- PR -

Openldap上のアカウントをActiveDirectoryへ移行

«前のページへ 1|2
投稿者投稿内容
seiichi51
会議室デビュー日: 2007/01/18
投稿数: 5
投稿日時: 2007-07-02 15:52
>チャブーンさん

いろいろと調査頂きありがとうございます。

パスワードの"test"はAD側のポリシーによりわざとセキュリティレベルを落としてテストをしています。クライアントから ID:test01、パスワード:test でログイン可能な状態です。

匿名アクセス方法に関しては様々な文献に掲載されております通り、OU のアクセス許可、 Directory Service オブジェクトの dSHeuristics 属性の変更は実施した上でOpenLDAPから匿名アクセスによるアカウント登録が可能となっています。

上記の設定を施しつつ、"test01" には "OU=Users,DC=ad,DC=example,DC=co,DC=jp" に対して、「このオブジェクトとすべての子オブジェクト」にフルコントロールの権限を与えています。単純に"test01"にアカウント登録を許可させる場合、ACLはこれ以外にも設定しないといけないのでしょうか?

とりあえずは上記の条件で特定のユーザー(ここではtest01)によるアカウント登録が可能である場合はチャブーンさんのおっしゃる通り、パケットキャプチャを実施してみた方がいいんでしょうね。。。

ところで、確認ですがチャブーンさんのおっしゃる Simple Bind とは ldapコマンドに -x を付与する「簡易認証」の事でいいんですよね?
チャブーン
大ベテラン
会議室デビュー日: 2006/11/25
投稿数: 149
投稿日時: 2007-07-03 20:31
チャブーンです。

まず、質問への答えから。

> ところで、確認ですがチャブーンさんのおっしゃる Simple Bind とは ldap
> コマンドに -x を付与する「簡易認証」の事でいいんですよね?

そのとおりです。

で、前々から気づいてはいたのですが、

> "OU=Users,DC=ad,DC=example,DC=co,DC=jp"

と DN を指定されてますが、Active Directory にデフォルトで存在する "Users" コンテナを指すなら、"CN=Users,DC=ad,DC=example,DC=co,DC=jp" となりますよ。

デフォルトで存在する Users コンテナと同じ階層に "Users" という名前の OU をつくることはできません。いままでドメイン直下に OU を作るときには、無意識に名前を変えていたので、うっかりしていました (階層が異なれば Users という OU は作れます)。
«前のページへ 1|2

スキルアップ/キャリアアップ(JOB@IT)