[samba-jp:20968] Re: どのLDAPを引くか?

SATOH Fumiyasu fumiyas @ osstech.jp
2010年 1月 28日 (木) 15:23:21 JST


さとうふみやす @ OSSTech です。

At Thu, 28 Jan 2010 15:03:17 +0900,
SATOH Fumiyasu wrote:
> > > コマンドライン引数にパスワードを入れるのはいいのかとか、
> > 
> > 標準入力から流し込めるところはそのように変えました。
> > smbpasswd -w, net については、そのやり方がわかりませんでした。

slappasswd の件を見落していました。以下の要領で。
パスワードとともに改行を渡さないことが肝要です。

  # echo -n password |slappasswd -T /dev/stdin

記憶によると、古い OpenLDAP and/or Linux だと、何故かこれは
うまく動きません。原因が判る人いないかな。

  http://www.sfo.jp/blog/archives/2006/04/openldap-ldapse.html

> マニュアルを読みましょう。ldap admin dn のパスワード格納は:
> 
>   # { echo password; echo password; } |smbpasswd -W -s
> 
> ふつうこの場合 echo はシェル組込みコマンドなので、パスワードを書いても
> 問題ない…と思う。
> 
> net は、匿名ユーザーで問題ないものは `net rpc info -U%` の要領で。
> 特定のユーザー権限が必要なものは…どうすりゃいいんだ?
> net(8) には --authentication-file オプションがないんだ。駄目だこりゃ。
> だけど net rpc user も net rpc group も、Samba のデフォルトなら
> 匿名ユーザーで問題ないので、大丈夫でしょう。
> 
>   # net rpc user -U%
>   # net rpc group -U%

それと、sambaNTPassword, sambaLMPassword 属性は self に
書き込み権を与える必要はありません。あと sambaPasswordHistory も
隠すべきですね。

access to attrs=sambaLMPassword,sambaNTPassword,sambaPasswordHistory
        by * none

userPassword 属性ですが、LDAP バインド時の認証とパスワード変更だけで
十分なので、ACL は以下のように。

access to attrs=userPassword
        by anonymous auth
        by self =w
        by * none

-- 
-- Name: SATOH Fumiyasu (fumiyas @ osstech co jp)
-- Business Home: http://www.OSSTech.co.jp/
-- Personal Home: http://www.SFO.jp/blog/



samba-jp メーリングリストの案内