ttt

getttyent

openldapでクタクタになった1日

2005-06-08 00:48:38 | デジタル・インターネット
よくある話で、Login、Samba、メール、WWWなどのパスワード認証を、すべてLDAPで統一しようと思い、とりあえず、FreeBSDにログインやらFTP、Sambaの認証までできるようにしてみた。

はまったところ:

●SASLを使うようにしたら、ぜんぜん動かなくなった。
Kerberosが使われているようなので、cyrus-sasl2をビルドしなおした。
WITHOUT_GSSAPIをセットするのがよい。
また、上書きインストールすると、昔の共有ライブラリが残ってしまうので、それをちゃんと消さないとダメ。

●MD5-DIGESTにするには、plaintextでパスワードをセットしなければならない。
NISのpasswdからもってきたので、cryptじゃ、とうぜんだめなのね・・・
cyrus-sasl2用のデータベースに登録する必要はないらしい。

●plaintextのパスワードがみえてしまわないように、アクセス制限しなければならない。
当然なんだけど、なぜかデフォルトでは、だだもれでしたよ。いー?

●SAMBAのパスワードも、2つほど、見えてはいけないものがある。
これもアクセス制限をする。

アクセス制限の方法については、マニュアルなどのドキュメントをじっくり読めば、一応書いてある。
楽しようと、googleして、だれかの紹介している方法をそのままやろう、とかすると、かえって惑わされる。

●SAMBAの管理者アカウントって???
それは、LDAPのデータベースをがりがり書き込めるアカウントのことだった。
SAMBA用のアカウントをLDAPに作るのかと思い込んでいた。

●SAMBAで認証できねーよ?
最初に、「smbpasswd -a ユーザー名」すること。これで、LDAPに、SAMBA用の情報が追加されるようになる。

●slapdへのアクセス制限が、tcp wrapperでできない
/etc/hosts.allowをいじると、まったくアクセスできなくなった。なんで?
tcp wrapperなんて、いらねー、ということで、みなかったことにする。

●パスワード変更はsmbpasswdで行う
そうしないと、SAMBAのパスワードと、そのほかのパスワードの同期がとれなくなるので。
ldappasswdは、なんだか、思ったのとは全然違う動作をするので、笑える。勝手にパスワードを変えられてしまう。どういう思想で設計したユーザーインターフェイスなんだか・・・



コメントを投稿

ブログ作成者から承認されるまでコメントは反映されません。