ojixiiさんの投稿一覧
同じくあんまり有識でもない&推測まじりですが、
特に④については私も学習時に気になって調べたのでお力になれるかもです。
①allow bind_anon_cred、 disallow bind_anon が許可/禁止する対象は
どちらも「匿名バインド」のみですよね?非認証バインドも含んでいたりしませんよね?
こちらはYESと思います。
man 5 slapd.conf を抜粋します。
allow
Specify a set of features (separated by white space) to allow (default none). snip
bind_anon_cred allows anonymous bind when credentials are not empty (e.g. when DN is empty). bind_anon_dn allows
unauthenticated (anonymous) bind when DN is not empty
・allow bind_anon_cred は匿名バインド(anonymous bind)を許可
disallow
Specify a set of features (separated by white space) to disallow (default none). bind_anon disables acceptance of
anonymous bind requests. Note that this setting does not prohibit anonymous directory access (See "require
authc").
・disallow bind_anon は匿名バインド要求の受け入れを無効
②disallow側には、なぜ「非認証バインド」の禁止設定が無いのでしょうか
man にも記述はないので推測ですが、
非認証バインドはデフォルトで禁止であり、許可の定義を書かなければ禁止扱いだからでしょうか。
③ping-tのディレクティブの表のallow側の説明にて、わざわざ"(DNが指定されていない場合)" "(DNが指定されている場合)"などの
注釈カッコ書きがあるのはなぜですか。単純に匿名バインドの許可,禁止と書けばよいのでは。
ここも推測ですが"匿名バインド"と"非認証バインド"の説明をあえて説明欄に入れてるってことですかね。。
ただ↑で引用した man の記述の通りではあるようです。
④他サイトですが
https://linuc.org/study/samples/3328/
ここの回答と解説にて
非認証バインドはデフォルトでは使用不可になっており、slapd.confに"allow bind_anon_cred"を指定することで使用可能となる
と書かれています。ping-tを信じるとallow bind_anon_cred は匿名バインドの許可であり非認証バインドの許可ではありませんよね。
上記サイトの解説側が間違っているということになりますか。
ちなみに以下にも同様に書かれてます。
https://www5f.biglobe.ne.jp/inachi/openldap/admin21/security-ja.html
非認証バインドは結果として匿名認可になります。非認証バインドはデフォルトでは利用できませんが、 slapd.conf(5) に "allow bind_anon_cred" を指定することにより利用できるようになります。
が、これはどちらも誤り(誤訳?)かなと思っています。
slapd.conf の man にある通り、「bind_anon_cred は 匿名バインドを許可」と理解してよいはずです。
bind_anon_cred allows anonymous bind when credentials are not empty (e.g. when DN is empty).
bind_anon_dn allows unauthenticated (anonymous) bind when DN is not empty
とはいえ文章だけではやっぱり不安だったので、学習時に検証してみたログをくっつけておきます。
結果としては man の記述の通りの挙動でした。
■ allow bind_anon_cred(匿名バインドの許可)
<匿名バインド(バインドDNなし)>
# ldapsearch -x -w XXXXX -b 'dc=example,dc=com' '(objectClass=*)'
→ 戻り値 0
<非認証バインド(バインドDN(-D)あり、パスワード(-w/-W)無し)>
# ldapsearch -x -D 'uid=XXXXX,ou=xxx,dc=example,dc=com' -b 'dc=example,dc=com' '(objectClass=*)'
ldap_bind: Server is unwilling to perform (53)
additional info: unauthenticated bind (DN with no password) disallowed
(⇒ unauthenticated bind(非認証バインド)は許可されていない)
■ allow bind_anon_dn(非認証バインドの許可)
<匿名バインド(バインドDNなし)>
# ldapsearch -x -w XXXXX -b 'dc=example,dc=com' '(objectClass=*)'
ldap_bind: Invalid credentials (49)
<非認証バインド(バインドDN(-D)あり、パスワード(-w/-W)無し)>
# ldapsearch -x -D 'uid=XXXXX,ou=xxx,dc=example,dc=com' -b 'dc=example,dc=com' '(objectClass=*)'
→ 戻り値 0
自分の勉強方法で恐縮ですが。。
実機で実際に設定してみるというのもある程度効果はありました。
が、やっぱり実務で使わない部分は覚えるまでには至らないので、
最終的には紙にまとめてデスクに置いて、随時見るというアナログな方法を取っていました。
試験勉強、大変かと思いますががんばってください!
問題集TOPの画面から、上の方にある "出題対象" のチェックボックスで選べるかと思います。
コンボ、ミス関係なく同じ演習問題を最初から解き直したい場合は、全部のチェックを外せば出題されるはずです。
ここでは「ユーザが利用するツール」とあるので、root権限が必要な ecryptfs-migrate-home が挙がってないものと思われます。
ecryptfs-setup-private も ecryptfs-mount-private も一般ユーザが実行できるコマンドですが
ecryptfs-migrate-home は root だけが使えるコマンドです。
https://wiki.archlinux.jp/index.php/ECryptfs#.E6.89.8B.E5.8B.95
ecryptfs-setup-private や ecryptfs-mount-private は、ユーザが自分のホームディレクトリにおいて ~/Private など一部分を暗号化して利用できる。
ecryptfs-migrate-home は システム管理者がホームディレクトリ全体(/home/$USER)を暗号化する。
という違いがあります。
合ってると思います。
基本は smb.conf の passdb backend に指定されたDBに対して動作します。
(passdb backend の設定省略時は tdbsam)
passdb backend に指定していないDBを操作したい場合に -b を指定します。
以下 passdb backend に smbpasswd を指定して、smbpasswd にはユーザ登録なし、tdbsam にはユーザ登録済み の状態で pdbedit -L を実行してみました。
-b なしでは smbpasswd に対して動作するので何も出力されず
-b tdbsam を指定したときは tdbsam に登録したユーザが表示されてます。
# testparm -v | grep "passdb backend"
Load smb config files from /etc/samba/smb.conf
Loaded services file OK.
Server role: ROLE_STANDALONE
Press enter to see a dump of your service definitions
passdb backend = smbpasswd
# pdbedit -L
# pdbedit -L -b tdbsam
guest:1000:guest