UNIX認証方式いろいろ
1 :名無しさん@お腹いっぱい。 :02/07/30 19:56.net もうNISの時代はおわったのか。 LDAP、PAM、Kerberosいろいろあるけど。 お前はどれを使う!?
2 :名無しさん@お腹いっぱい。 :02/07/30 19:58.net Webアプリケーションが流行れば流行るほど、LDAPかなんらかのDBが主流になるのかな
3 :名無しさん@お腹いっぱい。 :02/07/30 20:07.net PAM と LDAP,Kerberos はレイヤが違うと思われ。 以前 Linux 板に PAM スレが立ったがあっという間に沈んだという。
4 :名無しさん@Emacs :02/07/30 20:40.net LDAPに移行したいだけど,FreeBSDって対応してます?
5 :名無しさん@お腹いっぱい。 :02/07/30 20:45.net >>4 /usr/ports/security/pam_ldap なんてのがあるみたい。 使った事無いからちゃんと動くかどうか知らんが。
6 :名無しさん@お腹いっぱい。 :02/07/30 21:27.net うごくよん. LDAPよりも,SQLでいきたいなーとか思っておるです.
7 :名無しさん@お腹いっぱい。 :02/07/30 22:35.net >>6 SQLは単にデータベースとしての仕掛けだから、認証方式という論点からは ズレちゃうような。LDAPサーバのバックエンドとしてSQL(mysql? postges?) が居るというのならわかるけど。
8 :名無しさん@お腹いっぱい。 :02/07/30 23:02.net >>7 >LDAPサーバのバックエンド あぁ...そのつもりなんだ. やっぱ,中にはAccessで一元的に管理してぇとか言う人が居るんだよね.
9 :名無しさん@お腹いっぱい。 :02/07/31 01:25.net iPlanet Directory Server とopenLDAPは同じ形式なんだろうか。 vpopmailやその他のopenLDAP対応した認証がiPlanet Directory Serverでも使えるのか? iPlanetつかっているSolarisユーザーを声を聞かせてくれっ!
10 :名無しさん@お腹いっぱい。 :02/07/31 02:30.net APOP, HMAC はアルゴリズム知ってます。 でも PLAIN と LOGIN がわかりません。 RFC に書いてありますかね?
11 :名無しさん@お腹いっぱい。 :02/07/31 03:49.net NIS+は確実に死ぬな。(もう死んでるか
12 :棄教者 ◆witdLTi2 :02/07/31 08:36.net 指紋認証でログインするシステムを誰かハックしてください。 おっと、網膜や声紋でもOKです。
13 :名無しさん@Emacs :02/07/31 10:05.net >>12 指紋認証っつっても各社それぞれ判断基準が違うから何とも言えない。
14 :ななし :02/07/31 10:20.net >>8 SQL喋るRDBがバックエンドのLDAPサーバって俺も欲しいな。 Accessつーか、SQLでtableいじりてーよ。 >>11 NIS+ clientでも認証付きでtable entryいじれて、 あれはあれで良くできているよ。 LDAP(の現状の実装)だと、一般ユーザに変更させるときには、 サーバにloginさせたり、Web interface作ったりうざい。
15 :sage :02/07/31 10:35.net >>13 本人を無理やり連れてくるってのはどうよ? つまり本人をクラックするってことなんだけど。
16 :名無しさん@Emacs :02/07/31 10:36.net FreeBSD4.6Rからはpam_sshとかいうのが使えるらしい。 これはなんか便利な認証方式なのではなかったけ? 具体的にどう使うのかキボーン
17 :名無しさん@お腹いっぱい。 :02/07/31 11:17.net >>14 RDBMSがバックエンドのLDAP serverって既にあるんではないのか? 作るのも簡単そうだし。
18 :ななし :02/07/31 11:23.net >>17 あるんなら教えてくれ。探してもない。作ったらくれ。
19 :ふわふわ名無しさん :02/07/31 11:25.net >>16 パスワードの代わりに ssh の秘密鍵を暗号化してあるパスフレーズを入力する。 それで秘密鍵が読めれば login できて、 ログインシェルの前に自動で ssh-agent が動いて鍵を覚えてくれる。 なので、そこから別のホストにログインするのも(public key authentication できるようになっていれば)何も入力しなくてよい。
20 :名無しさん@お腹いっぱい。 :02/07/31 11:37.net >>15 そういえばこんなのがあったな。 http://www.mackport.co.jp/WEEKLY-BIO/bio033/bio033.htm
21 :名無しさん@お腹いっぱい。 :02/07/31 15:32.net あげー
22 :名無しさん@お腹いっぱい。 :02/07/31 17:31.net qmail環境でqmail-popまたは、vpopmailでNISをかって認証をしたいんだけど、 chackepasswordなんかが/var/yp/etc/passwdを参照をする洋にするにはどうすればいいんですか?
23 :名無しさん@お腹いっぱい。 :02/07/31 19:07.net もうNISはマジでやめておこう。今からそれを採用するのはヤバイだろ。
24 :名無しさん@お腹いっぱい。 :02/07/31 19:15.net NISの何がやばいのか解説キボンヌ。
25 :名無しさん@お腹いっぱい。 :02/07/31 19:17.net >>24 23はauto_homeとか使ってないんでしょう。 ユーザー認証だけならLDAPでいこうとする気はわかるけど。
26 :名無しさん@お腹いっぱい。 :02/07/31 21:41.net >>23 は NIS と NIS+ を混同してると思われ。 NIS+ は End Of Life しかし、NIS はバリバリ現役。
27 :ななし :02/08/01 01:18.net >>22 OSなんなの? Solarisとかなら、/etc/nsswitch.conf書き換えるだけじゃないの? qmail-getpw.cとか読んでもそうとしかおもえんが… >>26 何百台でdatabase共用しようと思うと、NISじゃ無理だよ。 nispopulateで同期する時は、map全体を転送ちゃうからscaleしない。 数台ならNISで充分、わざわざNIS+勉強する意義なし。
28 :22 :02/08/01 02:01.net >>27 はいsolarisでございます。 nsswitch.confで/etc/passwdよりもnisのpassswdを優先させたらいいのか? chechpasswordの認証は直接/etc/passwdを参照しているとおもっていたから…。 聞くより実行。さっそく試してみます。 あー、でもやっぱり明日にしよーっと!
29 :22 :02/08/01 02:04.net >>26 そうだね。だからSunは10年ブリに新たな認証方式として、NIS+の変わりになるLDAPを採用した。 iPlanetなどでも力はいってるね。
30 :22 :02/08/01 06:08.net >>27 やっぱり/etc/nsswitch.confを書き換えたところで、qmailのpop認証とかsmtp-auth認証は chechpasswdを使っているから無理だった。 いま思えばやはり当たり前の事。 27はqmailのユーザー認証はなに使っているの?
31 :ななし :02/08/01 10:56.net >>30 何で当たり前なの? checkpasswordのsource読んでみた? getentで、/etc/nsswitch.confが有効になっているか調べてみたら? /etc/init.d/nscd stop; /etc/init.d/nscd startもした? NIS+→LDAP移行中
32 :sage :02/08/01 11:22.net NIS はまだまだ必要。多分これからも必要。 NIS+ がターゲットにしていた部分は多分 LDAP とかになっていくんだろうね。
33 :名無しさん@お腹いっぱい。 :02/08/01 11:30.net LDAP、updateがもうちっと分散指向になればな〜。
34 :名無しさん@お腹いっぱい。 :02/08/01 12:30.net LDAPって騒がれてるのは、知ってるんですが、 イマイチなんなのかわかりませぬ。 どこかLDAPがなにものなのか解説したサイトなどありませぬか?
35 :仕様書無しさん :02/08/01 12:47.net 【LDAP Linux HOWTO】 http://www.linux.or.jp/JF/JFdocs/LDAP-HOWTO.html 【LDAP Implementation HOWTO】 http://www.linux.or.jp/JF/JFdocs/LDAP-Implementation-HOWTO/ 【LDAPによるパスワードの一元管理】 http://www.atmarkit.co.jp/flinux/rensai/root02/root02a.html
36 :仕様書無しさん :02/08/01 12:54.net 【日本語LDAP RFC】 http://www.cysol.co.jp/contrib/ldap/index_j.html
37 :sage :02/08/01 13:01.net >>33 まぁ LDAP が想定してるのはあくまで「ディレクトリサービス」ですからねぇ。
38 :30 :02/08/01 15:39.net >>31 もちろんNISは動いてますよ。ただcheckpasswordのソースは私は見ましたが 理解できる程cを理解していません。 もうちょとcheckpasswordをしらべますが、NISは関係ないとおもうんですけど。(/etc/passwdを参照する単なるプログラムだと理解しているのですが
39 :名無しさん@お腹いっぱい。 :02/08/02 01:05.net >>38 違うって言ってるだろ、アフォ! NISが動いてるかじゃなくて、 libnslがNISを参照してるかgetentで調べんだよ、この低能!
40 :名無しさん@お腹いっぱい。 :02/08/02 01:25.net ああ、とうとう怒らせてしまったな。。
41 :38 :02/08/02 17:05.net >>39 そのへん教えてくれませんか?(libnsl
42 :名無しさん@お腹いっぱい。 :02/08/02 20:07.net >>41 とーにーかーくー、getentでNISにしかないpasswd entry引いてみろ。 その次にDES認証モードで運用しているかどうかも調べろ。 DES認証モードならば、(以下続く
43 :38 :02/08/02 23:01.net >>42 レスありがとうございます。 getent passwd 全部でます。 getent passwd [ユーザー名] でます。 solarisなのでDES認証です。
44 :名無しさん@お腹いっぱい。 :02/08/03 00:53.net >>43 > solarisなのでDES認証です。 じゃあ、-DHASGETSPNAMつけて、checkpasswordをcompileしないと。 ちなみにSolarisはDES認証なしでも運用可能な。 # DES認証時/shadow password利用時には、 # getpwent(3)では、password fieldをget出来ない。(変な仕様だ…)
45 :名無しさん@お腹いっぱい。 :02/08/03 15:48.net kerberos はアメリカの輸出規制どーなったんですか。 もう大丈夫なの?
46 :sage :02/08/03 16:52.net >>45 名前しか知らないよ〜 勉強しよう…
47 :名無しさん@お腹いっぱい。 :02/08/03 18:36.net age
48 :名無しさん@お腹いっぱい。 :02/08/05 19:42.net もしかしたら>>43 は、 passwd fieldの暗号化にDESを使っていることと、 NIS+のDES認証モードの区別ついてないのかな…
49 :AKAK :02/08/06 03:08.net NIS+の話?
50 :名無しさん@お腹いっぱい。 :02/08/06 09:05.net >>49 >>38 の場合は、+は余計だった。 NISにもNIS+にもDES認証モードがある。 NFSにもDES認証モードがある。SunOSの場合、同じ鍵対を使う。
51 :名無しさん@Emacs :02/08/06 10:04.net >>45 56bit DES (Kerberos 4) については98年から規制緩和された。 http://www.watch.impress.co.jp/internet/www/article/980917/encrypt.htm http://www.rccm.co.jp/~juk/krb/ http://www.openbsd.org/ja/crypto.html
52 :名無しさん@お腹いっぱい。 :02/08/09 08:55.net 認証に指を差し込む穴に指を入れさせる。 認証に失敗すると、内部の刃物で切断し、終了。
53 :名無しさん@お腹いっぱい。 :02/08/09 08:56.net pc3鯖、落ちてる?
54 :名無しさん@お腹いっぱい。 :02/08/09 20:02.net >52 「いやーごめんごめん、君の認証データを 人事異動の際に移しておくのを忘れちゃってたよ」
55 :名無しさん@お腹いっぱい。 :02/08/18 01:22.net この前PDC環境をSolarisとSambaで構築しました。 便利で便利でない様な…。
56 :名無しさん@お腹いっぱい。 :02/08/18 02:26.net >>55 NTクライアントでちょっと凝ったことするとsmbdがコア吐いてたり。
57 :名無しさん@お腹いっぱい。 :02/08/18 02:54.net ついでに管理者が弱音を吐いたり。 そこ、石投げないでください(-_-)
58 :名無しさん@お腹いっぱい。 :02/08/18 03:39.net くそぉ・・・NIS+ サポート打ち切りかよ・・・ せっかくおぼえたのに・・・
59 :名無しさん@お腹いっぱい。 :02/08/19 21:35.net >>58 ふぉんとですか???
60 :not 58 :02/08/21 07:45.net Solaris 9でnisclientを実行すると、 ******** ******** WARNING ******** ******** NIS+ might not be supported in a future release. Tools to aid the migration from NIS+ to LDAP are available in the Solaris 9 operating environment. For more information, visit http://www.sun.com/directory/nisplus/transition.html ******** ******** ******* ******** ******** って出てきます。5年はサポートが続くそうです。 まあ付属のLDAPでいいけどさ。credも使えるし。 NIS+とほとんどかわんね─よ。>>58 Multi-paltformになった利点の方が大きい。
61 :名無しさん@お腹いっぱい。 :02/08/21 13:47.net ここは質問スレッドではないのかもしれませんが どうか一つ質問させて下さい. Solaris8 x 10台程、Linux x 2台程の規模をNISを使って 管理しています.Solaris8の1台をNIS primary serverにして あとは全てNIS clientです.パスワード有効期限を設定していますが NIS serverにログインしたときには警告が出て変えろと言われますが NIS clientにログインしても何も警告が出ません.パスワード有効 期限が切れたアカウントでも問題なく使えます.これだとNIS client を使っているユーザーには何時までたってもpasswordを変えてもらえなくて困ってしまいます. NISはpasswdの中のpassword部分をshadowのpassword部分と置き換えた ものをmapとして配っているだけのようなので(ypcat passwdとしてみると)shadowの中にあるのパスワード有効期限やアカウント有効期限、 などの情報は配っていないようです. clientでもパスワード期限切れを警告させたり期限切れアカウント をloginさせなくするのにはどうしたら一番よいでしょうか。 (1)NISの仕様上不可能.NIS+ならできるので移行せよ (2)NISの仕様上不可能.LDAPならできるので移行せよ (3)NISの仕様上不可能.XXXに移行せよ (4)NISでもXXとすれば可能 NIS+, LDAPを使ったことがないのですがもしこれが出来るなら 移行しようと考えているのです.
62 :名無しさん@お腹いっぱい。 :02/09/15 03:18.net なるほど。質問者に教えられました。ありがとう。たしかに61の言うとうりの参照方法なら不可能なのかな。(今日は遅いので明日調べてみます) ところで、LDAP導入について61に便乗して質問します。 Solarisに入れたOpenLDAPの環境で/etc/nsswitch.ldapは使えるの? iplanet Directory Server用なのかな? 何の為にあるのか謎。
63 :not 58 :02/09/15 04:49.net >>61 shadowマップはどうなってるの? (man -s 5 shadow) nsswitch.confは大丈夫? (ypmatchと違い、getentは常にnsswitch.confを反映する) >>62 > 何の為にあるのか謎。 nsswitch.{files,nis,nisplus,ldap}は、nsswitch.conf用のsample。 # cp -p /etc/nsswitch.{ldap,conf} すれば、name serviceはLDAPを参照するようになる。(稼働していればね) いじょ
64 :62 :02/09/16 01:42.net >63 >>nsswitch.conf用のsample。 それは承知です。iPlanet用なのかどうか謎。ってことです。 >>(稼働していればね) iPlanet Directory ServerのLDAPのデーモンns-slapdが稼働していればね?ってことですか? OpenLDAPのslapdが稼働していればね?ってことですか? それともどちらでもOK?
65 :名無しさん@お腹いっぱい。 :02/09/16 05:39.net >>64 LDAP はプロトコルってことを理解している?
66 :61 :02/09/16 13:08.net 62,63さん、ありがとうございます. 63>> shadowマップはどうなってるの? (man -s 5 shadow) (Solaris 8/sparcでman -s 4 shadowで)調べると、(一部抜粋します) username:password:lastchg: min:max:warn: inactive:expire:flag でした. 63>>nsswitch.confは大丈夫? (ypmatchと違い、getentは常にnsswitch.confを反映する) grep passwd /etc/nsswitch.confとした所、 passwd: files nis でした.まず最初に/etc/passwdを見て、その次にNISでpasswdのマップを参照して いるようです./etc/passwdのパスワード部分はxにしてあり、 ypcat passwdで(例えばアカウントhogeの部分を)調べると, hoge:Yp52g0OOGbEAU:150:100:Hogeo Hogeta:/home/hoge:/usr/local/bin/tcsh getent passwd hogeの結果は(getentというcmdを知りませんでした...) hoge:x:150:100:Hogeo Hogeta:/home/hoge:/usr/local/bin/tcsh ypmatch -d "nis-domain-name" hoge passwdの結果は ypcat passwd | grep hogeと同じでした. /etc/passwdには(NIS server, NIS clientともに)+の記述はしていません. 昔、SunOS4.1.4の時にはnsswitch.confが無かったので+を記述していましたが.
67 :61 & 66 :02/09/16 13:25.net 61です.66が長くなったので分けて続けます. shadowというマップはNISでは(/var/yp/Makefileを見ると)配って いないので % ypcat shadow no such map in server's domain % ypmatch -d "nis-domain-name" hoge shadow Can't match key ono in map shadow. Reason: no such map in server's domain. %getent shadow ono Unknown database: shadow usage: getent database [ key ... ] となります. getspnam(3C)を読みますと、「もしあなたがNIS DBを使っている 場合は、shadowの情報はpasswd.bynameを参照することにより 得られる.ただしこれ(passwd.bynameは)sp_namp and sp_pwdp しか(つまりlogin nameとencrypted-passwordしか)含んでいない」 とあります. やはり、NIS clientが得る情報は、NIS serverのpasswdの2番目 の部分に、shadowのencrypted passwordを挿入したもののようです.
68 :67の続き :02/09/16 18:38.net 結局私に考えつく方法として次の3つだけです. (a)(61-(4)の方法として) /var/yp/Makefileでpasswdだけ他の(auto.homeやservicesと違って) ファイルと違う扱い(shadowの一部だけpasswdのmapに載せて配るということ) をしているのが原因なのだから、いっそのこと /var/yp/MakefileのNISで配るmapにshadowも付け加える. /etc/nsswitch.confにもshadowの行を付け加えて、NIS clientでも ypcat shadowが実行できるようになるか試してみる. (b)(61-(1),(2)として)NIS+かLDAPにして試してみる. (c)他の角度からの運用で次善的解決法を模索する.
69 :68の続き :02/09/16 18:42.net (a)はちょっと怖くてやりたくない. (Sunが書いている/var/yp/Makefileのを編集するのはよくやると 思いますが、shadowを編集して入れてしまうというのが未体験 ゾーンなのです) (b)はNIS+かLDAPで(clientでのパスワード期限の警告、 期限切れのlockが)出来るという機能面の保証がまだ無いので (ちょっと見つかりませんので)まだ試すには時間がかかる. ので、(c)の解決法としてNISサーバーでcronで1日一回、 passwordの期限切れが迫っている人には警告のメールを出すように perl scriptを書いて走らせるようにしました.script自体は 今のところうまく行っているようです.しかしこれでは * E-mailを読まなかったり使わない人、無視する人には効果がなく、 引き続きNIS clientではpasswordがexpireされたuserでも loginできてしまう.という弱点自体はそのままです. (a)(b)の方法を引き続き検討してみます. (b)のNIS+やLDAPならclientでもpasswordのexpirationに関する チェックが出来るよ、という運用実績などある方いましたら お願いします. もし(a)の方法を試す勇気が出たら試してここでまた報告します. それでは.
70 :69の続き :02/09/16 23:32.net 少し調べてみると、/var/yp/Makefileにshadowのエントリがあるのは Linuxではわりと普通らしいです.Solaris 8の/var/yp/Makefile に、このLinuxのMakefileのshadowのところを見てshadow部分を 書き加えて後ほどやってみます。(進捗あったら報告します) もし出来ても(NIS clientでpassword expirationがチェックされる ようになっても)ypcat shadowで皆が他人のpassword expiration date や、password last change dateなどをお互い知りたい放題に なってしまうのであまり好ましいとは思えませんが. ところで/etc/passwd.adjunctってSolaris 2.Xで使っている 人いますか?Webで調べるとどうもSunOS4.Xでpasswordを shadow化してC2セキュリティにする場合はこれを使え、 とか書いてある割には、(/etc/shadowが元からある) Solaris 8の/var/yp/Makefileにもpasswd.adjunctの 部分はありますし...AnswerBook2でも隠蔽されたパスワード と監査情報(<-??)を含むと書いてあるだけでいまいち分かりません.
71 :not 58 :02/09/17 13:24.net >>70 おめー長げ─よ。 > このLinuxのMakefileのshadowのところを見てshadow部分を > 書き加えて後ほどやってみます。(進捗あったら報告します) NIS(YP)の場合、shadow mapを作る、これが唯一の方法。 > 63>> shadowマップはどうなってるの? (man -s 5 shadow) > (Solaris 8/sparcでman -s 4 shadowで)調べると、(一部抜粋します) > username:password:lastchg: min:max:warn: inactive:expire:flag > でした. 知ってるって。オマエサンのYP serverがどうなってるか聞いたの。 shadow mapがないなら、出来なかったのは当然。 > もし出来ても(NIS clientでpassword expirationがチェックされる > ようになっても)ypcat shadowで皆が他人のpassword expiration date > や、password last change dateなどをお互い知りたい放題に > なってしまうのであまり好ましいとは思えませんが. NIS(YP)はそういうもの。(均一なアクセス権) DES認証モードで運用したときのNISとNIS+の違い、 NIS+のper entryなowner, group, access rights(ugow+rcmd)等を調べて。 (そんなこと気にするのなら当然DES認証モードで運用してるよね?)
72 :not 58 :02/09/17 13:34.net >>68 > /etc/nsswitch.confにもshadowの行を付け加えて、 大体いいところを攻めてるんだけど、 マニュアル、ドキュメントをちゃんと読んでないっぽい。 nsswitch.conf(5)より、 passwd getpwnam(3C), getspnam(3C) です。 NIS+移行passwd, shadowのtable(map)は統合され、 Solarisのname service(libnsl)では、 passwd table(map)として統一して扱うようになりました。 // 二つに分かれていたのは、歴史的経緯から来る実装上の問題だから。 // APIはまだ二つに分かれてるんだけどね… // libnslのコード見たければ、Sunがglibcに寄贈した奴を見て。 NISのマニュアルと徹底的に読むことをおすすめする。 ちゃんと理解していないとLinuxの設定の方で辛いと思う。
73 :名無しさん@お腹いっぱい。 :02/09/19 17:33.net >65 プロトコルって何かわかってる?
74 :名無しさん@お腹いっぱい。 :02/09/19 19:01.net >>73 いちいちageて下らね〜こと書くヴァカ発見
75 :名無し募集中。。。 :02/09/19 23:59.net >>73 プロトコールは手続きで宜しいか? >>74 逝ってよし
76 :61,66-70 :02/09/25 20:38.net >71さん、>72さんありがとうございます。 結論から言いますとまだ解決していませんが取り敢えず途中報告 です。72さん、確かに66-70は"不必要に"長かったです。 すんません。言ってるそばから今回も少し長めですが、勘弁して 下さい。情報が足りないよりは良いかなと... nis-server, nis-clientともに64bit Solaris 8/sparcです。 (1)nis-server:/var/yp/Makefileを編集 1-a) all: passwd group hosts aliases auto.master auto.home を all: passwd shadow group hosts aliases auto.master auto.home に変更 1-b) passwd: passwd.time group: group.time の間に"shadow: shadow.time"の一行を挿入
77 :61,66-70 :02/09/25 20:40.net 1-c) ## 2002.9 added manually by X.XXXXX shadow.time: $(PWDIR)/shadow @(awk 'BEGIN { FS=":"; OFS="\t"; } /^[a-zA-Z0-9_]/ \ { print $$1, $$0 }' $(PWDIR)/shadow $(CHKPIPE))| \ $(MAKEDBM) - $(YPDBDIR)/$(DOM)/shadow.byname; @touch shadow.time; @echo "updated shadow"; @if [ ! $(NOPUSH) ]; then $(YPPUSH) -d $(DOM) shadow.byname; fi @if [ ! $(NOPUSH) ]; then echo "pushed shadow"; fi を挿入。 (このフォームに書き込んだ時に改行が変になっているかも 知れませんが、tabなどのmake文法はOKです) (Solaris 8はshadow mapを作らないようになっているようなので、 Vine LinuxやDebian GNU/Linuxの/var/yp/Makefileを取ってきて 参考にしました。なんだかmakeでも文法が微妙に違う???) (2)nis-server,client(Sol8):/etc/nsswitch.confを編集 shadow files nis ただしLinux(Vine2.1.5)の/etc/nsswitch.confには 元からあったのでそのまま。
78 :61,66-70 :02/09/25 20:41.net (3)nis-serverで # cd /var/yp # /usr/ccs/bin/make (Solarisのmakeです) (4)nis-server, clientを全てreboot 上記のような事(1)-(4)を行なった結果、次のようになりました。 (a)nis-server:/var/yp/shadow.time, /var/yp/"nis-domain-name"/shadow.byname.{dir,pag}が 作成された。 (b)nis-server, nis-client(Solaris, Linuxともに)で $ ypcat -k shadow | grep hoge hoge hoge:cpMpWPFTP7de2:11954::62:7:93:12500: $ ypmatch -d "nis-domain-name" hoge shadow hoge hoge:cpMpWPFTP7de2:11954::62:7:93:12500: でNIS severにshadow mapを見に行っているようだ。
79 :61,66-70 :02/09/25 20:42.net ただしgetentだと $ getent 不明なデータベース: shadow 詳細は`getent --help' または `getent --usage' を実行して下さい. - もしlocaleが英語なら、 Unknown database: shadow Try `getent --help' or `getent --usage' for more information. またnis-server:/var/yp/"nis-domain-name"/で # makedbm -u shadow.byname | grep hoge で見てみると、 hoge hoge:cpMpWPFTP7de2:11955::50:7:1000:12418: でアカウント名がキー、行全てがデータのdbmが確かに出来て いるようです。
80 :61,66-70 :02/09/25 20:42.net (c)けれどもnis-clientにloginするとやはりshadowの内容は 参照されていないようです。例えばhogeのパスワード有効期限 をわざと切らしてやってからloginしても何事もなくlogin出来て しまいます。 もし基本から間違えていれば別ですが、そうでない場合は、 Solarisをnis-serverにしたままだと、これからどこをあたったら よいか分からないので、 nis-serverをLinuxで構築して,clientもLinuxとSolaris両方で作って testして見ようかなと思っています。 Debian Linux:/var/yp/Makefileには最初からshadow mapを作る記述が あったので、もしこれで出来たならまたなにかSolarisの方でも 進めるかも知れないと考えています。
81 :not 58 :02/09/28 13:32.net >>79 #include <stdio.h> #include <shadow.h> int main(int argc, char *argv[]) { int i; for (i = 1; i < argc; i++) { struct spwd *sp = getspnam(argv[i]); if (sp == NULL) { perror("getspnam"); exit(1); } printf("%s;%s;%l;%l;%l;%l;%l;%l;%x\n", sp->sp_namp, sp->sp_pwdp, sp->sp_lstchg, sp->sp_min, sp->sp_max, sp->sp_warn, sp->sp_inact, sp->sp_expire, sp->sp_flag); } return 0; } とりあえず実行してみれ。
82 :61,66-70,76-80 :02/10/14 20:28.net >>81 さん 遅くなりました. とりあえず実行してみました(コンパイルではerrorもwarningもでない) が標準出力になにも出ませんし、ファイルも出来ません. % ./yptest % ./yptest hoge getspnam: Bad file number (hogeがなんであってもこうなるようです. yptestは81でもらったソースをコンパイルして出来た実行ファイル. gcc3.0.2, 64bit Solaris 8(sparc), NIS serverでもNIS clientでも同じ 結果) なんだかレベルにちょっと断層があるようなのでじっくり(理解してから) やってみます.まずはシステムコールって何?あたりから…
83 :82 :02/10/14 20:30.net 嘘言ってました.-Wallつけると標準エラー出力にでます。warning なので大丈夫とは思いますが. yptest.c: In function `main': yptest.c:11: warning: implicit declaration of function `exit' yptest.c:16: warning: unknown conversion type character `;' in format yptest.c:16: warning: unknown conversion type character `;' in format yptest.c:16: warning: unknown conversion type character `;' in format yptest.c:16: warning: unknown conversion type character `;' in format yptest.c:16: warning: unknown conversion type character `;' in format yptest.c:16: warning: unknown conversion type character `;' in format yptest.c:16: warning: too many arguments for format
84 :名無しさん@お腹いっぱい。 :02/10/14 23:28.net >>69 いっそ期限が切れたら cron でスクリプト回してパスワード潰してしまうんでは駄目?
85 :69 :02/10/15 10:44.net >84さん、ありがとうございます. lockまでしてしまうと、確かにNIS clientでもloginされなくなりますが、 lock解除は一般ユーザーでは出来ないのでroot(つまり私)の所へ くるでしょうから手間が増えてしまうのであまりやりたくないのです. 平均3日に一回位パスワードが切れている人が出ているので… とりあえず今は警告メールを送る(c)だけで運用しています.
86 :not 58 :02/10/15 21:40.net >>83 < #include <stdlib.h> < printf("%s;%s;%ld;%ld;%ld;%ld;%ld;%ld;%x\n", な。(Compileしてなかった) rootでも取得できなければ、libraryになにか問題があると思う。 ypcatでは取得できているみたいなので。 ltrace/strace(Linux), truss(Solaris)で調べてみてちょ
87 :名無しさん@お腹いっぱい。 :02/10/15 22:09.net >>86 さん # gcc -Wall -o yptest yptest.c yptest.c: In function `main': yptest.c:17: warning: long int format, int arg (arg 4) yptest.c:17: warning: long int format, int arg (arg 5) yptest.c:17: warning: long int format, int arg (arg 6) yptest.c:17: warning: long int format, int arg (arg 7) yptest.c:17: warning: long int format, int arg (arg 8) yptest.c:17: warning: long int format, int arg (arg 9) # ./yptest # ./yptest "なにを書いても" getspnam: Bad file number もちろん一般ユーザーでも結果は同じです。実行はNIS server上。 ちなみにSolaris 8にtruss, straceは有りました。 ltraceは無いみたいです。 かなり分かっていない感じなので精進してから再トライします。 System call = OS API? 出直します。
88 :名無しさん@お腹いっぱい。 :02/10/16 10:57.net >>87 man getspnam | head -4 Standard C Library Functions getspnam(3C) システムコールじゃない
89 :not 58 :02/10/16 21:08.net >>87 > # ./yptest "なにを書いても" > getspnam: Bad file number file descriptorがおかしいって事だからなんか変。 とりあえず、 # truss ./yptest root
90 :85,86 :02/10/17 17:29.net >> 89さん まず最初に、87の > # ./yptest "なにを書いても" > getspnam: Bad file number は私の間違いでした.すいません. 引数としてaccount-nameを食わせればよいということすら プログラム(81&86)から読み取れなかったのです。今実行してみた所、 # ./yptest root root;Fn1m.j9izt0.w;-1;-1;-1;-1;-1;-1;0 一般ユーザーのアカウントをrootの代わりにいれても 同じような出力が出てきます. nishida;ub94r.Mf346ZA;-1;-1;-1;-1;-1;-1;0 NISで配られているパスワードが見えています.ただし、nishidaのshadowは nishida:ub94r.Mf346ZA:11956::50:10::: なので50などのshadow中の(パスワード以外の)情報は出てきていない ような気がします. まずは報告まで.それでは.
91 :not 58 :02/10/19 10:33.net >>90 > # ./yptest root > root;Fn1m.j9izt0.w;-1;-1;-1;-1;-1;-1;0 そりゃ、あかんやん。YP shadow map読めて/読んでないよ。 nsswitch.confを shadow: nis files でも駄目なの? (なんでfilesを先に書く?)
92 :90 :02/10/21 12:59.net >>91 さん あかんです。確かに。 nis filesにして(OSもrebootして)試してみましたがyptestの結果は 変わりませんでした。 files nisにしている理由はSolaris8の NIS用nsswitch.confテンプレート(/etc/nsswitch.nis)がそうだったから というだけです。今はNIS serverで/etc/passwd, shadowから直接 NIS mapを作っているので、NISでrootも配っているんです。 files nisにすると全てのhostsのrootパスワードがNIS serverと同じに なってしまいます。 web siteなどを調べると、NISで配るmapのためのファイルは/var/ypなどに コピーして(passwd, shadowから)rootを除いて(/var/yp/Makefileを いじって)運用した方がよいと書いてありますがそこまでは まだやっていません。 本題の方はもう少し自分で調べて試してみます。進捗あったらまた報告します。
93 :山崎渉 :03/01/15 13:26.net (^^)
94 :名無しさん@XEmacs :03/03/24 09:31.net ネットワーク再構築テスト
95 :名無しさん@お腹いっぱい。 :03/04/16 09:46.net nis から ldap に移行したいと思っておるが、 パスワードの形式を des から md5 に変更しないといけない?
96 :名無しさん@お腹いっぱい。 :03/04/16 11:50.net OSは何よ つーか NIS や LDAP が認証するわけじゃねーってのは わかっておるか? どっちもあくまでデータベースにすぎんわけで。 あ、でも ttp://taku.ath.cx/index.php?Server%2FLDAP ってのを見つけた。 ばーぢょんに気をつけれ。
97 :山崎渉 :03/04/17 11:49.net (^^)
98 :あぼーん :あぼーん.net あぼーん
99 :名無しさん@お腹いっぱい。 :03/04/21 16:04.net >>96 NIS -> LDAP なんてことするのは Solaris8 or 9 以外にはちと考えにくい
100 :not 58 :03/04/28 00:30.net Solarisなら>>60 とか、(これはNIS+ですが) http://docs.sun.com/db/doc/816-7511/6mdgu0h3p?a=view
101 :あぼーん :あぼーん.net あぼーん
102 :名無しさん@お腹いっぱい。 :03/06/17 10:59.net >>45 >>51 そういう貴方に、http://OpenBSD.org
103 :64 ◆3OpmpQGwCc :03/06/30 13:38.net >>86 禿同 はなし変わるけど、携帯ゲーム機"プレイステーションポータブル(PSP) このPSPは、新規格UMD(ユニバーサルメディアディスク)というディスクを利用しており、そのサイズは直径6cmととても小さい(CDの半分程度)。 容量は1.8GBとなっている。 画面は4.5インチのTFT液晶で、480px x 272px(16:9)。MPEG4の再生やポリゴンも表示可能。外部端子として、USB2.0とメモリースティックコネクタが用意されているという。 この際、スク・エニもGBAからPSPに乗り換えたらどうでしょう。スク・エニの場合、PSPの方が実力を出しやすいような気がするんですが。 任天堂が携帯ゲーム機で圧倒的なシェアをもってるなら、スク・エニがそれを崩してみるのもおもしろいですし。かつて、PS人気の引き金となったFF7のように。 いきなりこんな事書いてスマソ‥ GBAと比べてみてどうなんですかね?(シェアのことは抜きで)
104 :あぼーん :あぼーん.net あぼーん
105 :名無しさん@お腹いっぱい。 :03/08/12 16:25.net Kerberosに関して、比較的最近のUNIX/Linuxでの取り扱いについてまとめた本って、 どういうのがあるか、ご存じな方いらしたら教えていただませんでしょうか。 仕組みはおおよそわかってるつもりですが、実際に試しながら学んでみたいもので。
106 :あぼーん :あぼーん.net あぼーん
107 :名無しさん@お腹いっぱい。 :03/08/12 16:46.net >>105 設定HOWTO本が知りたいなら、はっきりとそう言った方がいい。 それじゃ何を必要としているのかわからん。
108 :名無しさん@お腹いっぱい。 :03/08/12 17:27.net Howto本だけだと意味もわからずできてしまいそうで恐いです。 基本的な概念の説明も含んだ設定ガイド、といったら変でしょうか。
109 :名無しさん@お腹いっぱい。 :03/08/12 17:36.net KERBEROS―ネットワーク認証システム 最新ネットワーク技術ハンドブック ブライアンタン (著), Brian Tung (原著), 桑村潤 (翻訳) http://www.amazon.co.jp/exec/obidos/ASIN/489471146X とりあえず、これでも読んだら、PAMでpam_krb5.soの設定してみたら? アプリケーションレベルのKerberos対応については、 PAM化を最初に検討するといい。
110 :名無しさん@お腹いっぱい。 :03/08/12 17:39.net 英語OKなら、O'Reillyのこっちね。 Kerberos: The Definitive Guide Jason Garman http://www.amazon.com/exec/obidos/tg/detail/-/0596004036
111 :あぼーん :あぼーん.net あぼーん
112 :あぼーん :あぼーん.net あぼーん
113 :あぼーん :あぼーん.net あぼーん
114 :名無しさん@お腹いっぱい :03/09/03 22:32.net いきなり質問なのですが、Windows Server 2003の ActiveDirectoryとSunONE Directory Serverを 連携させてる方っていらっしゃいますか? ActiveDirectory配下にSunONEを配置して ユーザの認証だけやらせようと思ってるんだけど、 実績が全然みつからないのねん。
115 :名無しさん@お腹いっぱい。 :03/09/09 04:03.net >>114 もうちょっと説明しろ。 bind operationのchainingで何とかなると思う。 しかしSolarisのPAMは、bindで認証しないからチョトやっかいだ。 iPlanet Directory Serverに全部やらせるのなら実績山ほどあるぞ。 ただし、Windows clientにplugin入れないと駄目だけどね。 本当に認証だけで、NSSはやらないのなら、 Active Directoryにradius喋らせるだけで十分かも。 LDAPスレの方が反応いいかも…
116 :名無しさん@お腹いっぱい :03/09/09 14:20.net >>115 すんません。LDAP関連は手がけるの初めてなモノで、まだ手応えがよくわかってないんです。 既存のActiveDirectory(ちかじかWindows2003Serverへ移行予定)の中に Sun ONE Web Serverを設置する予定なのですが、 代理店からSun ONE Directory Serverでないと認証できないと言われてしまいました。 で、ActiveDirectoryとSun ONE Directory Serverの連携という話になるんですが、 Webサーバ上ではBasic認証程度しかしないので、IDとパスワードの同期ができれば十分なのです。 『SolarisによるLDAP実践ガイド』読んでると暗澹たる気分になるし、 Sun ONE Identity Synchronization for Windowsは 代理店に扱うかどうかも不明とか言われて途方にくれてます。
117 :名無しさん@お腹いっぱい。 :03/09/10 01:31.net >>116 > 代理店からSun ONE Directory Serverでないと認証できないと言われてしまいました。 認証のクライアントは何? > Sun ONE Directory Serverでないと認証できない Schemaも知らない馬鹿営業の話真に受けていても…
118 :名無しさん@お腹いっぱい :03/09/10 10:18.net >>117 > 認証のクライアントは何? 認証のクライアントというのはエンドユーザの事でしょうか? それならWindowsXP&IEです(ひょっとするとLinux&Mozillaがあるかも…) 現在は以下のような環境を想定してます。 ActiveDirectory<-??->Sun ONE Directory <-LDAP-> Sun ONE Web <-> クライアントPC > Schemaも知らない馬鹿営業の話真に受けていても… まー反論できない私もアレですんで…(苦笑)
119 :DESからMD5への移行 :03/09/26 18:24.net 古いホストで DES でハッシュされた /etc/passwd を使っています。 さすがに MD5 に移行したいと思うのですが、 当たり前ながら平文のパスワードはわかりません。 ユーザがログインしたときには平文のパスワードがわかりますから、 そのつど passwd.md5 のようなファイルに MD5 でハッシュしたパスワードを記録していって、 全てのユーザのMD5ハッシュ済みパスワードがたまった時点で移行したいのですが、 そういうことをする機構って PAM のモジュールとしては提供されていませんか?
120 :名無しさん@お腹いっぱい。 :03/09/26 20:58.net chageとかでパスワードの更新を促すとか。
121 :名無しさん@お腹いっぱい。 :03/09/27 02:10.net >>119 そういうPAMモジュールはしらないけど、 >>119 > 全てのユーザのMD5ハッシュ済みパスワードがたまった時点で移行したいのですが、 その都度変更して大丈夫じゃない? 最近の*BSDや*Linuxは、DEC, MD5混在してても問題なし。
122 :名無しさん@お腹いっぱい。 :03/09/27 02:23.net >121の指はまだDECを憶えているようだ。泣ける。
123 :名無しさん@お腹いっぱい。 :03/09/27 03:09.net >>122 Ultrix使ってたんだよ…
124 :名無しさん@お腹いっぱい。 :03/10/04 10:19.net DES はハッシュじゃないと思うのだが。
125 :名無しさん@お腹いっぱい。 :03/10/04 10:43.net そうだね
126 :名無しさん@お腹いっぱい。 :03/10/07 14:45.net passwd ファイルと shadow ファイルの x と * と ! は何を意味するのでしょうか? 普通は shadow にハッシュされたパスワードが入っていて、 そのとき passwd ファイルのほうには x が入っているということくらいしか知らないのですが、 /etc/shadow を見ると * とか ! があります。
127 :名無しさん@お腹いっぱい。 :03/10/07 14:48.net >>126 man 読め OS 名くらい書け
128 :名無しさん@お腹いっぱい。 :03/10/07 15:00.net >>127 ごめんなさい。わかりました。 When the asterisk is there, nothing can match it. An exclamation mark means a password (or account) is locked via usermod(8). Also, a single exclamation marks means that a account is not allowed for logins. So a double exclamation makes sure that if it was unlocked, it would still have an invalid passwd.
129 :名無しさん@お腹いっぱい。 :03/10/16 20:01.net バックエンドのデータベースエンジンに格納されている 「ユーザ名 & ハッシュされたパスワード」 のペアを使って 認証するための PAM モジュールというのはあるのでしょうか? 認証情報を PostgreSQL や MySQL などのデータベースにテーブルとして格納し、 それを使って認証するためには、一旦 LDAP サーバなどを経由する必要がありますか?
130 :LDAPスレの人 :03/10/17 02:20.net >>129 おまいさんは何使い? わしゃDebian使い。 http://packages.debian.org/libpam-pgsql http://packages.debian.org/libpam-mysql
131 :名無しさん@お腹いっぱい。 :03/10/17 04:29.net >>130 が〜ん、漏れも Debian 使いです… そんなパッケージがあったとは…ありがとう。
132 :名無しさん@お腹いっぱい。 :04/05/27 12:24.net 認証を全部Kerberosにしたいのですが、Kerberosできるメールクライアントってどんなのがあるのでしょうか。 なければWebメールかな、と…。
133 :名無しさん@お腹いっぱい。 :04/06/01 21:25.net pam使え。
134 :名無しさん@お腹いっぱい。 :04/09/01 12:34.net Plan9があれば、こんなKerberosみたいなゴテゴテした仕組みは 要らないね。複数のコンピュータで一つのサービスを提供するから シングルサインオンが当たり前の世界だし。
135 :名無しさん@お腹いっぱい。 :04/09/01 13:58.net うちのサーバは人を信用してるから認証なし
136 :名無しさん@お腹いっぱい。 :04/09/01 16:18.net ■これ、犯罪じゃね?■ Part5 http://love3.2ch.net/test/read.cgi/motenai/1094008658/ 援軍に来てください!!お願いします。 どうしてもPCの知識がある人が必要なんです
137 :名無しさん@お腹いっぱい。 :04/09/01 17:12.net >>134 そういえば、Kerberosって日本ではなかなか普及しないねぇ。 まあ、あんな面倒なもの使いたいなんて思わないからなぁ。
138 :名無しさん@お腹いっぱい。 :04/09/02 22:26.net RADIUSとか・・・・・・・認証違いか・・・ ツーか、ダイアルアップの認証はもう辞めませんか社長・・・ 回線からサーバまで管理する身にもなって下さい。 あぁ、今日もまた回線工事でクレームが・・・
139 :名無しさん@お腹いっぱい。 :04/09/02 23:39.net >>137 WindowsとMac OS Xは、Kerberosを重要視し始めましたよ。 しかも運用はGUIDベース。
140 :名無しさん@お腹いっぱい。 :04/09/04 07:27.net OSのあらゆるサービスがkerberos認証に基づく分散コンポーネントで 出来上がってるWindowsは、設計の観点から見たらやっぱり凄いね。
141 :名無しさん@お腹いっぱい。 :04/09/04 23:23.net >>140 一行目はKerberos V5ベタベタに聞こえるけど、そうではない。
142 :くそAD :04/09/10 14:38:10.net Postfix へ POP Before SMTP として、Courier-IMAP + DRACを使う。 で、POPの認証先をLDAPにするまでは良いんだけど、LDAPサーバは Win2003 Server の ActiveDirectory でやってくれと言われた。 別に問題ないんじゃない?と思っていたら、LDAPの業者から ActiveDirectory のパスワード属性は書込み専用で読込むことが出来ないと言われた。 /etc/courier/authldaprc の中で、 ------------------------------ LDAP_CLEARPW userPassword ------------------------------ というような事が出来ないと言うことですよね? まだ Win2003 Server が手元に無いから試せないんだけど。 POPのパスワード用に別の属性を作るのは構わないと言っているけど、 Windows のパスワード(userPassword)と同期は取って欲しいとの事。 何か良い知恵はないですか?
143 :名無しさん@お腹いっぱい。 :04/09/11 00:49:25.net courierをauthpamにして、pamでldapを参照するようにする。 pamのldap moduleが、PADL.comの奴ならば、 パスワード属性を読むんじゃなくて、 bind operationで認証をするので問題なし。*1) ldapsでsimple bind、でいいんじゃないですか? LDAPはdirectory serverであるだけでなく、認証serverでもあります。 userPassword属性を読んで、手元で(ひねった後)比較するんだと、 LDAPはdirectory serverで、認証はlocalでやっていることになります。 *1)の方法がLDAP的なんだけど、あまり理解されてないです。 ほとんどのserverが自分で認証をやってしまっている。
144 :くそAD :04/09/13 11:35:26.net >> 143 早速のアドバイスありがとうございます。 なるほど、NSS-ldapではなく、pamの設定でですか。 authpamに気づかず、同じような事をNSS経由でやろうと思っていました。 もしかしてご経験がある方でしょうか? > ldapsでsimple bind、でいいんじゃないですか? この場合、pam_passwordはclearで良いのでしょうか? ActiveDirectory はクリアテキストでは格納されていないようだと 業者が言っておりました。 (あまりあてにならない業者のようでしたが) Win2003 Server は手に入れたのですが、ユーザのエントリに posixAccount のオブジェクトクラスを追加する方法がまだ 分からずにいてテストできない状態です。 教えて君で申し訳ありませんが、ご存知でしたらお教え願え ますでしょうか? よろしくお願いします。
145 :名無しさん@お腹いっぱい。 :04/09/13 12:15:30.net >>144 > > ldapsでsimple bind、でいいんじゃないですか? > この場合、pam_passwordはclearで良いのでしょうか? Simple bindにすれば、指定しなくていい。(全てサーバ任せ) nss_ldapのときは必須だけどね。ここちゃんと理解してね。 さらにパスワード変更するなら、 client側でpassword modifyオペレーションが利用できればいい。 # ActiveDirectoryはOK > ActiveDirectory はクリアテキストでは格納されていないようだと > 業者が言っておりました。 されてるよ。じゃないとchallenge & response使えないし。 けどそんなこと意識する必要ないのがbind。 > (あまりあてにならない業者のようでしたが) まあ、あなたも分からないわけだから… > Win2003 Server は手に入れたのですが、ユーザのエントリに > posixAccount のオブジェクトクラスを追加する方法がまだ > 分からずにいてテストできない状態です。 ldap関係のCUI .exeが付いているでしょ。ldapaddとか。 ActiveDirectoryの参考書読んだら?
146 :名無しさん@お腹いっぱい。 :04/09/13 12:17:19.net それから↓くらいは読まないとマルチプラットフォーム運用は無理。 http://www.amazon.co.jp/exec/obidos/ASIN/4274065502/
147 :くそAD :04/09/13 13:16:58.net いろいろありがとうございます。 > Simple bindにすれば、指定しなくていい。(全てサーバ任せ) > nss_ldapのときは必須だけどね。ここちゃんと理解してね。 なるほど。 > ldap関係のCUI .exeが付いているでしょ。ldapaddとか。 > ActiveDirectoryの参考書読んだら? ADの参考書を探してるんですが、LDAP側から見たものが見つからなくて 困っているところです。ドメインの管理やらユーザの管理やらの本は 何冊も見つかりましたが。 Win2000 Server ではCD-ROMから何かを入れないとコマンド類が 使えないという情報は見つけましたが、2003 の情報がなくて未だ ldapadd とか使えない状態です。 こちらは調べて何とかします。 「LDAP -設定・管理・プログラミング」は一応読みました。 理解が足らず申し訳ないです。
148 :名無しさん@お腹いっぱい。 :04/09/13 13:30:24.net >>147 > LDAP側から見たものが見つからなくて ないよ。 Windowsで閉じている限りは以下の操作でOKです、ってのばかり。 padl.comのlink集がお勧め。MSDNも必読。 microsoft.ext.schema microsoft.schema microsoft.std.schema も目を通しておいた方がいい。 後はSSLなしで運用してみて、etherealでsnoop。
149 :くそAD :04/09/13 17:30:50.net >>148 > Windowsで閉じている限りは以下の操作でOKです、ってのばかり。 やっぱり・・・ > padl.comのlink集がお勧め。MSDNも必読。 padl.com のリンクはいいですね。 その他、いろいろ良い情報ありがとうございます。 助かりました。
150 :名無しさん@お腹いっぱい。 :04/09/13 23:30:03.net こりゃやってられねーや、と思ったら、予算を確保して、 http://jp.sun.com/javasystem/identitysynch/ を検討してみてね。 来年出るMac OS X 10.4もprimary domain controllerの代りになるらしいが…
151 :名無しさん@お腹いっぱい。 :04/12/31 03:58:57.net ユーザーデーターはLDAP-SSL,認証はKerberosコレ、漢仕様。
152 :名無しさん@お腹いっぱい。 :04/12/31 05:03:31.net Kerberos、きちんと運用できれば便利なんだろうけどねぇ… 既存環境全部捨てるハメになりそうで、ヲレには無理。 NISの代替でPAMからLDAP使っての認証程度で精一杯。
153 :名無しさん@お腹いっぱい。 :05/01/07 23:43:21.net PAMあれば、Kerberos運用は簡単。
154 :名無しさん@お腹いっぱい。 :2005/05/11(水) 03:14:00 .net Solaris9(sparc) + nss_ldap-238(gcc,GNUmakeでbuild)で環境構築中、 ls -lなどではuid/gidの解決がOKっす。 が、LDAP上のユーザを指定したchownや、passwd上のユーザを指定したidコマンドで 必ずSegmentation Faultが出るんだけど…。 一応、ownerの変更や結果の表示はされてまつ。 Compilerのせい? ちなみに、trussで見るとこんなん↓出てまつ。う〜ん… Incurred fault #6, FLTBOUNDS %pc = 0xFF0FAE24 siginfo: SIGSEGV SEGV_MAPERR addr=0xFF0FAE24 Received signal #11, SIGSEGV [default] siginfo: SIGSEGV SEGV_MAPERR addr=0xFF0FAE24
155 :名無しさん@お腹いっぱい。 :2005/05/11(水) 10:41:22 .net >>154 nss_ldapは置き換える必要がないと思うがどうか? 何のために置き換えようとしているの? >>145 は俺なんだけどこの記述が誤解させちゃったかな? >>143 とかLDAPスレとか読んでね。 # Solarisのpam_ldapは、OpenLDAPのpam_ldapと違う処理をする。 # simple bind op.じゃなくて、クライアント側でdecrypt check。 # nss_ldapは普通。接続設定方法だけ独自。
156 :名無しさん@お腹いっぱい。 :2005/05/11(水) 22:14:37 .net 大規模サイトで、LDAPが流行っているようですが、 solaris,BSD `等で OpenLDAP,PADL を実際に使って、認証システムを 構築して、企業なんかで利用できるのだろうか? 検索の速度等が、LDAPは遅いと聞いたのですが。 また、大手のLDAP良く落ちていますが、大丈夫でしょうか? 実際大手はどうやっているのだろうか
157 :名無しさん@お腹いっぱい。 :2005/05/12(木) 00:25:56 .net LDAPスレにありますが、OpenLDAPは駄目駄目です。 iPlanet on Solaris辺りで。 Red HatはNetscapeの奴をAOLから買って一人前にして公開するみたいです。 大手ってのは国内メーカのこと?
158 :名無しさん@お腹いっぱい。 :2005/05/12(木) 01:19:28 .net >>155 Solarisのldapclientコマンドで設定すると、 - いくつかの設定ファイルが自動的に書き換えられてしまう - いくつかのデーモンが勝手に起動する ので、/var/ldap/ldap_client_fileを作るのが目的なのに、 副作用がありそうで、その影響範囲が見えないことを懸念してまつ。 # -vオプションを付ければ処理を全て表示してくれる? 本番運用系のサーバを順次、nss/pam対応しようと思ってるんだけど、 何らかの副作用で、sendmailのメール配送に影響出たりすると、 目も当てられないので…。 その点、PADLのnss_ldapはldapclientのような ブラックボックス化された部分が無く、 シンプルで分かりやすいので、置き換えたかったわけです。 Solaris純正は情報も少ないし…(docs.sun.comくらい?) pamの違いは理解してまつ。 LDAPを認証サーバとして使った経験はあるので。 むしろ「userPasswordを読んで比較」だと、 「それじゃ単なるDBじゃん!」とツッコミたくなるよね。 そのへん純正pamは、ちとイケテナイなぁ、と。
159 :名無しさん@お腹いっぱい。 :2005/05/12(木) 01:22:03 .net >> 157 > iPlanet on Solaris辺りで。 > Red HatはNetscapeの奴をAOLから買って一人前にして公開するみたいです。 iPlanetも元をたどればNetscape Directory Serverではなかった? 勘違いだったらスマソ
160 :155 :2005/05/12(木) 08:09:53 .net >>158 力不足だから、やめときなさい。
161 :158 :2005/05/12(木) 08:55:06 .net >>160 漏れが? … orz
162 :名無しさん@お腹いっぱい。 :2005/05/12(木) 08:59:18 .net FreeBSD でLDAPしようと思うと、LDAPに何を使うのがいいでしょうか? openldap がだめということなので。 VA Linuxが出しているLDAPソリューション、大変興味がありますが、検索速度などどうなのでしょうか?
163 :名無しさん@お腹いっぱい。 :2005/05/12(木) 09:04:59 .net LinuxならiPlanetにしておけば? http://www.sun.com/download/products.xml?id=3ee79e69
164 :ななし :2005/05/16(月) 00:15:01 .net >>162 openldapの話は規模によると思います。 大規模系ですか?
165 :名無しさん@お腹いっぱい。 :2005/06/03(金) 11:56:35 .net Red Hat/Fedoraも出したってさ。 Binaryは今のところLinuxとSolaris only http://directory.fedora.redhat.com/wiki/Main_Page
166 :名無しさん@お腹いっぱい。 :2005/12/27(火) 12:36:07 .net kerberosを使ってるマシン(Fedore Core 4)に誰かがsshでログイン中、チケットキャッシュが /tmp/krb5cc_500_kGobGm8510 という感じで出来てる。別の誰かが su で root になったあと、 このファイルを /tmp/krb5cc_501 のように自分のチケットキャッシュとしてコピーして chown でオーナー変えてしまえば、簡単に盗めてしまい、kerberosに参加してる他のサーバにログインできてしまうけど、どう対策すれば… kerberos に参加している全てのマシンで root 権限を廃止すればいいんだろうけど、 運用が大きく変わりそうだし、他に手はない?
167 :名無しさん@お腹いっぱい。 :2006/01/26(木) 00:07:15 .net debian sargeでPostfixでSMTP AUTH + PAMやりたいのに、なんで どう設定してもPAM認証をおこなってくれない;;
168 :名無しさん@お腹いっぱい。 :2006/01/26(木) 00:29:13 .net >>166 Kerberosを良く勉強するか、心配するのは止めて寝なさい。 >>167 どう設定してもPAM認証を行ってくれないってことはないです。 Cyrus SASL 2を使いなさい。
169 :名無しさん@お腹いっぱい。 :2006/04/26(水) 08:41:30 .net 保守
170 :名無しさん@お腹いっぱい。 :2006/04/26(水) 12:38:54 .net >>168 ってこことかLDAPのスレでよくみるな。
171 :名無しさん@お腹いっぱい。 :2006/07/26(水) 13:18:48 .net ● 細木数子 × 恫喝 × 島倉千代子の弱み 細木数子のブレーンが必死だ。 親しい芸能関係者を呼んで、「 お金はいくらでも出すから 島倉のスキャンダルを教えてくれ 」 と頼んでるらしい。 細木と島倉といえば、 マスコミでは 島倉の危機を救った命の恩人のようだが、実際は細木が島倉を食い物にしたと噂されてる。 その真相を島倉にしゃべられたくないため、 先日、 羽田空港で二人がばったり会った際に、 島倉に「 余計なことをしゃべるな 」とクギを刺したようだ。細木といえば、若い頃は暴力団の 幹部の女だったとか、いろいろ黒い噂のある人物だ。たいていのスキャンダルなら「 力 」と 「 金 」で封じ込めると思うが、何か焦ってるのだろうか。 細木の話によると「 島倉千代子はかって12億円の借金があったが、その借金を細木がマネー ジャーや送り迎えをしながら協力した 」そうだ。それなのに「 借金を返済したとたんに事務所を 移転して音沙汰なし 」とか。 これが本当であれば島倉千代子も恩知らずといえそうだが、これ に対しては逆に 「 細木数子が島倉千代子から金を騙し取っていたので 島倉側は細木数子に 対して怒りを覚えてる 」 という情報もあるようだ。 いつまでも返済できない借金を所属レコード 会社のコロムビアに借金を肩代わりしてもらうことで、別の事務所に移籍して細木数子の魔の 手から逃れたとか。細木数子といえば、実弟のマルチまがい商法疑惑やら悪徳霊感商法疑惑 やらの黒い噂も流れている。 たたけばいくらでも埃の出る身だろうが、 視聴率を稼いでいる今 は大丈夫かもしれない。 http://www.nazotoki.com/obatyan.html
172 :名無しさん@お腹いっぱい。 :2006/07/26(水) 23:06:41 .net >>171 $ cat /etc/pam.d/shimakura auth required pam_hosogi.so account required pam_hosogi.so password required pam_hosogi.so session required pam_hosogi.so $ ↑悪い設定例
173 :名無しさん@お腹いっぱい。 :2007/04/20(金) 10:47:51 .net 落ちそうだからageとくよ LDAPスレ落ちたな。
174 :名無しさん@お腹いっぱい。 :2007/07/08(日) 01:38:46 .net 今ようやく、krb5/heimdal を穿り出してる(SAMBA-ADSからSPNEGO関連) けど、あの辺りのいわゆる名前解決が厭らしいな。 _kerberos なんてSRVレコードを 使うのは、一向構わないのだけど、今更放置してあるMSDNSを弄るのは嫌だし・・・鬱だ。
175 :名無しさん@お腹いっぱい。 :2007/08/19(日) 07:58:05 .net とりあえず LDAP と samba で Windows と UNIX の 統一認証しているけど、今後はどうなるのかねぇ・・・ Samba で Active Directory 扱う方法をいまだに理解 していないので NT ドメイン認証なのが orz いつの間にか NIS は使わなくなっちゃったなぁ。
176 :名無しさん@お腹いっぱい。 :2007/08/20(月) 07:35:07 .net SambaでADに参加するのは簡単。 Solaris10にMIT Krb5と新しめのsambaでやった。 毎回KDCで認証するのを、最初の一度だけにしたいんだけど、 gssapiで認証できるものが少なすぎる。
177 :名無しさん@お腹いっぱい。 :2007/08/22(水) 11:56:22 .net UNIX的にはPAM化した方がよくね?
178 :名無しさん@お腹いっぱい。 :2007/09/06(木) 11:08:41 .net ま、Kerberos の仕組みを理解してない (一時理解したつもりになったがまた忘れた) 俺にとっては、永久に Active Directory は扱えないってこった。 死ね俺。
179 :名無しさん@お腹いっぱい。 :2007/09/11(火) 12:59:49 .net >>178 ・kerberos は チケット発行してもらうKDC。 ・kerberos対応アプリケーション(GSSAPIライブラリつかったもん)では、 ユーザが取得したチケットを確認して、kdcに問い合わせる。 ・レルムに属する資源検索はDNSでも可能になってる。(88/tcpとは限らん) ・昔は、DESを使う。今は3DES/AES、 何でもござれ。 それ以外に何か理解する必要があっただろうか。 実装面での脆弱性とかは、気にしても仕方ない。 それと、KRBとActiveDirectoryとは基礎は同じでも、拡張部分があって 同一に扱うのは無理がある。 Samba4.0あたりでは、独自のKRB実装を入れて AD拡張部分を埋める。
180 :名無しさん@お腹いっぱい。 :2007/09/12(水) 00:29:28 .net 背伸びしすぎw
181 :名無しさん@お腹いっぱい。 :2007/09/13(木) 01:35:42 .net AD,は、エラーが出てもなにが原因かわからないことが多くてやだ。
182 :名無しさん@お腹いっぱい。 :2007/09/14(金) 13:47:51 .net Sambaの出バグオプション、 -d10 とかすると、なにやら出過ぎて困るね。 すごっく遅くなるし。
183 :名無しさん@お腹いっぱい。 :2007/09/14(金) 14:37:35 .net 9とか8とか小さくすればいいんじゃね?
184 :名無しさん@お腹いっぱい。 :2008/08/18(月) 07:48:21 .net nsswitch.conf passwd: file shadow: file group: file って書いてログインできなくなって死んだ。 複数形!
185 :電脳プリオン :2011/12/11(日) 22:02:41.87 ?2BP(1960).net 今は何の時代?
186 :電脳プリオン 忍法帖【Lv=40,xxxPT】(3+0:8) 【28.3m】 :2013/08/11(日) NY:AN:NY.AN ?PLT(12080).net レスないな
187 :名無しさん@お腹いっぱい。 :2014/10/05(日) 11:48:03.78 .net お試しモードでインストールせずにDVDから起動して スクリーンセーバーが起動しちゃったんだけど、 パスワード入力以外受け付けない、どうするの? 強制終了させてもIDと自動でパスワード入力状態になる。 電源ボタン長くおしても電源が落ちないよ。なんで? バッテリーは外せない仕様だからバッテリーぬいて電源おとせないよ。 落ちるまで待つか?
188 :名無しさん@お腹いっぱい。 :2014/10/05(日) 13:17:40.35 .net >>187 コピペ http://peace.2ch.net/test/read.cgi/unix/1050468866/90
189 :名無しさん@お腹いっぱい。 :2017/12/29(金) 09:36:48.21 .net 誰でも簡単にパソコン1台で稼げる方法など 参考までに、 ⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。 グーグル検索⇒『宮本のゴウリエセレレ』 3B4GBGDN1C
190 :名無しさん@お腹いっぱい。 :2018/05/22(火) 04:28:06.56 .net 知り合いから教えてもらったパソコン一台でお金持ちになれるやり方 時間がある方はみてもいいかもしれません グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』 CJXYA
191 :名無しさん@お腹いっぱい。 :2024/03/27(水) 20:04:11.27 .net 要するに あと10年で卒業=まあ普通。 あとは既に糖尿病の薬を飲んでるから物価上がってくぞ
192 :名無しさん@お腹いっぱい。 :2024/03/27(水) 20:13:25.38 .net はえー 正直ジブラやケンジーよりクレバの方もいると思うが
193 :名無しさん@お腹いっぱい。 :2024/03/27(水) 20:35:54.83 .net ウォッチしてたんでしょ
194 :名無しさん@お腹いっぱい。 :2024/03/27(水) 21:52:27.91 .net ガチで戦力構想から外れてJKにおっさんにやらせたことに関しては既存顧客との戦いを始める お前ら このケースの正解てなんなんだよ クワド芸人だったと考えるべきなのかもしれんけど
63 KB
新着レスの表示
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver.24052200
本文 スレッドタイトル 投稿者