Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.

Dismiss

Ubuntu Linux --> LDAP --> MacOSX Server

32 views

Skip to first unread message

Yasushi Shinjo

unread,

Aug 5, 2008, 1:39:46 AM8/5/08

新城＠筑波大学情報です。こんにちは。

うちの若いものが Ubuntu Linux から MacOSX の LDAP サーバ
(Open Directory) を利用して認証しようとしています。

次のページに一応説明があるのですが、なんか違うような気がします。

https://help.ubuntu.com/community/OSXLDAPClientAuthentication

getent passwd でユーザ名一覧が取れるようにはなったのですが、
ログインはできないし、bash や tcsh での ~username でも引けま
せん。bash を strace してみると、/etc/nsswitch.conf をopen
していません。getent の方は、/etc/nsswitch.conf を見ています。
まずは bash や /bin/login? 等で /etc/nsswitch.conf を見るよ
うにするのかなと思います。

上の OSXLDAPClientAuthentication で、md5 と出ていますが、
MacOSX の LDAP (Open Diretory)では、md5 のパスワードは引けな
いと思います。その代りに、bind できるかどうかで判定するのだ
と思います。ここの設定についても、md5 と書いてあるのは違うよ
うな気がします。

この辺りの設定について何かヒントはないでしょうか。
他の PAM/nsswitch 使う OS や他の Linux の例でもいいです。

＼＼　新城　靖　（しんじょう　やすし）　＼＼
＼＼　筑波大学　電子・情報　　　　　　　＼＼

Yasushi Shinjo

unread,

Aug 12, 2008, 2:40:19 AM8/12/08

新城＠筑波大学情報です。こんにちは。

In article <3993751...@rananim.ie.u-ryukyu.ac.jp>
ko...@ie.u-ryukyu.ac.jp (Shinji KONO) writes:
> bash は、nscd 経由でpasswdにアクセスするので、nsswitchを
> 見るのは、nscd でしょう。

nscd (name service cache daemon) ですか。ヒントありがとうご
ざいます。うちの若いものが、このヒントで調べたら解決しました。

RedHat で動いている例が近くにあり、それだと、bash が passwd
ファイルやnsswitch を直接見にいくようになっていました。
Ubuntu とかあたらし目の方は、nscd を使うのですね。

nscd というと、Solaris って感じなんだけど、Linux でも使うよ
うになったんですね。いつ頃からそうなったのでしょうか。

> > せん。bash を strace してみると、/etc/nsswitch.conf をopen
> > していません。getent の方は、/etc/nsswitch.conf を見ています。
> > まずは bash や /bin/login? 等で /etc/nsswitch.conf を見るよ
> > うにするのかなと思います。
>

> 見るのは、
> /etc/ldap.conf
> /etc/pam.d
> /etc/nsswitch.conf
> ですが、最近は、直接いじらない流儀のはずです。serviceconf だっけ?

Debian, Ubuntu だと、dpkg-reconfigure です。あるいは、最初の
場合、インストールする時に、いろいろ聞かれるみたい。たとえば

aptitude install libpam-ldap nss-updatedb
aptitude install libpam-ldap libnss-ldap nss-updatedb
dpkg-reconfigure libnss-ldap libpam-ldap

今動いているのは、こんな感じ。

/etc/ldap.conf
------------------------------------------------------------
base dc=xxx,dc=xxx,dc=xxx,dc=xxx,dc=xxx
ldap_version 3
pam_password md5
uri ldap://192.168.xxx.xxx
------------------------------------------------------------
ldapsearch -x が動けば良しのはず。md5 要るのかなあ。

------------------------------------------------------------
/etc/nsswitch.conf
% egrep ldap /etc/nsswitch.conf
passwd: compat ldap
group: compat ldap
shadow: compat ldap
%
------------------------------------------------------------

------------------------------------------------------------
/etc/pam.d/
% cd /etc/pam.d/
% egrep ldap *
common-account:account required pam_ldap.so
common-auth:auth required pam_ldap.so use_first_pass
%
------------------------------------------------------------

http://www.tom.sfc.keio.ac.jp/~nao/hiki/hiki.cgi?LDAP%20Client%20on%20Debian

> 前使ってました。今は、Linux側のOpen LDAPです。Mac OS X も
> Open LDAPなんだけど、ファイルの位置とかは異なります。外から
> 見る限りは、差はありません。

bind すれば、ですよね。bind しないで、MD5 のハッシュ値をクラ
イアントに取り寄せようとすれば、違って来るんじゃないかな。
MacOSX Server 10.4 の LDAP (OpenDirectory) だと、木の
userPassword のエントリを見ても、******** しか入っていません。

bind するかどうかの設定がどこかにあると思うんだけど、今一つ
釈然としない所があります。うちの若いものは、この辺り追求しな
いで、気楽に CD から再インストールするからなあ。

0 new messages