[samba-jp:20968] Re: どのLDAPを引くか?
SATOH Fumiyasu
fumiyas @ osstech.jp
2010年 1月 28日 (木) 15:23:21 JST
さとうふみやす @ OSSTech です。
At Thu, 28 Jan 2010 15:03:17 +0900,
SATOH Fumiyasu wrote:
> > > コマンドライン引数にパスワードを入れるのはいいのかとか、
> >
> > 標準入力から流し込めるところはそのように変えました。
> > smbpasswd -w, net については、そのやり方がわかりませんでした。
slappasswd の件を見落していました。以下の要領で。
パスワードとともに改行を渡さないことが肝要です。
# echo -n password |slappasswd -T /dev/stdin
記憶によると、古い OpenLDAP and/or Linux だと、何故かこれは
うまく動きません。原因が判る人いないかな。
http://www.sfo.jp/blog/archives/2006/04/openldap-ldapse.html
> マニュアルを読みましょう。ldap admin dn のパスワード格納は:
>
> # { echo password; echo password; } |smbpasswd -W -s
>
> ふつうこの場合 echo はシェル組込みコマンドなので、パスワードを書いても
> 問題ない…と思う。
>
> net は、匿名ユーザーで問題ないものは `net rpc info -U%` の要領で。
> 特定のユーザー権限が必要なものは…どうすりゃいいんだ?
> net(8) には --authentication-file オプションがないんだ。駄目だこりゃ。
> だけど net rpc user も net rpc group も、Samba のデフォルトなら
> 匿名ユーザーで問題ないので、大丈夫でしょう。
>
> # net rpc user -U%
> # net rpc group -U%
それと、sambaNTPassword, sambaLMPassword 属性は self に
書き込み権を与える必要はありません。あと sambaPasswordHistory も
隠すべきですね。
access to attrs=sambaLMPassword,sambaNTPassword,sambaPasswordHistory
by * none
userPassword 属性ですが、LDAP バインド時の認証とパスワード変更だけで
十分なので、ACL は以下のように。
access to attrs=userPassword
by anonymous auth
by self =w
by * none
--
-- Name: SATOH Fumiyasu (fumiyas @ osstech co jp)
-- Business Home: http://www.OSSTech.co.jp/
-- Personal Home: http://www.SFO.jp/blog/
samba-jp メーリングリストの案内