UNIX認証方式いろいろ

[表示 : 全て最新50 1-99 101- 2ch.scのread.cgiへ]
Update time : 11/17 13:59 / Filesize : 63 KB / Number-of Response : 197
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

UNIX認証方式いろいろ

1 名前：名無しさん＠お腹いっぱい。 [02/07/30 19:56.net]: もうNISの時代はおわったのか。
LDAP、PAM、Kerberosいろいろあるけど。
お前はどれを使う！？
70 名前：69の続き [02/09/16 23:32.net]: 少し調べてみると、/var/yp/Makefileにshadowのエントリがあるのは
Linuxではわりと普通らしいです.Solaris 8の/var/yp/Makefile
に、このLinuxのMakefileのshadowのところを見てshadow部分を
書き加えて後ほどやってみます。(進捗あったら報告します)
もし出来ても(NIS clientでpassword expirationがチェックされる
ようになっても)ypcat shadowで皆が他人のpassword expiration date
や、password last change dateなどをお互い知りたい放題に
なってしまうのであまり好ましいとは思えませんが.

ところで/etc/passwd.adjunctってSolaris 2.Xで使っている
人いますか?Webで調べるとどうもSunOS4.Xでpasswordを
shadow化してC2セキュリティにする場合はこれを使え、
とか書いてある割には、(/etc/shadowが元からある)
Solaris 8の/var/yp/Makefileにもpasswd.adjunctの
部分はありますし...AnswerBook2でも隠蔽されたパスワード
と監査情報(<-??)を含むと書いてあるだけでいまいち分かりません.
71 名前：not 58 [02/09/17 13:24.net]: >>70
おめー長げ─よ。

> このLinuxのMakefileのshadowのところを見てshadow部分を
> 書き加えて後ほどやってみます。(進捗あったら報告します)

NIS(YP)の場合、shadow mapを作る、これが唯一の方法。

> 63>> shadowマップはどうなってるの? (man -s 5 shadow)
> (Solaris 8/sparcでman -s 4 shadowで)調べると、(一部抜粋します)
> username:password:lastchg: min:max:warn: inactive:expire:flag
> でした.

知ってるって。オマエサンのYP serverがどうなってるか聞いたの。
shadow mapがないなら、出来なかったのは当然。

> もし出来ても(NIS clientでpassword expirationがチェックされる
> ようになっても)ypcat shadowで皆が他人のpassword expiration date
> や、password last change dateなどをお互い知りたい放題に
> なってしまうのであまり好ましいとは思えませんが.

NIS(YP)はそういうもの。(均一なアクセス権)
DES認証モードで運用したときのNISとNIS+の違い、
NIS+のper entryなowner, group, access rights(ugow+rcmd)等を調べて。
(そんなこと気にするのなら当然DES認証モードで運用してるよね?)
72 名前：not 58 [02/09/17 13:34.net]: >>68
> /etc/nsswitch.confにもshadowの行を付け加えて、

大体いいところを攻めてるんだけど、
マニュアル、ドキュメントをちゃんと読んでないっぽい。

nsswitch.conf(5)より、
passwd getpwnam(3C), getspnam(3C)
です。
NIS+移行passwd, shadowのtable(map)は統合され、
Solarisのname service(libnsl)では、
passwd table(map)として統一して扱うようになりました。
// 二つに分かれていたのは、歴史的経緯から来る実装上の問題だから。
// APIはまだ二つに分かれてるんだけどね…
// libnslのコード見たければ、Sunがglibcに寄贈した奴を見て。

NISのマニュアルと徹底的に読むことをおすすめする。
ちゃんと理解していないとLinuxの設定の方で辛いと思う。
73 名前：名無しさん＠お腹いっぱい。 [02/09/19 17:33.net]: >65
プロトコルって何かわかってる?
74 名前：名無しさん＠お腹いっぱい。 mailto:sage [02/09/19 19:01.net]: >>73
いちいちageて下らね～こと書くヴァカ発見
75 名前：名無し募集中。。。 mailto:sage [02/09/19 23:59.net]: >>73
ﾌﾟﾛﾄｺｰﾙは手続きで宜しいか？
>>74
逝ってよし
76 名前：61,66-70 [02/09/25 20:38.net]: >71さん、>72さんありがとうございます。

結論から言いますとまだ解決していませんが取り敢えず途中報告
です。72さん、確かに66-70は"不必要に"長かったです。
すんません。言ってるそばから今回も少し長めですが、勘弁して
下さい。情報が足りないよりは良いかなと...

nis-server, nis-clientともに64bit Solaris 8/sparcです。

(1)nis-server:/var/yp/Makefileを編集
1-a)
all: passwd group hosts aliases auto.master auto.home
を
all: passwd shadow group hosts aliases auto.master auto.home
に変更

1-b)
passwd: passwd.time
group: group.time
の間に"shadow: shadow.time"の一行を挿入
77 名前：61,66-70 [02/09/25 20:40.net]: 1-c)
## 2002.9 added manually by X.XXXXX
shadow.time: $(PWDIR)/shadow
@(awk 'BEGIN { FS=":"; OFS="\t"; } /^[a-zA-Z0-9_]/ \
{ print $$1, $$0 }' $(PWDIR)/shadow $(CHKPIPE))| \
$(MAKEDBM) - $(YPDBDIR)/$(DOM)/shadow.byname;
@touch shadow.time;
@echo "updated shadow";
@if [ ! $(NOPUSH) ]; then $(YPPUSH) -d $(DOM) shadow.byname; fi
@if [ ! $(NOPUSH) ]; then echo "pushed shadow"; fi
を挿入。
(このフォームに書き込んだ時に改行が変になっているかも
知れませんが、tabなどのmake文法はOKです)
(Solaris 8はshadow mapを作らないようになっているようなので、
Vine LinuxやDebian GNU/Linuxの/var/yp/Makefileを取ってきて
参考にしました。なんだかmakeでも文法が微妙に違う???)

(2)nis-server,client(Sol8):/etc/nsswitch.confを編集
shadow files nis
ただしLinux(Vine2.1.5)の/etc/nsswitch.confには
元からあったのでそのまま。
78 名前：61,66-70 [02/09/25 20:41.net]: (3)nis-serverで
# cd /var/yp
# /usr/ccs/bin/make (Solarisのmakeです)

(4)nis-server, clientを全てreboot

上記のような事(1)-(4)を行なった結果、次のようになりました。
(a)nis-server:/var/yp/shadow.time,
/var/yp/"nis-domain-name"/shadow.byname.{dir,pag}が
作成された。
(b)nis-server, nis-client(Solaris, Linuxともに)で
$ ypcat -k shadow | grep hoge
hoge hoge:cpMpWPFTP7de2:11954::62:7:93:12500:
$ ypmatch -d "nis-domain-name" hoge shadow
hoge hoge:cpMpWPFTP7de2:11954::62:7:93:12500:
でNIS severにshadow mapを見に行っているようだ。
79 名前：61,66-70 [02/09/25 20:42.net]: ただしgetentだと
$ getent
不明なデータベース: shadow
詳細は`getent --help' または `getent --usage' を実行して下さい.
- もしlocaleが英語なら、
Unknown database: shadow
Try `getent --help' or `getent --usage' for more information.

またnis-server:/var/yp/"nis-domain-name"/で
# makedbm -u shadow.byname | grep hoge で見てみると、
hoge hoge:cpMpWPFTP7de2:11955::50:7:1000:12418:
でアカウント名がキー、行全てがデータのdbmが確かに出来て
いるようです。
80 名前：61,66-70 [02/09/25 20:42.net]: (c)けれどもnis-clientにloginするとやはりshadowの内容は
参照されていないようです。例えばhogeのパスワード有効期限
をわざと切らしてやってからloginしても何事もなくlogin出来て
しまいます。

もし基本から間違えていれば別ですが、そうでない場合は、
Solarisをnis-serverにしたままだと、これからどこをあたったら
よいか分からないので、
nis-serverをLinuxで構築して,clientもLinuxとSolaris両方で作って
testして見ようかなと思っています。
Debian Linux:/var/yp/Makefileには最初からshadow mapを作る記述が
あったので、もしこれで出来たならまたなにかSolarisの方でも
進めるかも知れないと考えています。
81 名前：not 58 mailto:sage [02/09/28 13:32.net]: >>79
#include <stdio.h>
#include <shadow.h>

int main(int argc, char *argv[]) {
int i;
for (i = 1; i < argc; i++) {
struct spwd *sp = getspnam(argv[i]);
if (sp == NULL) {
perror("getspnam");
exit(1);
}
printf("%s;%s;%l;%l;%l;%l;%l;%l;%x\n",
sp->sp_namp, sp->sp_pwdp, sp->sp_lstchg,
sp->sp_min, sp->sp_max, sp->sp_warn,
sp->sp_inact, sp->sp_expire, sp->sp_flag);
}
return 0;
}
とりあえず実行してみれ。
82 名前：61,66-70,76-80 [02/10/14 20:28.net]: >>81さん　遅くなりました．
とりあえず実行してみました(コンパイルではerrorもwarningもでない)
が標準出力になにも出ませんし、ファイルも出来ません．
% ./yptest
% ./yptest hoge
getspnam: Bad file number (hogeがなんであってもこうなるようです.
yptestは81でもらったソースをコンパイルして出来た実行ファイル．
gcc3.0.2, 64bit Solaris 8(sparc), NIS serverでもNIS clientでも同じ
結果)
なんだかレベルにちょっと断層があるようなのでじっくり(理解してから)
やってみます．まずはシステムコールって何?あたりから…
83 名前：82 [02/10/14 20:30.net]: 嘘言ってました．-Wallつけると標準エラー出力にでます。warning
なので大丈夫とは思いますが．
yptest.c: In function `main':
yptest.c:11: warning: implicit declaration of function `exit'
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: too many arguments for format
84 名前：名無しさん＠お腹いっぱい。 [02/10/14 23:28.net]: >>69
いっそ期限が切れたら cron でスクリプト回してパスワード潰してしまうんでは駄目？
85 名前：69 [02/10/15 10:44.net]: >84さん、ありがとうございます．
lockまでしてしまうと、確かにNIS clientでもloginされなくなりますが、
lock解除は一般ユーザーでは出来ないのでroot(つまり私)の所へ
くるでしょうから手間が増えてしまうのであまりやりたくないのです．
平均3日に一回位パスワードが切れている人が出ているので…
とりあえず今は警告メールを送る(c)だけで運用しています．
86 名前：not 58 [02/10/15 21:40.net]: >>83
< #include <stdlib.h>
< printf("%s;%s;%ld;%ld;%ld;%ld;%ld;%ld;%x\n",
な。(Compileしてなかった)

rootでも取得できなければ、libraryになにか問題があると思う。
ypcatでは取得できているみたいなので。
ltrace/strace(Linux), truss(Solaris)で調べてみてちょ
87 名前：名無しさん＠お腹いっぱい。 [02/10/15 22:09.net]: >>86さん
# gcc -Wall -o yptest yptest.c
yptest.c: In function `main':
yptest.c:17: warning: long int format, int arg (arg 4)
yptest.c:17: warning: long int format, int arg (arg 5)
yptest.c:17: warning: long int format, int arg (arg 6)
yptest.c:17: warning: long int format, int arg (arg 7)
yptest.c:17: warning: long int format, int arg (arg 8)
yptest.c:17: warning: long int format, int arg (arg 9)
# ./yptest
# ./yptest "なにを書いても"
getspnam: Bad file number

もちろん一般ユーザーでも結果は同じです。実行はNIS server上。
ちなみにSolaris 8にtruss, straceは有りました。
ltraceは無いみたいです。
かなり分かっていない感じなので精進してから再トライします。
System call = OS API? 出直します。
88 名前：名無しさん＠お腹いっぱい。 [02/10/16 10:57.net]: >>87
man getspnam | head -4
Standard C Library Functions getspnam(3C)

システムコールじゃない
89 名前：not 58 [02/10/16 21:08.net]: >>87
> # ./yptest "なにを書いても"
> getspnam: Bad file number

file descriptorがおかしいって事だからなんか変。

とりあえず、

# truss ./yptest root
90 名前：85,86 [02/10/17 17:29.net]: >> 89さん
まず最初に、87の
> # ./yptest "なにを書いても"
> getspnam: Bad file number
は私の間違いでした．すいません．
引数としてaccount-nameを食わせればよいということすら
プログラム(81&86)から読み取れなかったのです。今実行してみた所、
# ./yptest root
root;Fn1m.j9izt0.w;-1;-1;-1;-1;-1;-1;0
一般ユーザーのアカウントをrootの代わりにいれても
同じような出力が出てきます．
nishida;ub94r.Mf346ZA;-1;-1;-1;-1;-1;-1;0
NISで配られているパスワードが見えています．ただし、nishidaのshadowは
nishida:ub94r.Mf346ZA:11956::50:10:::
なので50などのshadow中の(パスワード以外の)情報は出てきていない
ような気がします．
まずは報告まで．それでは．
91 名前：not 58 [02/10/19 10:33.net]: >>90
> # ./yptest root
> root;Fn1m.j9izt0.w;-1;-1;-1;-1;-1;-1;0

そりゃ、あかんやん。YP shadow map読めて/読んでないよ。
nsswitch.confを
shadow: nis files
でも駄目なの? (なんでfilesを先に書く?)
92 名前：90 [02/10/21 12:59.net]: >>91さん
あかんです。確かに。

nis filesにして(OSもrebootして)試してみましたがyptestの結果は
変わりませんでした。

files nisにしている理由はSolaris8の
NIS用nsswitch.confテンプレート(/etc/nsswitch.nis)がそうだったから
というだけです。今はNIS serverで/etc/passwd, shadowから直接
NIS mapを作っているので、NISでrootも配っているんです。
files nisにすると全てのhostsのrootパスワードがNIS serverと同じに
なってしまいます。
web siteなどを調べると、NISで配るmapのためのファイルは/var/ypなどに
コピーして(passwd, shadowから)rootを除いて(/var/yp/Makefileを
いじって)運用した方がよいと書いてありますがそこまでは
まだやっていません。
本題の方はもう少し自分で調べて試してみます。進捗あったらまた報告します。
93 名前：山崎渉 mailto:（＾＾）sage [03/01/15 13:26.net]: （＾＾）
94 名前：名無しさん＠ＸＥｍａｃｓ mailto:sage [03/03/24 09:31.net]: ネットワーク再構築テスト
95 名前：名無しさん＠お腹いっぱい。 [03/04/16 09:46.net]: nis から ldap に移行したいと思っておるが、
パスワードの形式を des から md5 に変更しないといけない？
96 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/04/16 11:50.net]: OSは何よ

つーか NIS や LDAP が認証するわけじゃねーってのは
わかっておるか？
どっちもあくまでデータベースにすぎんわけで。

あ、でも
ttp://taku.ath.cx/index.php?Server%2FLDAP
ってのを見つけた。

ばーぢょんに気をつけれ。
97 名前：山崎渉 mailto:（＾＾） [03/04/17 11:49.net]: （＾＾）
98 名前：あぼーん mailto:あぼーん [あぼーん.net]: あぼーん
99 名前：名無しさん＠お腹いっぱい。 [03/04/21 16:04.net]: >>96
NIS -> LDAP なんてことするのは Solaris8 or 9 以外にはちと考えにくい
100 名前：not 58 mailto:sage [03/04/28 00:30.net]: Solarisなら>>60とか、(これはNIS+ですが)
docs.sun.com/db/doc/816-7511/6mdgu0h3p?a=view
101 名前：あぼーん mailto:あぼーん [あぼーん.net]: あぼーん
102 名前：名無しさん＠お腹いっぱい。 [03/06/17 10:59.net]: >>45 >>51
そういう貴方に、OpenBSD.org
103 名前：64 ◆3OpmpQGwCc mailto:sage [03/06/30 13:38.net]: >>86
禿同

はなし変わるけど、携帯ゲーム機"プレイステーションポータブル(PSP)

　このPSPは、新規格UMD(ユニバーサルメディアディスク)というディスクを利用しており、そのサイズは直径6cmととても小さい(CDの半分程度)。容量は1.8GBとなっている。
画面は4.5インチのTFT液晶で、480px x 272px(16:9)。MPEG4の再生やポリゴンも表示可能。外部端子として、USB2.0とメモリースティックコネクタが用意されているという。

この際、スク・エニもGBAからPSPに乗り換えたらどうでしょう。スク・エニの場合、PSPの方が実力を出しやすいような気がするんですが。
任天堂が携帯ゲーム機で圧倒的なシェアをもってるなら、スク・エニがそれを崩してみるのもおもしろいですし。かつて、PS人気の引き金となったFF７のように。

いきなりこんな事書いてｽﾏｿ‥
GBAと比べてみてどうなんですかね？（シェアのことは抜きで）
104 名前：あぼーん mailto:あぼーん [あぼーん.net]: あぼーん
105 名前：名無しさん＠お腹いっぱい。 [03/08/12 16:25.net]: Kerberosに関して、比較的最近のUNIX/Linuxでの取り扱いについてまとめた本って、
どういうのがあるか、ご存じな方いらしたら教えていただませんでしょうか。

仕組みはおおよそわかってるつもりですが、実際に試しながら学んでみたいもので。
106 名前：あぼーん mailto:あぼーん [あぼーん.net]: あぼーん
107 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/08/12 16:46.net]: >>105
設定HOWTO本が知りたいなら、はっきりとそう言った方がいい。
それじゃ何を必要としているのかわからん。
108 名前：名無しさん＠お腹いっぱい。 [03/08/12 17:27.net]: Howto本だけだと意味もわからずできてしまいそうで恐いです。
基本的な概念の説明も含んだ設定ガイド、といったら変でしょうか。
109 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/08/12 17:36.net]: KERBEROS―ネットワーク認証システム最新ネットワーク技術ハンドブック
ブライアンタン (著), Brian Tung (原著), 桑村潤 (翻訳)
www.amazon.co.jp/exec/obidos/ASIN/489471146X

とりあえず、これでも読んだら、PAMでpam_krb5.soの設定してみたら?

アプリケーションレベルのKerberos対応については、
PAM化を最初に検討するといい。
110 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/08/12 17:39.net]: 英語OKなら、O'Reillyのこっちね。
Kerberos: The Definitive Guide
Jason Garman
www.amazon.com/exec/obidos/tg/detail/-/0596004036
111 名前：あぼーん mailto:あぼーん [あぼーん.net]: あぼーん
112 名前：あぼーん mailto:あぼーん [あぼーん.net]: あぼーん
113 名前：あぼーん mailto:あぼーん [あぼーん.net]: あぼーん
114 名前：名無しさん＠お腹いっぱい mailto:sage [03/09/03 22:32.net]: いきなり質問なのですが、Windows Server 2003の
ActiveDirectoryとSunONE Directory Serverを
連携させてる方っていらっしゃいますか？

ActiveDirectory配下にSunONEを配置して
ユーザの認証だけや
115 名前：らせようと思ってるんだけど、 実績が全然みつからないのねん。 []: [ここ壊れてます]
116 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/09/09 04:03.net]: >>114
もうちょっと説明しろ。
bind operationのchainingで何とかなると思う。
しかしSolarisのPAMは、bindで認証しないからチョトやっかいだ。

iPlanet Directory Serverに全部やらせるのなら実績山ほどあるぞ。
ただし、Windows clientにplugin入れないと駄目だけどね。

本当に認証だけで、NSSはやらないのなら、
Active Directoryにradius喋らせるだけで十分かも。

LDAPスレの方が反応いいかも…
117 名前：名無しさん＠お腹いっぱい mailto:sage [03/09/09 14:20.net]: >>115
すんません。LDAP関連は手がけるの初めてなモノで、まだ手応えがよくわかってないんです。
既存のActiveDirectory（ちかじかWindows2003Serverへ移行予定）の中に
Sun ONE Web Serverを設置する予定なのですが、
代理店からSun ONE Directory Serverでないと認証できないと言われてしまいました。
で、ActiveDirectoryとSun ONE Directory Serverの連携という話になるんですが、
Webサーバ上ではBasic認証程度しかしないので、IDとパスワードの同期ができれば十分なのです。
『SolarisによるLDAP実践ガイド』読んでると暗澹たる気分になるし、
Sun ONE Identity Synchronization for Windowsは
代理店に扱うかどうかも不明とか言われて途方にくれてます。
118 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/09/10 01:31.net]: >>116
> 代理店からSun ONE Directory Serverでないと認証できないと言われてしまいました。

認証のクライアントは何?

> Sun ONE Directory Serverでないと認証できない

Schemaも知らない馬鹿営業の話真に受けていても…
119 名前：名無しさん＠お腹いっぱい mailto:sage [03/09/10 10:18.net]: >>117
> 認証のクライアントは何?

認証のクライアントというのはエンドユーザの事でしょうか？
それならWindowsXP&IEです（ひょっとするとLinux&Mozillaがあるかも…）
現在は以下のような環境を想定してます。

ActiveDirectory<-??->Sun ONE Directory <-LDAP-> Sun ONE Web <-> クライアントPC

> Schemaも知らない馬鹿営業の話真に受けていても…

まー反論できない私もアレですんで…（苦笑）
120 名前：DESからMD5への移行 [03/09/26 18:24.net]: 古いホストで DES でハッシュされた /etc/passwd を使っています。
さすがに MD5 に移行したいと思うのですが、
当たり前ながら平文のパスワードはわかりません。

ユーザがログインしたときには平文のパスワードがわかりますから、
そのつど passwd.md5 のようなファイルに MD5 でハッシュしたパスワードを記録していって、
全てのユーザのMD5ハッシュ済みパスワードがたまった時点で移行したいのですが、
そういうことをする機構って PAM のモジュールとしては提供されていませんか？
121 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/09/26 20:58.net]: chageとかでパスワードの更新を促すとか。
122 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/09/27 02:10.net]: >>119
そういうPAMモジュールはしらないけど、

>>119
> 全てのユーザのMD5ハッシュ済みパスワードがたまった時点で移行したいのですが、

その都度変更して大丈夫じゃない?
最近の*BSDや*Linuxは、DEC, MD5混在してても問題なし。
123 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/09/27 02:23.net]: >121の指はまだDECを憶えているようだ。泣ける。
124 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/09/27 03:09.net]: >>122
Ultrix使ってたんだよ…
125 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/04 10:19.net]: DES はハッシュじゃないと思うのだが。
126 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/04 10:43.net]: そうだね
127 名前：名無しさん＠お腹いっぱい。 [03/10/07 14:45.net]: passwd ファイルと shadow ファイルの x と * と ! は何を意味するのでしょうか？

普通は shadow にハッシュされたパスワードが入っていて、
そのとき passwd ファイルのほうには x が入っているということくらいしか知らないのですが、
/etc/shadow を見ると * とか ! があります。
128 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/10/07 14:48.net]: >>126
man 読め
OS 名くらい書け
129 名前：名無しさん＠お腹いっぱい。 [03/10/07 15:00.net]: >>127 ごめんなさい。わかりました。
When the asterisk is there, nothing can match it.
An exclamation mark means a password (or account) is locked via
usermod(8). Also, a single exclamation marks means that a account is not
allowed for logins. So a double exclamation makes sure that if it was
unlocked, it would still have an invalid passwd.
130 名前：名無しさん＠お腹いっぱい。 [03/10/16 20:01.net]: バックエンドのデータベースエンジンに格納されている
「ユーザ名 & ハッシュされたパスワード」のペアを使って
認証するための PAM モジュールというのはあるのでしょうか？

認証情報を PostgreSQL や MySQL などのデータベースにテーブルとして格納し、
それを使って認証するためには、一旦 LDAP サーバなどを経由する必要がありますか？
131 名前：LDAPスレの人 mailto:sage [03/10/17 02:20.net]: >>129
おまいさんは何使い? わしゃDebian使い。

packages.debian.org/libpam-pgsql
packages.debian.org/libpam-mysql
132 名前：名無しさん＠お腹いっぱい。 [03/10/17 04:29.net]: >>130 が～ん、漏れも Debian 使いです…
そんなパッケージがあったとは…ありがとう。
133 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/27 12:24.net]: 認証を全部Kerberosにしたいのですが、Kerberosできるメールクライアントってどんなのがあるのでしょうか。
なければWebメールかな、と…。
134 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/06/01 21:25.net]: pam使え。
135 名前：名無しさん＠お腹いっぱい。 [04/09/01 12:34.net]: Plan9があれば、こんなKerberosみたいなゴテゴテした仕組みは
要らないね。複数のコンピュータで一つのサービスを提供するから
シングルサインオンが当たり前の世界だし。
136 名前：名無しさん＠お腹いっぱい。 [04/09/01 13:58.net]: うちのサーバは人を信用してるから認証なし
137 名前：名無しさん＠お腹いっぱい。 [04/09/01 16:18.net]: ■これ、犯罪じゃね？■　Part5
love3.2ch.net/test/read.cgi/motenai/1094008658/
援軍に来てください！！お願いします。
どうしてもＰＣの知識がある人が必要なんです
138 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/09/01 17:12.net]: >>134
そういえば、Kerberosって日本ではなかなか普及しないねぇ。
まあ、あんな面倒なもの使いたいなんて思わないからなぁ。
139 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/09/02 22:26.net]: RADIUSとか･･･････認証違いか･･･

ツーか、ダイアルアップの認証はもう辞めませんか社長･･･
回線からサーバまで管理する身にもなって下さい。

あぁ、今日もまた回線工事でクレームが･･･
140 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/09/02 23:39.net]: >>137
WindowsとMac OS Xは、Kerberosを重要視し始めましたよ。
しかも運用はGUIDベース。
141 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/09/04 07:27.net]: OSのあらゆるサービスがkerberos認証に基づく分散コンポーネントで
出来上がってるWindowsは、設計の観点から見たらやっぱり凄いね。
142 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/09/04 23:23.net]: >>140
一行目はKerberos V5ベタベタに聞こえるけど、そうではない。
143 名前：くそAD [04/09/10 14:38:10.net]: Postfix へ POP Before SMTP として、Courier-IMAP + DRACを使う。
で、POPの認証先をLDAPにするまでは良いんだけど、LDAPサーバは
Win2003 Server の ActiveDirectory でやってくれと言われた。

別に問題ないんじゃない？と思っていたら、LDAPの業者から ActiveDirectory
のパスワード属性は書込み専用で読込むことが出来ないと言われた。

/etc/courier/authldaprc の中で、
------------------------------
LDAP_CLEARPW userPassword
------------------------------
というような事が出来ないと言うことですよね？
まだ Win2003 Server が手元に無いから試せないんだけど。

POPのパスワード用に別の属性を作るのは構わないと言っているけど、
Windows のパスワード(userPassword)と同期は取って欲しいとの事。

何か良い知恵はないですか？
144 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/09/11 00:49:25.net]: courierをauthpamにして、pamでldapを参照するようにする。
pamのldap moduleが、PADL.comの奴ならば、
パスワード属性を読むんじゃなくて、
bind operationで認証をするので問題なし。*1)
ldapsでsimple bind、でいいんじゃないですか?

LDAPはdirectory serverであるだけでなく、認証serverでもあります。
userPassword属性を読んで、手元で(ひねった後)比較するんだと、
LDAPはdirectory serverで、認証はlocalでやっていることになります。

*1)の方法がLDAP的なんだけど、あまり理解されてないです。
ほとんどのserverが自分で認証をやってしまっている。
145 名前：くそAD [04/09/13 11:35:26.net]: >> 143

早速のアドバイスありがとうございます。
なるほど、NSS-ldapではなく、pamの設定でですか。
authpamに気づかず、同じような事をNSS経由でやろうと思っていました。

もしかしてご経験がある方でしょうか？
> ldapsでsimple bind、でいいんじゃないですか?
この場合、pam_passwordはclearで良いのでしょうか？
ActiveDirectory はクリアテキストでは格納されていないようだと
業者が言っておりました。
（あまりあてにならない業者のようでしたが）

Win2003 Server は手に入れたのですが、ユーザのエントリに
posixAccount のオブジェクトクラスを追加する方法がまだ
分からずにいてテストできない状態です。

教えて君で申し訳ありませんが、ご存知でしたらお教え願え
ますでしょうか？

よろしくお願いします。
146 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/09/13 12:15:30.net]: >>144
> > ldapsでsimple bind、でいいんじゃないですか?
> この場合、pam_passwordはclearで良いのでしょうか？

Simple bindにすれば、指定しなくていい。(全てサーバ任せ)
nss_ldapのときは必須だけどね。ここちゃんと理解してね。
さらにパスワード変更するなら、
client側でpassword modifyオペレーションが利用できればいい。
# ActiveDirectoryはOK

> ActiveDirectory はクリアテキストでは格納されていないようだと
> 業者が言っておりました。

されてるよ。じゃないとchallenge & response使えないし。
けどそんなこと意識する必要ないのがbind。

> （あまりあてにならない業者のようでしたが）

まあ、あなたも分からないわけだから…

> Win2003 Server は手に入れたのですが、ユーザのエントリに
> posixAccount のオブジェクトクラスを追加する方法がまだ
> 分からずにいてテストできない状態です。

ldap関係のCUI .exeが付いているでしょ。ldapaddとか。
ActiveDirectoryの参考書読んだら?
147 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/09/13 12:17:19.net]: それから↓くらいは読まないとマルチプラットフォーム運用は無理。
www.amazon.co.jp/exec/obidos/ASIN/4274065502/
148 名前：くそAD [04/09/13 13:16:58.net]: いろいろありがとうございます。

> Simple bindにすれば、指定しなくていい。(全てサーバ任せ)
> nss_ldapのときは必須だけどね。ここちゃんと理解してね。
なるほど。

> ldap関係のCUI .exeが付いているでしょ。ldapaddとか。
> ActiveDirectoryの参考書読んだら?
ADの参考書を探してるんですが、LDAP側から見たものが見つからなくて
困っているところです。ドメインの管理やらユーザの管理やらの本は
何冊も見つかりましたが。
Win2000 Server ではCD-ROMから何かを入れないとコマンド類が
使えないという情報は見つけましたが、2003 の情報がなくて未だ
ldapadd とか使えない状態です。
こちらは調べて何とかします。

「LDAP -設定・管理・プログラミング」は一応読みました。
理解が足らず申し訳ないです。
149 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/09/13 13:30:24.net]: >>147
> LDAP側から見たものが見つからなくて

ないよ。
Windowsで閉じている限りは以下の操作でOKです、ってのばかり。
padl.comのlink集がお勧め。MSDNも必読。

microsoft.ext.schema microsoft.schema microsoft.std.schema
も目を通しておいた方がいい。

後はSSLなしで運用してみて、etherealでsnoop。
150 名前：くそAD [04/09/13 17:30:50.net]: >>148

> Windowsで閉じている限りは以下の操作でOKです、ってのばかり。
やっぱり・・・

> padl.comのlink集がお勧め。MSDNも必読。
padl.com のリンクはいいですね。

その他、いろいろ良い情報ありがとうございます。
助かりました。
151 名前：名無しさん＠お腹いっぱい。 [04/09/13 23:30:03.net]: こりゃやってられねーや、と思ったら、予算を確保して、
jp.sun.com/javasystem/identitysynch/
を検討してみてね。

来年出るMac OS X 10.4もprimary domain controllerの代りになるらしいが…
152 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/12/31 03:58:57.net]: ユーザーデーターはLDAP-SSL,認証はKerberosコレ、漢仕様。
153 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/12/31 05:03:31.net]: Kerberos、きちんと運用できれば便利なんだろうけどねぇ…
既存環境全部捨てるハメになりそうで、ヲレには無理。
NISの代替でPAMからLDAP使っての認証程度で精一杯。
154 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/07 23:43:21.net]: PAMあれば、Kerberos運用は簡単。
155 名前：名無しさん＠お腹いっぱい。 [2005/05/11(水) 03:14:00 .net]: Solaris9(sparc) + nss_ldap-238(gcc,GNUmakeでbuild)で環境構築中、
ls -lなどではuid/gidの解決がOKっす。

が、LDAP上のユーザを指定したchownや、passwd上のユーザを指定したidコマンドで
必ずSegmentation Faultが出るんだけど…。
一応、ownerの変更や結果の表示はされてまつ。

Compilerのせい？

ちなみに、trussで見るとこんなん↓出てまつ。う～ん…

Incurred fault #6, FLTBOUNDS %pc = 0xFF0FAE24
siginfo: SIGSEGV SEGV_MAPERR addr=0xFF0FAE24
Received signal #11, SIGSEGV [default]
siginfo: SIGSEGV SEGV_MAPERR addr=0xFF0FAE24
156 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/11(水) 10:41:22 .net]: >>154
nss_ldapは置き換える必要がないと思うがどうか?
何のために置き換えようとしているの?

>>145は俺なんだけどこの記述が誤解させちゃったかな?
>>143とかLDAPスレとか読んでね。
# Solarisのpam_ldapは、OpenLDAPのpam_ldapと違う処理をする。
# simple bind op.じゃなくて、クライアント側でdecrypt check。
# nss_ldapは普通。接続設定方法だけ独自。
157 名前：名無しさん＠お腹いっぱい。 [2005/05/11(水) 22:14:37 .net]: 大規模サイトで、LDAPが流行っているようですが､
solaris,BSD `等で OpenLDAP,PADL を実際に使って、認証システムを
構築して、企業なんかで利用できるのだろうか？
検索の速度等が、LDAPは遅いと聞いたのですが。
また、大手のLDAP良く落ちていますが、大丈夫でしょうか？
実際大手はどうやっているのだろうか
158 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/12(木) 00:25:56 .net]: LDAPスレにありますが、OpenLDAPは駄目駄目です。
iPlanet on Solaris辺りで。
Red HatはNetscapeの奴をAOLから買って一人前にして公開するみたいです。

大手ってのは国内メーカのこと?
159 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/12(木) 01:19:28 .net]: >>155

Solarisのldapclientコマンドで設定すると、

- いくつかの設定ファイルが自動的に書き換えられてしまう
- いくつかのデーモンが勝手に起動する

ので、/var/ldap/ldap_client_fileを作るのが目的なのに、
副作用がありそうで、その影響範囲が見えないことを懸念してまつ。
# -vオプションを付ければ処理を全て表示してくれる？

本番運用系のサーバを順次、nss/pam対応しようと思ってるんだけど、
何らかの副作用で、sendmailのメール配送に影響出たりすると、
目も当てられないので…。

その点、PADLのnss_ldapはldapclientのような
ブラックボックス化された部分が無く、
シンプルで分かりやすいので、置き換えたかったわけです。

Solaris純正は情報も少ないし…(docs.sun.comくらい？)

pamの違いは理解してまつ。
LDAPを認証サーバとして使った経験はあるので。

むしろ「userPasswordを読んで比較」だと、
「それじゃ単なるDBじゃん！」とツッコミたくなるよね。
そのへん純正pamは、ちとイケテナイなぁ、と。
160 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/12(木) 01:22:03 .net]: >> 157

> iPlanet on Solaris辺りで。
> Red HatはNetscapeの奴をAOLから買って一人前にして公開するみたいです。

iPlanetも元をたどればNetscape Directory Serverではなかった？
勘違いだったらスマソ
161 名前：155 mailto:sage [2005/05/12(木) 08:09:53 .net]: >>158
力不足だから、やめときなさい。
162 名前：158 mailto:sage [2005/05/12(木) 08:55:06 .net]: >>160

漏れが？
… orz
163 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/12(木) 08:59:18 .net]: FreeBSD でLDAPしようと思うと、LDAPに何を使うのがいいでしょうか？
openldap がだめということなので。
VA Linuxが出しているLDAPソリューション、大変興味がありますが、検索速度などどうなのでしょうか？
164 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/12(木) 09:04:59 .net]: LinuxならiPlanetにしておけば?
www.sun.com/download/products.xml?id=3ee79e69
165 名前：ななし mailto:sage [2005/05/16(月) 00:15:01 .net]: >>162
openldapの話は規模によると思います。
大規模系ですか？
166 名前：名無しさん＠お腹いっぱい。 [2005/06/03(金) 11:56:35 .net]: Red Hat/Fedoraも出したってさ。
Binaryは今のところLinuxとSolaris only
directory.fedora.redhat.com/wiki/Main_Page
167 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/27(火) 12:36:07 .net]: kerberosを使ってるマシン(Fedore Core 4)に誰かがsshでログイン中、チケットキャッシュが
/tmp/krb5cc_500_kGobGm8510
という感じで出来てる。別の誰かが su で root になったあと、
このファイルを /tmp/krb5cc_501 のように自分のチケットキャッシュとしてコピーして
chown でオーナー変えてしまえば、簡単に盗めてしまい、kerberosに参加してる他のサーバにログインできてしまうけど、どう対策すれば…

kerberos に参加している全てのマシンで root 権限を廃止すればいいんだろうけど、
運用が大きく変わりそうだし、他に手はない？
168 名前：名無しさん＠お腹いっぱい。 [2006/01/26(木) 00:07:15 .net]: debian sargeでPostfixでSMTP AUTH　+ PAMやりたいのに、なんで
どう設定してもPAM認証をおこなってくれない；；
169 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/26(木) 00:29:13 .net]: >>166
Kerberosを良く勉強するか、心配するのは止めて寝なさい。

>>167
どう設定してもPAM認証を行ってくれないってことはないです。
Cyrus SASL 2を使いなさい。
170 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/26(水) 08:41:30 .net]: 保守

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef