[表示 : 全て 最新50 1-99 101- 2ch.scのread.cgiへ]
Update time : 11/17 13:59 / Filesize : 63 KB / Number-of Response : 197
[このスレッドの書き込みを削除する]
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧] [類似スレッド一覧]

↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

UNIX認証方式いろいろ

1 名前:名無しさん@お腹いっぱい。 [02/07/30 19:56.net]
もうNISの時代はおわったのか。
LDAP、PAM、Kerberosいろいろあるけど。
お前はどれを使う!?

41 名前:38 mailto:sage [02/08/02 17:05.net]
>>39
そのへん教えてくれませんか?(libnsl

42 名前:名無しさん@お腹いっぱい。 mailto:なんちゃって [02/08/02 20:07.net]
>>41
とーにーかーくー、getentでNISにしかないpasswd entry引いてみろ。

その次にDES認証モードで運用しているかどうかも調べろ。
DES認証モードならば、(以下続く

43 名前:38 mailto:sage [02/08/02 23:01.net]
>>42
レスありがとうございます。
getent passwd
全部でます。

getent passwd [ユーザー名]
でます。


solarisなのでDES認証です。

44 名前:名無しさん@お腹いっぱい。 mailto:なんちゃって [02/08/03 00:53.net]
>>43
> solarisなのでDES認証です。

じゃあ、-DHASGETSPNAMつけて、checkpasswordをcompileしないと。
ちなみにSolarisはDES認証なしでも運用可能な。

# DES認証時/shadow password利用時には、
# getpwent(3)では、password fieldをget出来ない。(変な仕様だ…)


45 名前:名無しさん@お腹いっぱい。 mailto:sage [02/08/03 15:48.net]
kerberos はアメリカの輸出規制どーなったんですか。
もう大丈夫なの?


46 名前:sage mailto:sage [02/08/03 16:52.net]
>>45 名前しか知らないよ〜 勉強しよう…

47 名前:名無しさん@お腹いっぱい。 [02/08/03 18:36.net]
age

48 名前:名無しさん@お腹いっぱい。 mailto:なんちゃって [02/08/05 19:42.net]
もしかしたら>>43は、
passwd fieldの暗号化にDESを使っていることと、
NIS+のDES認証モードの区別ついてないのかな…


49 名前:AKAK mailto:sage [02/08/06 03:08.net]
NIS+の話?



50 名前:名無しさん@お腹いっぱい。 mailto:なんちゃって [02/08/06 09:05.net]
>>49
>>38の場合は、+は余計だった。
NISにもNIS+にもDES認証モードがある。
NFSにもDES認証モードがある。SunOSの場合、同じ鍵対を使う。


51 名前:名無しさん@Emacs [02/08/06 10:04.net]
>>45
56bit DES (Kerberos 4) については98年から規制緩和された。
www.watch.impress.co.jp/internet/www/article/980917/encrypt.htm
www.rccm.co.jp/~juk/krb/
www.openbsd.org/ja/crypto.html


52 名前:名無しさん@お腹いっぱい。 [02/08/09 08:55.net]
認証に指を差し込む穴に指を入れさせる。
認証に失敗すると、内部の刃物で切断し、終了。

53 名前:名無しさん@お腹いっぱい。 mailto:sage [02/08/09 08:56.net]
pc3鯖、落ちてる?

54 名前:名無しさん@お腹いっぱい。 mailto:sage [02/08/09 20:02.net]
>52
「いやーごめんごめん、君の認証データを
人事異動の際に移しておくのを忘れちゃってたよ」

55 名前:名無しさん@お腹いっぱい。 [02/08/18 01:22.net]
この前PDC環境をSolarisとSambaで構築しました。
便利で便利でない様な…。

56 名前:名無しさん@お腹いっぱい。 mailto:sage [02/08/18 02:26.net]
>>55
NTクライアントでちょっと凝ったことするとsmbdがコア吐いてたり。


57 名前:名無しさん@お腹いっぱい。 mailto:sage [02/08/18 02:54.net]
ついでに管理者が弱音を吐いたり。


そこ、石投げないでください(-_-)

58 名前:名無しさん@お腹いっぱい。 mailto:sage [02/08/18 03:39.net]
くそぉ・・・NIS+ サポート打ち切りかよ・・・

せっかくおぼえたのに・・・

59 名前:名無しさん@お腹いっぱい。 mailto:sage [02/08/19 21:35.net]
>>58
ふぉんとですか???



60 名前:not 58 [02/08/21 07:45.net]
Solaris 9でnisclientを実行すると、

******** ******** WARNING ******** ********
NIS+ might not be supported in a future release. Tools to aid
the migration from NIS+ to LDAP are available in the Solaris 9
operating environment. For more information, visit
www.sun.com/directory/nisplus/transition.html
******** ******** ******* ******** ********

って出てきます。5年はサポートが続くそうです。

まあ付属のLDAPでいいけどさ。credも使えるし。
NIS+とほとんどかわんね─よ。>>58
Multi-paltformになった利点の方が大きい。

61 名前:名無しさん@お腹いっぱい。 [02/08/21 13:47.net]
ここは質問スレッドではないのかもしれませんが
どうか一つ質問させて下さい.

Solaris8 x 10台程、Linux x 2台程の規模をNISを使って
管理しています.Solaris8の1台をNIS primary serverにして
あとは全てNIS clientです.パスワード有効期限を設定していますが
NIS serverにログインしたときには警告が出て変えろと言われますが
NIS clientにログインしても何も警告が出ません.パスワード有効
期限が切れたアカウントでも問題なく使えます.これだとNIS client
を使っているユーザーには何時までたってもpasswordを変えてもらえなくて困ってしまいます.
NISはpasswdの中のpassword部分をshadowのpassword部分と置き換えた
ものをmapとして配っているだけのようなので(ypcat passwdとしてみると)shadowの中にあるのパスワード有効期限やアカウント有効期限、
などの情報は配っていないようです.
clientでもパスワード期限切れを警告させたり期限切れアカウント
をloginさせなくするのにはどうしたら一番よいでしょうか。
(1)NISの仕様上不可能.NIS+ならできるので移行せよ
(2)NISの仕様上不可能.LDAPならできるので移行せよ
(3)NISの仕様上不可能.XXXに移行せよ
(4)NISでもXXとすれば可能
NIS+, LDAPを使ったことがないのですがもしこれが出来るなら
移行しようと考えているのです.


62 名前:名無しさん@お腹いっぱい。 [02/09/15 03:18.net]
なるほど。質問者に教えられました。ありがとう。たしかに61の言うとうりの参照方法なら不可能なのかな。(今日は遅いので明日調べてみます)

ところで、LDAP導入について61に便乗して質問します。
Solarisに入れたOpenLDAPの環境で/etc/nsswitch.ldapは使えるの?
iplanet Directory Server用なのかな?
何の為にあるのか謎。

63 名前:not 58 [02/09/15 04:49.net]
>>61
shadowマップはどうなってるの? (man -s 5 shadow)
nsswitch.confは大丈夫? (ypmatchと違い、getentは常にnsswitch.confを反映する)

>>62
> 何の為にあるのか謎。

nsswitch.{files,nis,nisplus,ldap}は、nsswitch.conf用のsample。
# cp -p /etc/nsswitch.{ldap,conf}
すれば、name serviceはLDAPを参照するようになる。(稼働していればね)

いじょ

64 名前:62 [02/09/16 01:42.net]
>63
>>nsswitch.conf用のsample。
それは承知です。iPlanet用なのかどうか謎。ってことです。

>>(稼働していればね)
iPlanet Directory ServerのLDAPのデーモンns-slapdが稼働していればね?ってことですか?
OpenLDAPのslapdが稼働していればね?ってことですか?
それともどちらでもOK?

65 名前:名無しさん@お腹いっぱい。 mailto:sage [02/09/16 05:39.net]
>>64
LDAP はプロトコルってことを理解している?

66 名前:61 [02/09/16 13:08.net]
62,63さん、ありがとうございます.
63>> shadowマップはどうなってるの? (man -s 5 shadow)
(Solaris 8/sparcでman -s 4 shadowで)調べると、(一部抜粋します)
username:password:lastchg: min:max:warn: inactive:expire:flag
でした.

63>>nsswitch.confは大丈夫? (ypmatchと違い、getentは常にnsswitch.confを反映する)
grep passwd /etc/nsswitch.confとした所、
passwd: files nis
でした.まず最初に/etc/passwdを見て、その次にNISでpasswdのマップを参照して
いるようです./etc/passwdのパスワード部分はxにしてあり、
ypcat passwdで(例えばアカウントhogeの部分を)調べると,
hoge:Yp52g0OOGbEAU:150:100:Hogeo Hogeta:/home/hoge:/usr/local/bin/tcsh
getent passwd hogeの結果は(getentというcmdを知りませんでした...)
hoge:x:150:100:Hogeo Hogeta:/home/hoge:/usr/local/bin/tcsh
ypmatch -d "nis-domain-name" hoge passwdの結果は
ypcat passwd | grep hogeと同じでした.

/etc/passwdには(NIS server, NIS clientともに)+の記述はしていません.
昔、SunOS4.1.4の時にはnsswitch.confが無かったので+を記述していましたが.


67 名前:61 & 66 [02/09/16 13:25.net]
61です.66が長くなったので分けて続けます.

shadowというマップはNISでは(/var/yp/Makefileを見ると)配って
いないので
% ypcat shadow
no such map in server's domain
% ypmatch -d "nis-domain-name" hoge shadow
Can't match key ono in map shadow.
Reason: no such map in server's domain.
%getent shadow ono
Unknown database: shadow
usage: getent database [ key ... ]
となります.

getspnam(3C)を読みますと、「もしあなたがNIS DBを使っている
場合は、shadowの情報はpasswd.bynameを参照することにより
得られる.ただしこれ(passwd.bynameは)sp_namp and sp_pwdp
しか(つまりlogin nameとencrypted-passwordしか)含んでいない」
とあります.
やはり、NIS clientが得る情報は、NIS serverのpasswdの2番目
の部分に、shadowのencrypted passwordを挿入したもののようです.


68 名前:67の続き [02/09/16 18:38.net]
結局私に考えつく方法として次の3つだけです.

(a)(61-(4)の方法として)
/var/yp/Makefileでpasswdだけ他の(auto.homeやservicesと違って)
ファイルと違う扱い(shadowの一部だけpasswdのmapに載せて配るということ)
をしているのが原因なのだから、いっそのこと
/var/yp/MakefileのNISで配るmapにshadowも付け加える.
/etc/nsswitch.confにもshadowの行を付け加えて、NIS clientでも
ypcat shadowが実行できるようになるか試してみる.
(b)(61-(1),(2)として)NIS+かLDAPにして試してみる.
(c)他の角度からの運用で次善的解決法を模索する.


69 名前:68の続き [02/09/16 18:42.net]
(a)はちょっと怖くてやりたくない.
(Sunが書いている/var/yp/Makefileのを編集するのはよくやると
思いますが、shadowを編集して入れてしまうというのが未体験
ゾーンなのです)
(b)はNIS+かLDAPで(clientでのパスワード期限の警告、
期限切れのlockが)出来るという機能面の保証がまだ無いので
(ちょっと見つかりませんので)まだ試すには時間がかかる.

ので、(c)の解決法としてNISサーバーでcronで1日一回、
passwordの期限切れが迫っている人には警告のメールを出すように
perl scriptを書いて走らせるようにしました.script自体は
今のところうまく行っているようです.しかしこれでは
* E-mailを読まなかったり使わない人、無視する人には効果がなく、
引き続きNIS clientではpasswordがexpireされたuserでも
 loginできてしまう.という弱点自体はそのままです.

(a)(b)の方法を引き続き検討してみます.
(b)のNIS+やLDAPならclientでもpasswordのexpirationに関する
チェックが出来るよ、という運用実績などある方いましたら
お願いします.
もし(a)の方法を試す勇気が出たら試してここでまた報告します.
それでは.



70 名前:69の続き [02/09/16 23:32.net]
少し調べてみると、/var/yp/Makefileにshadowのエントリがあるのは
Linuxではわりと普通らしいです.Solaris 8の/var/yp/Makefile
に、このLinuxのMakefileのshadowのところを見てshadow部分を
書き加えて後ほどやってみます。(進捗あったら報告します)
もし出来ても(NIS clientでpassword expirationがチェックされる
ようになっても)ypcat shadowで皆が他人のpassword expiration date
や、password last change dateなどをお互い知りたい放題に
なってしまうのであまり好ましいとは思えませんが.

ところで/etc/passwd.adjunctってSolaris 2.Xで使っている
人いますか?Webで調べるとどうもSunOS4.Xでpasswordを
shadow化してC2セキュリティにする場合はこれを使え、
とか書いてある割には、(/etc/shadowが元からある)
Solaris 8の/var/yp/Makefileにもpasswd.adjunctの
部分はありますし...AnswerBook2でも隠蔽されたパスワード
と監査情報(<-??)を含むと書いてあるだけでいまいち分かりません.

71 名前:not 58 [02/09/17 13:24.net]
>>70
おめー長げ─よ。

> このLinuxのMakefileのshadowのところを見てshadow部分を
> 書き加えて後ほどやってみます。(進捗あったら報告します)

NIS(YP)の場合、shadow mapを作る、これが唯一の方法。

> 63>> shadowマップはどうなってるの? (man -s 5 shadow)
> (Solaris 8/sparcでman -s 4 shadowで)調べると、(一部抜粋します)
> username:password:lastchg: min:max:warn: inactive:expire:flag
> でした.

知ってるって。オマエサンのYP serverがどうなってるか聞いたの。
shadow mapがないなら、出来なかったのは当然。

> もし出来ても(NIS clientでpassword expirationがチェックされる
> ようになっても)ypcat shadowで皆が他人のpassword expiration date
> や、password last change dateなどをお互い知りたい放題に
> なってしまうのであまり好ましいとは思えませんが.

NIS(YP)はそういうもの。(均一なアクセス権)
DES認証モードで運用したときのNISとNIS+の違い、
NIS+のper entryなowner, group, access rights(ugow+rcmd)等を調べて。
(そんなこと気にするのなら当然DES認証モードで運用してるよね?)

72 名前:not 58 [02/09/17 13:34.net]
>>68
> /etc/nsswitch.confにもshadowの行を付け加えて、

大体いいところを攻めてるんだけど、
マニュアル、ドキュメントをちゃんと読んでないっぽい。

nsswitch.conf(5)より、
passwd getpwnam(3C), getspnam(3C)
です。
NIS+移行passwd, shadowのtable(map)は統合され、
Solarisのname service(libnsl)では、
passwd table(map)として統一して扱うようになりました。
// 二つに分かれていたのは、歴史的経緯から来る実装上の問題だから。
// APIはまだ二つに分かれてるんだけどね…
// libnslのコード見たければ、Sunがglibcに寄贈した奴を見て。

NISのマニュアルと徹底的に読むことをおすすめする。
ちゃんと理解していないとLinuxの設定の方で辛いと思う。

73 名前:名無しさん@お腹いっぱい。 [02/09/19 17:33.net]
>65
プロトコルって何かわかってる?

74 名前:名無しさん@お腹いっぱい。 mailto:sage [02/09/19 19:01.net]
>>73
いちいちageて下らね〜こと書くヴァカ発見

75 名前:名無し募集中。。。 mailto:sage [02/09/19 23:59.net]
>>73
プロトコールは手続きで宜しいか?
>>74
逝ってよし

76 名前:61,66-70 [02/09/25 20:38.net]
>71さん、>72さんありがとうございます。

結論から言いますとまだ解決していませんが取り敢えず途中報告
です。72さん、確かに66-70は"不必要に"長かったです。
すんません。言ってるそばから今回も少し長めですが、勘弁して
下さい。情報が足りないよりは良いかなと...

nis-server, nis-clientともに64bit Solaris 8/sparcです。

(1)nis-server:/var/yp/Makefileを編集
1-a)
all: passwd group hosts aliases auto.master auto.home

all: passwd shadow group hosts aliases auto.master auto.home
に変更

1-b)
passwd: passwd.time
group: group.time
の間に"shadow: shadow.time"の一行を挿入


77 名前:61,66-70 [02/09/25 20:40.net]
1-c)
## 2002.9 added manually by X.XXXXX
shadow.time: $(PWDIR)/shadow
@(awk 'BEGIN { FS=":"; OFS="\t"; } /^[a-zA-Z0-9_]/ \
{ print $$1, $$0 }' $(PWDIR)/shadow $(CHKPIPE))| \
$(MAKEDBM) - $(YPDBDIR)/$(DOM)/shadow.byname;
@touch shadow.time;
@echo "updated shadow";
@if [ ! $(NOPUSH) ]; then $(YPPUSH) -d $(DOM) shadow.byname; fi
@if [ ! $(NOPUSH) ]; then echo "pushed shadow"; fi
を挿入。
(このフォームに書き込んだ時に改行が変になっているかも
知れませんが、tabなどのmake文法はOKです)
(Solaris 8はshadow mapを作らないようになっているようなので、
Vine LinuxやDebian GNU/Linuxの/var/yp/Makefileを取ってきて
参考にしました。なんだかmakeでも文法が微妙に違う???)

(2)nis-server,client(Sol8):/etc/nsswitch.confを編集
shadow files nis
ただしLinux(Vine2.1.5)の/etc/nsswitch.confには
元からあったのでそのまま。


78 名前:61,66-70 [02/09/25 20:41.net]
(3)nis-serverで
# cd /var/yp
# /usr/ccs/bin/make (Solarisのmakeです)

(4)nis-server, clientを全てreboot

上記のような事(1)-(4)を行なった結果、次のようになりました。
(a)nis-server:/var/yp/shadow.time,
/var/yp/"nis-domain-name"/shadow.byname.{dir,pag}が
作成された。
(b)nis-server, nis-client(Solaris, Linuxともに)で
$ ypcat -k shadow | grep hoge
hoge hoge:cpMpWPFTP7de2:11954::62:7:93:12500:
$ ypmatch -d "nis-domain-name" hoge shadow
hoge hoge:cpMpWPFTP7de2:11954::62:7:93:12500:
でNIS severにshadow mapを見に行っているようだ。


79 名前:61,66-70 [02/09/25 20:42.net]
ただしgetentだと
$ getent
不明なデータベース: shadow
詳細は`getent --help' または `getent --usage' を実行して下さい.
- もしlocaleが英語なら、
Unknown database: shadow
Try `getent --help' or `getent --usage' for more information.

またnis-server:/var/yp/"nis-domain-name"/で
# makedbm -u shadow.byname | grep hoge で見てみると、
hoge hoge:cpMpWPFTP7de2:11955::50:7:1000:12418:
でアカウント名がキー、行全てがデータのdbmが確かに出来て
いるようです。



80 名前:61,66-70 [02/09/25 20:42.net]
(c)けれどもnis-clientにloginするとやはりshadowの内容は
参照されていないようです。例えばhogeのパスワード有効期限
をわざと切らしてやってからloginしても何事もなくlogin出来て
しまいます。

もし基本から間違えていれば別ですが、そうでない場合は、
Solarisをnis-serverにしたままだと、これからどこをあたったら
よいか分からないので、
nis-serverをLinuxで構築して,clientもLinuxとSolaris両方で作って
testして見ようかなと思っています。
Debian Linux:/var/yp/Makefileには最初からshadow mapを作る記述が
あったので、もしこれで出来たならまたなにかSolarisの方でも
進めるかも知れないと考えています。


81 名前:not 58 mailto:sage [02/09/28 13:32.net]
>>79
#include <stdio.h>
#include <shadow.h>

int main(int argc, char *argv[]) {
int i;
for (i = 1; i < argc; i++) {
struct spwd *sp = getspnam(argv[i]);
if (sp == NULL) {
perror("getspnam");
exit(1);
}
printf("%s;%s;%l;%l;%l;%l;%l;%l;%x\n",
sp->sp_namp, sp->sp_pwdp, sp->sp_lstchg,
sp->sp_min, sp->sp_max, sp->sp_warn,
sp->sp_inact, sp->sp_expire, sp->sp_flag);
}
return 0;
}
とりあえず実行してみれ。

82 名前:61,66-70,76-80 [02/10/14 20:28.net]
>>81さん 遅くなりました.
とりあえず実行してみました(コンパイルではerrorもwarningもでない)
が標準出力になにも出ませんし、ファイルも出来ません.
% ./yptest
% ./yptest hoge
getspnam: Bad file number (hogeがなんであってもこうなるようです.
yptestは81でもらったソースをコンパイルして出来た実行ファイル.
gcc3.0.2, 64bit Solaris 8(sparc), NIS serverでもNIS clientでも同じ
結果)
なんだかレベルにちょっと断層があるようなのでじっくり(理解してから)
やってみます.まずはシステムコールって何?あたりから…


83 名前:82 [02/10/14 20:30.net]
嘘言ってました.-Wallつけると標準エラー出力にでます。warning
なので大丈夫とは思いますが.
yptest.c: In function `main':
yptest.c:11: warning: implicit declaration of function `exit'
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: too many arguments for format


84 名前:名無しさん@お腹いっぱい。 [02/10/14 23:28.net]
>>69
いっそ期限が切れたら cron でスクリプト回してパスワード潰してしまうんでは駄目?

85 名前:69 [02/10/15 10:44.net]
>84さん、ありがとうございます.
lockまでしてしまうと、確かにNIS clientでもloginされなくなりますが、
lock解除は一般ユーザーでは出来ないのでroot(つまり私)の所へ
くるでしょうから手間が増えてしまうのであまりやりたくないのです.
平均3日に一回位パスワードが切れている人が出ているので…
とりあえず今は警告メールを送る(c)だけで運用しています.

86 名前:not 58 [02/10/15 21:40.net]
>>83
< #include <stdlib.h>
< printf("%s;%s;%ld;%ld;%ld;%ld;%ld;%ld;%x\n",
な。(Compileしてなかった)

rootでも取得できなければ、libraryになにか問題があると思う。
ypcatでは取得できているみたいなので。
ltrace/strace(Linux), truss(Solaris)で調べてみてちょ

87 名前:名無しさん@お腹いっぱい。 [02/10/15 22:09.net]
>>86さん
# gcc -Wall -o yptest yptest.c
yptest.c: In function `main':
yptest.c:17: warning: long int format, int arg (arg 4)
yptest.c:17: warning: long int format, int arg (arg 5)
yptest.c:17: warning: long int format, int arg (arg 6)
yptest.c:17: warning: long int format, int arg (arg 7)
yptest.c:17: warning: long int format, int arg (arg 8)
yptest.c:17: warning: long int format, int arg (arg 9)
# ./yptest
# ./yptest "なにを書いても"
getspnam: Bad file number

もちろん一般ユーザーでも結果は同じです。実行はNIS server上。
ちなみにSolaris 8にtruss, straceは有りました。
ltraceは無いみたいです。
かなり分かっていない感じなので精進してから再トライします。
System call = OS API? 出直します。


88 名前:名無しさん@お腹いっぱい。 [02/10/16 10:57.net]
>>87
man getspnam | head -4
Standard C Library Functions getspnam(3C)

システムコールじゃない

89 名前:not 58 [02/10/16 21:08.net]
>>87
> # ./yptest "なにを書いても"
> getspnam: Bad file number

file descriptorがおかしいって事だからなんか変。

とりあえず、

# truss ./yptest root



90 名前:85,86 [02/10/17 17:29.net]
>> 89さん
まず最初に、87の
> # ./yptest "なにを書いても"
> getspnam: Bad file number
は私の間違いでした.すいません.
引数としてaccount-nameを食わせればよいということすら
プログラム(81&86)から読み取れなかったのです。今実行してみた所、
# ./yptest root
root;Fn1m.j9izt0.w;-1;-1;-1;-1;-1;-1;0
一般ユーザーのアカウントをrootの代わりにいれても
同じような出力が出てきます.
nishida;ub94r.Mf346ZA;-1;-1;-1;-1;-1;-1;0
NISで配られているパスワードが見えています.ただし、nishidaのshadowは
nishida:ub94r.Mf346ZA:11956::50:10:::
なので50などのshadow中の(パスワード以外の)情報は出てきていない
ような気がします.
まずは報告まで.それでは.

91 名前:not 58 [02/10/19 10:33.net]
>>90
> # ./yptest root
> root;Fn1m.j9izt0.w;-1;-1;-1;-1;-1;-1;0

そりゃ、あかんやん。YP shadow map読めて/読んでないよ。
nsswitch.confを
shadow: nis files
でも駄目なの? (なんでfilesを先に書く?)

92 名前:90 [02/10/21 12:59.net]
>>91さん
あかんです。確かに。

nis filesにして(OSもrebootして)試してみましたがyptestの結果は
変わりませんでした。

files nisにしている理由はSolaris8の
NIS用nsswitch.confテンプレート(/etc/nsswitch.nis)がそうだったから
というだけです。今はNIS serverで/etc/passwd, shadowから直接
NIS mapを作っているので、NISでrootも配っているんです。
files nisにすると全てのhostsのrootパスワードがNIS serverと同じに
なってしまいます。
web siteなどを調べると、NISで配るmapのためのファイルは/var/ypなどに
コピーして(passwd, shadowから)rootを除いて(/var/yp/Makefileを
いじって)運用した方がよいと書いてありますがそこまでは
まだやっていません。
本題の方はもう少し自分で調べて試してみます。進捗あったらまた報告します。


93 名前:山崎渉 mailto:(^^)sage [03/01/15 13:26.net]
(^^)

94 名前:名無しさん@XEmacs mailto:sage [03/03/24 09:31.net]
ネットワーク再構築テスト

95 名前:名無しさん@お腹いっぱい。 [03/04/16 09:46.net]
nis から ldap に移行したいと思っておるが、
パスワードの形式を des から md5 に変更しないといけない?


96 名前:名無しさん@お腹いっぱい。 mailto:sage [03/04/16 11:50.net]
OSは何よ

つーか NIS や LDAP が認証するわけじゃねーってのは
わかっておるか?
どっちもあくまでデータベースにすぎんわけで。

あ、でも
ttp://taku.ath.cx/index.php?Server%2FLDAP
ってのを見つけた。

ばーぢょんに気をつけれ。

97 名前:山崎渉 mailto:(^^) [03/04/17 11:49.net]
(^^)

98 名前:あぼーん mailto:あぼーん [あぼーん.net]
あぼーん

99 名前:名無しさん@お腹いっぱい。 [03/04/21 16:04.net]
>>96
NIS -> LDAP なんてことするのは Solaris8 or 9 以外にはちと考えにくい



100 名前:not 58 mailto:sage [03/04/28 00:30.net]
Solarisなら>>60とか、(これはNIS+ですが)
docs.sun.com/db/doc/816-7511/6mdgu0h3p?a=view

101 名前:あぼーん mailto:あぼーん [あぼーん.net]
あぼーん

102 名前:名無しさん@お腹いっぱい。 [03/06/17 10:59.net]
>>45 >>51
そういう貴方に、OpenBSD.org

103 名前:64 ◆3OpmpQGwCc mailto:sage [03/06/30 13:38.net]
>>86
禿同

はなし変わるけど、携帯ゲーム機"プレイステーションポータブル(PSP)

 このPSPは、新規格UMD(ユニバーサルメディアディスク)というディスクを利用しており、そのサイズは直径6cmととても小さい(CDの半分程度)。 容量は1.8GBとなっている。
画面は4.5インチのTFT液晶で、480px x 272px(16:9)。MPEG4の再生やポリゴンも表示可能。外部端子として、USB2.0とメモリースティックコネクタが用意されているという。

この際、スク・エニもGBAからPSPに乗り換えたらどうでしょう。スク・エニの場合、PSPの方が実力を出しやすいような気がするんですが。
任天堂が携帯ゲーム機で圧倒的なシェアをもってるなら、スク・エニがそれを崩してみるのもおもしろいですし。かつて、PS人気の引き金となったFF7のように。

いきなりこんな事書いてスマソ‥
GBAと比べてみてどうなんですかね?(シェアのことは抜きで)

104 名前:あぼーん mailto:あぼーん [あぼーん.net]
あぼーん

105 名前:名無しさん@お腹いっぱい。 [03/08/12 16:25.net]
Kerberosに関して、比較的最近のUNIX/Linuxでの取り扱いについてまとめた本って、
どういうのがあるか、ご存じな方いらしたら教えていただませんでしょうか。

仕組みはおおよそわかってるつもりですが、実際に試しながら学んでみたいもので。


106 名前:あぼーん mailto:あぼーん [あぼーん.net]
あぼーん

107 名前:名無しさん@お腹いっぱい。 mailto:sage [03/08/12 16:46.net]
>>105
設定HOWTO本が知りたいなら、はっきりとそう言った方がいい。
それじゃ何を必要としているのかわからん。

108 名前:名無しさん@お腹いっぱい。 [03/08/12 17:27.net]
Howto本だけだと意味もわからずできてしまいそうで恐いです。
基本的な概念の説明も含んだ設定ガイド、といったら変でしょうか。


109 名前:名無しさん@お腹いっぱい。 mailto:sage [03/08/12 17:36.net]
KERBEROS―ネットワーク認証システム 最新ネットワーク技術ハンドブック
ブライアンタン (著), Brian Tung (原著), 桑村潤 (翻訳)
www.amazon.co.jp/exec/obidos/ASIN/489471146X

とりあえず、これでも読んだら、PAMでpam_krb5.soの設定してみたら?

アプリケーションレベルのKerberos対応については、
PAM化を最初に検討するといい。



110 名前:名無しさん@お腹いっぱい。 mailto:sage [03/08/12 17:39.net]
英語OKなら、O'Reillyのこっちね。
Kerberos: The Definitive Guide
Jason Garman
www.amazon.com/exec/obidos/tg/detail/-/0596004036

111 名前:あぼーん mailto:あぼーん [あぼーん.net]
あぼーん

112 名前:あぼーん mailto:あぼーん [あぼーん.net]
あぼーん

113 名前:あぼーん mailto:あぼーん [あぼーん.net]
あぼーん

114 名前:名無しさん@お腹いっぱい mailto:sage [03/09/03 22:32.net]
いきなり質問なのですが、Windows Server 2003の
ActiveDirectoryとSunONE Directory Serverを
連携させてる方っていらっしゃいますか?

ActiveDirectory配下にSunONEを配置して
ユーザの認証だけや

115 名前:らせようと思ってるんだけど、
実績が全然みつからないのねん。 []
[ここ壊れてます]

116 名前:名無しさん@お腹いっぱい。 mailto:sage [03/09/09 04:03.net]
>>114
もうちょっと説明しろ。
bind operationのchainingで何とかなると思う。
しかしSolarisのPAMは、bindで認証しないからチョトやっかいだ。

iPlanet Directory Serverに全部やらせるのなら実績山ほどあるぞ。
ただし、Windows clientにplugin入れないと駄目だけどね。


本当に認証だけで、NSSはやらないのなら、
Active Directoryにradius喋らせるだけで十分かも。

LDAPスレの方が反応いいかも…




117 名前:名無しさん@お腹いっぱい mailto:sage [03/09/09 14:20.net]
>>115
すんません。LDAP関連は手がけるの初めてなモノで、まだ手応えがよくわかってないんです。
既存のActiveDirectory(ちかじかWindows2003Serverへ移行予定)の中に
Sun ONE Web Serverを設置する予定なのですが、
代理店からSun ONE Directory Serverでないと認証できないと言われてしまいました。
で、ActiveDirectoryとSun ONE Directory Serverの連携という話になるんですが、
Webサーバ上ではBasic認証程度しかしないので、IDとパスワードの同期ができれば十分なのです。
『SolarisによるLDAP実践ガイド』読んでると暗澹たる気分になるし、
Sun ONE Identity Synchronization for Windowsは
代理店に扱うかどうかも不明とか言われて途方にくれてます。

118 名前:名無しさん@お腹いっぱい。 mailto:sage [03/09/10 01:31.net]
>>116
> 代理店からSun ONE Directory Serverでないと認証できないと言われてしまいました。

認証のクライアントは何?

> Sun ONE Directory Serverでないと認証できない

Schemaも知らない馬鹿営業の話真に受けていても…

119 名前:名無しさん@お腹いっぱい mailto:sage [03/09/10 10:18.net]
>>117
> 認証のクライアントは何?

認証のクライアントというのはエンドユーザの事でしょうか?
それならWindowsXP&IEです(ひょっとするとLinux&Mozillaがあるかも…)
現在は以下のような環境を想定してます。

ActiveDirectory<-??->Sun ONE Directory <-LDAP-> Sun ONE Web <-> クライアントPC

> Schemaも知らない馬鹿営業の話真に受けていても…

まー反論できない私もアレですんで…(苦笑)



120 名前:DESからMD5への移行 [03/09/26 18:24.net]
古いホストで DES でハッシュされた /etc/passwd を使っています。
さすがに MD5 に移行したいと思うのですが、
当たり前ながら平文のパスワードはわかりません。

ユーザがログインしたときには平文のパスワードがわかりますから、
そのつど passwd.md5 のようなファイルに MD5 でハッシュしたパスワードを記録していって、
全てのユーザのMD5ハッシュ済みパスワードがたまった時点で移行したいのですが、
そういうことをする機構って PAM のモジュールとしては提供されていませんか?

121 名前:名無しさん@お腹いっぱい。 mailto:sage [03/09/26 20:58.net]
chageとかでパスワードの更新を促すとか。

122 名前:名無しさん@お腹いっぱい。 mailto:sage [03/09/27 02:10.net]
>>119
そういうPAMモジュールはしらないけど、

>>119
> 全てのユーザのMD5ハッシュ済みパスワードがたまった時点で移行したいのですが、

その都度変更して大丈夫じゃない?
最近の*BSDや*Linuxは、DEC, MD5混在してても問題なし。

123 名前:名無しさん@お腹いっぱい。 mailto:sage [03/09/27 02:23.net]
>121の指はまだDECを憶えているようだ。泣ける。

124 名前:名無しさん@お腹いっぱい。 mailto:sage [03/09/27 03:09.net]
>>122
Ultrix使ってたんだよ…

125 名前:名無しさん@お腹いっぱい。 mailto:sage [03/10/04 10:19.net]
DES はハッシュじゃないと思うのだが。

126 名前:名無しさん@お腹いっぱい。 mailto:sage [03/10/04 10:43.net]
そうだね

127 名前:名無しさん@お腹いっぱい。 [03/10/07 14:45.net]
passwd ファイルと shadow ファイルの x と * と ! は何を意味するのでしょうか?

普通は shadow にハッシュされたパスワードが入っていて、
そのとき passwd ファイルのほうには x が入っているということくらいしか知らないのですが、
/etc/shadow を見ると * とか ! があります。

128 名前:名無しさん@お腹いっぱい。 mailto:sage [03/10/07 14:48.net]
>>126
man 読め
OS 名くらい書け

129 名前:名無しさん@お腹いっぱい。 [03/10/07 15:00.net]
>>127 ごめんなさい。わかりました。
When the asterisk is there, nothing can match it.
An exclamation mark means a password (or account) is locked via
usermod(8). Also, a single exclamation marks means that a account is not
allowed for logins. So a double exclamation makes sure that if it was
unlocked, it would still have an invalid passwd.



130 名前:名無しさん@お腹いっぱい。 [03/10/16 20:01.net]
バックエンドのデータベースエンジンに格納されている
「ユーザ名 & ハッシュされたパスワード」 のペアを使って
認証するための PAM モジュールというのはあるのでしょうか?

認証情報を PostgreSQL や MySQL などのデータベースにテーブルとして格納し、
それを使って認証するためには、一旦 LDAP サーバなどを経由する必要がありますか?

131 名前:LDAPスレの人 mailto:sage [03/10/17 02:20.net]
>>129
おまいさんは何使い? わしゃDebian使い。

packages.debian.org/libpam-pgsql
packages.debian.org/libpam-mysql


132 名前:名無しさん@お腹いっぱい。 [03/10/17 04:29.net]
>>130 が〜ん、漏れも Debian 使いです…
そんなパッケージがあったとは…ありがとう。

133 名前:名無しさん@お腹いっぱい。 mailto:sage [04/05/27 12:24.net]
認証を全部Kerberosにしたいのですが、Kerberosできるメールクライアントってどんなのがあるのでしょうか。
なければWebメールかな、と…。

134 名前:名無しさん@お腹いっぱい。 mailto:sage [04/06/01 21:25.net]
pam使え。

135 名前:名無しさん@お腹いっぱい。 [04/09/01 12:34.net]
Plan9があれば、こんなKerberosみたいなゴテゴテした仕組みは
要らないね。複数のコンピュータで一つのサービスを提供するから
シングルサインオンが当たり前の世界だし。

136 名前:名無しさん@お腹いっぱい。 [04/09/01 13:58.net]
うちのサーバは人を信用してるから認証なし

137 名前:名無しさん@お腹いっぱい。 [04/09/01 16:18.net]
■これ、犯罪じゃね?■ Part5
love3.2ch.net/test/read.cgi/motenai/1094008658/
援軍に来てください!!お願いします。
どうしてもPCの知識がある人が必要なんです



138 名前:名無しさん@お腹いっぱい。 mailto:sage [04/09/01 17:12.net]
>>134
そういえば、Kerberosって日本ではなかなか普及しないねぇ。
まあ、あんな面倒なもの使いたいなんて思わないからなぁ。

139 名前:名無しさん@お腹いっぱい。 mailto:sage [04/09/02 22:26.net]
RADIUSとか・・・・・・・認証違いか・・・

ツーか、ダイアルアップの認証はもう辞めませんか社長・・・
回線からサーバまで管理する身にもなって下さい。

あぁ、今日もまた回線工事でクレームが・・・



140 名前:名無しさん@お腹いっぱい。 mailto:sage [04/09/02 23:39.net]
>>137
WindowsとMac OS Xは、Kerberosを重要視し始めましたよ。
しかも運用はGUIDベース。

141 名前:名無しさん@お腹いっぱい。 mailto:sage [04/09/04 07:27.net]
OSのあらゆるサービスがkerberos認証に基づく分散コンポーネントで
出来上がってるWindowsは、設計の観点から見たらやっぱり凄いね。




[ 続きを読む ] / [ 携帯版 ]
前100 次100 最新50 [ このスレをブックマーク! 携帯に送る ] 2chのread.cgiへ
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧](*・∀・)<63KB

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef