柏崎@北大です.

どうにもどんづまりになってしまったので質問させて下さい.

8月ぐらいに jail 間の認証統合で ldap 使うべきかなー,みたいな質問を
投げさせてもらいまして,今頃になって重い腰を上げて作業を開始してみま
したところ,どうにも認証の統合が出来なくて悩んでおります.

構成は以下のような感じで,host マシンに jail がじゃらじゃら三つほど
ぶらさがっており,host は jail (ldap) と nss と PAM での認証統合をし
ていて稼働しています.

+ host 133.87.X.Y & 192.168.0.1
    +--- jail (ldap) 192.168.0.22,  base=hoge
    +--- jail (mail) 192.168.0.21
    +--- jail (www)  192.168.0.20

で,jail (mail) も jail (ldap)と連携して認証統合したいなと考えまして,
jail (mail) で以下のような手順を踏みました

1. ports から security/pam_ldap と net/nss_ldap をインストール
   (security/pam_ldap のインストールで net/openldap23-client もイン
    ストールされる.)

2. /usr/local/etc 以下にインストールされた ldap.conf.dist から
   /usr/local/etc/ldap.conf を作り,さらに nss_ldap.conf へのシンボ
   リックリンクを張る.
   ldap.conf の内容で追加箇所は以下の通り

     host 192.168.0.22
     base hoge
     
     pam_filter objectclass=posixAccount

3. /etc/nsswitch.conf の内容を変更
     group: compat
     group_compat: nis
     hosts: files dns
     networks: files
     passwd: compat
     passwd_compat: ldap
     shells: files

4. /etc/passwd, /etc/group の内容を変更
     +:*::::: および +:*:: を末尾に追加


で,id reo とかしますと

  mail# id reo
  id: reo: no such user

といった状況です.さくっとレスポンスが来ます.
ちなみに他ホストですと

  ldap# id reo
  uid=1001(reo) gid=0(wheel) groups=0(wheel)

  host% id reo
  uid=1001(reo) gid=0(wheel) groups=0(wheel)

といった具合で,ldap サーバ本体からは接続可能,ホストからも接続可能.
pf の設定で通信がうまくいっていないのかとも思ったのですが,

   mail# telnet 192.168.0.22 389
   Trying 192.168.0.22...
   Connected to 192.168.0.22.
   Escape character is '^]'.
   ^]
   telnet> quit
   Connection closed.
   mail# ldapsearch -h 192.168.0.22
   # extended LDIF
   #
   # LDAPv3
   # base <> with scope subtree
   # filter: (objectclass=*)
   # requesting: ALL
   #
   
   # search result
   search: 2
   result: 32 No such object
   
   # numResponses: 1

といった状態で通信は可能なようです.

提示している情報がかなり歯抜けな感じもありますが,こんな状態で皆様に
おかれましてはどのような「次はここを調べる」という一手を打たれますで
しょうか.情報をお寄せ頂ければ幸いです./var/log/debug かなあ.

-- 
柏崎 礼生 (Hiroki Kashiwazaki)@HUIST
Assistant Professor @ Graduate School of Information Science and
Technology, Hokkaido University
mailto:[&#x30E1;&#x30FC;&#x30EB;&#x30A2;&#x30C9;&#x30EC;&#x30B9;&#x4FDD;&#x8B77;]
Tel:+81-11-706-2056 (Office), +81-11-706-2998 (Takai Lab.)

メールによる返信