#norelated #topicpath #contents *予定 [#e58221b9] #memo(12/03(水) 検証\n12/04(木) 検証\n12/05(金) 設計書作成(ppt追記)\n12/08(月) 試験項目一覧作成(手順書も簡易作成)、adminはまた別途\n12/09(火) 進捗報告書作成、レビュー\n12/10(水) 試験環境作成、試験実施\n12/11(木) 試験実施\n12/12(金) 試験実施\n12/15(月) 試験(予備)、試験結果取りまとめ、工事手順書作成\n12/16(火) 工事手順書作成、(途中でも)レビュー\n12/17(水) 工事手順書作成\n12/18(木) 工事手順書作成\n12/19(金) 工事手順検証\n12/24(水) 工事手順検証\n12/25(木) 工事手順検証、修正\n12/26(金) 工事手順書レビュー(この時点で1/9に事務局説明可能か判断)\n01/07(水) 工事手順書レビュー修正、JP1準備\n01/08(木) JP1準備\n01/09(金) 工事手順の事務局説明\n) *実機確認 [#la2b9149] **基本構成を組む [#s2397f3c] -実機のコンフィグでslapdを起動する。まずは片系のみ。 -検索 --slapcatでデータが確認できること。OK --ldapsearchでデータが確認できること。設定データなどは見えないこと。OK **基本機能を確認する [#u1c5ef2b] -追加・変更・削除 ---要素追加ができること。OK ---要素変更ができること。OK ---要素削除ができること。OK ---データ(エントリごと)追加ができること。OK ---データ(エントリごと)削除ができること。OK -権限 ---権限のないdnでは検索できないこと。OK ---権限のないdnでは追加できないこと。OK ---権限のないdnでは変更できないこと。OK ---権限のないdnでは削除できないこと。OK -ログイン認証 --そのLDAPを利用して、ログイン認証できるようにする。OK ---正しく設定できていればgetent passwd(各種キーワード)でLDAPから情報が取得できるはず。OK ---nas0(端末)から、srv0(LDAPサーバ自身)へsshログインする。OK ---nas0(端末)から、srv1(LDAPサーバでない)へsshログインする。OK -二重化 --srv0をプロバイダ、srv1をコンシューマに設定し、同期されることを確認する。OK ---srv0で追加したデータが、コンシューマにコピーされる事を確認する。OK ---srv1で追加しようとするとエラーになる事を確認する。OK --プロバイダとの同期不可(通信障害)の状態で確認する。 ---やはりsrv1でデータ追加しようとしてもエラーになることを確認する。OK ---この状態でLDAPユーザに対してpasswdコマンドを投入したらどうなるか。齟齬が出るのか。OK ---srv0で追加したデータが、通信回復後にコンシューマにコピーされることを確認する。 --プロバイダとの同期不可(プロセス障害)の状態で確認する。 ---srv1でデータ追加しようとしてもエラーになることを確認する。 ---srv0のプロセス再起動後に、再同期されるか確認する。 --nsswitch.confの挙動を確認する。 ---LDAP優先設定時、プロバイダとの通信が出来ない状態でログイン認証すると、タイムアウトしてコンシューマとの認証に移るのか。 ---files優先設定時、LDAPサーバに無用な問い合わせをしない挙動か確認。OK ***メモ [#wcc31433] -/etc/nsswitch.confはfiles ldapの順で正しい。逆順だとrootのときにlsするだけでLDAP検索が走ってしまう。両方に問い合わせてしまって問題なのは、ローカルとLDAPの両方に同名ユーザがいる場合。これをしなければよい。 -二重化しても何もなければ何の問い合わせも飛ばない。 -/etc/ldap.confと/etc/openldap.confの違いに注意すること。pamやnsは/etc/ldap.confを見ている。ldap系コマンドだけが/etc/openldap/ldap.confを見る。 **拡張機能を確認する [#rd6b09d6] ***TLS暗号化通信を確認する [#ob2cc062] -サーバ証明書を作成する。 --オレオレ証明書の作成。 --証明書の設定。 -LDAP通信にTLSを利用するよう設定する。 --ローカルクライアントとの通信の暗号化を確認。 --ネットワーククライアントとの通信の暗号化を確認。 --コンシューマLDAPサーバとの同期通信の暗号化を確認。 ---データを追加して、コンシューマに伝播するパケットをキャプチャする。 ***拡張認証機能を確認する [#f39bdfad] -ppolicyスキーマを導入する。 --ログイン認証の再確認 ---nas0(端末)から、srv0(LDAPサーバ自身)へsshログインする。 ---nas0(端末)から、srv1(LDAPサーバでない)へsshログインする。 --拡張機能の確認 ---ログイン失敗回数超過で一定時間ロックされるか。 ---期限超過で警告が出るか。 ---猶予期間超過でもロックされない様にできるか。 ---ログイン失敗でパスワード再設定を強制することができるか。 --ユーザ操作の確認 ---パスワード変更が可能か(LDAPサーバ内から) ---パスワード変更が可能か(LDAPサーバ外から) ---パスワード文字数制限が有効になっているか。 ---passwdコマンドはやはりppolicyと連携できないのか。 --ローカルアカウントへの影響 --LDAP登録していないアカウントにはppolicyが適用されず普通にログインできること。 --ローカルアカウントの追加で、LDAPにデータ追加されないこと。 --無用にLDAPに問い合わせを行わないこと。 ***連携機能を確認する [#y585b89a] -ホームdirの自動作成の設定を行う。 --追加したアカウントで初ログインする際に、自動的にホームdirが作成されること。 -オートマウントの設定を行う。 --/export/home配下にNFSv3で、ログインユーザ毎のホームdirがオートマウントされること。 ---一定時間経過後(ログアウト後)にumountされること。 ---複数アカウントでログインし、それぞれのホームdirがマウントされること。 ***その他の問題の検証 [#ed3cfa68] -スラブメモリ増大問題 --オートマウント設定状態で、ログイン(オートマウント)ログアウトして、スラブメモリが増えるか確認する。 --連続ログイン・ログアウトを設定し、スラブメモリが増えるか確認する。 ---増え続ける場合、最終的にハングアップまで行くか、挙動を確認する。 ---増大する場合、一定周期にフラッシュすればハングアップしないか確認する。 --NFSv4だと問題が発生しないか確認する。 ---その場合、オートマント設定の方法を調べなおし、再確認する。 * コメント [#t540dc23] #comment * メモ [#fe8605b7] #memo(* 認証の設定\nhttp://funini.com/kei/unix/ldap.shtml\nhttp://funini.com/kei/unix/ldap-debian.shtml\n\n* PAM\nhttp://yukiten.com/blog/info-tec/ldap-linux-account-notes/\nhttp://www.wakaue.info/2dowiki/centos64-pam-passwordpolicy/\n\n\n* ppolicy\nhttp://www.wakaue.info/2dowiki/ldap-password-policy/\nhttp://raymonmon.blog38.fc2.com/blog-entry-16.html\n\n* メモ\n** 2つのldap.conf\n- /etc/ldap.confは、pam_ldap、nss_ldap から利用されるファイルです。nsswitch.conf で 「ldap」 を設定すると、このファイルの内容に従って処理が行われます。\n- /etc/openldap/ldap.confは、OpenLDAPに付いている、LDAPコマンドを実行するときに参照されるファイルです。例えば、ldapsearch コマンドを実行する際に -x のみを指定すると、他に必要なパラメータはこのファイルから読みこまれます。ldapsearch はLDAPサーバとの接続性を確認するものであって、正しくLDAPの情報が参照できても、PAM認証が正常に働くといったものではありません。\n- 実験結果\n-- /etc/openldap/ldap.confにBASEを設定すると、一般ユーザも ldapsearch -x だけで検索ができるようになる(なってしまう)。\n--- ただしuserPasswordなどのへのACLはちゃんと効いてて表示されない。\n\n) #counter