LDAP の履歴(No.7)

• 履歴一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• LDAP へ行く。
  • 1 (2023-08-29 (火) 11:25:30)
  • 2 (2025-10-15 (水) 13:24:18)
  • 3 (2025-10-15 (水) 13:28:13)
  • 4 (2025-10-15 (水) 13:32:05)
  • 5 (2025-10-15 (水) 13:41:14)
  • 6 (2025-10-15 (水) 13:41:46)
  • 7 (2025-10-15 (水) 14:03:25)
  • 8 (2025-10-15 (水) 14:22:23)

---

LDAP†[edit]

Lightweight Directory Access Protocol†[edit]

• OpenLDAP
• 389 Directory Server　(NSLで使用 with phpLDAPadmin)

ユーザ認証での使用†[edit]

Server†[edit]

Port 番号†[edit]

• 389
• over TLS: 636
   

Unix/Linux の場合†[edit]

• 以下のオブジェクトを使用する
  • posixAccount
    • account または inetOrgPerson と共に用いる
  • posixGroup
     

ログイン時の homeディレクトリの自走生成†[edit]

• oddjob-mkhomedir

Client†[edit]

PAM†[edit]

• pam_ldap
• pam_ldap は設定ファイルを見て，直接 LDAPサーバに接続する．
• システムへのログインなどでは，別途ユーザ情報（getent passwd）を取得する必要がある．
  • 通常はNSS nsswitch.conf と nslcd を使用
  • /etc/passwd にエントリだけ書いてもOK
• CentOS の場合はソースコンパイルする（/lib/security/pam_ldap.so）
• 設定ファイルは /etc/ldap.conf と/etc/openldap/ldap.conf の両方を見ているみたい．
  • /etc/ldap.conf, /etc/openldap/ldap.conf は同じ内容でOK．
     

PAM + NSS（nslcd）(+ nscd)†[edit]

• ログインなどの場合，ユーザ情報は nss（nsswitch.conf）+nslcd が取得．
• 面倒なので，pam_ldap を nslcd 経由でLDAPに繋がるようにする．(設定ファイルが減る)
  • /etc/nslcd.conf と /etc/ldap.conf の内容はほぼ同じ
• pam_ldap + nss_ldap
  • pam : /etc/pam.d/sshd, su, system-auth など
  • nsswitch : /etc/nsswitch.conf
  • nslcd : /etc/nslcd.conf
  • CentOS7 の pam_ldap.so（nslcd経由）はなんだか挙動が変．

• nscd はキャッシュデーモン
   

SSSD†[edit]

• 単体で認証可能．キャッシュ一体型．お手軽．
• ログインなどの場合ユーザを別途取得する必要がない
   

ObjectClass†[edit]

account†[edit]

• 必須属性 : uid
• 任意属性 : description, host, l, o, ou, seeAlso
   

inetOrgPerson†[edit]

• 任意属性 : audio, businessCategory, carLicense, departmentNumber, employeeNumber, employeeType, givenName, homePhone, homePostalAddress, initials, jpegPhoto, labeledURI, mail, manager, mobile, pager, photo, preferredLanguage, roomNumber, secretary, uid, userCertificate, userSMIMECertificate, x500uniqueIdentifier
   

posixAccount (補助オブジェクトクラス)†[edit]

• 必須属性 : cn, uid, uidNumber, gidNumber, homeDirectory
• 任意属性 : description, gecos, loginShell, userPassword
   

posixGroup†[edit]

• 必須属性 : cn, gidNumber
• 任意属性 : description, memberUid, userPassword
   

shadowAccount (補助オブジェクトクラス)†[edit]

• 必須属性 : uid
• 任意属性 : description, shadowLastChange, shadowMax, shadowMin, shadowWarning, shadowInactive, shadowExpire, shadowFlag, userPassword
   

Hack†[edit]

• 通信解析

Operation[edit]

匿名BIND[edit]

ルートDSEからドメイン名を取得[edit]

ldapsearch -x -H ldap://202.26.xxx.xxx:389 -s base -b "" defaultNamingContext

接続確認[edit]

ldapwhoami -x -H ldap://202.26.xxx.xxx:389 -D "iseki@edutuis.local" -W

検索[edit]

ldapsearch -x -H ldap://202.26.xxx.xxx:389  -D "iseki@edutuis.local" -W  -b "dc=edutuis,dc=local"  "(sAMAccountName=iseki)" dn cn mail userPrincipalName
ldapsearch -x -H ldap://202.26.xxx.xxx:389  -D "iseki@edutuis.local" -W  -b "dc=edutuis,dc=local"  "(sAMAccountName=iseki)" memberOf

管理者（Manager）パスワードあり[edit]

ldapsearch -x -H ldap://ds.nsl.tuis.ac.jp -D cn=Manager -W -b dc=nsl,dc=tuis,dc=ac,dc=jp
ldapsearch -x -H ldap://ds.nsl.tuis.ac.jp -D cn=Manager -W -b dc=nsl,dc=tuis,dc=ac,dc=jp 'uid=iseki'