- 1 名前:名無し君 [02/02/02 20:53]
- 語りましょう。
私は俺はこんなものまでLDAPで管理している等々。。
- 830 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/12(水) 22:39:40 ]
- >>829
なんで?サーバ一台なら定義してしまえばpam_mkhomedirなんかで勝手に処理できるじゃん
- 831 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/13(木) 05:56:24 ]
- >>830
元のLDAPサーバはいじれないのに(>>828)、
nss_map_attributeでどう解決するんですか?
- 832 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/15(土) 23:38:04 ]
- >>831
代替となるような項目が定義されてると思ったんだろーな。
GIDなんかは固定的な値を使えればいいかもな。
...できるんだろーか?
- 833 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/16(日) 11:14:57 ]
- そのmapする先の属性がないとな…
uidNumberなんか絶対にないし。
あったら、SunやAppleやNetwareが苦労してないって。
- 834 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/16(日) 15:02:48 ]
- LDAPなら電話番号を使うなんてできんか?
そうか、無理か。
- 835 名前:名無しさん@お腹いっぱい。 mailto:age [2006/04/29(土) 21:48:50 ]
- Red Hat Directory Server(昔の Netscape Directory Server)みたいに
導入と管理が簡単ならいいんだけどね。
OpenLDAP 環境を構築するのが意外とメンドイ
- 836 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/30(日) 00:08:34 ]
- つーか安定性も機能も足りないし。
- 837 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/30(日) 06:15:08 ]
- Sun の Directory Server はどうよ?
- 838 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/30(日) 10:57:04 ]
- Netscape→iPlanet系は全部まともでしょ。
OpenLDAPはきつい
- 839 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/30(日) 12:37:16 ]
- Fedora Directory Serverもまともなのか?
- 840 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/30(日) 22:43:51 ]
- Netscape 〜 → Red Hat 〜 → Fedora 〜 でいまやOpenSource。
- 841 名前:名無しさん@お腹いっぱい。 [2006/05/05(金) 19:26:17 ]
- 乙
- 842 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/10(水) 11:27:43 ]
- OpenLDAPを1〜2週間稼動していると、
勝手に異常終了して落ちてるんだけど。
エラーコードもでないからさっぱり。
>835-838
OpenLDAPって安定性ないのか?
- 843 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/10(水) 11:43:01 ]
- オレの見てるとこは Samba の認証やらしてるけど落ちないよ。今 51days。
人数知れてるから負荷はかかってないけどね。
- 844 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/10(水) 11:57:54 ]
- 俺んとこもsamba+Linuxのアカウント管理にOpenLDAP使ってるけど
特に問題ないなあ。3ヶ月ぐらい動いてる。
- 845 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/10(水) 17:31:56 ]
- うちもsambaからsubversionなど、LDAPで認証できるもの
ぜんぶをOpenLDAPで運用してる。で、いまuptimeをみたら
236 daysって出た。半年以上。一度も落ちたことないよ。
- 846 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/10(水) 22:55:11 ]
- OpenLDAPはおもいきり負荷をかけるとすぐコケるな。
あと、よくバックエンドのDBが壊れる。
- 847 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/10(水) 23:28:21 ]
- BDB以外でも駄目ですか?
- 848 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/10(水) 23:47:06 ]
- うちBDBをバックエンドにしててホントへこむくらいよく壊れる。
お勧めのバックエンドがあったら教えてくれー。
- 849 名前:846 mailto:sage [2006/05/11(木) 00:19:38 ]
- >>847
まともに使い込んだのはBDBだけだから他は分からない。
あと、コケてたのはOSがLinuxだったせいかもしれぬ。
- 850 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/11(木) 00:38:25 ]
- Linuxなら、SunかRed HatからNetscape直系のヤツ持ってきなよ。
FreeBSDとかなら、OpenLDAPでも仕方ないけど。
- 851 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/11(木) 08:08:06 ]
- おーぷんそーすニナッタンジャナイノ?
- 852 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/11(木) 08:56:33 ]
- まだportsにもないでしょ?
コンパイル成功するのかねえ
- 853 名前:842 mailto:sage [2006/05/11(木) 10:36:21 ]
- >843-845
こちらは、クライアント、サーバともにSolaris9で、
smtp/popサーバのアカウント管理、認証として動いてます。
slapdのCPU使用率5%未満なんだけど、
スパムやら定期受信で常にアクセスはあります。
ずーっと何かしら負荷がかかってるから落ちるのか・・・。
ソース覗いて調査中。
あとメモリが、slapd起動中どんどん減っていくんだけど、これが原因か?。
この減り方だと1〜2週間も持たないですけど。
>846-849
BDBはよく壊れますね。
LDAPデータ更新後、すぐ停止起動とかやると高確率で壊れます。
- 854 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/11(木) 11:14:13 ]
- RHEL3でアカウント数10万人で1〜2年運用してるけど、
1回もOpenLDAP落ちたり壊れたりしたことないよ。
- 855 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/11(木) 14:09:38 ]
- 壊れるって言ってる奴はしょっちゅうフリーズするようなOS使ってるんだよ
- 856 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/11(木) 14:17:21 ]
- 操作が良く分からなくっていい加減なコマンドたたいて
いじってたらおかしくなってしょっちゅうアボーンするように…
- 857 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/11(木) 18:00:45 ]
- まとめ
*OpenLDAP自体の信頼性はべつに低くない >854 >843-845
- 858 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/11(木) 18:27:08 ]
- むしろ壊れると言っている人のバークレイDBのバージョンが気になるね。
- 859 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/11(木) 21:05:12 ]
- >>853
メモリが減ってゆくのはUnix系OSとして正しいとゆーか普通の動作だが、
OpenLDAPにはメモリリークするバグを抱えたバージョンもあったな
>>854がユーザにLDAPアドレス帳を提供してThunderbirdを使わせても
大丈夫なんだろうか
- 860 名前:854 mailto:sage [2006/05/11(木) 23:32:04 ]
- SMTP、POP、Web認証ぐらいにしか使ってない。
いろんなデーモンが動いてるけど、OpenLDAPの負荷はそれほど高くないかも。
LDAPアドレス帳はさすがにクラスタ組まないと厳しそうな予感。
- 861 名前:848 mailto:sage [2006/05/12(金) 01:01:15 ]
- うちの環境は RHEL3+OpenLDAP2.2.13+BDB4.2。
slurpdで複製しているスレイブサーバが
ファイルI/Oの負荷が高い状態で、大量の更新(200ユーザくらいの追加)がかかると
だんまりになってしまい、再起動するとDBが壊れているという状況。
組み合わせるBDBのバージョンによっても問題が起こるという話もあるとのことなんだけど、
どのバージョンのBDBが鬼門なのかも分からずゲンナリな状態。
- 862 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/12(金) 11:53:44 ]
- >859
そうでしたね。ある程度消費して止まりました。
>848
こちらは
Solaris9+OpenLDAP2.3.17+BDB4.2です。
試験時に大量の更新後(約1000件)、停止/起動かけますと、壊れてしまいます。
約30分後に再起動だと壊れないです。あと10件ぐらいでも壊れないです。
だんまりになったことは無いですね。
- 863 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/12(金) 12:32:36 ]
- slurpdの有無は無関係?
- 864 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/12(金) 13:19:35 ]
- BDB のチューニングはどのくらいの使用負荷から必要ですか?
- 865 名前:名無しさん@お腹いっぱい。 [2006/05/13(土) 11:50:29 ]
- >>861
RHEL 使ってるんなら Fedora Directory Server にしたらいいんジャマイカ
- 866 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/14(日) 09:20:27 ]
- Red Hat Directory Serverは有料なんかな? free trialがあるくらいだから。
- 867 名前:名無しさん@お腹いっぱい。 [2006/05/16(火) 23:06:13 ]
- Openldapでpam_ldap,nss_ldapでユーザ認証しているんだが、一般ユーザには
ldapsearch 等で格納されている情報を検索されたくないんですが、
slapd.confのアクセス制限で、最後の by * read を by * auth とかに
すると、マシンにログインできなくなってしまうのです。
なんか良い方法あったらおしえてくらはい。/usr/bin/ldapsearchの実行パーミッ
ション変えてもホームディレクトリとかにバイナリおかれたり、プログラム
書かれたら意みないので。
access to attrs=userPassword
by self write
by dn="cn=Manager,dc=hoge" write
by anonymous auth
by * none
access to *
by dn="cn=Manager,dc=hoge" write
by self write
by * read
- 868 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/16(火) 23:41:08 ]
- ファイルのオーナとかそれに伴うパーミッションのチェックをするには、
/etc/passwd相当の情報は一般ユーザでも読めなきゃいけないんじゃないのかな?
passwd(一般ユーザが読める)とshadow(一般ユーザ読めない)に分かれている理由を考えてみれば納得できるかと。
- 869 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/17(水) 00:22:18 ]
- >>867
試したことないんだが、
nscdをHOME環境変数設定して起動して、
$HOME/ldap.confでbinddn, bindpwを
"cn=Manager,dc=hoge"にしてみてはどうよ?
nscdはrootで動かして、HOME=~root、設定は~root/ldap.confがいいかな?
- 870 名前:名無しさん@お腹いっぱい。 [2006/05/17(水) 23:20:50 ]
- >>868
確かに
>>869
これは、デフォルトbindをManagerにするってー事?
nscdがどうして関係するのか未熟者なのでわかりません。。
- 871 名前:868 mailto:sage [2006/05/18(木) 06:49:10 ]
- >>869
nscdがManager権限でldapにアクセスしてれば、
nscdを使うプログラムからは、Manager権限でしか見えないものも見えるってことですか。
うまくいけば面白そうですね。
話は少し変わるけど、nscdを見に行くプログラムと直接ldapと話をしようとするプログラムがあるけど、
nscdを見に行くようなプログラムってどうやって書くんでしょう。
(CかPerlで具体的なコードが分かるとうれしい)
nscdを見に行ってくれないプログラムがnscdを見に行ってくれるようにする方法なんかも分かるとかなりうれしいんだけど。
- 872 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/18(木) 08:12:30 ]
- >>871
get*by*()を使う。
強制nscdの方法はない。
ただFreeBSDはよくわかってない。
getaddrinfo()がnss/nscdは無視しているし。
- 873 名前:名無しさん@お腹いっぱい。 [2006/05/20(土) 03:12:17 ]
- 腐ったOSで、DB回してれば何時か自然に転ぶって、爺ちゃんが言ってた。
- 874 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/20(土) 11:33:04 ]
- なるほど、FreeBSDでバークレイDBを使ってはいけないわけですね。
- 875 名前:871 mailto:sage [2006/05/20(土) 11:48:13 ]
- >>872
gethostbynameとかbyaddrくらいしか使ったことがないんですが、
ユーザ認証するときは具体的にどんなget*by*()になるんでしょう。
ヘボい質問で情けないですが、教えてやってください。
- 876 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/20(土) 13:15:16 ]
- ユーザ認証じゃなくて、ユーザデータベースでしょ。
getpwent
getpwnam
getpwuid
getgrent
getgrnam
getgrgid
この辺でしょ。*by*じゃないけど…
認証は、pam_ldap使えば、auth(bindオペレーション)だけ許可しとけばOK。
- 877 名前:名無しさん@お腹いっぱい。 [2006/05/20(土) 21:38:50 ]
- Novell eDirectory はどうですか?
Solaris や Linux でも使えるようですが
www.novell.com/products/edirectory/
- 878 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/20(土) 23:54:35 ]
- eDirectoryというか、eDirectoryを中心としたOESはよく出来てると思った。
ちょっと触っただけで、使い込んだわけじゃないけど。
- 879 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/05/21(日) 07:23:16 ]
- 一番歴史古いからね。
- 880 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/06/03(土) 06:10:44 ]
- Fedora Directory Serverが公開されてるけど、どんな感じですか?
「サーバの構築が楽になっただけ」という声もありますが
- 881 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/06/03(土) 11:52:23 ]
- Fedora使ってないので、他のデストリでコンパイルしようとしたら、
へんちくりんな独自build機構で苦労した…
*BSDへのポートは時間がかかりそうだな。
- 882 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/06/06(火) 11:03:52 ]
- 何だかんだ言ってもActive Directoryは親切設計だった
- 883 名前:名無しさん@お腹いっぱい。 [2006/06/06(火) 20:47:14 ]
- MS の文書見ても、バックアップ、リカバリがよく見えない気もするが ...
- 884 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/06/06(火) 21:29:45 ]
- novellのがいい。
- 885 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/06/08(木) 22:44:48 ]
- >>884
同意。やっぱノーベルがいい。
- 886 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/06/10(土) 13:28:16 ]
- >>885
そう書かれると何か飴作ってる会社みたいだ。
- 887 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/06/10(土) 14:17:54 ]
- オレはノーベルというと乾電池だなw。
- 888 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/06/10(土) 15:55:00 ]
- ノーベルといえばノーベル賞だな。
ダイナマイトってことか。
- 889 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/06/10(土) 17:19:38 ]
- マイトガイ小林旭
- 890 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/06/10(土) 17:58:06 ]
- マジレスすると、正式表記はノーベルじゃなくてネベル。
- 891 名前:890 mailto:sage [2006/06/10(土) 17:59:44 ]
- >>890
うわ間違えた。
×ネベル
○ノベル
- 892 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/06/10(土) 18:44:55 ]
- どれの正式表記? 乾電池?
- 893 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/06/10(土) 18:45:29 ]
- 正式表記はネスレ。
- 894 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/06/10(土) 21:57:07 ]
- >>892 Nobellの方。
- 895 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/06/10(土) 22:00:32 ]
- b?
- 896 名前:894 mailto:sage [2006/06/11(日) 00:21:12 ]
- >>894-895 orz
s/Nobell/Novel/
- 897 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/06/11(日) 02:46:59 ]
- >>896
Novell!!
- 898 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/06/11(日) 03:54:23 ]
- >>889
この板にいる人の年齢がわかるレスだな
「熱き心に」を歌いたくなってきた
- 899 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/06/11(日) 22:14:33 ]
- Nestle
- 900 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/06/12(月) 09:45:28 ]
- LDAPの標準認証って、
userPasswordに {crypt} と {SSHA} が混在してる状況でも、
LDAPサーバ側がユーザの暗号化方式に応じて認証可否を返してくれるもの?
それとも、システム全体で暗号化方式を統一しておく必要があります?
- 901 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/06/12(月) 10:04:54 ]
- それはLDAPの仕様じゃなくて、
LDAPサーバの実装仕様によるけれど、
統一しておかないといけないサーバに遭遇したことはないです。
OpenLDAP, iPlanet, Fedora, Netscape, Novell, Active Directoryなど
ただしbasic認証じゃなくて、
自分でuserPassword属性を取得してcrypt()で認証しようとするクライアントが、
結構多いので要注意です。例えばSolarisのpam_ldap。
- 902 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/06/13(火) 09:24:35 ]
- >>898
150トン。
- 903 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/06/13(火) 10:43:50 ]
- >>902
よろしければどんな車に乗っているのかお聞かせ下さい。
#個人的にはコルトが欲しいです。
- 904 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/06/13(火) 19:06:09 ]
- 赤いトラクター以外に何か有るとでも言うのだろうか?
- 905 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/06/15(木) 10:23:39 ]
- 俺はお前だぜ〜♪
- 906 名前:902 [2006/06/16(金) 16:20:23 ]
- はのこほペットにシタクッテっ・・・
それはいい。
OpenLDAP2.4ってな、何時マトモに使えるんだゴラ。
- 907 名前:名無しさん@お腹いっぱい。 [2006/06/18(日) 09:30:11 ]
- 俺はもう OpenLDAP で構築しようとは思わなくなった…
悪いけどプロダクトの質が低いし手間かかりすぎ
- 908 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/06/18(日) 09:58:34 ]
- NISのほうが楽そうだな
- 909 名前:名無しさん@お腹いっぱい。 [2006/06/23(金) 00:55:59 ]
- UltraPossum使っている人いる?
冗長構成が良さそうだが、いまいち設定の仕方がよくわからない。
VA以外じゃつかってないのか?
- 910 名前:名無しさん@お腹いっぱい。 [2006/06/23(金) 02:58:31 ]
- >>907
そうだね。マトモに使うのは楽じゃないかもね。
プロジェクトを進めている学校の質に依存する。
- 911 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/06/23(金) 13:42:43 ]
- X.500 なんてもうきっぱり捨てて、BIND 改造して使おうぜ。
- 912 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/06/24(土) 00:23:57 ]
- >>911
Kitchen Sink BINDキタコレwww
- 913 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/06/25(日) 19:23:28 ]
- それなんてhesiod?
- 914 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/10/24(火) 21:20:45 ]
- OpenldapでBIND認証させたユーザに
ある特定のOU配下のみに変更権限を与えることはできますか?
- 915 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/10/30(月) 22:17:12 ]
- 出来ます。
www.openldap.org/doc/admin23/slapdconf2.html#Access%20Control
- 916 名前:914 mailto:sage [2006/11/01(水) 00:21:47 ]
- >915
ありがとうございます。
試し見てみますね
- 917 名前:名無しさん@お腹いっぱい。 [2006/11/24(金) 03:16:46 ]
- openldap サーバ兼クライアント(CentOS 4.4)で、
authconfig をいろいろ書き換えながら ldap ログイン設定をしているのですが、
○ ldap://xxx/ でログインはOK
○ TLS無効時、id [username on ldap] は読める
× TLS有効時、ldaps://xxx/ でログインがだめ
× TLS有効時、id [username on ldap] が読めない
○ TLS有効時、ldapsearch ldaps://xxx/ は読める
な状態に陥っています。
なにから疑えばいいでしょうか。
(/etc/ldap.conf の TLS_REQCERT never は駄目?)
- 918 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/11/24(金) 09:47:13 ]
- 要するに、
素のLDAP操作(ldapsearch)はOKだが、
pam_ldap, nss_ldapが駄目だということだから、
CentOSのpam_ldap, nss_ldapのパケージに、
専用のLDAP設定ファイルがないか調べてください。
DebianやRHEにはあります。
Libraryが後から読み込むので、
基本設定が、pam_ldap, nss_ldap専用の設定で上書きされます。
それからidコマンドを実行しながら、
etherealでldap, ldapsのパケットを解析してみるのも吉。
- 919 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/11/24(金) 13:39:22 ]
- >>917
echo "TLS_REQCERT allow" >> /etc/openldap/ldap.conf
で行くんじゃないかな。/etc/ldap.confとはまた別ものだよ。
- 920 名前:917 [2006/11/24(金) 19:46:51 ]
- slapd loglevel 256 を tail -f | grep -E "389|636" でみながら試行錯誤したところ、
ssl start_tls だとつながらない
だったので、authconfig 後に
----------
/etc/ldap.conf に URI ldaps と tls_reqcert never 明記
/etc/ldap.conf から ssl start_tls 追放
/etc/openldap/ldap.conf に URI ldaps と tls_reqcert never 明記
----------
にしたところ、
openldap サーバ兼クライアント(CentOS 4.4)
openldap クライアント(CentOS 4.4)
で無事動きました。
start_tls と ldaps は内部的になにがちがうのでしょうか?
- 921 名前:名無しさん@お腹いっぱい。 [2006/11/25(土) 01:03:47 ]
- こういう記事があったよ。
www.linux.or.jp/JF/JFdocs/LDAP-Implementation-HOWTO/ssl.html
Note: Start-TLS は、クライアントが要求したときだけ TLS を有効にする
ことができるようにします。この方法だと、単独の LDAP ポートをセキュアな
接続とそうでない接続の両方に使うことが可能です。
- 922 名前:917 [2006/11/25(土) 15:09:24 ]
- uri 外して ssl on でも動きました。> 921
start_tls だと pam_ldap は 389 を使おうとする
start_tls の pam_ldap 636 は何故か必ず失敗する(tls_reqcert never のせい?)
ので、
ssl on
か
uri ldaps://
で636強制が必要、
という事のようです。
- 923 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/11/25(土) 15:15:57 ]
- ldap に限った事じゃないけど、start tls って最初は平文で接続してから ssl に
切り替える物だから、いきなり ssl ポートに接続してもセッションは張れないよ。
- 924 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/11/25(土) 16:09:07 ]
- start_tlsはldapポートのまま、tlsネゴシエイトを始めるのね。
要するにアプリケーション層でtlsをコントロールする。
ldapsはセッション層でtls、ldapプロトコルは関与しない。
- 925 名前:917 [2006/11/25(土) 16:09:33 ]
- start_tls で 389 に接続後、Port 389 のままで SSL になる、という意味でしょうか?
「その場合 SSL が機能していること」はログのどこらへんに注目すればいいでしょうか。
- 926 名前:917 mailto:sage [2006/11/25(土) 16:19:13 ]
- ちょっと言葉たらずでした。
start_tls 「暗号化されてて安心」の確認は、ログのどこみればいいでしょうか。
これまでやったのはopenladap の
loglevel 256(ポート番号しかわからない感じ)
と
loglevel -1 (大量に出るので何みればいいのかわからない)
の2つです。
- 927 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/11/25(土) 16:28:58 ]
- >>925
そうです。
安心したいなら、パケットキャプチャーするのがいいかと。
ログで見たければ、LDAP_DEBUG_STATS。
starttls.cのstarttls_extop()で、
Statslog( LDAP_DEBUG_STATS, "%s STARTTLS\n",
op->o_log_prefix, 0, 0, 0, 0 );
してる。
- 928 名前:917 mailto:sage [2006/11/25(土) 17:06:48 ]
- loglevel -1 の grep -i tls で
start_tls の id を行うと、
connection_read(12): unable to get TLS client DN error=49 id=【seq】
がかえってきました。
pam_ldap の start_tls は失敗しているようです。
- 929 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/11/25(土) 17:37:46 ]
- ここ良く読め。
www.openldap.org/doc/admin23/tls.html
ここもかな。
www.openldap.org/doc/admin23/sasl.html
- 930 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/12/23(土) 23:13:15 ]
- OpenLDAPで構築したサーバと、
SolarisのネイティブLDAPを使ったクライアント。
この組み合わせは無理?
|
 |
