属性がないとな…
uidNumberなんか絶対にないし。
あったら、SunやAppleやNetwareが苦労してないって。
- 834 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/16(日) 15:02:48 ]
- LDAPなら電話番号を使うなんてできんか?
そうか、無理か。
- 835 名前:名無しさん@お腹いっぱい。 mailto:age [2006/04/29(土) 21:48:50 ]
- Red Hat Directory Server(昔の Netscape Directory Server)みたいに
導入と管理が簡単ならいいんだけどね。
OpenLDAP 環境を構築するのが意外とメンドイ
- 836 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/30(日) 00:08:34 ]
- つーか安定性も機能も足りないし。
- 837 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/30(日) 06:15:08 ]
- Sun の Directory Server はどうよ?
- 838 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/30(日) 10:57:04 ]
- Netscape→iPlanet系は全部まともでしょ。
OpenLDAPはきつい
- 839 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/30(日) 12:37:16 ]
- Fedora Directory Serverもまともなのか?
- 840 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/30(日) 22:43:51 ]
- Netscape 〜 → Red Hat 〜 → Fedora 〜 でいまやOpenSource。
- 841 名前:名無しさん@お腹いっぱい。 [2006/05/05(金) 19:26:17 ]
- 乙
- 842 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/10(水) 11:27:43 ]
- OpenLDAPを1〜2週間稼動していると、
勝手に異常終了して落ちてるんだけど。
エラーコードもでないからさっぱり。
>835-838
OpenLDAPって安定性ないのか?
- 843 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/10(水) 11:43:01 ]
- オレの見てるとこは Samba の認証やらしてるけど落ちないよ。今 51days。
人数知れてるから負荷はかかってないけどね。
- 844 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/10(水) 11:57:54 ]
- 俺んとこもsamba+Linuxのアカウント管理にOpenLDAP使ってるけど
特に問題ないなあ。3ヶ月ぐらい動いてる。
- 845 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/10(水) 17:31:56 ]
- うちもsambaからsubversionなど、LDAPで認証できるもの
ぜんぶをOpenLDAPで運用してる。で、いまuptimeをみたら
236 daysって出た。半年以上。一度も落ちたことないよ。
- 846 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/10(水) 22:55:11 ]
- OpenLDAPはおもいきり負荷をかけるとすぐコケるな。
あと、よくバックエンドのDBが壊れる。
- 847 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/10(水) 23:28:21 ]
- BDB以外でも駄目ですか?
- 848 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/10(水) 23:47:06 ]
- うちBDBをバックエンドにしててホントへこむくらいよく壊れる。
お勧めのバックエンドがあったら教えてくれー。
- 849 名前:846 mailto:sage [2006/05/11(木) 00:19:38 ]
- >>847
まともに使い込んだのはBDBだけだから他は分からない。
あと、コケてたのはOSがLinuxだったせいかもしれぬ。
- 850 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/11(木) 00:38:25 ]
- Linuxなら、SunかRed HatからNetscape直系のヤツ持ってきなよ。
FreeBSDとかなら、OpenLDAPでも仕方ないけど。
- 851 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/11(木) 08:08:06 ]
- おーぷんそーすニナッタンジャナイノ?
- 852 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/11(木) 08:56:33 ]
- まだportsにもないでしょ?
コンパイル成功するのかねえ
- 853 名前:842 mailto:sage [2006/05/11(木) 10:36:21 ]
- >843-845
こちらは、クライアント、サーバともにSolaris9で、
smtp/popサーバのアカウント管理、認証として動いてます。
slapdのCPU使用率5%未満なんだけど、
スパムやら定期受信で常にアクセスはあります。
ずーっと何かしら負荷がかかってるから落ちるのか・・・。
ソース覗いて調査中。
あとメモリが、slapd起動中どんどん減っていくんだけど、これが原因か?。
この減り方だと1〜2週間も持たないですけど。
>846-849
BDBはよく壊れますね。
LDAPデータ更新後、すぐ停止起動とかやると高確率で壊れます。
- 854 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/11(木) 11:14:13 ]
- RHEL3でアカウント数10万人で1〜2年運用してるけど、
1回もOpenLDAP落ちたり壊れたりしたことないよ。
|
 |
