- - PR -
LDAP の移行の際のユーザーパスワード
1
| 投稿者 | 投稿内容 | ||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2005-11-17 10:42
お世話になります.
最近よく情報を目にする LDAP ですが, 新規構築の際にはあまり気にする必要はないのでしょうけど, 乗せ換えの際など,ユーザーパスワードのように「隠匿しておく情報」って どのように引き継ぐものなのでしょうか? LDIF で書き出したりできてしまうのでしょうか? Active Directory などでもその辺の移行に苦労するのではないかと感じます. 今後 LDAP の活躍の場が増えるとともに, こういった問題が顕在化しそうな気がしています. たとえば OpenLDAP -> SunJava Directory への移行とか, Active Directory -> OpenLDAP への移行などは 十分考えられるのではないかと感じます. 皆さんお持ちの手法なり,情報なり, ご教示いただけると助かります. よろしくお願いいたします. | ||||||||||||||||
|
投稿日時: 2005-11-18 11:14
Active Directoryに絡むことはやっていませんのでそちらには触れませんが。。。
基本的にはldiffファイルによるエクスポートやインポートによる移行だと思います。 あとは、そのOpenLDAPなり、SJS Directory Serverなりが なんの認証を扱えるか?という点につきるかと。 エントリの情報としては、base64エンコードされたものだったりするので インポートは出来たけど指定されている認証方法は使えませんとか。。。 通常passwordのエントリは、管理者及び、エントリのオーナがすべての権限を持っていて、 一般のユーザではエントリ自体の閲覧不可といった感じでしょうか。 まあ、使用用途によって色々制限をかけるとは思いますのであくまで例えですが。 要するにエクスポート不可ということはまず無いのではないかと。 あとは、kazさんが挙げておられる OpenLDAP -> SJS Directory Server などの場合においては、password以外にもスキーマの問題とか、 ObjectClassの使い方とかで問題が出るかもしれません。 スキーマは、OpenLDAP用に用意してあるのは結構あるのですが、 sambaみたいにNetscape系のDirectory Server向けとかまでスキーマを用意しているのは 結構特殊な例かと思いますので移行元の使われ方によっては注意が必要です。 また、OpenLDAPの古いバージョンでは、ObjectClassがAUXILIARYなのに 単独でエントリを作成出来たりしたのでそのままインポートしようとすると 問題が出たりするかもしれませんね。 あとは、ご存じかもしれませんが個人的には FDS(Fedora Directory Server)がお勧めです。お試し下さい。 | ||||||||||||||||
|
投稿日時: 2005-11-18 11:59
こんにちわ.
ゴメンナサイ. どちらかというと Active Directory はあまり意識してくださらなくて良いです. むしろ OpenLDAP -> Fedora Directory はドンピシャな話題だったりします.
ありがとうございます. 自分の心得違いに気がつきました. Windows 環境から LDAP browser などで接続して LDIF に export できますが, anonymous ではなく管理者権限で接続すれば見えるのかもしれませんね. 確認してみます.
もしかしてお使いですか? まだまだ情報が少なくて「どうなんだろう?」と思っていました. 別スレでも LDAP の件で書き込ませていただいていますが, OpenLDAP と比較して大きく違うのでしょうか? 冗長性などの問題以上に, GUI な管理 application 群があるらしいとのことで気になっています. ※Home Directory の自動作成機能なんてありませんよね? | ||||||||||||||||
|
投稿日時: 2005-11-18 13:49
SJS Directory Server 5.2 と FDS両方触った感覚では違いが分かりません。 詳しい方から見れば違うのかもしれませんが私程度の知識では一緒と言われても 「ああ、そうなんですか」と相づち打ってしまいます。 まあとりあえず、見た目違うのはGUIが英語か日本語かといったところですが 苦になるようなところでもありませんしね。 FDSで構築しておいて、サポートがほしくなればRDSなり、SJS DirectoryServerなりへ 移行するとしてもかなりシームレスに行えるぐらいな感じ? OpenLDAPと比べて大きく違うのは、Netscape系のDirectory Serverの特徴である 4台までのマルチマスター構成が組めることでしょうか。 その他の仕様については、OpenLDAPとSJS DirectoryServerの情報を比べてみれば たいがいFDSとの差にも適用されるのではないかと思われます。 (細かいところまでは私も把握していないのでこんなコメントしか書けませんです) あと、HomeDirectoryの自動作成機能というのは無いんじゃないでしょうか? そういった要件の場合は、Linuxではpamのところでpam_mkhomedir.soあたりを使うのが 一般的かと思います。 私もそれをLDAP側でというのはちょっと考えたことがありませんでした。 OpenLDAPも大抵のディストリビューションで標準で入っているので 導入しやすいのですが標準的なGUIが一緒になっていないので 売りづらいんですよねぇ。 せめて、phpldapadminあたりが標準で用意されていると結構違うのですが。 | ||||||||||||||||
|
投稿日時: 2005-11-18 14:16
情報をお寄せいただきありがとうございます.
SJS と RDS ってこのまま競合していくんでしょうかね? それはそれとして,自分も手元の VMware で試してみました. 導入もごく簡単で,とっつきやすいですね. RDS はともかく,SJS と差がないのであれば, 移行も活発になるかもしれませんね.
そこは今後時間とともに増していくのでしょうね. 自分程度が貢献できるかわかりませんけど, できるだけ手元の情報を出すように試みてみます.
やはりそうですよね. Windows/Active Directory 環境で Home Directory 作るようにはいきませんよね. PAM の機能も有効ですが, ~/MailDir を使う際に「e_mail が届く前に作っておく」という状況を 避けられないかと考えたのです. PAM を利用する限りは「使う前に必ず一度だけでも login シテね」と お願いすれば済むことでしょうけど,お客様相手にはちょっと通用しないかなと.
はい,確かに「作るまではなんとかなる」けど「その後の運用は?」となると 商用の高価な LDAP client を使ったりすることになることも. 「何のための open source ?」な調子になりそうです. | ||||||||||||||||
|
投稿日時: 2005-11-18 23:45
隠匿情報の話題が全然出ていないのでちょっと書き込んでみます。 userPassword属性自体はエントリ自身や管理者は参照できますが、 これって普通は一方向ハッシュされたものですよね? OpenLDAPだとMD5やSHA1で単純にハッシュしたものや、{crypt}系の Unix Cryptが施されたもの(DES, MD5, Blowfish)を利用できます。 Active Directoryだとそれ以外の方法だったような記憶があるので、 userPassword属性が見えたとしてもハッシュ関数の互換性がなきゃ 移行できないんじゃないでしょうか。 | ||||||||||||||||
|
投稿日時: 2005-11-19 21:08
こんばんわ.
ありがとうございます.
とすると「password は登録し直し」が, Active Directory -> それ以外の LDAP server の場合の唯一方法なんでしょうか? 「利用できます」ということは LDAP 側で設計により変更できるということですよね. その辺でなんとかできないものなのでしょうか? 或いは Active Directory 側の情報が公開されていないとか? 書いていただいた内容から類推すると, LDAP の移行に際してはその辺を汲み取って 新しい環境を設計しないといけないということですね. | ||||||||||||||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。