Memo/Linux/OpenLDAP

OpenLDAP

Memo/Linux/OpenLDAP/WebUI

OpenLDAP †

wikipedia:LDAP(Lightweight Directory Access Protocol)

日本LDAPユーザ会
- トラブルの早期発見のために出来ること(PDF)
- 知っておきたい、 OpenLDAPサポートツール(PDF)バックアップ、リストア等

記事

Google Apps連携

↑

openldap-servers-2.6へ更新 †

更新前: 2.4
更新後: 2.6 (AlmaLinux 9)
- openldap-servers-2.6.8-2.el9.x86_64
- openldap-clients-2.6.8-4.el9.x86_64

/etc/openldap/slapd.conf

# includeとmoduleloadが重複しているとエラー。重複しているinclude側を削除
-include         /etc/openldap/schema/ppolicy.schema

# mdbを明示的にload
+moduleload back_mdb.la

# bdbは廃止された。mdbを使用
-database        bdb
+database        mdb
-directory       /var/lib/ldap/bdb

# bdb固有設定は削除
-cachesize       5000
-idlcachesize    15000

+# MDB specific settings
+directory       /var/lib/ldap/mdb
+maxsize         1073741824

↑

/var/lib/ldap/deltalog の肥大化 †

OpenLDAP のトランザクションログ #openldap - Qiita

"database bdb" の場合これ

sudo vim /var/lib/ldap/DB_CONFIG
--
set_flags DB_LOG_AUTOREMOVE
--
sudo service slapd restart

既存の"log.*"は消えないので、手動で削除

sudo db_checkpoint -h /var/lib/ldap/deltalog -1
sudo db_archive -h /var/lib/ldap/deltalog -d

Provider configuration - delta replication
- "database mdb" の場合はこれ？ bdbの場合は効かなかった。
- slapd.conf に logpurge設定があるか？
```
logpurge 7+00:00 1+00:00
```

記事:

ものいわぬOpenLDAPサーバのログ管理：OpenLDAPによるディレクトリサーバ運用（3）（3/3 ページ） - ＠IT

↑

パスワード生成アルゴリズム †

OpenLDAP Faq-O-Matic: What are {SHA} and {SSHA} passwords and how do I generate them?
- perl, php, rubyでの実装

python:

ruby:

https://gist.github.com/yukithm/5a850e12fa0138fbf2cfdbbaaadbc7e4#file-ldap-password-rb-L35

shell:

{SHA}の失敗例

# NG: 以下の値は異なる。sha1のdigestをbase64encodeする必要がある
echo "test1234" | sha1sum | cut -d ' ' -f1 | base64
Yjc1ZjY2NjhmNzQwYWU2YjRhNDA4YjZiMTA0NzBhMzBkYmI5ZDZiYgo=

↑

glue entry: syncreplで複製されないエントリを補完 †

OpenLDAP ソフトウェア 2.3 管理者ガイド: LDAP Sync 複製

syncrepl の設定では一般的な検索フィルタを指定するので、コンテキスト中のいくつかのエントリは同期内容から失われる可能性があります。そこで syncrepl エンジンは、複製対象の一部に穴がある場合に、グルー(glue)エントリを生成して穴を埋めます。グルーエントリは ManageDsaIT 制御が与えられていない場合には検索の結果に返りません。

記事:

P14 - glueエントリ(pdf)

例:

以下はApache Directory Studioでは表示されない。ldapsearchでは表示された。
```
objectClass: top
objectClass: glue
structuralObjectClass: glue
```
- 以下は正常にツリー表示される
```
structuralObjectClass: locality
objectClass: locality
objectClass: top
```

修復:

mycroes' blog: Recovering from glue objects in OpenLDAP

↑

Monitoring: 監視 †

[OpenLDAP Software 2.4 Administrator's Guide: Monitoring](https://www.openldap.org/doc/admin24/monitoringslapd.html)
- 「database monitor」を有効化
- 「dn: cn=Monitor」のように監視用ユーザを用意する事で、「ldapsearch」で監視用メトリクスが取得できる

記事:

トラブルの早期発見のために出来ること(PDF)

↑

バイナリ値: base64 †

属性に "::" がついているとバイナリ値。base64でエンコードされている。

例："\r\n"が入っている、画像等
日本語等は文字コード:UTF-8で、base64エンコードして入れる

例:

# 通常の場合
sshPublicKey: ssh-rsa ...

# 末尾に"\r\n"が入っている場合
sshPublicKey:: c3NoLXJ...

記事
- 第2回　OpenLDAPの設定パラメータ：そろそろLDAPにしてみないか？｜gihyo.jp … 技術評論社

↑

パスワード変更時に「Must supply old password to be changed as well as new one」 †

環境
- CentOS release 6.8
- openldap-servers-2.4.40-12.el6.x86_64

現象
- ldapmodify時にldap serverの/var/log/openldap/slapd.logに「Must supply old password to be changed as well as new one」と表示され、client(php)側は「LDAP - Modify password error 50 (Insufficient access)」となる。
- パスワードの変更時に古いパスワード入力が必須になっている

原因
- 「pwdSafeModify:TRUE」が /etc/openldap/slapd.conf の「ppolicy_default」で指定されたcnレコードに追加されていると発生する

解決

「pwdSafeModify:FALSE」に変更する。
LDAPのadminユーザで変更する

または、Re: [ldapext] ppolicy questions LDAP Server側ppolicyを変更しないで実施する場合、削除後に追加する

dn: uid=jayson,ou=people,o=example,dc=com
changetype: modify
delete: userPassword
userPassword: OldPassword
add: userPassword
userPassword: NewPassword

PHP: ldap_modify_batch - Manualの場合

        $modifications = array(
            array(
                "attrib" => "userPassword",
                "modtype" => LDAP_MODIFY_BATCH_REMOVE,
                "values" => array($oldpassword),
            ),
            array(
                "attrib" => "userPassword",
                "modtype" => LDAP_MODIFY_BATCH_ADD,
                "values" => array($password),
            ),
        );
        $bmod = ldap_modify_batch($ldap, $dn, $modifications);

↑

index †

記事
- OpenLDAPによるディレクトリサーバ運用（5）：ビシッと決めるチューニング：しっかり基本編 (3/3) - ＠IT
- OpenLDAP - 「bdb_equality_candidates」エラーの対応方法 - Qiita

config databaseを使っている場合、後からindexを追加し、slapd.d を消して、slapdを再起動すると、nslcdから名前解決できなくなる。ldapsearchは成功し、サーバのopenldapのログや、nslcdにはエラーは出ない。この場合、slapindex を実行すると解決した。

indexを後から追加する

sudo service slapd stop
sudo vim /etc/openldap/slapd.conf
----
index description                       eq
----
sudo slapindex
sudo service slapd start

↑

loglevel †

記事
- OpenLDAP Software 2.4 Administrator's Guide: The slapd Configuration File
- 第9回　LDAPとログ：そろそろLDAPにしてみないか？｜gihyo.jp … 技術評論社

デフォルトでは何もログが出ない
syslog経由で出力する事が出来る。解説サイトでは数値だが、文字でも指定できる
- /etc/openldap/slapd.conf
```
loglevel stats sync
```
- /etc/rsyslog.d/openldap.conf
```
local4.* /var/log/openldap/slapd.log
```
- /etc/logrotate.d/openldap
```
/var/log/openldap/*.log {
        daily
        missingok
        compress
        notifempty
        copytruncate
}
```
- サービスの再起動
```
sudo service rsyslog restart
```

↑

標準入力を使う †

複数のsshPublicKey:を登録する場合、ldapmodifyでは2つentlyを書く

ヒアドキュメントを使う場合

ldapmodify -x -H 'ldap://localhost' -D 'cn=Manager,dc=my-domain,dc=com' -W <<EOS
dn: uid=user01,ou=People,dc=my-domain,dc=com
changetype: modify
replace: sshPublicKey
sshPublicKey: ssh-rsa replaced...
sshPublicKey: ssh-ed25519 replaced...
EOS

echoを使う場合

echo "dn: uid=user01,ou=People,dc=my-domain,dc=com
changetype: modify
replace: sshPublicKey
sshPublicKey: ssh-rsa replaced
sshPublicKey: ssh-ed25519 replaced...
" | ldapmodify -x -H 'ldap://localhost' -D 'cn=Manager,dc=my-domain,dc=com' -W

↑

ACL(Access Control Lis) / アクセス制限 †

記事

↑

トラブル †

↑

local userでもLDAPに問い合わせてしまう †

構成：CentOS 6/7, nss-pam-ldapd, openldap, openssh-ldap, nscd

問題
- local userで認証成功した場合は、LDAPに問い合わせないで欲しい。
- CentOS 6.x/7.x で確認する限り、local user認証が成功してもLDAPに問い合わせてしまう
- local userのログインでも遅くなるし、無駄な問い合わせでLDAPサーバの負荷が上がる
- Man page of NSSWITCH.CONFの通りに指定しても目的の挙動にならない
  - 「files [NOTFOUND=return] ldap」local user=>成功、ldap user=>失敗(想定通り)
  - 「files [!NOTFOUND=return] ldap」local user=>LDAP接続、ldap user=>LDAP接続(想定外)
  - 「files [NOTFOUND=continue] ldap」local user=>LDAP接続、ldap user=>LDAP接続(想定外)
  - 「files [SUCCESS=return] ldap」local user=>LDAP接続、ldap user=>LDAP接続(想定外)

解決

nss-pam-ldapd: nslcd.conf(5) manual page

sudo vim /etc/nslcd.conf
----
nss_initgroups_ignoreusers ALLLOCAL
----
sudo service nslcd restart

記事
- LDAPのチューニング関係メモ | OpenGroove
- ldap 利用時のnsswitch.conf - うまいぼうぶろぐ

確認

cat /etc/nsswitch.conf
passwd:     files ldap
shadow:     files ldap
group:      files ldap


# キャッシュ等を停止
sudo service nscd stop
sudo service nslcd stop
# debug modeで起動
sudo nslcd -d

# 別ターミナルでidコマンドを使って確認
id local_user
id ldap_user

↑

Can't contact LDAP server †

「ldap_result() failed: Can't contact LDAP server」が/var/log/messagesによく出る
- "ldap_result() failed: Can't contact LDAP server" yet more annoying messages
- nscd がちょっと詰まる
- 以下の設定を入れたが、まだ出る
```
sudo vim /etc/nslcd.conf
----
timelimit 60
idle_timelimit 240
----
sudo service nslcd restart
```

↑

/etc/pam.d/以下がsymlinkの場合にauthconfigを使うと壊れる場合がある †

○：/etc/pam.d/*-authがsymlink、*-acが実体
×：/etc/pam.d/*-authが実体、*-ac がsymlink

記事
- authconfig でのカスタム設定の保持 - 第4章ツールとサービスを使用したシステム強化

環境
- CentOS 6.x 64bit

*-authが実体、*-ac がsymlinkの場合にauthconfigで更新するとpam.d以下が壊れて、sshでログインできなくなる。

ls -l /etc/pam.d/*auth*
-rw-r--r-- 1 root root 766 2016-09-01 09:00 /etc/pam.d/fingerprint-auth
lrwxrwxrwx 1 root root  27 2016-09-01 09:00 /etc/pam.d/fingerprint-auth-ac -> /etc/pam.d/fingerprint-auth
-rw-r--r-- 1 root root 869 2016-09-01 09:00 /etc/pam.d/password-auth
lrwxrwxrwx 1 root root  24 2016-09-01 09:00 /etc/pam.d/password-auth-ac -> /etc/pam.d/password-auth
-rw-r--r-- 1 root root 879 2016-09-01 09:00 /etc/pam.d/smartcard-auth
lrwxrwxrwx 1 root root  25 2016-09-01 09:00 /etc/pam.d/smartcard-auth-ac -> /etc/pam.d/smartcard-auth
-rw-r--r-- 1 root root 869 2016-09-01 09:00 /etc/pam.d/system-auth
lrwxrwxrwx 1 root root  22 2016-09-01 09:00 /etc/pam.d/system-auth-ac -> /etc/pam.d/system-auth

authconfigで更新。既存の設定ファイルが書き換わるので注意

sudo yum install authconfig
rpm -q authconfig
authconfig-6.1.12-23.el6.x86_64
sudo authconfig --update

*-auth もsymlinkになり、実体が無いため全ての認証に失敗するようになる

ls -l /etc/pam.d/*auth*
lrwxrwxrwx 1 root root 19 2016-11-16 06:00 /etc/pam.d/fingerprint-auth -> fingerprint-auth-ac
lrwxrwxrwx 1 root root 27 2016-09-01 09:00 /etc/pam.d/fingerprint-auth-ac -> /etc/pam.d/fingerprint-auth
lrwxrwxrwx 1 root root 16 2016-11-16 06:00 /etc/pam.d/password-auth -> password-auth-ac
lrwxrwxrwx 1 root root 24 2016-09-01 09:00 /etc/pam.d/password-auth-ac -> /etc/pam.d/password-auth
lrwxrwxrwx 1 root root 17 2016-11-16 06:00 /etc/pam.d/smartcard-auth -> smartcard-auth-ac
lrwxrwxrwx 1 root root 25 2016-09-01 09:00 /etc/pam.d/smartcard-auth-ac -> /etc/pam.d/smartcard-auth
lrwxrwxrwx 1 root root 14 2016-11-16 06:00 /etc/pam.d/system-auth -> system-auth-ac
lrwxrwxrwx 1 root root 22 2016-09-01 09:00 /etc/pam.d/system-auth-ac -> /etc/pam.d/system-auth

↑

attribute 'c' not allowed †

slapaddでエラーが出る。schemaファイル名は同じでもopenldap-serversのバージョンによって微妙に違いがあるようだ。古い schema を上書きしたら動作した
/etc/openldap/schema/
- OK: openldap-servers-2.4.23-34.25.amzn1.x86_64
- NG: openldap-servers-2.4.40-12.el6.x86_64

diff -uwr schema/inetorgperson.schema schema.2.4.40-12/inetorgperson.schema
--- schema/inetorgperson.schema 2012-11-30 22:38:35.000000000 +0900
+++ schema.2.4.40-12/inetorgperson.schema       2016-05-11 08:32:09.000000000 +0900
@@ -151,5 +151,5 @@
                labeledURI $ mail $ manager $ mobile $ o $ pager $
                photo $ roomNumber $ secretary $ uid $ userCertificate $
                x500uniqueIdentifier $ preferredLanguage $
-               userSMIMECertificate $ userPKCS12 $ c )
+               userSMIMECertificate $ userPKCS12 )
        )

↑

LDAPスキーマの追加 †

slapadd等でLDAPスキーマが不足している場合は、「str2ad(sudoUser): attribute type undefined」の様なエラーが出る。

CentOS6.x: sudo.schema, openssh.schema, ldapns.schema を追加

# sudo.schemaを追加
find /usr/share/doc/ -name schema.OpenLDAP 
/usr/share/doc/sudo-1.8.6p3/schema.OpenLDAP
sudo cp /usr/share/doc/sudo-1.8.6p3/schema.OpenLDAP /etc/openldap/schema/sudo.schema

# openssh.schema, ldapns.schemaを追加
sudo yum install openssh-ldap pam_ldap -y
find /usr/share/doc/ -name openssh-lpk-openldap.schema
/usr/share/doc/openssh-ldap-5.3p1/openssh-lpk-openldap.schema
sudo cp /usr/share/doc/openssh-ldap-5.3p1/openssh-lpk-openldap.schema  /etc/openldap/schema/openssh.schema

find /usr/share/doc/ -name ldapns.schema
/usr/share/doc/pam_ldap-185/ldapns.schema
sudo cp /usr/share/doc/pam_ldap-185/ldapns.schema /etc/openldap/schema/

sudo vim /etc/openldap/slapd.conf
----
include         /etc/openldap/schema/sudo.schema
include         /etc/openldap/schema/openssh.schema
include         /etc/openldap/schema/ldapns.schema
----

↑

デバッグ †

nslcd:

sudo service nslcd stop
sudo nslcd -d
# デバッグ終了時に CTRL+C

↑

認証方式の変更 †

CentOS7では /etc/nsswitch.conf 内がldapではなく、sssに変わるので注意
コマンドライン
```
LANG=C; authconfig-tui
```

↑

LDAPでssh認証する場合に、sudoできない時 †

記事
- さくらのクラウドで普通のLDAP認証ができるサーバーを量産する - mazgi.log

sudo時にどの設定ファイルを見ているか確認

sudo -V | grep 'ldap.conf path:'
ldap.conf path: /etc/ldap.conf.sudo

symlinkを貼る

ln -s /etc/ldap.conf /etc/ldap.conf.sudo

↑

LDAPでssh公開鍵認証を使う †

現状2つ方法があるようだ。

sssd: RHEL 7以降推奨
openssh-ldap: RHEL 6以下

↑

sssdでLDAP認証 †

RHEL 7以降
RHEL 9: sssd-2.8.2-3.el9_2.alma.x86_64
- 「sss_obfuscate -d mydomain」でのパスワード暗号化は、「/etc/sssd/conf.d/」にdomainファイルがあるとdomainを認識せず失敗

【SSSD】access_provider, ldap_access_order, ldap_access_filter を使用してLDAPユーザのSSHアクセス制御を行いたい - サーバーワークスエンジニアブログ特定のLDAP entryをもつユーザーだけにsshログインを許可したい等
13.2.8. サービスの設定： sudo Red Hat Enterprise Linux 6 | Red Hat Customer Portal
- sudoの管理をLDAPで行う。nopasswdの方法が不明なので、/etc/sudoers.d/ でグループを許可するか
```
sudo cat /etc/sudoers.d/wheel
%wheel ALL=(ALL) NOPASSWD: ALL
```
9.11. Identity Management
- sshで公開鍵を使った認証のために必要。これがないとidでは値が返ってくるがsshでログインできない状態になる
```
vi /etc/ssh/sshd_config
--
AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys
AuthorizedKeysCommandUser nobody
--
sudo service sshd restart
```

Example:

sudoはLDAPで管理しない。NOPASSWDの方法が不明のため。
LDAP userに"description=dev"のエントリがある場合のみログインできるように。LDAP user側は"description=prod"等同名を複数定義できる

/etc/sssd/sssd.conf

[sssd]
debug_level = 0
config_file_version = 2
services = nss, pam, ssh
domains = ldap

[domain/ldap]
id_provider     = ldap
auth_provider   = ldap
chpass_provider = ldap

ldap_uri = ldaps://ldap.example.com:22636
ldap_search_base = dc=example,dc=com
ldap_id_use_start_tls = true
ldap_tls_reqcert = allow
ldap_user_ssh_public_key = sshPublicKey

ldap_default_bind_dn = cn=sssd,dc=example,dc=com
ldap_default_authtok_type = password
ldap_default_authtok = ****

access_provider = ldap
ldap_access_filter = &(objectclass=posixaccount)(description=dev)
ldap_access_order = filter


enumerate = false
cache_credentials = true
case_sensitive = false

[nss]
homedir_substring = /home
filter_groups = root
filter_users = root

複数の公開鍵を登録できる。
- ldapmodifyの場合、「sshPublicKey: ...」を複数行書く。
```
sshPublicKey: ssh-rsa replaced...
sshPublicKey: ssh-ed25519 replaced...
```

第4章 LDAP を使用し、TLS 認証を必要とする SSSD の設定 - Red Hat Enterprise Linux 9 | Red Hat Customer Portal
(ヽ´ω`) < OpenLDAP + SSSDでLinuxログインアカウント一元管理がさっぱりわからん - 3. SSSDの設定 - - (ヽ´ω`) < 助けてほしいマン生passwordを設定する
OpenLDAPとSSSDを利用したユーザー認証 #LDAP - Qiita パスワードの難読化含む

↑

openssh-ldapでLDAP認証 †

RHEL 6以下
openssh-ldap + nslcd + nscd

記事

複数の公開鍵を登録できる。
- ldapmodifyの場合、「sshPublicKey: ssh-ed25519 ...」を複数行書く。

sshのバージョンによって/etc/ssh/sshd_configの記述が違う。「sshd -t」で設定ファイルのテストできる
- CentOS6: openssh-5.3p1-122.el6.x86_64
```
AuthorizedKeysCommand /usr/libexec/openssh/ssh-ldap-wrapper
AuthorizedKeysCommandRunAs root
```
- CentOS7: openssh-6.6.1p1-35.el7_3.x86_64
```
AuthorizedKeysCommand /usr/libexec/openssh/ssh-ldap-wrapper
AuthorizedKeysCommandUser root
```

/etc/sysconfig/authconfig は初回存在しない。(CentOS 6.5) 作成するには、
```
sudo authconfig --update
```

ssh認証にLDAPを使う場合、以下のコマンドを使う。

# 設定変更
LANG=C sudo authconfig-tui

# 設定確認
sudo authconfig --test

# 変更されるファイル
/etc/nscl.conf
/etc/nsswitch.conf
/etc/pam_ldap.conf
/etc/openldap/ldap.conf
/etc/sysconfig/authconfig
/etc/pam.d/*

↑

ldapdelete：エントリの削除 †

指定階層以下も削除したい場合は「-r」オプション

ldapdelete -x -H ldap://localhost:389 \
  -D "cn=Manager,dc=my-domain,dc=com" \
  -W \
  'uid=user03,ou=People,dc=my-domain,dc=com'

↑

バージョンアップ †

記事
- OpenLDAP, 2.4.38 Release Changes
- Bug 807363 openldap libraries leak memory when following referrals

CentOS6.xの 2.4.23 にはmemory leakがあるので、IUS Community のリポジトリから 2.4.32-2 へアップデートする場合

rpm -ivh http://dl.iuscommunity.org/pub/ius/stable/Redhat/6/x86_64/ius-release-1.0-11.ius.el6.noarch.rpm
rpm -ivh http://dl.iuscommunity.org/pub/ius/stable/Redhat/6/x86_64/epel-release-6-5.noarch.rpm
yum install yum-plugin-replace
yum replace openldap-servers --replace-with openldap24-servers --enablerepo=ius-dev

↑

password hash methodの変更 †

userPassword のデフォルトのhash methodは{SSHA}だが変更できる
Google Apps Directory Syncで同期する時には {SHA} が必要。で{SSHA}だとエラーになる
Pythonで{SSHA} {SHA}形式のパスワード生成

sudo vim /etc/openldap/slapd.conf
----
# database config より上に記述
password-hash {SHA}
----
sudo service slapd stop
sudo rm -rf /etc/openldap/slapd.d/{cn=config,cn=config.ldif}
sudo -u ldap slaptest -f  /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
sudo service slapd restart

↑

slappasswd : パスワード生成 †

ハッシュ化パスワードを生成する。

Google Apps Directory Syncで同期する時には {SHA} が必要。で{SSHA}だとエラーになる
CentOS6.x には openldap-servers パッケージに入っていた

# 入力待ち
slappasswd
New password: 
Re-enter new password: 
{SSHA}CfGz6P2+x1YoIAjBnIsezTJvROGXQFMw

# パスワード指定
slappasswd -s secret
{SSHA}H8R+xa45GRrDhntW8NzXO0pP5btUnAz3

# Hash methodの指定: {SHA}, {SSHA}, {MD5}, {SMD5}, {CRYPT}, {CLEARTEXT}
slappasswd -s secret -h {SHA}
{SHA}5en6G6MezRroT3XKqkdPOmY/BfQ=

↑

ldappasswd : パスワード変更 †

一般ユーザが自分でパスワードで変更する場合。

ldappasswd -x -H 'ldap://localhost' \
 -D 'uid=user01,l=apac,ou=users,dc=my-domain,dc=com' \
 -W -S -A 'uid=user01,l=apac,ou=users,dc=my-domain,dc=com'

Old password: ***
Re-enter old password: ***
New password: ***
Re-enter new password: ***
Enter LDAP Password: ***

他ユーザを使ってパスワードの変更(-W, -A, -S でそれぞれ入力待ちになる)

ldappasswd -x -H 'ldap://localhost' -D 'cn=Manager,dc=my-domain,dc=com' -w 'Manager password' -s 'new password' 'uid=user01,l=apac,ou=users,dc=my-domain,dc=com'

↑

objectClass: value #0 invalid per syntax †

原因
- objectClassの上から#0番目がエラー
- 未定義のobjectClassを使用している

エラー内容

ldap_add: Invalid syntax (21)
        additional info: objectClass: value #0 invalid per syntax

解決

/etc/openldap/slapd.conf に該当schemaを読み込ませる

sudo vim /etc/openldap/slapd.conf
----
include         /etc/openldap/schema/inetorgperson.schema
----

# slapd.conf 更新
sudo service slapd stop
sudo rm -rf /etc/openldap/slapd.d/{cn=config,cn=config.ldif}
sudo -u ldap slaptest -f  /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
sudo service slapd restart

↑

LDIFファイル †

http://en.wikipedia.org/wiki/LDAP_Data_Interchange_Format

1行1レコード
行頭が空白文字の場合、継続行
コメント：行頭 "#"
空行で区切り

# 1つめのエントリ
dn: uid=user01,ou=People,dc=my-domain,dc=com
uid: user01
cn: Test User 01
objectClass: account
objectClass: posixAccount
objectClass: top
loginShell: /bin/bash
uidNumber: 5001
gidNumber: 3001
homeDirectory: /home/user01

# 2つめのエントリ
dn: uid=user02,ou=People,dc=my-domain,dc=com
uid: user02
cn: Test User 02
objectClass: account
objectClass: posixAccount
objectClass: top
loginShell: /bin/bash
uidNumber: 5002
gidNumber: 3002
homeDirectory: /home/user02

↑

uidNumberの最大値を検索 †

ldapsearch -x -H 'ldap://localhost' -b 'dc=my-domain,dc=com' -D 'cn=Manager,dc=my-domain,dc=com' -w 'YOUR PASSWORD' '(objectClass=posixAccount)' -LLL | \
    grep uidNumber: | \
    cut -f 2 -d ' ' | \
    sort -nr        | \
    head -n 1

↑

ldapsearch : 登録済みエントリーの検索 †

ldaps:// を使って uid=hoge を検索。("-W" の代わりに "-w password" でパスワードを直接指定)

ldapsearch -x -b 'dc=my-domain,dc=com' '(uid=hoge)' \
  -H ldaps://localhost:636 \
  -D "cn=Manager,dc=my-domain,dc=com" \
  -W

7.4 LDAP検索フィルタ
- デフォルトフィルタ: objectClass=*

-b: 指定階層以下を検索したい場合、filterではなく、-b 'ou=users,dc=my-domain,dc=com' のように指定する

-A: 属性名のみを表示。属性値は非表示
- o ldif-wrap=no: 出力時に改行しない。OpenLDAP 2.4.24以降で指定可能。デフォルトでは78文字で改行される。

↑

ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1) †

ldaps://での通信時に発生。SSL自己証明書等を利用していると出る。
openldap-clientsのみの場合でも有効。

認証されていないサーバ証明書をクライアントが受け入れる
```
vim /etc/openldap/ldap.conf
----
tls_reqcert never
----
```

↑

sshログインにldapを使う †

CentOS6.x

クライアント側

# インストール
yum install pam_ldap nscd nss-pam-ldapd

# デフォルトでTLS認証が嫌な場合は以下をyesに変更
vim /etc/sysconfig/authconfig
----
FORCELEGACY=yes
----

# 認証情報設定(/etc/nsswitch.conf, /etc/pam.d/system-auth-ac, /etc/openldap/ldap.conf が変更される)
authconfig --enableldap --enableldapauth --ldapserver="ldap://[LDAP SERVER]/" --ldapbasedn="dc=my-domain,dc=com" --update
authconfig --test | grep -i ldap
chkconfig nslcd on

# ホームディレクトリが無い場合は自動作成
echo "session     optional      pam_mkhomedir.so skel=/etc/skel umask=022" >> /etc/pam.d/system-auth-ac

sshログインできるかテスト

LDAP認証の無効化

authconfig --disableldap --disableldapauth --update
authconfig --test | grep -i ldap

↑

設定(cn=config) 監視(cn=monitor) データベースを有効にする †

記事
- Chau Chee Yang Technical Blog: LDAP: Introduction to OpenLDAP

デフォルトでは以下のディレクトリはadminユーザでも見えない。

cn=config ディレクトリ
- LDAPサーバ設定自体をデータベースに格納して管理

cn=monitor ディレクトリ
- 監視項目が増える

CentOS6.x

ユーザ:cn=Manager,dc=my-domain,dc=com でアクセス可能にする場合

# "database        bdb" の前に追加
sudo vim /etc/openldap/slapd.conf
----
# enable on-the-fly configuration (cn=config)
database config
access to *
        by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage
        by dn.exact="cn=Manager,dc=my-domain,dc=com" manage
        by * none

# enable server status monitoring (cn=monitor)
database monitor
access to *
        by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read
        by dn.exact="cn=Manager,dc=my-domain,dc=com" read
        by * none
----

sudo service slapd stop
sudo rm -rf /etc/openldap/slapd.d/{cn=config,cn=config.ldif}
sudo -u ldap slaptest -f  /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
sudo service slapd restart

Apache Directory Studioからのアクセス
- Network Parameterタブ
  - Hostname: 環境に合わせて
  - Port: 389(デフォルト)
- Authenticationタブ
  - Authentication Method: Simple Authentication
  - Bind DN or user: cn=Manager,dc=my-domain,dc=com
  - Bind password: ****
- Browser Options
  - Get base DNs from Root DSEのチェックを外して、見たいディレクトリ(cn=config , cn=monitor)を直接入力
  - Fetch Operational Attributes while browsing: チェック

例：OpenLDAPが起動している秒数(Uptime)取得。("-W" の代わりに "-w password" でパスワードを直接指定)

ldapsearch -x \
 -b "cn=Uptime,cn=Time,cn=Monitor" \
 -D "cn=Manager,dc=my-domain,dc=com" \
 -W \
 monitoredInfo -LLL

# 結果
dn: cn=Uptime,cn=Time,cn=Monitor
monitoredInfo: 111

Apache Directory Studioで見る
- cn=monitor > cn=Time > cn=Uptime までツリーをたどる
- 表示されない場合は右クリック > Fetch Operational Attributes

↑

レプリケーション/冗長化 †

記事

↑

readonly replica †

slapd.conf: でミラーモードをoffにする
```
mirrormode off
```

記事
- ldapのマルチマスタ設定とELB越しにldaps通信設定 - Qiita

↑

監視 †

監視。それぞれサーバでcontextCSNを取得して比較。同じならOK。contextCSNのソート順はバラバラなので自分でソートする必要がある

ldapsearch -x -H ldap://localhost \
 -s base -b "dc=my-domain,dc=com" \
 -D "cn=Manager,dc=my-domain,dc=com" \
 -W contextCSN

contextCSN: 20130906022414.910401Z#000000#001#000000
contextCSN: 20130906013314.290742Z#000000#002#000000

スクリプトにした

ldap-status.sh

yum install openldap-clients
chmod 755 ldap-status.sh

./ldap-status.sh --servers ldap://server01/,ldap://server02/ \
 --base-dn dc=my-domain,dc=com \
 --bind-dn cn=Manager,dc=my-domain,dc=com \
 --bind-password YOUR-PASSWORD \
 replication-status

↑

監視 †

記事
- OpenLDAPによるディレクトリサーバ運用（7）：モニタ機能でサーバの状態を把握：準備編 (1/3) - ＠IT
- Chau Chee Yang Technical Blog: LDAP: Introduction to OpenLDAP

↑

CN=Monitor - 管理ツール †

http://cnmonitor.sourceforge.net/
- オープンソースのWEB管理ツール
- php, mysql or PostgreSQL
- CN=Monitor Guide.pdf

↑

Apache Directory Studio - 管理ツール †

Apache Directory Studio
- Eclipseベースのクライアント

記事
- CoolなEclipseプラグイン（21）：Apache LDAP StudioでLDAPはもう怖くない (1/3) - ＠IT

詳細プロパティの表示: エントリ上で右クリック > Fetch Operational Attributes
詳細プロパティをデフォルトで表示させる: Connections:選択 > 右クリックしてproperties > Browser Optionsタブ > Fetch Operational Attributes while browsing: チェック

不具合？
- objectClass: glueエントリ以下が表示されない。ldapsearchコマンドだと表示される。

↑

phpLDAPadmin - 管理ツール †

phpLDAPadmin
- オープンソースのWEB管理ツール
- php

↑

バックアップ/リストア †

記事
- OpenLDAP backup & restore — panic
- How to backup and restore your LDAP database

OpenLDAP バックアップスクリプト:

ldap-backup.sh

s3へのコピーはs3cmdが必要。使用しないならば --s3cmd-config, --s3-bucket は不要

yum install s3cmd --enablerepo=epel 
s3cmd --configure
chmod 755 ldap-backup.sh

./ldap-backup.sh \
  --base-dn "dc=yourDC,dc=local" \
  --backup-dir /path/to/backup \
  --log-dir /tmp \
  --s3cmd-config /path/to/.s3cfg \
  --s3-bucket s3://BUCKET/path/to

リストア:
```
sudo service slapd stop
sudo find /var/lib/ldap/ -type f ! -name DB_CONFIG -delete
sudo find /etc/openldap/slapd.d/ ! -name slapd.d -delete

sudo -u ldap slapadd -l /tmp/ldap.backup.ldif
sudo -u ldap slaptest -f  /etc/openldap/slapd.conf -F /etc/openldap/slapd.d

sudo service slapd start
```
- 「dn:」のエラーはldifからそのセクションを削除するとインポートできる
- slapadd「The first database does not allow slapadd; using the first available one (2)」は無視できる」
- slapadd -s でスキーマチェックをしない。エラーが出て、インポートに失敗する場合に使えるが、エラーが直る訳では無いので推奨しない。

↑

インストール †

↑

CentOS 7/8 †

記事:

↑

CentOS 6 †

記事
- Apache Directory Studio で OpenLDAP 2.4 環境をゆるふわ構築 - Qiita [キータ]
- CentOS 6にOpenLDAP環境を構築する

CentOS 6.x

インストール

yum install openldap-servers openldap-clients

# rootパスワードの設定。"{SSHA}～"をメモ
slappasswd -s secret

# Berkeley DB設定
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
vim /var/lib/ldap/DB_CONFIG
----
# one 0.25 GB cache
set_cachesize 0 268435456 1

# Transaction Log settings
set_lg_regionmax 262144
set_lg_bsize 2097152

# automatically delete transaction logs
set_flags DB_LOG_AUTOREMOVE
----

# slapd.conf 設定変更
cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf
vim /etc/openldap/slapd.conf
----
# suffixの変更
suffix "dc=my-domain,dc=com"

# rootdnの変更
rootdn "cn=Manager,dc=my-domain,dc=com"


# rootpwの変更
rootpw {SSHA}XACqUDuUFVNjgfn+JPFilYB1X852Xepi
----

# slapd.conf テスト
slaptest -u -f /etc/openldap/slapd.conf -v

# slapd.conf 更新
sudo service slapd stop
sudo rm -rf /etc/openldap/slapd.d/{cn=config,cn=config.ldif}
sudo -u ldap slaptest -f  /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
sudo service slapd restart

サンプルドメイン(dc=my-domain,dc=com)追加。

ldif-example.zip

user passwor:secret

ldapadd -x -D "cn=Manager,dc=my-domain,dc=com" -W -f ./base.ldif
ldapadd -x -D "cn=Manager,dc=my-domain,dc=com" -W -f ./group.ldif
ldapadd -x -D "cn=Manager,dc=my-domain,dc=com" -W -f ./user.ldif

確認

# rootユーザで検索
ldapsearch -x -b 'dc=my-domain,dc=com' '(objectClass=*)' \
  -H ldap://localhost \
  -D "cn=Manager,dc=my-domain,dc=com" \
  -W

# 外部サービス接続用のユーザで検索
ldapsearch -x -b 'dc=my-domain,dc=com' '(objectClass=*)' \
  -H ldap://localhost \
  -D "cn=connector,ou=People,dc=my-domain,dc=com" \
  -W

連絡先

TreeView

Memo (701)
- 2FA-MFA
- ACDSee
- ASP
- ASP.NET
- Adobe
- Affiliate
- Aipo
- Akelos (3)
  - sample (2)
    - ajax
    - pref
- Algorithm (1)
  - image
- Aliyun (1)
  - cli
- AmazonWebServices (85)
  - ACM
  - APIGateway
  - Alexa
  - Athena (2)
    - CloudTrail
    - Example
  - Backup
  - Batch
  - Bedrock
  - Billing
  - CDK
  - Chatbot
  - CloudFormation
  - CloudFront
  - CloudSearch
  - CloudTrail
  - CloudWatch
  - CodeBuild
  - CodeCommit
  - CodeDeploy
  - CodePipeline
  - Configservice
  - Connect
  - DataPipeline
  - Detective
  - DirectConnect
  - DirectoryService
  - DocumentDB
  - DynamoDB
  - EC2 (5)
    - AMI
    - DLM
    - EBS
    - ec2-metadata-mock
    - mock-ec2-metadata
  - EC2-classic
  - ECR
  - EKS
  - ELB
  - EMR
  - ElastiCache
  - ElasticBeanstalk
  - Fargate
  - FireLens
  - Glacier
  - Glue
  - GuardDuty
  - Health
  - IAM
  - IPv6
  - IoT
  - KinesisDataFirehose
  - Lambda
  - OpenSearch(Elasticsearch)
  - Organizations
  - QuickSight
  - R53
  - RDS (1)
    - Aurora
  - Route53
  - S3
  - SDB
  - SDK (1)
    - Python
  - SES
  - SNS
  - SSO
  - SecretsManager
  - SystemsManager
  - VPC
  - VPN
  - WAF
  - awscli (12)
    - CloudWatch
    - DynamoDB
    - EC2
    - RDS
    - S3
    - backup
    - ce
    - elb
    - error
    - parallel
    - route53
    - v2
- Amazon_Dash_Button
- Amazon_Fire_TV_Stick
- Amazon_Fire_Tablet
- Android (15)
  - AIR
  - ASUS_EeePad_Transformer
  - ASUS_Nexus7
  - ASUS_ZenFone_Max_Pro_M1
  - GALAXY_Tab
  - HTC_Butterfly_s
  - HTC_Desire
  - HTC_Desire_HD
  - HTC_Desire_Z
  - HTC_HT-03A
  - Lenovo_Legion_Y700_2023
  - SHARP_AQUOS_sense4_lite
  - adk
  - app
  - sdk
- Ansible (20)
  - AWS
  - AWX
  - Error
  - Facts
  - Filters
  - Galaxy
  - Install
  - Jinja2
  - Lookups
  - Loops
  - Tower
  - Troubleshooting
  - Validation
  - Variables
  - Vault
  - Windows
  - ldap
  - local_action
  - module_development
  - set_fact
- AppleTV
- Arduino
- ArtificialIntelligence (1)
  - MachineLearning
- Atlassian
- AugmentedReality
- BBS
- Backlog
- Bazaar
- Becky
- Blog
- Blynk
- Browser
- C
- C++
- CDN
- CSS
- ChaosEngineering
- CircleCI
- CloudComputing
- Cloudflare
- ComputerSecurity
- Consul
- Creative
- DNS
- DTM
- Database (1)
  - ツリー(階層)構造の設計
- Datadog
- Docker (4)
  - Dockerfile
  - Kubernetes
  - k3s
  - nomad
- Doxygen
- Dropbox
- DuckDB
- E-book (4)
  - BOOKSCAN
  - Calibre
  - NOOK
  - edit
- EC-CUBE
- EOL
- Electron
- English
- EstimateTechnique
- Evernote
- Excel
- F-PLUG
- F-Secure_PSB
- FFmpeg
- Fabric
- Filer
- Flash (1)
  - Lite
- Flex
- Fonts
- FreeWLAN
- GIS
- Gainer
- Game
- GameDev
- Geolocation
- GlusterFS
- Google (10)
  - AdSense
  - Apps_Script
  - Docs
  - Drive
  - Gemini
  - Gmail
  - NotebookLM
  - SpreadSheet
  - Workspace
  - reCAPTCHA
- GoogleCloudPlatform
- Google_Chromecast
- Gradle
- Grafana (9)
  - API
  - Athena
  - CloudWatch
  - GoogleBigQuery
  - Loki
  - Troubleshooting
  - Zabbix
  - docker
  - plugins
- GraphQL
- Graphics
- Graphviz
- HTML (1)
  - 5
- Heroku (2)
  - Papertrail
  - herokucli
- IPTV
- IPv6
- ImageProcessing
- InfoPath (1)
  - JScript
- IntelliJ_IDEA
- IoT
- JAWBONE_UP
- Java (8)
  - Eclipse (1)
    - Cray
  - Eclipse3.1でiアプリ開発
  - Maven
  - Tomcat
  - log4j
  - 携帯 (1)
    - サンプル
- JavaScript (1)
  - jq
- Jenkins
- JupyterNotebook
- LVGL
- LXC
- LibreOffice
- LifeHacks
- Linux (139)
  - AlmaLinux (2)
    - 10
    - 9
  - AntiVirus
  - Apache
  - Archiver
  - Bash
  - BitTorrent
  - CVS
  - CentOS (5)
    - 5
    - 6
    - 7
    - 8
    - Stream
  - CentOS4
  - Chrony
  - ClamAV
  - Disk
  - Dragonfly
  - Duplicity
  - Fedora core 1
  - Fedora core 5 (2)
    - VMware server
    - samba3.0
  - Firecracker
  - Fluent-Bit
  - Fluentd(td-agent) (1)
    - Errors
  - Heartbeat
  - HyperEstraier
  - InitScript
  - LVM
  - LVS
  - Linuxbrew
  - LiteSpeed
  - Mailman
  - Makefile
  - Memcached
  - Monit
  - Monitoring
  - Munin
  - Namazu
  - OSS-license
  - OpenLDAP (1)
    - WebUI
  - OpenResty
  - Pacemaker
  - Redhat Enterprise Linux ES3
  - Redhat Enterprise Linux ES4
  - SC420 (6)
    - MySQL5.0
    - PostgreSQL8.0
    - Subversion
    - eAccelerator0.9.3
    - php5.0
    - 外部公開(DMZ)
  - SELinux
  - SSL
  - ShellScript
  - Vyatta
  - WebCamera
  - Zabbix (14)
    - 1.8jp
    - 2.0
    - 2.2
    - 2.4
    - 3.0
    - 4.0
    - 5.0
    - 6.0
    - 7.0
    - API
    - AWS
    - Error
    - Template
    - docker
  - ag
  - anyenv
  - audit
  - cloud-init
  - comm
  - command
  - curl
  - datetime
  - denyhosts
  - diff
  - dnf
  - dnsmasq
  - fail2ban
  - find
  - firewalld
  - fzf
  - grep
  - haproxy
  - iptables
  - jailkit
  - jc
  - less
  - lftp
  - logrotate
  - lsof
  - mail
  - mdadm
  - nftables
  - nginx
  - ntp
  - parallel
  - pdsh
  - peco
  - postfix
  - pure-ftpd
  - rclone
  - rdiff-backup
  - redis
  - resolv.conf
  - rootsh
  - rpm
  - rsync
  - samba
  - servicelist
  - socat
  - source-highlight
  - ss
  - ssh
  - sudo
  - symlink
  - syslog
  - systemd
  - taRgrey
  - tcpflow
  - tmux
  - vim
  - vsftpd
  - webdruid
  - wget
  - xargs
  - yum
  - zphoto
- Lua
- MSOffice
- MacOS X (2)
  - Homebrew
  - app
- MariaDB
- Markdown
- MessagePack
- MicrosoftVisualStudio
- MongoDB
- Movie
- Mp3tag
- MySQL (5)
  - 5.5
  - 5.7
  - 8.0
  - Error
  - docker
- NETGEAR_ReadyNAS
- NLP
- NetworkNotepad
- NoSQL
- Node.js
- Notion
- OCR
- ODROID
- OSRM
- OSSEC
- OpenOfficeOrg
- OpenTofu
- OpenVPN
- OpenWrt (7)
  - Buffalo_WSR-2533DHP
  - ELECOM_WRC-X3200GST3
  - Package (4)
    - adblock
    - ddns
    - luci
    - openvpn
- Opera
- Oracle
- PC
- PC98
- PDF
- PHP (35)
  - Bug
  - CakePHP
  - Composer
  - Excelファイル生成
  - Google
  - PEAR (11)
    - Auth
    - Cache_Lite
    - DB
    - DB_DataObject
    - File_Archive
    - HTML_QuickForm
    - MDB2
    - QuickForm
    - SQLite
    - Services_Amazon
    - session_pgsql
  - PECL (1)
    - oauth
  - PHP Accelerator
  - SOAP
  - Smarty
  - XML_RPC
  - Xdebug
  - eAccelerator (1)
    - CentOS5.2
  - log4php
  - phpでSSL通信
  - qdmail
  - rss
  - simpletest
  - wkhtmltox
  - xhprof
  - フレームワーク
  - ベンチマーク
- PSP
- PT2 (2)
  - CentOS
  - Ubuntu
- Packer
- Parquet
- PayPal
- Perl (1)
  - OneLiner
- PhantomJS
- Photoshop
- PlantUML
- Poderosa
- Podman
- PostgreSQL (3)
  - constraint
  - pgpool
  - pgpool-II
- PowerPoint
- Programming
- Prometheus
- Puppet (5)
  - Geppetto
  - hiera
  - v3.x
  - v5.x
  - v8
- Python (7)
  - AWS
  - Error
  - Poetry
  - install
  - luigi
  - pip
  - test
- QRCode
- RADIUS
- REST_API
- RFID
- RabbitMQ
- Rackspace
- Raspberry_Pi (3)
  - ANAVI_Infrared_pHAT
  - DNSB-35137
  - co2
- RecordingServer
- Redash
- Redmine
- RegularExpression
- Rlogin
- Ruby (1)
  - Rails
- Rundeck
- Rust
- SQL
- SQLite
- SSO
- SakuraEditor
- SendGrid
- Server
- Skype
- Slack
- SoftEther (1)
  - Raspberry_Pi
- Solaris
- Stashboard
- Subversion (6)
  - Install
  - trac (4)
- SwitchBot
- Taskfile
- Tauri
- Terraform (12)
  - Error
  - G_Suite
  - GoogleCloud
  - aliyun
  - aws (1)
    - Errors
  - dynamic-block
  - for_each
  - heroku
  - legacy
  - provider
  - random
- ThinkPad
- Trac
- Traefik
- TrendMicroDeepSecurity
- Twitter
- TypeScript
- USB-IO
- Ubuntu (1)
  - Error
- Unity
- VMware
- VOCALOID
- Vagrant (4)
  - Errors
  - Windows
  - box
  - macOS
- VictoriaMetrics
- VirtualBox
- Visio
- VisualStudioCode (1)
  - AWS
- VxWorks
- WebBrowser (5)
  - Chrome
  - Chromium
  - Firefox (1)
    - PreBar
  - Vivaldi
- Wiki (4)
  - BlockingSpam
  - dev
  - docker
  - 広告
- Windows (28)
  - .NET_Framework
  - 10 (12)
    - WSL (11)
      - 2
      - CentOS
      - Docker
      - Install
      - Ubuntu
      - ssh-agent-wsl
      - wsl-ssh-agent
      - wsl-terminal
      - wsl2-ssh-agent
      - wslgit
      - wsltty
  - 11
  - 7
  - 8
  - ATOK
  - BatchFile
  - EventLog
  - Firewall
  - PackageManagement
  - PowerShell
  - VirtualPC
  - WSA
  - WindowsTerminal
  - winget
  - エラー
- WindowsMobile (3)
  - Link
  - Software
  - ssh
- Wireshark
- Word
- WordPress
- XBMC (2)
  - CentOS
  - Ubuntu
- Xamarin
- YAMAHA-RTX
- antivirus
- backup (1)
  - AcronisTrueImage
- company
- containerd
- csvtsv
- dd-wrt (7)
  - Buffalo_WHR-G301N
  - Buffalo_WXR-1900DHP
  - Buffalo_WZR-1166DHP
  - Buffalo_WZR-1750DHP
  - Buffalo_WZR-D1800H
  - Buffalo_WZR-HP-AG300H
  - Buffalo_WZR-HP-G300NH
- draw.io
- facebook
- favorite
- git (5)
  - Bitbucket
  - GitHub (3)
    - Actions (2)
      - AWS
      - act
- golang
- iPhone (2)
  - app
  - sdk
- iPod
- jQuery
- keepass
- localstack
- mbed
- mise
- mobile
- pandoc
- printer
- programmer
- serverspec
- soracom
- spam
- telework
- twilio
- web
- wkhtmltopdf
- yaml (1)
  - yq
- ユーザビリティ
- 個人情報保護法
- 航空機用語
- 就職
- 設計開発
- 素材集
- 相続
- 用語
- FrontPage
  - - instag.inc.php

Memo/Linux/OpenLDAP

OpenLDAP †

openldap-servers-2.6へ更新 †

/var/lib/ldap/deltalog の肥大化 †

パスワード生成アルゴリズム †

glue entry: syncreplで複製されないエントリを補完 †

Monitoring: 監視 †

バイナリ値: base64 †

パスワード変更時に「Must supply old password to be changed as well as new one」 †

index †

loglevel †

標準入力を使う †

ACL(Access Control Lis) / アクセス制限 †

トラブル †

local userでもLDAPに問い合わせてしまう †

Can't contact LDAP server †

/etc/pam.d/以下がsymlinkの場合にauthconfigを使うと壊れる場合がある †

attribute 'c' not allowed †

LDAPスキーマの追加 †

デバッグ †

認証方式の変更 †

LDAPでssh認証する場合に、sudoできない時 †

LDAPでssh公開鍵認証を使う †

sssdでLDAP認証 †

openssh-ldapでLDAP認証 †

ldapdelete：エントリの削除 †

バージョンアップ †

password hash methodの変更 †

slappasswd : パスワード生成 †

ldappasswd : パスワード変更 †

objectClass: value #0 invalid per syntax †

LDIFファイル †

uidNumberの最大値を検索 †

ldapsearch : 登録済みエントリーの検索 †

ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1) †

sshログインにldapを使う †

設定(cn=config) 監視(cn=monitor) データベースを有効にする †

レプリケーション/冗長化 †

readonly replica †

監視 †

監視 †

CN=Monitor - 管理ツール †

Apache Directory Studio - 管理ツール †

phpLDAPadmin - 管理ツール †

バックアップ/リストア †

インストール †

CentOS 7/8 †

CentOS 6 †

Software

Programming

Game

雑記

連絡先

TreeView

人気の10件

最新の10件