徒然日記

■ ldapでlogin shellをしばる方法

どこにも(英語でぐぐっても)書いてなかったのでせっかくなんで書いてみる

どういう局面で使うかというと

1. ユーザがたくさん居るので、認証は/etc/passwdには何も書かず、ldapだけで済ませたい
2. でもユーザにshellは使わせたくない
3. かといってloginできなくするとscpが出来ない
4. なのでscponlyを使いたい
5. ユーザはldapで各々違うlogin shellを設定しているので/bin/bashを差し替える、といったことも出来ない

というかなり特殊な状況(汗

こんな状況に陥ったのはIMAP serverでmailのフィルタリングのルールファイル(~/.procmailrcとか)をscpで置かせたかったから

■ 認証のレイヤ

Linuxの(最近のFreeBSDもか？)認証はpamを中心としている

でも、それだけじゃぁ完結しなくて、今回は(open)ldap, pam, nss, sshなどが絡んでくる。図で表すとこんなな感じ？

               ユーザ
                ↓↑
 -----------------------------------
| ssh, login, telnet, console, .... |
 -----------------------------------
       ↓↑               ↑↓
 -----------------   ---------------         -------------
|       pam       | |      nss      |       |    ldif     |
 -----------------   ---------------         -------------
       ↓↑               ↑↓                    ↓
 -----------------------------------         -------------
|              ldap client          |   <=> | ldap server |
 -----------------------------------         -------------

ldif以外の５つで設定ポイントがあるような(途方

一つずつ見ていった

• pam

Pluggable Authentication Modulesの略
認証の中核を担う。uidと認証の可否を取り扱うのみ
設定ファイル: /etc/pam.d

• nss

Name Service Switchの略
/etc/passwdに書いてある、uid, password以外の情報のやりとりを担う
設定ファイル: /etc/nsswitch.conf

• ldap client

pam/nssからのリクエストに基づいてldap serverとのやりとりをする
設定ファイル: /etc/ldap.conf

• ldap server

ldifに記述された情報をldap clientに返してやる
設定ファイル: /etc/ldap.conf

ってところかな。

で、結局どこで設定するかというと、/etc/ldap.confで。

nss_map_attributeという設定があって、これでldapから流れてくる情報をoverrideできる。てっきりnssの設定かと思ってたよ…

なので/etc/ldap.confに以下のような行を追加してやればよい

nss_map_attribute loginShell /user/bin/scponly

■ 死ぬかも…

鯖がやばい…

光なんて悠長なこと言ってないでADSLを繋ぎで引いて、手元に構築する必要があるかも

音信不通になったらそういうことで… ＞ 利用者各位

■ あ

今やばいのはシステム側。ユーザデータはたぶん無事だと思う…

■ 症状

とりあえず、一部CGIが実行できない。(webmailer)

■ 鯖

grubが飛んでて、もう何もかもが面倒くさくなったのでMomomnga 3をinstallして復活。

実は、実家にはノートPCしかなく、CRT・液晶がなかったので、液晶をお買い上げコースか？と悲観に暮れていたのだが、幸いにも画板にS端子がついていて、それがBIOSから全部出力することができたので、TVに映してインストールできたので助かった(--;

■ 1600x1200

会社にDellのDesktop PCが届いたので、Momonga 3をいれたのだが、どうにも解像度が1280x1024までしか出ない

Windowsでは1600x1200で出てるし、同じチップセットのi945Gなマシンを使ってる同期は1600x1200出してるし…

疑わしいのはMomongaのkerne/Xorg、もしくは同期はEizoの液晶なのに対し、自分のはDellの液晶ということ。

しかし、XorgでVerticalSyncを - 60.0にしてるのだがなぁ…う〜〜〜むーー

■ 1600x1200キタ

まじまじとxorg.confを眺めていたら

HorizSyncとVertSyncの上に

# Comment all HorizSync and VertSync values to use DDC:

などと書いてあるではないですか。

んで、Deviceの所に

# Option "NoDDC"

これを

Option "NoDDC" "Yes"

DDCっていうのはData Display Channelの略で、画板がモニタに性能問い合わせをするのにつかうらしい。

それに対応してないので、周波数の設定がおかしく、xorg.confの記述も無視されていたのだね。

でも、これってIntelのオンボードグラフィックマザーでは割とFAQみたいね…orz

使ったこと無かったので知りませんでしたヨ

■ sylpheedのIMAPフォルダ

変？？？

fs上では$MAILDIR/.INBOX.hoge.fuga/なるフォルダを作ってくれる。

Becky!, wanderlust, thunderbirdでは$MAILDIR/.hoge.fugaなんだが…

で、これらで作られたフォルダは見えないという… うーむ…

■ LL ring

いってきたぉ

でも、日記界の知り合いにはさっぱり会えなかったー orz