:検証/LDAP のバックアップ差分(No.10)

[ トップ ]   [ 新規 | 一覧 | 単語検索 ]

• バックアップ一覧
• 現在との差分 を表示
• ソース を表示
• バックアップ を表示
• :検証/LDAP へ行く。
  • 1 (2014-11-26 16:35:06)
  • 2 (2014-11-27 12:20:17)
  • 3 (2014-11-27 21:01:43)
  • 4 (2014-12-01 13:52:15)
  • 5 (2014-12-01 22:07:22)
  • 6 (2014-12-01 23:04:16)
  • 7 (2014-12-02 22:02:43)
  • 8 (2014-12-03 12:14:04)
  • 9 (2014-12-03 14:57:52)
  • 10 (2014-12-03 18:59:59)
  • 11 (2014-12-04 10:03:04)
  • 12 (2014-12-08 13:31:34)
  • 13 (2014-12-08 16:46:30)
  • 14 (2014-12-08 19:19:34)
  • 15 (2014-12-09 10:11:31)
  • 16 (2014-12-10 13:32:55)
  • 17 (2014-12-12 17:16:02)
  • 18 (2014-12-15 13:45:53)
  • 19 (2015-01-13 14:53:03)
  • 20 (2015-01-14 12:19:37)
  • 21 (2015-01-15 15:31:07)
  • 22 (2015-01-15 18:43:49)
  • 23 (2015-01-15 21:59:46)
  • 24 (2015-01-19 12:33:19)
  • 25 (2015-01-26 21:17:34)
  • 26 (2015-01-26 21:17:56)
  • 27 (2015-03-06 15:22:10)
  • 28 (2015-04-30 10:35:09)
  • 29 (2015-11-17 16:09:08)
  • 30 (2017-04-20 21:36:50)
  • 31 (2017-04-26 10:01:12)
  • 32 (2017-10-27 13:30:23)

---

• 追加された行はこの色です。
• 削除された行はこの色です。

#norelated
#topicpath
#contents

*予定 [#e58221b9]
#memo(12/03(水) 検証\n12/04(木) 検証\n12/05(金) 設計書作成(ppt追記)\n12/08(月) 試験項目一覧作成（手順書も簡易作成）、adminはまた別途\n12/09(火) 進捗報告書作成、レビュー\n12/10(水) 試験環境作成、試験実施\n12/11(木) 試験実施\n12/12(金) 試験実施\n12/15(月) 試験(予備)、試験結果取りまとめ、工事手順書作成\n12/16(火) 工事手順書作成、（途中でも）レビュー\n12/17(水) 工事手順書作成\n12/18(木) 工事手順書作成\n12/19(金) 工事手順検証\n12/24(水) 工事手順検証\n12/25(木) 工事手順検証、修正\n12/26(金) 工事手順書レビュー（この時点で1/9に事務局説明可能か判断）\n01/07(水) 工事手順書レビュー修正、JP1準備\n01/08(木) JP1準備\n01/09(金) 工事手順の事務局説明\n)

*実機確認 [#la2b9149]

**基本構成を組む [#s2397f3c]
-実機のコンフィグでslapdを起動する。まずは片系のみ。
-検索
--slapcatでデータが確認できること。OK
--ldapsearchでデータが確認できること。設定データなどは見えないこと。OK

**基本機能を確認する [#u1c5ef2b]
-追加・変更・削除
---要素追加ができること。OK
---要素変更ができること。OK
---要素削除ができること。OK
---データ（エントリごと）追加ができること。OK
---データ（エントリごと）削除ができること。OK
-権限
---権限のないdnでは検索できないこと。OK
---権限のないdnでは追加できないこと。OK
---権限のないdnでは変更できないこと。OK
---権限のないdnでは削除できないこと。OK
-ログイン認証
--そのLDAPを利用して、ログイン認証できるようにする。OK
---正しく設定できていればgetent passwd（各種キーワード）でLDAPから情報が取得できるはず。OK
---nas0(端末)から、srv0(LDAPサーバ自身)へsshログインする。OK
---nas0(端末)から、srv1(LDAPサーバでない)へsshログインする。OK
-二重化
--srv0をプロバイダ、srv1をコンシューマに設定し、同期されることを確認する。OK
---srv0で追加したデータが、コンシューマにコピーされる事を確認する。OK
---srv1で追加しようとするとエラーになる事を確認する。OK
--プロバイダとの同期不可(通信障害)の状態で確認する。
---やはりsrv1でデータ追加しようとしてもエラーになることを確認する。OK
---この状態でLDAPユーザに対してpasswdコマンドを投入したらどうなるか。齟齬が出るのか。OK
---srv0で追加したデータが、通信回復後にコンシューマにコピーされることを確認する。
--プロバイダとの同期不可(プロセス障害)の状態で確認する。
---srv1でデータ追加しようとしてもエラーになることを確認する。
---srv0のプロセス再起動後に、再同期されるか確認する。
---srv1でデータ追加しようとしてもエラーになることを確認する。OK
---srv0のプロセス再起動後に、再同期されるか確認する。OK
--nsswitch.confの挙動を確認する。
---LDAP優先設定時、プロバイダとの通信が出来ない状態でログイン認証すると、タイムアウトしてコンシューマとの認証に移るのか。
---LDAP優先設定時、プロバイダとの通信が出来ない状態でログイン認証すると、タイムアウトしてコンシューマとの認証に移るのか。OK（即時に次のLDAPサーバに振り返られた。プロセス刺さったときのタイムアウト時間だと思われる）
---files優先設定時、LDAPサーバに無用な問い合わせをしない挙動か確認。OK

***メモ [#wcc31433]
-/etc/nsswitch.confはfiles ldapの順で正しい。逆順だとrootのときにlsするだけでLDAP検索が走ってしまう。両方に問い合わせてしまって問題なのは、ローカルとLDAPの両方に同名ユーザがいる場合。これをしなければよい。
-二重化しても何もなければ何の問い合わせも飛ばない。
-/etc/ldap.confと/etc/openldap.confの違いに注意すること。pamやnsは/etc/ldap.confを見ている。ldap系コマンドだけが/etc/openldap/ldap.confを見る。



**拡張機能を確認する [#rd6b09d6]

***TLS暗号化通信を確認する [#ob2cc062]
-サーバ証明書を作成する。
--オレオレ証明書の作成。
--証明書の設定。
-LDAP通信にTLSを利用するよう設定する。
--ローカルクライアントとの通信の暗号化を確認。
--ネットワーククライアントとの通信の暗号化を確認。
--コンシューマLDAPサーバとの同期通信の暗号化を確認。
---データを追加して、コンシューマに伝播するパケットをキャプチャする。

***拡張認証機能を確認する [#f39bdfad]
-ppolicyスキーマを導入する。
--ログイン認証の再確認
---nas0(端末)から、srv0(LDAPサーバ自身)へsshログインする。
---nas0(端末)から、srv1(LDAPサーバでない)へsshログインする。
--拡張機能の確認
---ログイン失敗回数超過で一定時間ロックされるか。
---期限超過で警告が出るか。
---猶予期間超過でもロックされない様にできるか。
---ログイン失敗でパスワード再設定を強制することができるか。
--ユーザ操作の確認
---パスワード変更が可能か（LDAPサーバ内から）
---パスワード変更が可能か（LDAPサーバ外から）
---パスワード文字数制限が有効になっているか。
---passwdコマンドはやはりppolicyと連携できないのか。
--ローカルアカウントへの影響
--LDAP登録していないアカウントにはppolicyが適用されず普通にログインできること。
--ローカルアカウントの追加で、LDAPにデータ追加されないこと。
--無用にLDAPに問い合わせを行わないこと。

***連携機能を確認する [#y585b89a]
-ホームdirの自動作成の設定を行う。
--追加したアカウントで初ログインする際に、自動的にホームdirが作成されること。
-オートマウントの設定を行う。
--/export/home配下にNFSv3で、ログインユーザ毎のホームdirがオートマウントされること。
---一定時間経過後（ログアウト後）にumountされること。
---複数アカウントでログインし、それぞれのホームdirがマウントされること。

***その他の問題の検証 [#ed3cfa68]
-スラブメモリ増大問題
--オートマウント設定状態で、ログイン（オートマウント）ログアウトして、スラブメモリが増えるか確認する。
--連続ログイン・ログアウトを設定し、スラブメモリが増えるか確認する。
---増え続ける場合、最終的にハングアップまで行くか、挙動を確認する。
---増大する場合、一定周期にフラッシュすればハングアップしないか確認する。
--NFSv4だと問題が発生しないか確認する。
---その場合、オートマント設定の方法を調べなおし、再確認する。

* コメント [#t540dc23]
#comment

* メモ [#fe8605b7]
#memo(* 認証の設定\nhttp://funini.com/kei/unix/ldap.shtml\nhttp://funini.com/kei/unix/ldap-debian.shtml\n\n* PAM\nhttp://yukiten.com/blog/info-tec/ldap-linux-account-notes/\nhttp://www.wakaue.info/2dowiki/centos64-pam-passwordpolicy/\n\n\n* ppolicy\nhttp://www.wakaue.info/2dowiki/ldap-password-policy/\nhttp://raymonmon.blog38.fc2.com/blog-entry-16.html\n\n* メモ\n** ２つのldap.conf\n- /etc/ldap.confは、pam_ldap、nss_ldap から利用されるファイルです。nsswitch.conf で 「ldap」 を設定すると、このファイルの内容に従って処理が行われます。\n- /etc/openldap/ldap.confは、OpenLDAPに付いている、LDAPコマンドを実行するときに参照されるファイルです。例えば、ldapsearch コマンドを実行する際に -x のみを指定すると、他に必要なパラメータはこのファイルから読みこまれます。ldapsearch はLDAPサーバとの接続性を確認するものであって、正しくLDAPの情報が参照できても、PAM認証が正常に働くといったものではありません。\n- 実験結果\n-- /etc/openldap/ldap.confにBASEを設定すると、一般ユーザも ldapsearch -x だけで検索ができるようになる（なってしまう）。\n--- ただしuserPasswordなどのへのACLはちゃんと効いてて表示されない。\n\n)

#counter

     

Site admin: 岡崎（武蔵野市ソシアルダンス連合会 HP管理人）

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.29. HTML convert time: 0.006 sec.