Divine Power

adLDAP과 연계를 하려고. adLDAP를 SSL에서 해야 진정한 모든 기능이 enable된다. 생각하기 싫다 -_- 쉬운 방법으로 가자. http://blogs.technet.com/jrosen/archive/2006/08/21/448286.aspx 이런 시스템 구축보다는, ldaps로 뭘 할건지가 중요하기 때문에 -_- 이런 것에 비중을 두지는 않겠다. SSL and Active Directory (LDAPS) I needed to setup secure LDAP for my lab and was not sure how to do it. I did not want to purchase a certificate, and I did not want to have to install a Windows C..

active directory서버와 암호화 된 채널로 통신하게 되면 외부클라이언트에서도 passwd로 쉽게 비번을 변경할 수 있게 되는 등 좋은 일이 일어난다. http://support.microsoft.com/kb/321051 AD서버에 Root CA를 만들자.1. 프로그램 추가/제거에서 IIS를 설치한다. (인터넷 정보 시스템인가로 되어있다.)2. 인증서서비스를 설치한다... 이 이후는 서버의 이름을 변경할 수 없게 된다. 주의해야함;;

http://www.gatago.com/linux/samba/23879710.html이번엔 winbind.http://blog.scottlowe.org/2006/08/15/solaris-10-and-active-directory-integration/서버이름으로 된 사용자를 추가함.ktpass.exe를 사용했다.getentpasswd는 안 되지만 kinit은 성공함. nss-ldap 컴파일 -_-;; 솔라리스에서만 유독 안 되는게뭔가 모듈이 구린 것일 수도 있다.http://forum.sun.com/jive/thread.jspa?threadID=75007&messageID=273252컴파일 에러를 대처하고, 정말로 컴파일 해보기로 작정했다. 옵션/configure --enable-schema-mappin..

ldapclient가 잘 되지 않았다.그래서 ubuntu처럼 openldap으로 가기로 결심.일단은 솔라리스 ldapclient가 개판으로 만든 것을 없애자.# ldapclient uninit sunfreeware에서 openldap을 받아 설치./etc/openldap.conf가 아닌/usr/local/etc/openldap/openldap.conf가 설정파일이다. 고약한걸?ln -s /usr/local/etc/openldap/ /etc/openldap이렇게 해주었다. ldap.conf를 되는 곳에서 컨닝해옴. (리눅스 것)-------------------------------------------------------------# @(#)$Id: ldap.conf,v 1.34 2004/09/16 2..

문제가 또 있다.1. 사용자의 초기 비번은 어떻게 할 것인가?2. 국어로 된 설명은 어떻게 달 것인가? (특히 이름) 1. 비번은 unicodPwd 속성에 의해 지정될 수 있다. 덤프될 때는 출력되지 않겠죠 -_-;;2. 국어로 된 설명을 달고 덤프를 해보면 다른 항목은 콜론(:)이 하나인데, 이녀석은 유독 콜론이 두개로 붙는다. 둘 다 유니코드로 되어있다는 공통점이 있다...Base64인코딩을 하게 되어있음.비번은 MD4인지 MD5 해쉬가 되고 이런 식이면 간단하게 ldif파일을 생성할 수 없는데 ㅠ.ㅠ;; 2번은 해결되었다. 콜론을 한개로 한 다음 유니코드로 설명을 단다. (euc-kr인코딩으로 하면 낭패)비번번도 비슷하게 될까? 안됨: unwilling이 뜬다. 유저마다 초기 비번을 다르게 할 일이..

http://www.awprofessional.com/articles/article.asp?p=101405&seqNum=12&rl=1 LDIF파일이란 것이 존재한다. LDAP Data Interchange Format (LDIF) .................... LDAP의 데이터를 교환하기위한 포멧 -_-? LDAP프로토콜과 마찬가지로 이것도 일종의 표준이다. AD도 LDIF파일을 잘 인식하며, 윈2003에는 ldifde라는 것이 있어 LDIF파일을 인식해 AD에 집어넣고, 혹은 LDIF파일로 뽑아내기 위한 커맨드 툴이 존재한다. 표준이기때문에 유닉스상에서 shell script를 열심히 짜면 AD에 집어넣을 수 있다는 소리다. (굳이 유닉스 shell을 고집할 필요도 없다...a) 포인트는. 어떻..

수작업으로 추가OU = Organization Unit = 구성 단위. 그룹과 비슷한 개념으로 생각하면 된다. OU별로 다른 AD 정책을 적용할 수 있다.윈도우라면 문제없지만, 유닉스 스크립트와 같은 것을 엑세스 할 때의 문제점이 있어 OU이름은 반드시 영어로 짓기 바란다.유닉스상에서도 UTF-8로 하면 AD의 한글로 된 부분을 볼 수 있다.Active Directory 사용자 및 컴퓨터에 들어간다.NormalUsers OU를 확장한다. 그러면 입학년도별 OU가 나올 것이다. 적절한 학번으로 들어간다.빈 곳에 오른 클릭 -> 새로 만들기 -> 사용자성에는 ID를 입력한다. 그리고 ID를 다시 "사용자 로그온 이름"칸에다 복사해 넣는다. 다음버튼.암호는 초기비번 soeesoee를 집어넣는다.그러면 일단은 ..

이번에 구축한 AD+Unix 통합 ID체제는도메인 B라고 부르겠다. 기존에 윈도우 사용자를 관리하던 도메인A는 과연... 개학뒤에도 사용자들이 B의 ID가 없을 때에도,개학후 도메인 B의 ID가 생긴사람도,혼란없이 로그인 하기 위해서는 어떻게 해야 할까? 필자가 관리진으로 있는 전산실에는사양이 좋은 컴퓨터가 있고, 사양이 나쁜 컴퓨터가 있다...사양이 나쁜 컴퓨터에는 A, B의 ID로 모두 로그인 가능하게 하고사양이 좋은 컴퓨터에는 B만 로그인 가능하게 해놓을 것이다.B로 이동하게 유도하기 위해서다. 양쪽의 로그인을 허용하기 위해서는 트러스트를 써야 하고,좋은 쪽엔 B만 로그인 가능케 하기 위해서는 일방트러스트를 써야함을 알 수 있다. --------------------------------------..

http://www.networksecurityarchive.org/html/Focus-Sun/2004-09/msg00018.html http://gentoo-wiki.com/HOWTO_Adding_a_Samba_Server_into_an_existing_AD_Domain#LDAP_client_.28.2Fetc.2Fopenldap.2Fldap.conf.29 http://www.ofb.net/~jheiss/krbldap/howto.html http://www.tkk.fi/cc/docs/kerberos/nss_ldap.html 다른 소스를 찾았다... 솔라리스 ldapclient는 윈AD에 대해서는 영 엉망이라고 하여 openldap으로 재시도. AD를 cert서버로 임명함. Default Domain Po..

Solaris에서 AD물리는 방뻡 http://adminspotting.net/articles/windows/Linux-and-Active-Directory.html http://www.microsoft.com/technet/itsolutions/cits/interopmigration/unix/usecdirw/08wsdsu.mspx http://docs.sun.com/app/docs/doc/817-6118/6mlhe9af4?a=view: 썬에서 스샷까지 준 UFS 설치 매뉴얼 http://www.microsoft.com/technet/itsolutions/cits/interopmigration/unix/usecdirw/00wsdsu.mspx: 솔라리스 10 유저가 자기가 한 짓을 기록함. M$의 방뻡을 ..