KeycloakでLDAP認証を試してみる - Qiita
LDAPのディレクトリの階層構成 今回はベースディレクトリをdc=example,dc=comとして、ou=People,dc=example,dc=com配下にユーザーを作成していきます。 test0001、test0002、test0003というユーザーを用意しています。これらのユーザーのobjectClassにはtop、account、posixAccount、shadowAccountを指定しています。 posixAccountを指定していることにより、cn、uid、uidNumber、gidNumber、homeDirectoryが必須となっています。 Managerのパスワードは今回passwordに設定しています。 ldapsearch -x -b 'dc=example,dc=com'の結果は以下の通りです。 # extended LDIF # # LDAPv3 # bas
認証/認可が実現する安全で高速分析可能な分析処理基盤
分析処理基盤において、データの民主化・マルチテナント化を進めるためにはいくつかのハードルがあります。そのハードルの一つに、データリスクを低減するための認証・認可の実現が挙げられます。 本講演では、ドワンゴが分析処理基盤の認証・認可機構を一新した内容とポイント、またそれらの認証・認可機構をベースとし、分析処理を数倍から数十倍に高速化した事例を紹介致します。Read less
[AWS] RHEL7でOpenLDAP構築 - Qiita
はじめに こんにちは。 今回は、AWS上のRHEL7を使ってOpenLDAPの構築をやってみようと思います。 OpenLDAPインストールからユーザーの追加までやります! 内容は、基本的な部分が多いです。 環境 ・Red Hat Enterprise Linux 7.2 ・openldap-2.4.40-8.el7.x86_64 目次 OpenLDAPインストール OpenLDAP管理者パスワードの設定 スキーマの読み込み サフィックスの設定 ベースDNの登録 ACL設定 ユーザーの登録 1. OpenLDAPインストール ・OpenLDAPのインストール yum -y install openldap-servers openldap-clients ・データベースの作成 cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/
![[AWS] RHEL7でOpenLDAP構築 - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/fc1831d98bbcbb0727b1e0712aaca2ed20f7bf2e/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTk3MiZoPTM3OCZ0eHQ9JTVCQVdTJTVEJTIwJTIwUkhFTDclRTMlODElQTdPcGVuTERBUCVFNiVBNyU4QiVFNyVBRiU4OSZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZ0eHQtY29sb3I9JTIzMjEyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTU2JnM9MTA2NWM5NGE5YjgyYzRjOWM0ZWM1NDNjNjVjZGEzNjQ%26mark-x%3D142%26mark-y%3D57%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBrb29uYWdpJnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9MzYmdHh0LWFsaWduPWxlZnQlMkN0b3Amcz0zNDlmMTJkOTFhODkwMjgyY2NjMDRjYjJjNDg4ZWY4ZA%26blend-x%3D142%26blend-y%3D486%26blend-mode%3Dnormal%26s%3Df19f942acd29711b36f3a8e7ec704288)
PythonでLDAP Persistent Search - AAA Blog
OpenLDAP と仲間たち Advent Calendar 2015 19日目。 OpenLDAPにはsyncreplという同期機能がありますが、この仕組みを応用して(Persistent Search)持続検索を行うことができます。 Persistent SearchはLDAPサーバーに対する変更をリアルタイムに検知するので、これを応用するとLDAPのデータをRDBMSやNoSQL、クラウドストレージなどの異種DBと同期するエキセントリックな環境を構築できます。 今回はPython LDAPを使ってPersistent Searchをやってみます。 slapd.confに以下を設定 overlay syncprov python-ldapとpyasn1をインストール #!/usr/bin/env python2 # -*- coding: utf-8 -*- import sys im
DatadogでOpenLDAPのメトリクスを収集 - AAA Blog
OpenLDAP と仲間たち Advent Calendar 2015 17日目。 Datadogは手軽にサービスのメトリクスを監視できるサービスです。 このDatadogでOpenLDAPのメトリクスを収集するagentプラグインを作りましたので使い方を紹介します。 DatadogでOpenLDAPの利用状況を可視化するとこんなグラフができます。 OpenLDAPの負荷分析で重要なのはコネクション数と、スレッド数(起動数・最大数)あたりでしょう。 今後必要があればその他の情報も取れるようにしますので要望があればgithubのissueでお知らせください。 Monitor DBの有効化RHEL7/CentOS7では規定でmonitorデータベースが有効になっています。古いOpenLDAPでもslapd.confに database monitor と設定されていればMonitor DBは有
FluentdでOpenLDAPのログ管理 - AAA Blog
OpenLDAP と仲間たち Advent Calendar 2015 16日目。 OpenLDAPは通常syslogを経由してファイルに出力しますが、分散構成で運用することが多いLDAPではログを一箇所に集めたいことがあります。 こんな時fluentdを利用するとログを別のサーバーで集中管理したり、RDMBSやNoSQLなどに投入して分析することが簡単になります。 rsyslogの設定DebianやCentOS付属のopenldapはデフォルトでsyslogのlocal4 facilityにログを出力します。 したがって、rsyslogを以下のように設定してrsyslogを再起動すると /var/log/ldap.log にログを出力するようになります。 /etc/rsyslog.conf: local4.* -/var/log/ldap.log fluentdのインストールこちらから各
OpenLDAP PBKDF2で安全にパスワードを格納する - AAA Blog
OpenLDAP と仲間たち Advent Calendar 2015 15日目。 前回説明した通り、OpenLDAPはデフォルトでSSHA1を利用しますが、もはやSSHA1は十分安全とは言えません。 OpenLDAPはPBKDF2という、より安全なハッシュ形式を利用できますのでこちらを使いましょう。 OpenLDAPのPBKDF2モジュールで利用できるハッシュスキーマは以下の通りです。 {PBKDF2} - {PBKDF2-SHA1} の別名{PBKDF2-SHA1}{PBKDF2-SHA256}{PBKDF2-SHA512}今回はこのPBKDF2モジュールのビルド方法と利用方法を紹介します。 ※以前紹介したback-wtパッケージをインストールされた方は規定でこのPBKDF2モジュールを利用できますのでビルドする必要はありません。 ビルド方法このPBKDF2モジュールは去年ぐらいに作っ
グループへのアクセス権付与 - OpenLDAP と仲間たち Advent Calendar 2015 - ダメ出し Blog
OpenLDAP と仲間たち Advent Calendar 2015 の 12日目の記事です。 OpenLDAP slapd.conf(5) の access パラメーターは、 slapd(8) が持つ LDAP DIT へのアクセス権を設定できます。 今回はグループへのアクセス権の付与の方法を解説します。 LDAP のグループエントリ RFC 2256 にグループ用のオブジェクトクラスとして groupOfNames と groupOfUniqueNames が定義されています。以下は groupOfNames のエントリの例ですが、これは member 属性でグループメンバーとなるエントリの DN を保持します。groupOfUniqueNames の場合は uniqueMember 属性である 以外は、ほぼ同じです。 dn: cn=managers,ou=Groups,dc=exa
新LDAPベンチマークツール: lb - AAA Blog
OpenLDAP と仲間たち Advent Calendar 2015 6日目。 かつてLDAPのベンチマークといえばSLAMDが主流でした、しかしSLAMDは既に開発プロジェクトが消滅しメンテナンスされていません。 そこで今回はlbという新しいLDAPのベンチマークツールを紹介します。 lbはGolangで書かれていて軽量スレッドのGoroutineを使って並列処理を行っています。 SLAMDはWebインターフェースで操作するので、様々な条件のベンチマークを実行するために何度もWebインターフェースをクリックする必要がありました。 lbはApache Benchによく似たインターフェースのコマンドラインツールですので、簡単にベンチマークを自動化できます。 lbのインストール依存パッケージのインストールDebian/Ubuntuの人# apt-get install golang RHEL
CentOS7でOpenLDAPの公開鍵でSSH認証する - 389 Directory Blog
OpenLDAP と仲間たち Advent Calendar 2015 5日目。 OpenSSHの公開鍵は通常、ホームディレクトリの下($HOME/.ssh/authorized_keys)に配置してると思いますが、サーバーがー多くなってくると集中管理したいですよね。 OpenSSHはファイルだけでなくLDAPに格納された公開鍵を利用して認証を行うこともできます。 CentOS6の古いOpenLDAPはopenssh-ldapパッケージをインストールし、スキーマをincludeするだけで良かったのですが、CentOS/RHEL7系のOpenLDAPはcn=configデータベースを利用するようになったため、少々面倒になりました。 ここではCentOS7/RHEL7で、SSH公開鍵をOpenLDAPに投入して認証する方法を解説します。 OpenLDAPのインストールまず、openldapとo
Ansible で OpenLDAP マルチマスター/スレーブサーバー構築 - OpenLDAP と仲間たち Advent Calendar 2015 - ダメ出し Blog
Ansible で OpenLDAP マルチマスター/スレーブサーバー構築 - OpenLDAP と仲間たち Advent Calendar 2015 - ダメ出し Blog OpenLDAP と仲間たち Advent Calendar 2015 の 1日目の記事です。 OpenLDAP のマルチマスターサーバー群とスレーブサーバーの構築と ベースとなる LDAP DIT データ作成と投入を行なう Ansible playbook を作りました。 https://github.com/fumiyas/ansible-playbooks 初めての Ansible playbook です。まだ手探りだったり使い方が変なところがあると 思うので、強くダメ出しを希望します。よろしくお願いします!!!! いまのところ OpenLDAP だけですが、ほかのも追加していく予定です。 要件 Ansible
Nginx を使って OpenLDAP の負荷分散と高可用性をシンプルに実現する | blog-kazuhisya.rhcloud.com
OpenLDAP と言えば、マルチマスタ構成が組めると書いてあったり、試してみると実はシビアな環境だとトランザクションないからダメだったり、Berkeley DB を RDBMS に置き換えれば行けるんじゃねと思ったら、案の定罠満載だったりするのだけど、同様に高可用性の設計が以外と難儀する。 一般的にはミラーにして、片方をマスタとして読み書きし、スレーブ側を読込専用で使うような、要は MySQL のマスタースレーブライクに使うパターンが多い模様。そして負荷分散に関しては LB 挟んでフェイルオーバーが一般的な模様。 ざっくり言うと、gihyo の連載(ちょっと古いが)に載っている。 第21回(最終回) OpenLDAPの冗長化対策【3】:そろそろLDAPにしてみないか?|gihyo.jp … 技術評論社 閑話休題、今回はここで紹介されている書込用ポートと読込用ポートを分けて、読込を負荷分散
Nginx を使って OpenLDAP の負荷分散と高可用性をシンプルに実現する | blog-kazuhisya.rhcloud.com
OpenLDAP と言えば、マルチマスタ構成が組めると書いてあったり、試してみると実はシビアな環境だとトランザクションないからダメだったり、Berkeley DB を RDBMS に置き換えれば行けるんじゃねと思ったら、案の定罠満載だったりするのだけど、同様に高可用性の設計が以外と難儀する。 一般的にはミラーにして、片方をマスタとして読み書きし、スレーブ側を読込専用で使うような、要は MySQL のマスタースレーブライクに使うパターンが多い模様。そして負荷分散に関しては LB 挟んでフェイルオーバーが一般的な模様。 ざっくり言うと、gihyo の連載(ちょっと古いが)に載っている。 第21回(最終回) OpenLDAPの冗長化対策【3】:そろそろLDAPにしてみないか?|gihyo.jp … 技術評論社 閑話休題、今回はここで紹介されている書込用ポートと読込用ポートを分けて、読込を負荷分散
複眼中心 : Xp on Mac (XOM) How to 日本語訳
Tats Shibata (柴田竜典, シバタツ) has 15+ years of experience in database technology, performance engineering, and pre-sales. As a Senior Manager and Head of Japan Data Service Specialist Solutions Architects at Amazon Web Services Japan, he leads a team of 10+ database and analytics technical experts who provide solution architecting for AWS customers across various industries.
『ぼくがかんがえたさいきょうの LDAP テスト法』
こんにちは。 全社システムの吉田です。 私の所属する全社システムでは、主に社内向けシステムの構築や運用を行っています。先日、社内の認証に用いている LDAP サーバーのバッチを作成しました。 全社システムでは、コーディングをする際には主に Ruby を用いています。 Ruby から LDAP とお話するには、ActiveLdap というモジュールを使用しました。ActiveLdap の利用法についてはるびまに記事が載っています。Rails を使用した事のある人ならば、きっと直感的に使用出来ると思います。 ところで、このバッチ処理のテストはどうすれば良いでしょう?? 出来れば LDAP のモックを使った Unit Test を書きたい所です。でも、適当なモックを探して見たのですが、なかなか見つかりませんでした。Schema 登録無しで OpenLDAP と ActiveDirectory の
Mitzyuki's Blog :: LDAP 登録用スクリプト
LDAP 登録用スクリプト 以前、某社内のユーザ管理を ldap 化した際に作成した ldap 登録用の ldif ファイルを生成するスクリプト。 漢字の名字と名前を入力すると kakashi を利用して ひらがなの名字、名前、ローマ字の名字、名前を自動的に取得し ldap 登録用の ldif ファイルを生成して ldap 登録まで自動で行う。 当初は csv 型式のファイルから必要な情報を取得して 連続で ldap に登録するバッチスクリプトとして作成したのだが、 初期登録が完了した後はたまに発生するユーザの追加処理にのみ使用するので 対話的に実行するコマンドに作り直した。 漢字をひらがな/ローマ字に変換するために kakashi とnkf が必要になる。 漢字のよみは自動では完全には取得できないので変換した値を確認する様にしている。 ローマ字の氏名は私の趣味で名字は全て大文字、名前はキ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
unixlife.jp
OpenLDAP - SSH公開鍵を登録してログインするまでの手順 - Qiita
SIOS Tech. Lab - エンジニアのためになる技術トピックス
IBM Developer
