OpenLDAP

1 ：名無しさん＠お腹いっぱい。：2007/08/02(木) 01:24:49

なぜないのだ、この話題？

160 ：名無しさん＠お腹いっぱい。：2008/06/12(木) 20:59:48

クライアント計算機にログインしたときは，LDAP で認証＆ NFS なホームを automount
できるところまで設定してます．
この状況で，さらに，www サーバにログインする際は，LDAP で認証＆ www サーバ上の
ディレクトリを，ホームディレクトリとしたいのですが，これは設定したらいいのでしょう？
ヒントをくださいませ．

161 ：名無しさん＠お腹いっぱい。：2008/06/12(木) 22:47:39

>>160
wwwサーバでautomount動かさなきゃいいだろ。
ホームをNFSマウントしなければいい。

162 ：160：2008/06/13(金) 04:33:15

説明がたりなくてすみません．

www サーバとその他のサーバで，ホームディレクトリのパスが同じなら(どちらの場合も
ユーザ hoge のホームが /home/hoge　だったら），うまくいくのは確認してます．
（そもそも，これは LDAP が期待した動作？ごまかしてるだけな気が）

いまは，NFS，www サーバ のユーザ hoge の$HOME は以下のように異なっています．
NFS: /home/foo/bar/hoge
www サーバ: /home/hoge
これで，www サーバに LDAP 認証でログインすると，$HOMEは NFS のホームとなっていて，
「ホームがない！」といわれて，ログイン直後のカレントディレクトリが "/" になります．
こういうとき，どう解決するのでしょうか？？

163 ：名無しさん＠お腹いっぱい。：2008/06/13(金) 05:53:10

mount --bindするとかシンボリックリンクはるとかで解決できないかな？

ldapとは関係ない気がするけど。

164 ：名無しさん＠お腹いっぱい。：2008/06/13(金) 08:04:51

>>162
LDAPは何も期待してないぞ。
あんたが勝手な期待してるだけ。

OpenLDAPならshell DBで、filterする手もあるが、
どう考えてもパスを合わせた方が楽で、自然。

165 ：名無しさん＠お腹いっぱい。：2008/06/14(土) 16:17:47

インスコ、初期設定までして、最上位ツリーとマネージャー登録したのですが、ldapsearchでエントリが表示されず、エラーコード32が表示されています。
登録時にエラーはなかったのですが、なぜマネージャーすら表示できないんでしょうか？
slap.confはデフォルトの使ってます。

166 ：名無しさん＠お腹いっぱい。：2008/06/14(土) 18:26:48

よくあるのは、サーチベースを指定していない場合だけれど、どうでしょうか

167 ：名無しさん＠お腹いっぱい。：2008/06/15(日) 02:27:15

>>165
エラーコードの意味は調べてあるの? 調べてあるの? あるの?

168 ：名無しさん＠お腹いっぱい。：2008/06/16(月) 03:11:18

しつもんします
version2.3.39のopenldapでLDAPのつかいかたを学習中です

SASL/gssapi認証をためしているのですが
slapd.confのrootdnの行を
rootdn uid=ほげ,cn=<realm名>,cn=gssapi,cn=auth
としてldapmodifyなどをつかってほげがエントリを修正しようとすると
"Insufficient access (50)"のエラーになります。


...なのですがslapd.confのrootdnの行からcn=<realm名>を消して
rootdn uid=ほげ,cn=gssapi,cn=auth
とすると、ldapmodifyなどの修正は問題なく成功します

これは既定の動作なのでしょうか？
それともやっぱり何かまちがってるでしょうか？

169 ：168：2008/06/16(月) 03:32:26

..slapd.confで

sasl-realm <realm名>

を設定することで期待していた動作になりました
ども　お騒がせしました

170 ：名無しさん＠お腹いっぱい。：2008/06/18(水) 01:27:15

>>166-167
自己解決してましたがレスどうも。
ベースの設定でした。
ldap.confいじるなんて俺の数ある情報源には無かった。w
ログ見て、ベースが空欄になっているのはわかっていたのですが、まさかldap.confとは。

171 ：名無しさん＠お腹いっぱい。：2008/06/20(金) 09:15:09

ldapsearchならオプションで指定できるが。

172 ：名無しさん＠お腹いっぱい。：2008/06/21(土) 00:52:51

オプションでできるけど、いちいち指定するのがめんどい。話変わるけど、root以外でslapd起動している人います？
-u 付けてroot以外で動かしたら挙動がおかしくなったよ。各ファイルの権限も問題ないのだが。

173 ：名無しさん＠お腹いっぱい。：2008/06/21(土) 07:19:27

問題ないです。

174 ：172：2008/06/22(日) 19:20:11

以下のようなエラーが出ています。
ldapsearchすら受付てくれない。
ログインはかなり待てばログインできます。
nss_ldap、PAMのなんかが悪いってことは解ったのですが、rootなら問題なくて、
一般ユーザで起動すると駄目っていう現象がいまいちわかりません。。。

nss_ldap: failed to bind to LDAP server ldap://xxx: Can't contact LDAP server
sshd[29793]: nss_ldap: failed to bind to LDAP server ldap://xxx: Can't contact LDAP server
sshd[29793]: nss_ldap: reconnecting to LDAP server (sleeping 4 seconds)...

175 ：名無しさん＠お腹いっぱい。：2008/06/22(日) 21:00:17

サーバ接続エラーがあればまずチェックすることがあるよな
172のふざけた返事から察するに本物のバカっぽいが

176 ：名無しさん＠お腹いっぱい。：2008/06/22(日) 21:12:16

>>174
> 一般ユーザで起動すると
< 一般ユーザでログインすると

でしょ。
rootはpam_unixにnss_fileだから。

177 ：名無しさん＠お腹いっぱい。：2008/06/24(火) 00:10:25

なんか、slapdが起動してなさそうなエラーですね。
かなり待てばうんぬんは、ldap→filesな感じでしょうか。

178 ：172：2008/06/26(木) 01:18:36

slapdは起動しています。psで見た結果です。
新たに判明したのが、しばらく放置すれば正常に
使えます。

179 ：名無しさん＠お腹いっぱい。：2008/06/26(木) 01:46:37

ログは読めない人なの？
エラーコードも調べられなかったみたいだし。

180 ：名無しさん＠お腹いっぱい。：2008/06/26(木) 08:36:36

psで確認する程度の能力で自己解決なんてムリか
教えたって学習しないだろうから相手にするだけあほらしいよ
金払ってみてもらいなさい

181 ：名無しさん＠お腹いっぱい。：2008/06/30(月) 02:22:53

↑
何様www

182 ：名無しさん＠お腹いっぱい。：2008/06/30(月) 11:03:28

本当のことを言われて悔しい低能さんですか？

183 ：名無しさん＠お腹いっぱい。：2008/07/01(火) 12:21:26

なんでここは高圧的な人が多そうなのかね

184 ：名無しさん＠お腹いっぱい。：2008/07/01(火) 14:17:22

タダで手取り足取り何でもかんでも教えてもらおうというクズをやさしく扱えといわれても困る

185 ：名無しさん＠お腹いっぱい。：2008/07/04(金) 00:55:38

それはわかるけど、口が悪い。一言多い。

186 ：名無しさん＠お腹いっぱい。：2008/07/04(金) 13:31:23

>>165
> エラーコード32が表示されています。

これがnoSuchObjectだって分かったのかなあ。
検索の結果がないんじゃないから、
bindしているDNがおかしいか、base DNがおかしいかどっちかって、
すぐに分かるんだけど。"Object"の意味が分かっていれば。

187 ：名無しさん＠お腹いっぱい。：2008/07/09(水) 03:11:40

で？

188 ：名無しさん＠お腹いっぱい。：2008/07/11(金) 13:51:09

現在，LDAP で MD5 パスワードを使って認証しています．
LDAP に格納されたハッシュ済みのパスワードを，
HTTP のダイジェスト認証にも使うことは可能でしょうか？

189 ：名無しさん＠お腹いっぱい。：2008/07/11(金) 13:59:40

>>188
いいえ

190 ：名無しさん＠お腹いっぱい。：2008/07/13(日) 22:04:57

先週openldapのアップデート情報更新されたみたいね。

191 ：名無しさん＠お腹いっぱい。：2008/07/14(月) 00:20:41

そうですね

192 ：名無しさん＠お腹いっぱい。：2008/07/31(木) 19:23:40

既に認証情報をMySQLで管理さているのですが
これをバックエンドとしてldap経由で活用することはできるでしょうか？

193 ：名無しさん＠お腹いっぱい。：2008/07/31(木) 19:36:15

man 5 slapd-sql ってやってみたらいろいろと・・・・
使ってみるか．

194 ：名無しさん＠お腹いっぱい。：2008/08/01(金) 02:20:17

back-sql をいろいろ試しているんだが、スキーマ定義のやり方が良くわからない。
つーか、bdbで楽しすぎてて、理解していなかったし・・・。

問題はかなりの亀レスになること。　やっぱりbdbでやるほうがまし。

195 ：名無しさん＠お腹いっぱい。：2008/08/01(金) 04:08:17

slapd-sql(5)
rdbms_depend
tests/data/slapd-sql.conf
読んでもその辺分からないなら、諦めた方がいいと思う。かなり前途多難。

> 既に認証情報をMySQLで管理さているのですが

程度の動機では。

196 ：名無しさん＠お腹いっぱい。：2008/08/01(金) 07:55:56

MySQL + ODBC をバックエンドにしてみた．
んで，いまさらながらきづいたこと・・・

基本的なスキーマですらマッピングを自分で書かなきゃならんのね…
*.schema ファイルからテーブルの定義なんかを自動生成してくれる
わけじゃないんだね．

面倒すぎて，あきらめた．

197 ：名無しさん＠お腹いっぱい。：2008/08/02(土) 00:02:35

fdsにしようぜ

198 ：名無しさん＠お腹いっぱい。：2008/08/02(土) 06:28:11

ふうむ，fdsかぁ．
漏れDebianなんだよなぁ．
と思ったら一応 apt もあるのか．
http://michele.pupazzo.org/diary/?p=290

199 ：名無しさん＠お腹いっぱい。：2008/08/11(月) 09:23:57

multi-valued attribute の順序が保存されるか否かについての
規定はあるのでしょうか？

RFC 4512 では multi-valued attribute について次の記述
くらいしか見当たりません。

individual values of a multi-valued attribute are not to be
independently added or deleted

OpenLDAP をはじめとする実装では以下のように記述されています。

LDAP does not guarantee the order of values in a multi-valued attribute.

200 ：名無しさん＠お腹いっぱい。：2008/08/11(月) 10:41:10

ないです。

201 ：名無しさん＠お腹いっぱい。：2008/08/13(水) 15:22:17

OpenLDAP slapd 2.4.10 で TLS を使おうとしています。
2.3 まで使っていたそのままの設定で 2.4 に移行したのですが
TLS を有効にすると起動しなくなってしまいました。
OS は Debian lenny です。

slapd.conf における設定は次のとおりです。

TLSCipherSuite HIGH:MEDIUM:+SSLv2
TLSCACertificateFile /etc/ldap/cert.pem
TLSCertificateFile /etc/ldap/cert.pem
TLSCertificateKeyFile /etc/ldap/key.pem
TLSVerifyClient never

ログにおけるエラーは次のとおりです。
Aug 13 15:08:56 hoge slapd[5510]: main: TLS init def ctx failed: -1
Aug 13 15:08:56 hoge slapd[5510]: slapd destroy: freeing system resources.

使っているのは自己署名証明書で、鍵は key.pem、証明書は cert.pem です。
これらが壊れているかと思い以下のコマンドで確認しましたが
特に問題はレポートされませんでした。

openssl x509 -in cert.pem -noout -text
openssl rsa -in key.pem -noout -text

slapd は openldap というユーザの権限で実行されるので
key.pem/cert.pem のアクセス権はそれでアクセス可能なようにしています。
どのような点を調べればいいでしょうか？

202 ：名無しさん＠お腹いっぱい。：2008/08/13(水) 16:39:19

SSLv2を有効にする理由は？

203 ：名無しさん＠お腹いっぱい。：2008/08/13(水) 17:59:06

>>201
とりあえずデバッグレベル挙げて。
どのファイルか分かるまで。

204 ：名無しさん＠お腹いっぱい。：2008/08/13(水) 18:04:58

あとCAが同じファイルなのは何故ですか?

205 ：201：2008/08/14(木) 12:13:05

>>204
openssl req -x509 で自己署名証明書を作成したので。
仮の CA を別にでっち上げても同じエラーでした。
なおログを見ると鍵･証明書ファイルはちゃんと読めているようです。

slapd[30909]: line 42 (TLSCACertificateFile /etc/ldap/demoCA/cacert.pem)
slapd[30909]: line 43 (TLSCertificateFile /etc/ldap/newcert.pem)
slapd[30909]: line 44 (TLSCertificateKeyFile /etc/ldap/newkey.pem)
slapd[30909]: line 45 (TLSVerifyClient never)

ldaps での接続はとりあえずおいておいて、実はバックエンドをSQL(MySQL + ODBC)
にしてから変更が反映されるまで時に間がかかるのです。数分間〜数時間、
場合によっては slapd を再起動しないと変更が反映されないこともあります。

たとえば ldapadd でエントリを追加し、ldapsearch で当該エントリを
問い合わせると１０回に２回くらい見つからないとか。
あるいはエントリを削除したあともなぜか１０回に２回くらい見つかってしまうとか。
slapd 内に何かキャッシュされているのでしょうか？
しかしキャッシュだとすると一度反映されたものがまた逆戻りということは無いはずです。

MySQL 側のログをつぶさに観察していると、
データベースへの更新 (insert/update) は即座におきています。
しかし問い合わせに対して select が発生しないことがあるようです。

なぜ slapd がバックエンドに問い合わせしないことがあるのでしょうか？

206 ：名無しさん＠お腹いっぱい。：2008/08/14(木) 12:33:22

>>205
> なおログを見ると鍵･証明書ファイルはちゃんと読めているようです。
(略)

そこは設定ファイルを読み込んでるだけ。

207 ：201：2008/08/14(木) 12:43:52

>>206 そうなんすか・・
ううむ、libopenssl が -1 を返す条件を
ソースからあたってみます。

208 ：名無しさん＠お腹いっぱい。：2008/08/14(木) 14:24:10

>>205
> openssl req -x509 で自己署名証明書を作成したので。

うーん…

209 ：名無しさん＠お腹いっぱい。：2008/09/05(金) 01:17:12

>>172
一般ユーザではLDAPのポート389が使用できないため
使用するポートを1024 以降で設定しているのに、
389ポートでアクセスしているからでは？