LDAP、PAM、Kerberosいろいろあるけど。
お前はどれを使う!?
以前 Linux 板に PAM スレが立ったがあっという間に沈んだという。
/usr/ports/security/pam_ldap なんてのがあるみたい。
使った事無いからちゃんと動くかどうか知らんが。
LDAPよりも,SQLでいきたいなーとか思っておるです.
SQLは単にデータベースとしての仕掛けだから、認証方式という論点からは
ズレちゃうような。LDAPサーバのバックエンドとしてSQL(mysql? postges?)
が居るというのならわかるけど。
>LDAPサーバのバックエンド
あぁ...そのつもりなんだ.
やっぱ,中にはAccessで一元的に管理してぇとか言う人が居るんだよね.
vpopmailやその他のopenLDAP対応した認証がiPlanet Directory Serverでも使えるのか?
iPlanetつかっているSolarisユーザーを声を聞かせてくれっ!
でも PLAIN と LOGIN がわかりません。
RFC に書いてありますかね?
おっと、網膜や声紋でもOKです。
指紋認証っつっても各社それぞれ判断基準が違うから何とも言えない。
SQL喋るRDBがバックエンドのLDAPサーバって俺も欲しいな。
Accessつーか、SQLでtableいじりてーよ。
>>11
NIS+ clientでも認証付きでtable entryいじれて、
あれはあれで良くできているよ。
LDAP(の現状の実装)だと、一般ユーザに変更させるときには、
サーバにloginさせたり、Web interface作ったりうざい。
つまり本人をクラックするってことなんだけど。
これはなんか便利な認証方式なのではなかったけ?
具体的にどう使うのかキボーン
RDBMSがバックエンドのLDAP serverって既にあるんではないのか?
作るのも簡単そうだし。
あるんなら教えてくれ。探してもない。作ったらくれ。
パスワードの代わりに ssh の秘密鍵を暗号化してあるパスフレーズを入力する。
それで秘密鍵が読めれば login できて、
ログインシェルの前に自動で ssh-agent が動いて鍵を覚えてくれる。
なので、そこから別のホストにログインするのも(public key
authentication できるようになっていれば)何も入力しなくてよい。
そういえばこんなのがあったな。
http://www.mackport.co.jp/WEEKLY-BIO/bio033/bio033.htm
chackepasswordなんかが/var/yp/etc/passwdを参照をする洋にするにはどうすればいいんですか?
23はauto_homeとか使ってないんでしょう。
ユーザー認証だけならLDAPでいこうとする気はわかるけど。
NIS+ は End Of Life
しかし、NIS はバリバリ現役。
OSなんなの?
Solarisとかなら、/etc/nsswitch.conf書き換えるだけじゃないの?
qmail-getpw.cとか読んでもそうとしかおもえんが…
>>26
何百台でdatabase共用しようと思うと、NISじゃ無理だよ。
nispopulateで同期する時は、map全体を転送ちゃうからscaleしない。
数台ならNISで充分、わざわざNIS+勉強する意義なし。
はいsolarisでございます。
nsswitch.confで/etc/passwdよりもnisのpassswdを優先させたらいいのか?
chechpasswordの認証は直接/etc/passwdを参照しているとおもっていたから…。
聞くより実行。さっそく試してみます。
あー、でもやっぱり明日にしよーっと!
そうだね。だからSunは10年ブリに新たな認証方式として、NIS+の変わりになるLDAPを採用した。
iPlanetなどでも力はいってるね。
やっぱり/etc/nsswitch.confを書き換えたところで、qmailのpop認証とかsmtp-auth認証は
chechpasswdを使っているから無理だった。
いま思えばやはり当たり前の事。
27はqmailのユーザー認証はなに使っているの?
何で当たり前なの? checkpasswordのsource読んでみた?
getentで、/etc/nsswitch.confが有効になっているか調べてみたら?
/etc/init.d/nscd stop; /etc/init.d/nscd startもした?
NIS+→LDAP移行中
NIS+ がターゲットにしていた部分は多分 LDAP とかになっていくんだろうね。
イマイチなんなのかわかりませぬ。
どこかLDAPがなにものなのか解説したサイトなどありませぬか?
http://www.linux.or.jp/JF/JFdocs/LDAP-HOWTO.html
【LDAP Implementation HOWTO】
http://www.linux.or.jp/JF/JFdocs/LDAP-Implementation-HOWTO/
【LDAPによるパスワードの一元管理】
http://www.atmarkit.co.jp/flinux/rensai/root02/root02a.html
http://www.cysol.co.jp/contrib/ldap/index_j.html
もちろんNISは動いてますよ。ただcheckpasswordのソースは私は見ましたが 理解できる程cを理解していません。
もうちょとcheckpasswordをしらべますが、NISは関係ないとおもうんですけど。(/etc/passwdを参照する単なるプログラムだと理解しているのですが
違うって言ってるだろ、アフォ!
NISが動いてるかじゃなくて、
libnslがNISを参照してるかgetentで調べんだよ、この低能!
そのへん教えてくれませんか?(libnsl
とーにーかーくー、getentでNISにしかないpasswd entry引いてみろ。
その次にDES認証モードで運用しているかどうかも調べろ。
DES認証モードならば、(以下続く
レスありがとうございます。
getent passwd
全部でます。
getent passwd [ユーザー名]
でます。
solarisなのでDES認証です。
> solarisなのでDES認証です。
じゃあ、-DHASGETSPNAMつけて、checkpasswordをcompileしないと。
ちなみにSolarisはDES認証なしでも運用可能な。
# DES認証時/shadow password利用時には、
# getpwent(3)では、password fieldをget出来ない。(変な仕様だ…)
もう大丈夫なの?
passwd fieldの暗号化にDESを使っていることと、
NIS+のDES認証モードの区別ついてないのかな…
>>38の場合は、+は余計だった。
NISにもNIS+にもDES認証モードがある。
NFSにもDES認証モードがある。SunOSの場合、同じ鍵対を使う。
56bit DES (Kerberos 4) については98年から規制緩和された。
http://www.watch.impress.co.jp/internet/www/article/980917/encrypt.htm
http://www.rccm.co.jp/~juk/krb/
http://www.openbsd.org/ja/crypto.html
認証に失敗すると、内部の刃物で切断し、終了。
「いやーごめんごめん、君の認証データを
人事異動の際に移しておくのを忘れちゃってたよ」
便利で便利でない様な…。
NTクライアントでちょっと凝ったことするとsmbdがコア吐いてたり。
そこ、石投げないでください(-_-)
せっかくおぼえたのに・・・
ふぉんとですか???
******** ******** WARNING ******** ********
NIS+ might not be supported in a future release. Tools to aid
the migration from NIS+ to LDAP are available in the Solaris 9
operating environment. For more information, visit
http://www.sun.com/directory/nisplus/transition.html
******** ******** ******* ******** ********
って出てきます。5年はサポートが続くそうです。
まあ付属のLDAPでいいけどさ。credも使えるし。
NIS+とほとんどかわんね─よ。>>58
Multi-paltformになった利点の方が大きい。
どうか一つ質問させて下さい.
Solaris8 x 10台程、Linux x 2台程の規模をNISを使って
管理しています.Solaris8の1台をNIS primary serverにして
あとは全てNIS clientです.パスワード有効期限を設定していますが
NIS serverにログインしたときには警告が出て変えろと言われますが
NIS clientにログインしても何も警告が出ません.パスワード有効
期限が切れたアカウントでも問題なく使えます.これだとNIS client
を使っているユーザーには何時までたってもpasswordを変えてもらえなくて困ってしまいます.
NISはpasswdの中のpassword部分をshadowのpassword部分と置き換えた
ものをmapとして配っているだけのようなので(ypcat passwdとしてみると)shadowの中にあるのパスワード有効期限やアカウント有効期限、
などの情報は配っていないようです.
clientでもパスワード期限切れを警告させたり期限切れアカウント
をloginさせなくするのにはどうしたら一番よいでしょうか。
(1)NISの仕様上不可能.NIS+ならできるので移行せよ
(2)NISの仕様上不可能.LDAPならできるので移行せよ
(3)NISの仕様上不可能.XXXに移行せよ
(4)NISでもXXとすれば可能
NIS+, LDAPを使ったことがないのですがもしこれが出来るなら
移行しようと考えているのです.
ところで、LDAP導入について61に便乗して質問します。
Solarisに入れたOpenLDAPの環境で/etc/nsswitch.ldapは使えるの?
iplanet Directory Server用なのかな?
何の為にあるのか謎。
shadowマップはどうなってるの? (man -s 5 shadow)
nsswitch.confは大丈夫? (ypmatchと違い、getentは常にnsswitch.confを反映する)
>>62
> 何の為にあるのか謎。
nsswitch.{files,nis,nisplus,ldap}は、nsswitch.conf用のsample。
# cp -p /etc/nsswitch.{ldap,conf}
すれば、name serviceはLDAPを参照するようになる。(稼働していればね)
いじょ
>>nsswitch.conf用のsample。
それは承知です。iPlanet用なのかどうか謎。ってことです。
>>(稼働していればね)
iPlanet Directory ServerのLDAPのデーモンns-slapdが稼働していればね?ってことですか?
OpenLDAPのslapdが稼働していればね?ってことですか?
それともどちらでもOK?
LDAP はプロトコルってことを理解している?
63>> shadowマップはどうなってるの? (man -s 5 shadow)
(Solaris 8/sparcでman -s 4 shadowで)調べると、(一部抜粋します)
username:password:lastchg: min:max:warn: inactive:expire:flag
でした.
63>>nsswitch.confは大丈夫? (ypmatchと違い、getentは常にnsswitch.confを反映する)
grep passwd /etc/nsswitch.confとした所、
passwd: files nis
でした.まず最初に/etc/passwdを見て、その次にNISでpasswdのマップを参照して
いるようです./etc/passwdのパスワード部分はxにしてあり、
ypcat passwdで(例えばアカウントhogeの部分を)調べると,
hoge:Yp52g0OOGbEAU:150:100:Hogeo Hogeta:/home/hoge:/usr/local/bin/tcsh
getent passwd hogeの結果は(getentというcmdを知りませんでした...)
hoge:x:150:100:Hogeo Hogeta:/home/hoge:/usr/local/bin/tcsh
ypmatch -d "nis-domain-name" hoge passwdの結果は
ypcat passwd | grep hogeと同じでした.
/etc/passwdには(NIS server, NIS clientともに)+の記述はしていません.
昔、SunOS4.1.4の時にはnsswitch.confが無かったので+を記述していましたが.
shadowというマップはNISでは(/var/yp/Makefileを見ると)配って
いないので
% ypcat shadow
no such map in server's domain
% ypmatch -d "nis-domain-name" hoge shadow
Can't match key ono in map shadow.
Reason: no such map in server's domain.
%getent shadow ono
Unknown database: shadow
usage: getent database [ key ... ]
となります.
getspnam(3C)を読みますと、「もしあなたがNIS DBを使っている
場合は、shadowの情報はpasswd.bynameを参照することにより
得られる.ただしこれ(passwd.bynameは)sp_namp and sp_pwdp
しか(つまりlogin nameとencrypted-passwordしか)含んでいない」
とあります.
やはり、NIS clientが得る情報は、NIS serverのpasswdの2番目
の部分に、shadowのencrypted passwordを挿入したもののようです.
(a)(61-(4)の方法として)
/var/yp/Makefileでpasswdだけ他の(auto.homeやservicesと違って)
ファイルと違う扱い(shadowの一部だけpasswdのmapに載せて配るということ)
をしているのが原因なのだから、いっそのこと
/var/yp/MakefileのNISで配るmapにshadowも付け加える.
/etc/nsswitch.confにもshadowの行を付け加えて、NIS clientでも
ypcat shadowが実行できるようになるか試してみる.
(b)(61-(1),(2)として)NIS+かLDAPにして試してみる.
(c)他の角度からの運用で次善的解決法を模索する.
(Sunが書いている/var/yp/Makefileのを編集するのはよくやると
思いますが、shadowを編集して入れてしまうというのが未体験
ゾーンなのです)
(b)はNIS+かLDAPで(clientでのパスワード期限の警告、
期限切れのlockが)出来るという機能面の保証がまだ無いので
(ちょっと見つかりませんので)まだ試すには時間がかかる.
ので、(c)の解決法としてNISサーバーでcronで1日一回、
passwordの期限切れが迫っている人には警告のメールを出すように
perl scriptを書いて走らせるようにしました.script自体は
今のところうまく行っているようです.しかしこれでは
* E-mailを読まなかったり使わない人、無視する人には効果がなく、
引き続きNIS clientではpasswordがexpireされたuserでも
loginできてしまう.という弱点自体はそのままです.
(a)(b)の方法を引き続き検討してみます.
(b)のNIS+やLDAPならclientでもpasswordのexpirationに関する
チェックが出来るよ、という運用実績などある方いましたら
お願いします.
もし(a)の方法を試す勇気が出たら試してここでまた報告します.
それでは.
Linuxではわりと普通らしいです.Solaris 8の/var/yp/Makefile
に、このLinuxのMakefileのshadowのところを見てshadow部分を
書き加えて後ほどやってみます。(進捗あったら報告します)
もし出来ても(NIS clientでpassword expirationがチェックされる
ようになっても)ypcat shadowで皆が他人のpassword expiration date
や、password last change dateなどをお互い知りたい放題に
なってしまうのであまり好ましいとは思えませんが.
ところで/etc/passwd.adjunctってSolaris 2.Xで使っている
人いますか?Webで調べるとどうもSunOS4.Xでpasswordを
shadow化してC2セキュリティにする場合はこれを使え、
とか書いてある割には、(/etc/shadowが元からある)
Solaris 8の/var/yp/Makefileにもpasswd.adjunctの
部分はありますし...AnswerBook2でも隠蔽されたパスワード
と監査情報(<-??)を含むと書いてあるだけでいまいち分かりません.
おめー長げ─よ。
> このLinuxのMakefileのshadowのところを見てshadow部分を
> 書き加えて後ほどやってみます。(進捗あったら報告します)
NIS(YP)の場合、shadow mapを作る、これが唯一の方法。
> 63>> shadowマップはどうなってるの? (man -s 5 shadow)
> (Solaris 8/sparcでman -s 4 shadowで)調べると、(一部抜粋します)
> username:password:lastchg: min:max:warn: inactive:expire:flag
> でした.
知ってるって。オマエサンのYP serverがどうなってるか聞いたの。
shadow mapがないなら、出来なかったのは当然。
> もし出来ても(NIS clientでpassword expirationがチェックされる
> ようになっても)ypcat shadowで皆が他人のpassword expiration date
> や、password last change dateなどをお互い知りたい放題に
> なってしまうのであまり好ましいとは思えませんが.
NIS(YP)はそういうもの。(均一なアクセス権)
DES認証モードで運用したときのNISとNIS+の違い、
NIS+のper entryなowner, group, access rights(ugow+rcmd)等を調べて。
(そんなこと気にするのなら当然DES認証モードで運用してるよね?)
> /etc/nsswitch.confにもshadowの行を付け加えて、
大体いいところを攻めてるんだけど、
マニュアル、ドキュメントをちゃんと読んでないっぽい。
nsswitch.conf(5)より、
passwd getpwnam(3C), getspnam(3C)
です。
NIS+移行passwd, shadowのtable(map)は統合され、
Solarisのname service(libnsl)では、
passwd table(map)として統一して扱うようになりました。
// 二つに分かれていたのは、歴史的経緯から来る実装上の問題だから。
// APIはまだ二つに分かれてるんだけどね…
// libnslのコード見たければ、Sunがglibcに寄贈した奴を見て。
NISのマニュアルと徹底的に読むことをおすすめする。
ちゃんと理解していないとLinuxの設定の方で辛いと思う。
プロトコルって何かわかってる?
いちいちageて下らね〜こと書くヴァカ発見
プロトコールは手続きで宜しいか?
>>74
逝ってよし
結論から言いますとまだ解決していませんが取り敢えず途中報告
です。72さん、確かに66-70は"不必要に"長かったです。
すんません。言ってるそばから今回も少し長めですが、勘弁して
下さい。情報が足りないよりは良いかなと...
nis-server, nis-clientともに64bit Solaris 8/sparcです。
(1)nis-server:/var/yp/Makefileを編集
1-a)
all: passwd group hosts aliases auto.master auto.home
を
all: passwd shadow group hosts aliases auto.master auto.home
に変更
1-b)
passwd: passwd.time
group: group.time
の間に"shadow: shadow.time"の一行を挿入
## 2002.9 added manually by X.XXXXX
shadow.time: $(PWDIR)/shadow
@(awk 'BEGIN { FS=":"; OFS="\t"; } /^[a-zA-Z0-9_]/ \
{ print $$1, $$0 }' $(PWDIR)/shadow $(CHKPIPE))| \
$(MAKEDBM) - $(YPDBDIR)/$(DOM)/shadow.byname;
@touch shadow.time;
@echo "updated shadow";
@if [ ! $(NOPUSH) ]; then $(YPPUSH) -d $(DOM) shadow.byname; fi
@if [ ! $(NOPUSH) ]; then echo "pushed shadow"; fi
を挿入。
(このフォームに書き込んだ時に改行が変になっているかも
知れませんが、tabなどのmake文法はOKです)
(Solaris 8はshadow mapを作らないようになっているようなので、
Vine LinuxやDebian GNU/Linuxの/var/yp/Makefileを取ってきて
参考にしました。なんだかmakeでも文法が微妙に違う???)
(2)nis-server,client(Sol8):/etc/nsswitch.confを編集
shadow files nis
ただしLinux(Vine2.1.5)の/etc/nsswitch.confには
元からあったのでそのまま。
# cd /var/yp
# /usr/ccs/bin/make (Solarisのmakeです)
(4)nis-server, clientを全てreboot
上記のような事(1)-(4)を行なった結果、次のようになりました。
(a)nis-server:/var/yp/shadow.time,
/var/yp/"nis-domain-name"/shadow.byname.{dir,pag}が
作成された。
(b)nis-server, nis-client(Solaris, Linuxともに)で
$ ypcat -k shadow | grep hoge
hoge hoge:cpMpWPFTP7de2:11954::62:7:93:12500:
$ ypmatch -d "nis-domain-name" hoge shadow
hoge hoge:cpMpWPFTP7de2:11954::62:7:93:12500:
でNIS severにshadow mapを見に行っているようだ。
$ getent
不明なデータベース: shadow
詳細は`getent --help' または `getent --usage' を実行して下さい.
- もしlocaleが英語なら、
Unknown database: shadow
Try `getent --help' or `getent --usage' for more information.
またnis-server:/var/yp/"nis-domain-name"/で
# makedbm -u shadow.byname | grep hoge で見てみると、
hoge hoge:cpMpWPFTP7de2:11955::50:7:1000:12418:
でアカウント名がキー、行全てがデータのdbmが確かに出来て
いるようです。
参照されていないようです。例えばhogeのパスワード有効期限
をわざと切らしてやってからloginしても何事もなくlogin出来て
しまいます。
もし基本から間違えていれば別ですが、そうでない場合は、
Solarisをnis-serverにしたままだと、これからどこをあたったら
よいか分からないので、
nis-serverをLinuxで構築して,clientもLinuxとSolaris両方で作って
testして見ようかなと思っています。
Debian Linux:/var/yp/Makefileには最初からshadow mapを作る記述が
あったので、もしこれで出来たならまたなにかSolarisの方でも
進めるかも知れないと考えています。
#include <stdio.h>
#include <shadow.h>
int main(int argc, char *argv[]) {
int i;
for (i = 1; i < argc; i++) {
struct spwd *sp = getspnam(argv[i]);
if (sp == NULL) {
perror("getspnam");
exit(1);
}
printf("%s;%s;%l;%l;%l;%l;%l;%l;%x\n",
sp->sp_namp, sp->sp_pwdp, sp->sp_lstchg,
sp->sp_min, sp->sp_max, sp->sp_warn,
sp->sp_inact, sp->sp_expire, sp->sp_flag);
}
return 0;
}
とりあえず実行してみれ。
とりあえず実行してみました(コンパイルではerrorもwarningもでない)
が標準出力になにも出ませんし、ファイルも出来ません.
% ./yptest
% ./yptest hoge
getspnam: Bad file number (hogeがなんであってもこうなるようです.
yptestは81でもらったソースをコンパイルして出来た実行ファイル.
gcc3.0.2, 64bit Solaris 8(sparc), NIS serverでもNIS clientでも同じ
結果)
なんだかレベルにちょっと断層があるようなのでじっくり(理解してから)
やってみます.まずはシステムコールって何?あたりから…
なので大丈夫とは思いますが.
yptest.c: In function `main':
yptest.c:11: warning: implicit declaration of function `exit'
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: unknown conversion type character `;' in format
yptest.c:16: warning: too many arguments for format
いっそ期限が切れたら cron でスクリプト回してパスワード潰してしまうんでは駄目?
lockまでしてしまうと、確かにNIS clientでもloginされなくなりますが、
lock解除は一般ユーザーでは出来ないのでroot(つまり私)の所へ
くるでしょうから手間が増えてしまうのであまりやりたくないのです.
平均3日に一回位パスワードが切れている人が出ているので…
とりあえず今は警告メールを送る(c)だけで運用しています.
< #include <stdlib.h>
< printf("%s;%s;%ld;%ld;%ld;%ld;%ld;%ld;%x\n",
な。(Compileしてなかった)
rootでも取得できなければ、libraryになにか問題があると思う。
ypcatでは取得できているみたいなので。
ltrace/strace(Linux), truss(Solaris)で調べてみてちょ
# gcc -Wall -o yptest yptest.c
yptest.c: In function `main':
yptest.c:17: warning: long int format, int arg (arg 4)
yptest.c:17: warning: long int format, int arg (arg 5)
yptest.c:17: warning: long int format, int arg (arg 6)
yptest.c:17: warning: long int format, int arg (arg 7)
yptest.c:17: warning: long int format, int arg (arg 8)
yptest.c:17: warning: long int format, int arg (arg 9)
# ./yptest
# ./yptest "なにを書いても"
getspnam: Bad file number
もちろん一般ユーザーでも結果は同じです。実行はNIS server上。
ちなみにSolaris 8にtruss, straceは有りました。
ltraceは無いみたいです。
かなり分かっていない感じなので精進してから再トライします。
System call = OS API? 出直します。
man getspnam | head -4
Standard C Library Functions getspnam(3C)
システムコールじゃない
> # ./yptest "なにを書いても"
> getspnam: Bad file number
file descriptorがおかしいって事だからなんか変。
とりあえず、
# truss ./yptest root
まず最初に、87の
> # ./yptest "なにを書いても"
> getspnam: Bad file number
は私の間違いでした.すいません.
引数としてaccount-nameを食わせればよいということすら
プログラム(81&86)から読み取れなかったのです。今実行してみた所、
# ./yptest root
root;Fn1m.j9izt0.w;-1;-1;-1;-1;-1;-1;0
一般ユーザーのアカウントをrootの代わりにいれても
同じような出力が出てきます.
nishida;ub94r.Mf346ZA;-1;-1;-1;-1;-1;-1;0
NISで配られているパスワードが見えています.ただし、nishidaのshadowは
nishida:ub94r.Mf346ZA:11956::50:10:::
なので50などのshadow中の(パスワード以外の)情報は出てきていない
ような気がします.
まずは報告まで.それでは.
> # ./yptest root
> root;Fn1m.j9izt0.w;-1;-1;-1;-1;-1;-1;0
そりゃ、あかんやん。YP shadow map読めて/読んでないよ。
nsswitch.confを
shadow: nis files
でも駄目なの? (なんでfilesを先に書く?)
あかんです。確かに。
nis filesにして(OSもrebootして)試してみましたがyptestの結果は
変わりませんでした。
files nisにしている理由はSolaris8の
NIS用nsswitch.confテンプレート(/etc/nsswitch.nis)がそうだったから
というだけです。今はNIS serverで/etc/passwd, shadowから直接
NIS mapを作っているので、NISでrootも配っているんです。
files nisにすると全てのhostsのrootパスワードがNIS serverと同じに
なってしまいます。
web siteなどを調べると、NISで配るmapのためのファイルは/var/ypなどに
コピーして(passwd, shadowから)rootを除いて(/var/yp/Makefileを
いじって)運用した方がよいと書いてありますがそこまでは
まだやっていません。
本題の方はもう少し自分で調べて試してみます。進捗あったらまた報告します。
パスワードの形式を des から md5 に変更しないといけない?
つーか NIS や LDAP が認証するわけじゃねーってのは
わかっておるか?
どっちもあくまでデータベースにすぎんわけで。
あ、でも
ttp://taku.ath.cx/index.php?Server%2FLDAP
ってのを見つけた。
ばーぢょんに気をつけれ。
NIS -> LDAP なんてことするのは Solaris8 or 9 以外にはちと考えにくい
http://docs.sun.com/db/doc/816-7511/6mdgu0h3p?a=view
そういう貴方に、http://OpenBSD.org
禿同
はなし変わるけど、携帯ゲーム機"プレイステーションポータブル(PSP)
このPSPは、新規格UMD(ユニバーサルメディアディスク)というディスクを利用しており、そのサイズは直径6cmととても小さい(CDの半分程度)。 容量は1.8GBとなっている。
画面は4.5インチのTFT液晶で、480px x 272px(16:9)。MPEG4の再生やポリゴンも表示可能。外部端子として、USB2.0とメモリースティックコネクタが用意されているという。
この際、スク・エニもGBAからPSPに乗り換えたらどうでしょう。スク・エニの場合、PSPの方が実力を出しやすいような気がするんですが。
任天堂が携帯ゲーム機で圧倒的なシェアをもってるなら、スク・エニがそれを崩してみるのもおもしろいですし。かつて、PS人気の引き金となったFF7のように。
いきなりこんな事書いてスマソ‥
GBAと比べてみてどうなんですかね?(シェアのことは抜きで)
どういうのがあるか、ご存じな方いらしたら教えていただませんでしょうか。
仕組みはおおよそわかってるつもりですが、実際に試しながら学んでみたいもので。
設定HOWTO本が知りたいなら、はっきりとそう言った方がいい。
それじゃ何を必要としているのかわからん。
基本的な概念の説明も含んだ設定ガイド、といったら変でしょうか。
ブライアンタン (著), Brian Tung (原著), 桑村潤 (翻訳)
http://www.amazon.co.jp/exec/obidos/ASIN/489471146X
とりあえず、これでも読んだら、PAMでpam_krb5.soの設定してみたら?
アプリケーションレベルのKerberos対応については、
PAM化を最初に検討するといい。
Kerberos: The Definitive Guide
Jason Garman
http://www.amazon.com/exec/obidos/tg/detail/-/0596004036
ActiveDirectoryとSunONE Directory Serverを
連携させてる方っていらっしゃいますか?
ActiveDirectory配下にSunONEを配置して
ユーザの認証だけやらせようと思ってるんだけど、
実績が全然みつからないのねん。
もうちょっと説明しろ。
bind operationのchainingで何とかなると思う。
しかしSolarisのPAMは、bindで認証しないからチョトやっかいだ。
iPlanet Directory Serverに全部やらせるのなら実績山ほどあるぞ。
ただし、Windows clientにplugin入れないと駄目だけどね。
本当に認証だけで、NSSはやらないのなら、
Active Directoryにradius喋らせるだけで十分かも。
LDAPスレの方が反応いいかも…
すんません。LDAP関連は手がけるの初めてなモノで、まだ手応えがよくわかってないんです。
既存のActiveDirectory(ちかじかWindows2003Serverへ移行予定)の中に
Sun ONE Web Serverを設置する予定なのですが、
代理店からSun ONE Directory Serverでないと認証できないと言われてしまいました。
で、ActiveDirectoryとSun ONE Directory Serverの連携という話になるんですが、
Webサーバ上ではBasic認証程度しかしないので、IDとパスワードの同期ができれば十分なのです。
『SolarisによるLDAP実践ガイド』読んでると暗澹たる気分になるし、
Sun ONE Identity Synchronization for Windowsは
代理店に扱うかどうかも不明とか言われて途方にくれてます。
> 代理店からSun ONE Directory Serverでないと認証できないと言われてしまいました。
認証のクライアントは何?
> Sun ONE Directory Serverでないと認証できない
Schemaも知らない馬鹿営業の話真に受けていても…
> 認証のクライアントは何?
認証のクライアントというのはエンドユーザの事でしょうか?
それならWindowsXP&IEです(ひょっとするとLinux&Mozillaがあるかも…)
現在は以下のような環境を想定してます。
ActiveDirectory<-??->Sun ONE Directory <-LDAP-> Sun ONE Web <-> クライアントPC
> Schemaも知らない馬鹿営業の話真に受けていても…
まー反論できない私もアレですんで…(苦笑)
さすがに MD5 に移行したいと思うのですが、
当たり前ながら平文のパスワードはわかりません。
ユーザがログインしたときには平文のパスワードがわかりますから、
そのつど passwd.md5 のようなファイルに MD5 でハッシュしたパスワードを記録していって、
全てのユーザのMD5ハッシュ済みパスワードがたまった時点で移行したいのですが、
そういうことをする機構って PAM のモジュールとしては提供されていませんか?
そういうPAMモジュールはしらないけど、
>>119
> 全てのユーザのMD5ハッシュ済みパスワードがたまった時点で移行したいのですが、
その都度変更して大丈夫じゃない?
最近の*BSDや*Linuxは、DEC, MD5混在してても問題なし。
Ultrix使ってたんだよ…
普通は shadow にハッシュされたパスワードが入っていて、
そのとき passwd ファイルのほうには x が入っているということくらいしか知らないのですが、
/etc/shadow を見ると * とか ! があります。
man 読め
OS 名くらい書け
When the asterisk is there, nothing can match it.
An exclamation mark means a password (or account) is locked via
usermod(8). Also, a single exclamation marks means that a account is not
allowed for logins. So a double exclamation makes sure that if it was
unlocked, it would still have an invalid passwd.
「ユーザ名 & ハッシュされたパスワード」 のペアを使って
認証するための PAM モジュールというのはあるのでしょうか?
認証情報を PostgreSQL や MySQL などのデータベースにテーブルとして格納し、
それを使って認証するためには、一旦 LDAP サーバなどを経由する必要がありますか?
おまいさんは何使い? わしゃDebian使い。
http://packages.debian.org/libpam-pgsql
http://packages.debian.org/libpam-mysql
そんなパッケージがあったとは…ありがとう。
なければWebメールかな、と…。
要らないね。複数のコンピュータで一つのサービスを提供するから
シングルサインオンが当たり前の世界だし。
http://love3.2ch.net/test/read.cgi/motenai/1094008658/
援軍に来てください!!お願いします。
どうしてもPCの知識がある人が必要なんです
そういえば、Kerberosって日本ではなかなか普及しないねぇ。
まあ、あんな面倒なもの使いたいなんて思わないからなぁ。
ツーか、ダイアルアップの認証はもう辞めませんか社長・・・
回線からサーバまで管理する身にもなって下さい。
あぁ、今日もまた回線工事でクレームが・・・
WindowsとMac OS Xは、Kerberosを重要視し始めましたよ。
しかも運用はGUIDベース。
出来上がってるWindowsは、設計の観点から見たらやっぱり凄いね。
一行目はKerberos V5ベタベタに聞こえるけど、そうではない。
で、POPの認証先をLDAPにするまでは良いんだけど、LDAPサーバは
Win2003 Server の ActiveDirectory でやってくれと言われた。
別に問題ないんじゃない?と思っていたら、LDAPの業者から ActiveDirectory
のパスワード属性は書込み専用で読込むことが出来ないと言われた。
/etc/courier/authldaprc の中で、
------------------------------
LDAP_CLEARPW userPassword
------------------------------
というような事が出来ないと言うことですよね?
まだ Win2003 Server が手元に無いから試せないんだけど。
POPのパスワード用に別の属性を作るのは構わないと言っているけど、
Windows のパスワード(userPassword)と同期は取って欲しいとの事。
何か良い知恵はないですか?
pamのldap moduleが、PADL.comの奴ならば、
パスワード属性を読むんじゃなくて、
bind operationで認証をするので問題なし。*1)
ldapsでsimple bind、でいいんじゃないですか?
LDAPはdirectory serverであるだけでなく、認証serverでもあります。
userPassword属性を読んで、手元で(ひねった後)比較するんだと、
LDAPはdirectory serverで、認証はlocalでやっていることになります。
*1)の方法がLDAP的なんだけど、あまり理解されてないです。
ほとんどのserverが自分で認証をやってしまっている。
早速のアドバイスありがとうございます。
なるほど、NSS-ldapではなく、pamの設定でですか。
authpamに気づかず、同じような事をNSS経由でやろうと思っていました。
もしかしてご経験がある方でしょうか?
> ldapsでsimple bind、でいいんじゃないですか?
この場合、pam_passwordはclearで良いのでしょうか?
ActiveDirectory はクリアテキストでは格納されていないようだと
業者が言っておりました。
(あまりあてにならない業者のようでしたが)
Win2003 Server は手に入れたのですが、ユーザのエントリに
posixAccount のオブジェクトクラスを追加する方法がまだ
分からずにいてテストできない状態です。
教えて君で申し訳ありませんが、ご存知でしたらお教え願え
ますでしょうか?
よろしくお願いします。
> > ldapsでsimple bind、でいいんじゃないですか?
> この場合、pam_passwordはclearで良いのでしょうか?
Simple bindにすれば、指定しなくていい。(全てサーバ任せ)
nss_ldapのときは必須だけどね。ここちゃんと理解してね。
さらにパスワード変更するなら、
client側でpassword modifyオペレーションが利用できればいい。
# ActiveDirectoryはOK
> ActiveDirectory はクリアテキストでは格納されていないようだと
> 業者が言っておりました。
されてるよ。じゃないとchallenge & response使えないし。
けどそんなこと意識する必要ないのがbind。
> (あまりあてにならない業者のようでしたが)
まあ、あなたも分からないわけだから…
> Win2003 Server は手に入れたのですが、ユーザのエントリに
> posixAccount のオブジェクトクラスを追加する方法がまだ
> 分からずにいてテストできない状態です。
ldap関係のCUI .exeが付いているでしょ。ldapaddとか。
ActiveDirectoryの参考書読んだら?
http://www.amazon.co.jp/exec/obidos/ASIN/4274065502/
> Simple bindにすれば、指定しなくていい。(全てサーバ任せ)
> nss_ldapのときは必須だけどね。ここちゃんと理解してね。
なるほど。
> ldap関係のCUI .exeが付いているでしょ。ldapaddとか。
> ActiveDirectoryの参考書読んだら?
ADの参考書を探してるんですが、LDAP側から見たものが見つからなくて
困っているところです。ドメインの管理やらユーザの管理やらの本は
何冊も見つかりましたが。
Win2000 Server ではCD-ROMから何かを入れないとコマンド類が
使えないという情報は見つけましたが、2003 の情報がなくて未だ
ldapadd とか使えない状態です。
こちらは調べて何とかします。
「LDAP -設定・管理・プログラミング」は一応読みました。
理解が足らず申し訳ないです。
> LDAP側から見たものが見つからなくて
ないよ。
Windowsで閉じている限りは以下の操作でOKです、ってのばかり。
padl.comのlink集がお勧め。MSDNも必読。
microsoft.ext.schema microsoft.schema microsoft.std.schema
も目を通しておいた方がいい。
後はSSLなしで運用してみて、etherealでsnoop。
> Windowsで閉じている限りは以下の操作でOKです、ってのばかり。
やっぱり・・・
> padl.comのlink集がお勧め。MSDNも必読。
padl.com のリンクはいいですね。
その他、いろいろ良い情報ありがとうございます。
助かりました。
http://jp.sun.com/javasystem/identitysynch/
を検討してみてね。
来年出るMac OS X 10.4もprimary domain controllerの代りになるらしいが…
既存環境全部捨てるハメになりそうで、ヲレには無理。
NISの代替でPAMからLDAP使っての認証程度で精一杯。
ls -lなどではuid/gidの解決がOKっす。
が、LDAP上のユーザを指定したchownや、passwd上のユーザを指定したidコマンドで
必ずSegmentation Faultが出るんだけど…。
一応、ownerの変更や結果の表示はされてまつ。
Compilerのせい?
ちなみに、trussで見るとこんなん↓出てまつ。う〜ん…
Incurred fault #6, FLTBOUNDS %pc = 0xFF0FAE24
siginfo: SIGSEGV SEGV_MAPERR addr=0xFF0FAE24
Received signal #11, SIGSEGV [default]
siginfo: SIGSEGV SEGV_MAPERR addr=0xFF0FAE24
nss_ldapは置き換える必要がないと思うがどうか?
何のために置き換えようとしているの?
>>145は俺なんだけどこの記述が誤解させちゃったかな?
>>143とかLDAPスレとか読んでね。
# Solarisのpam_ldapは、OpenLDAPのpam_ldapと違う処理をする。
# simple bind op.じゃなくて、クライアント側でdecrypt check。
# nss_ldapは普通。接続設定方法だけ独自。
solaris,BSD `等で OpenLDAP,PADL を実際に使って、認証システムを
構築して、企業なんかで利用できるのだろうか?
検索の速度等が、LDAPは遅いと聞いたのですが。
また、大手のLDAP良く落ちていますが、大丈夫でしょうか?
実際大手はどうやっているのだろうか
iPlanet on Solaris辺りで。
Red HatはNetscapeの奴をAOLから買って一人前にして公開するみたいです。
大手ってのは国内メーカのこと?
Solarisのldapclientコマンドで設定すると、
- いくつかの設定ファイルが自動的に書き換えられてしまう
- いくつかのデーモンが勝手に起動する
ので、/var/ldap/ldap_client_fileを作るのが目的なのに、
副作用がありそうで、その影響範囲が見えないことを懸念してまつ。
# -vオプションを付ければ処理を全て表示してくれる?
本番運用系のサーバを順次、nss/pam対応しようと思ってるんだけど、
何らかの副作用で、sendmailのメール配送に影響出たりすると、
目も当てられないので…。
その点、PADLのnss_ldapはldapclientのような
ブラックボックス化された部分が無く、
シンプルで分かりやすいので、置き換えたかったわけです。
Solaris純正は情報も少ないし…(docs.sun.comくらい?)
pamの違いは理解してまつ。
LDAPを認証サーバとして使った経験はあるので。
むしろ「userPasswordを読んで比較」だと、
「それじゃ単なるDBじゃん!」とツッコミたくなるよね。
そのへん純正pamは、ちとイケテナイなぁ、と。
> iPlanet on Solaris辺りで。
> Red HatはNetscapeの奴をAOLから買って一人前にして公開するみたいです。
iPlanetも元をたどればNetscape Directory Serverではなかった?
勘違いだったらスマソ
力不足だから、やめときなさい。
漏れが?
… orz
openldap がだめということなので。
VA Linuxが出しているLDAPソリューション、大変興味がありますが、検索速度などどうなのでしょうか?
http://www.sun.com/download/products.xml?id=3ee79e69
openldapの話は規模によると思います。
大規模系ですか?
Binaryは今のところLinuxとSolaris only
http://directory.fedora.redhat.com/wiki/Main_Page
/tmp/krb5cc_500_kGobGm8510
という感じで出来てる。別の誰かが su で root になったあと、
このファイルを /tmp/krb5cc_501 のように自分のチケットキャッシュとしてコピーして
chown でオーナー変えてしまえば、簡単に盗めてしまい、kerberosに参加してる他のサーバにログインできてしまうけど、どう対策すれば…
kerberos に参加している全てのマシンで root 権限を廃止すればいいんだろうけど、
運用が大きく変わりそうだし、他に手はない?
どう設定してもPAM認証をおこなってくれない;;
Kerberosを良く勉強するか、心配するのは止めて寝なさい。
>>167
どう設定してもPAM認証を行ってくれないってことはないです。
Cyrus SASL 2を使いなさい。
● 細木数子 × 恫喝 × 島倉千代子の弱み
細木数子のブレーンが必死だ。 親しい芸能関係者を呼んで、「 お金はいくらでも出すから
島倉のスキャンダルを教えてくれ 」 と頼んでるらしい。 細木と島倉といえば、 マスコミでは
島倉の危機を救った命の恩人のようだが、実際は細木が島倉を食い物にしたと噂されてる。
その真相を島倉にしゃべられたくないため、 先日、 羽田空港で二人がばったり会った際に、
島倉に「 余計なことをしゃべるな 」とクギを刺したようだ。細木といえば、若い頃は暴力団の
幹部の女だったとか、いろいろ黒い噂のある人物だ。たいていのスキャンダルなら「 力 」と
「 金 」で封じ込めると思うが、何か焦ってるのだろうか。
細木の話によると「 島倉千代子はかって12億円の借金があったが、その借金を細木がマネー
ジャーや送り迎えをしながら協力した 」そうだ。それなのに「 借金を返済したとたんに事務所を
移転して音沙汰なし 」とか。 これが本当であれば島倉千代子も恩知らずといえそうだが、これ
に対しては逆に 「 細木数子が島倉千代子から金を騙し取っていたので 島倉側は細木数子に
対して怒りを覚えてる 」 という情報もあるようだ。 いつまでも返済できない借金を所属レコード
会社のコロムビアに借金を肩代わりしてもらうことで、別の事務所に移籍して細木数子の魔の
手から逃れたとか。細木数子といえば、実弟のマルチまがい商法疑惑やら悪徳霊感商法疑惑
やらの黒い噂も流れている。 たたけばいくらでも埃の出る身だろうが、 視聴率を稼いでいる今
は大丈夫かもしれない。
http://www.nazotoki.com/obatyan.html
$ cat /etc/pam.d/shimakura
auth required pam_hosogi.so
account required pam_hosogi.so
password required pam_hosogi.so
session required pam_hosogi.so
$
↑悪い設定例
LDAPスレ落ちたな。
けど、あの辺りのいわゆる名前解決が厭らしいな。 _kerberos なんてSRVレコードを
使うのは、一向構わないのだけど、今更放置してあるMSDNSを弄るのは嫌だし・・・鬱だ。
統一認証しているけど、今後はどうなるのかねぇ・・・
Samba で Active Directory 扱う方法をいまだに理解
していないので NT ドメイン認証なのが orz
いつの間にか NIS は使わなくなっちゃったなぁ。
Solaris10にMIT Krb5と新しめのsambaでやった。
毎回KDCで認証するのを、最初の一度だけにしたいんだけど、
gssapiで認証できるものが少なすぎる。
(一時理解したつもりになったがまた忘れた)
俺にとっては、永久に Active Directory は扱えないってこった。
R俺。
・kerberos は チケット発行してもらうKDC。
・kerberos対応アプリケーション(GSSAPIライブラリつかったもん)では、
ユーザが取得したチケットを確認して、kdcに問い合わせる。
・レルムに属する資源検索はDNSでも可能になってる。(88/tcpとは限らん)
・昔は、DESを使う。今は3DES/AES、 何でもござれ。
それ以外に何か理解する必要があっただろうか。
実装面での脆弱性とかは、気にしても仕方ない。
それと、KRBとActiveDirectoryとは基礎は同じでも、拡張部分があって
同一に扱うのは無理がある。 Samba4.0あたりでは、独自のKRB実装を入れて
AD拡張部分を埋める。
すごっく遅くなるし。
passwd: file
shadow: file
group: file
って書いてログインできなくなって死んだ。
複数形!