よくある話で、Login、Samba、メール、WWWなどのパスワード認証を、すべてLDAPで統一しようと思い、とりあえず、FreeBSDにログインやらFTP、Sambaの認証までできるようにしてみた。
はまったところ:
●SASLを使うようにしたら、ぜんぜん動かなくなった。
Kerberosが使われているようなので、cyrus-sasl2をビルドしなおした。
WITHOUT_GSSAPIをセットするのがよい。
また、上書きインストールすると、昔の共有ライブラリが残ってしまうので、それをちゃんと消さないとダメ。
●MD5-DIGESTにするには、plaintextでパスワードをセットしなければならない。
NISのpasswdからもってきたので、cryptじゃ、とうぜんだめなのね・・・
cyrus-sasl2用のデータベースに登録する必要はないらしい。
●plaintextのパスワードがみえてしまわないように、アクセス制限しなければならない。
当然なんだけど、なぜかデフォルトでは、だだもれでしたよ。いー?
●SAMBAのパスワードも、2つほど、見えてはいけないものがある。
これもアクセス制限をする。
アクセス制限の方法については、マニュアルなどのドキュメントをじっくり読めば、一応書いてある。
楽しようと、googleして、だれかの紹介している方法をそのままやろう、とかすると、かえって惑わされる。
●SAMBAの管理者アカウントって???
それは、LDAPのデータベースをがりがり書き込めるアカウントのことだった。
SAMBA用のアカウントをLDAPに作るのかと思い込んでいた。
●SAMBAで認証できねーよ?
最初に、「smbpasswd -a ユーザー名」すること。これで、LDAPに、SAMBA用の情報が追加されるようになる。
●slapdへのアクセス制限が、tcp wrapperでできない
/etc/hosts.allowをいじると、まったくアクセスできなくなった。なんで?
tcp wrapperなんて、いらねー、ということで、みなかったことにする。
●パスワード変更はsmbpasswdで行う
そうしないと、SAMBAのパスワードと、そのほかのパスワードの同期がとれなくなるので。
ldappasswdは、なんだか、思ったのとは全然違う動作をするので、笑える。勝手にパスワードを変えられてしまう。どういう思想で設計したユーザーインターフェイスなんだか・・・
はまったところ:
●SASLを使うようにしたら、ぜんぜん動かなくなった。
Kerberosが使われているようなので、cyrus-sasl2をビルドしなおした。
WITHOUT_GSSAPIをセットするのがよい。
また、上書きインストールすると、昔の共有ライブラリが残ってしまうので、それをちゃんと消さないとダメ。
●MD5-DIGESTにするには、plaintextでパスワードをセットしなければならない。
NISのpasswdからもってきたので、cryptじゃ、とうぜんだめなのね・・・
cyrus-sasl2用のデータベースに登録する必要はないらしい。
●plaintextのパスワードがみえてしまわないように、アクセス制限しなければならない。
当然なんだけど、なぜかデフォルトでは、だだもれでしたよ。いー?
●SAMBAのパスワードも、2つほど、見えてはいけないものがある。
これもアクセス制限をする。
アクセス制限の方法については、マニュアルなどのドキュメントをじっくり読めば、一応書いてある。
楽しようと、googleして、だれかの紹介している方法をそのままやろう、とかすると、かえって惑わされる。
●SAMBAの管理者アカウントって???
それは、LDAPのデータベースをがりがり書き込めるアカウントのことだった。
SAMBA用のアカウントをLDAPに作るのかと思い込んでいた。
●SAMBAで認証できねーよ?
最初に、「smbpasswd -a ユーザー名」すること。これで、LDAPに、SAMBA用の情報が追加されるようになる。
●slapdへのアクセス制限が、tcp wrapperでできない
/etc/hosts.allowをいじると、まったくアクセスできなくなった。なんで?
tcp wrapperなんて、いらねー、ということで、みなかったことにする。
●パスワード変更はsmbpasswdで行う
そうしないと、SAMBAのパスワードと、そのほかのパスワードの同期がとれなくなるので。
ldappasswdは、なんだか、思ったのとは全然違う動作をするので、笑える。勝手にパスワードを変えられてしまう。どういう思想で設計したユーザーインターフェイスなんだか・・・