OpenLDAPの設定をしてたら死にそうだった話


以下の環境でのメモ。2012-09-27 時点。毎度のことだけど古い情報が残るWebにおいては情報の鮮度は重要なのだ。
  • CentOS release 6.3 (Final)
  • OpenLDAP: slapd 2.4.23 (Aug  8 2012 16:29:21)

○ 興味があんまりない人向けの説明

Aというソフトを利用したBというソフトと戯れようとしていた。ら、そのAが前提としているB上の設定ファイルが古いもので、新しいバージョンでは違う方法を取れと言われる。A側のマニュアルはどうもメンテされてないようで、そこに書かれてる内容をBの新しい仕組みに基づいて書き換えないとあかん。ところでBってソフト、初めて触れる気がするよ?

○ OpenLDAP 2.4 より導入された OLC (cn=config) とかいう仕組み

このページが最終的には最も使える情報を提供している気がした。

Chapter 6.1.1: OpenLDAP using OLC (cn=config)

OpenLDAPをリブートすると阿鼻叫喚なので、そうせずに設定ファイル読み直せるように、仕組みを変えたよ。OLC は On-Line Configurationだよ。古い仕組みであるslapd.confも「一応」残ってるけど使わないほうが身のためだよ、という話。

例えばCentOS 6.3では、パッケージでインストールした時点で全ての設定が /etc/openldap/slapd.d/ 下にDIT (Directory Information Tree) の形で収められている。つまりファイルシステムにべったり設定が書かれてる。平文で。うん。

混在時にどういう挙動を示すかは怖いので調べたくない (とある記事によると slapd.d しか読まれないとかあったが、ポインタを保存し忘れたので省略)。理想的には混在させるべきではない、はず。

ということは、自分で今後運用するのなら、当然新しい仕組みを元にやるよね普通、という話。というか、yumでインストールした時点ですでに色々入ってて、ならそれはそのまま使いたいよね、と思うよ普通。

今使用している某ソフトの設定ガイドは全て古い仕組みを前提としており、しかも解説がない。私がOpenLDAPを知っていればまだしも何も知らない状態から始めたので酷いめに会うことになったのであーる。

○ やることの概要

OpenLDAPを使いたがっているという具体的なソフト名は省略するけど以下のように書かれていた


  1. (古いフォーマットの) スキーマはこれを使ってね
  2. (古いフォーマットの) suffixとrootdnとrootpwはこういう風に設定してね
  3. 最後にこれ(test.ldifとする)をldapaddでデータベースに追加してね
基本的にやったのはこの古いスキーマをldifフォーマットに変換してcn=admin,cn=config経由でslapd.d 下にぶちこみ、最後に#3をやるという作業。ldif自体は既存の仕組みなので、#3は#1と#2が正しければ自然と通るわけ。


ここまでで、スキーマ、rootdn、rootpwとは何か,ldapaddで失敗したら何が起こってどうしたらリカバリできるのか、そもそもゴールが何か、といった説明は本家には一切なかった。ああ、確かに古いOSならそのまま使えばいいんだけどな。

○ やったこと

古いスキーマ形式で渡されたファイルをldifフォーマットに直す。上記のサイトにも方法が書いてある。すでにインストール済のスキーマ群が/etc/openldap/schema 下に今でも残っているので、これを参考に。

次にそれをldapaddで読みこませる……前に slapd.d/cn=config/olcDatabase={0}config.ldif を編集して olcRootDN と olcRootPW を編集及び追加。これは上記の#2とは関係がない。また、セキュリティが重要でなければ必要でもたぶんない。
olcRootDN: cn=admin,cn=config
olcRootPW: {SSHA}xwd0OrrW2VVbw
こういう感じ。二行目の生成には ldappasswd slappasswd を使う。

ldif形式に直したスキーマを読みこませる。
ldapadd -x -D cn=admin,cn=config -W -f schema/newschema.ldif
なおこの方法だとパスワードを聞かれるので上で設定したものを入れる。よおし入ったぞ。

はいここでマッター。newschema.ldifのフォーマットが間違ってたらどうなるんでしょ。ちなみに実際間違えました。後になってから酷い状態になってることが発覚しました。

確認のために ldapsearch でスキーマがちゃんとアップデートされてたかをここでチェック。
ldapsearch -LLL -x -W -D cn=admin,cn=config -b "cn=schema,cn=config"
ここで末尾に上記のnewschema.ldifが入っているかチェック。なおファイルとして slapd.d/cn=config/cn=schema/ 下に連番付きでこのファイルが保存される。

私の場合にハマったのは

  • 要らない空行を解釈されてなんかおかしかった (RFC嫁)
  • スペルミス (olcAttributeTypes, olcObjectClasses)
一つ目、ldifフォーマットは空行に意味があり、一つのデータの塊の間に空行を入れてはいけないというのに空行を適当に入れた結果、間違ったコンフィグを保存された結果正常終了してcn=configが書き換わってしまう。それに気づかずに次のステップに行くとあじゃーん、そこで「このattributeしらんの」とか出て、中途半端な状態で次のldifファイルまで読み込まれてしまい泥沼。ここでちゃんとチェックする。

もし変なスキーマがここでインポートされてしまった場合には、(上記のサイトに書かれている通りに) スキーマを強制的に消してやりなおす。slapdを止める。ファイルを消す。slapdを起動する。それだけさ!

スキーマ読み込ませたら、#2に移る (スキーマを読みこませる前でも実は良いっぽかった)


こんどは slapd.d/cn=config/olcDatabase={2}bdb.ldif を編集して、olcSuffix, olcRootDN, olcRootPW を指定通りに設定する。ただしまず前提として、上記の#2で指示しているsuffix, rootdn, rootpwがBDBに対する設定であるという確信が必要。くわしくはあなたが参照しているマニュアルを御覧ください。

ここまででrootdnとrootpwは二回設定した。一回目はcn=configに対するもの (cn=admin,cn=config)、二回目はBDBに対するもの。普通LDAPを使ったソフトなら後者の設定について連携したいはずだから、もしslapd.confを書き換えてねと言っていたらこっちのパスワードなどを指定するはず。というわけで以上のようにした。

はいはいわろす。

最後に指定されたldifファイルを読む (#3)
ldapadd -x -D (ここに指定されたdnを書く) -W -f test.ldif
ここで聞かれるパスワードは2つ目のものになる。

○ LDAPのエントリを見れるか検証

とりあえずLDAPを内外から叩けるかチェック。中から
ldapsearch -x -W -LLL -D (bdbのrootdn) -b 調べたいもの
外から
ldapsearch -h (host) -x -W -LLL -D (bdbのrootdn) -b 調べたいもの

○ わかりにくいよばかー

私の説明がな

基本的に「スキーマをcn=configに認識させて、そのあとインポートする」という点でslapd.confを使ってやることと何ら変わりない。ただし方法が全く違い、ネット上にも古い方法が蔓延しているため非常に混乱させられた、という話。

○ 途中で感じた疑問と結局理解した内容

Q: slapd.d 内部は直接いじっちゃだめなんじゃ
A: 結局大丈夫らしい。いまのところ

Q: bdbの位置が分からん。データ消したい
A: slapd.d/cn=config/olcDatabase={2}bdb.ldif に書いてあるよ。でもそのまえに ldapsearch と ldapdelete に熟達するべきだよ

○ そのほか参考に出来たページ


○ まとめ

間違っていたら、知り合いの方はご連絡ください。検索でたどり着いた方は、より深みにはまってより新しい記事を書くよう、お願いします。

オープンウェブって辛いわ。

○ なお

OpenLDAPに依存しているソフト側との連携はためしてもいません。あじゃーん。

○ 追記

  • /usr/share/openldap-servers に古いslapd.confが置いてある、slapd.conf.obsolete という名前で。ここには他に (Berkley DBの) 設定ファイル例であるDB_CONFIGもある。


このブログの人気の投稿

風花雪月

 2019年のゲームなので今更感あるんだけど「なしルナ」(金鹿)までやったのでメモっとく(ただしカジュアル)。主に「難易度」と「ストーリー」について感想を書く。 ちょっと前提 自分があまりこの手のゲームに慣れていないこと、あと「ルナは別格に難しい」なんて説明があったこともあって、色々調べ物をしたり警戒しながらやってたんだけど、ネットなどの情報がだいぶ出揃ってる2021年現在、そういう情報をフルに使いこなすと「ルナでも簡単」なのかなと思う。強いキャラとそれに合った成長プランが大体全部出揃ってるのと、試しながらやらないといけないのとでは、そりゃぁ辛さが違うよね、と。 難易度面 ノーマル、ハードについて、難易度的に特に指摘するほどのものがない…… ノーマルは自分の基準からするとおおよそ「イージー」。1周目から個人的にはハード選べば良かった気がした。この手のTRPGにあんまり慣れがないので、色々安全寄りに倒したら(フリー戦闘とかね!)後半がダルダルになってしまった。とはいえ、これは振り返ってそう思うのであって、はじめてやったときに計略が全く使いこなせてなかったり色々システムの基本を追いかけられてなかった中では、妥当かもなとも思う面がある。 基本的に、このゲームはハードですらシステム全体を活用する必要があまりない。一方、ルナだとシステムをそれなりに活用しないと辛いので、ルナがコアなプレイヤーの標準難易度ってことになる気がする。 一方、じゃぁ「標準難易度」としてルナが丁度よいかというと、こちらは、なんというか「ピーキー」で、妙にキッツキツにしすぎているところが目立ってしまって、逆に若干息苦しい。 後で書くけど、DLCの煤闇の章はルナに近接していて、かつ敵が単体で跳ね回る感じではなく、敵の総数がしっかりこちらを押してくる感じがより好印象だった。しかも物語が短くコンパクト。良い。 ルナで厳しく管理しないと行けないと思った要素は後で述べる。 「引き継ぎありハード」のあと、そのまま「引き継ぎなしルナティック」(なしルナ)にチャレンジした(3周目でなしルナ)。「ありルナ」をちょっと試したのだけど、EP.3くらいには「これは後半ダレる!」ってのが目に見えたので、「なしルナ」一直線で、これはちょっとドキドキした。 ルナの前半は面白くもないパズルゲーという感じで、敵の攻撃力があまりに高...
続きを読む

pemって言ったら改行も仕様に含むんだよもん

冗談じゃねぇ、と思ったけどPEMはBASE64を使っていてBASE64はMIMEの仕様の一部で、とたどっていった結果、一行あたりの制約がPEMの仕様に漏れでてくる、ということのようだ。 http://ja.wikipedia.org/wiki/Base64 https://bitbucket.org/hdknr/openidcx/issue/61/certs-pem どうしてそんなことになったかというと、OpenSSLで鍵を読み込んでいるときに、ファイル経由でpemを読んだら問題なかったのに、それをメモリ上にのっけてやってみたらだめだったという事件の流れ。データの違いは改行の違いだけで「この改行って意味があるの!?」とかびびった。 具体的には、PEM_read_bio_PrivateKey() が "bad base64 decode" とか言い出した。そんなわけあるんかいな、と思ったら、あったのだ。 メモリ上にマッピングするときに「改行なんて要らないよね」とか言った自分が悪い。いや、しかし…… PEMというのは -----BEGIN CERTIFICATE----- MIICnjCCAYYCCQCvgY9YjPLo2DANBgkqhkiG9w0BAQUFADARMQ8wDQYDVQQDEwZ1 YnVudHUwHhcNMTIxMDAzMDkyOTM1WhcNMjIxMDAxMDkyOTM1WjARMQ8wDQYDVQQD EwZ1YnVudHUwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQC8lP+hcVM3 ... Qjyuxx//vDtL53k92bKb2orQkL/3u/cF4ynwy6p646UkEyrQAtbUS1O/F91ZG6k9 GigCBfK8xKa5yMJ7vQQk/vmkrI+pfqc0G4uKV/lvCSmPkXqjxgA/6OvRStazr9Jt LA0gcsiaR0HwBMYe4ESZb3vzKyQKQZwr4SbfLQWPr8DA09kC3nxBo2hAhLYWptlz c9u9i7DWOPMNDxDQvXl+ibG/jqSumEONN+493z5uj/awqSt9lUyPVU7Ngn54FeVN 1iU= -----END CER...
続きを読む

LibreOfficeで表紙、目次、本体でフッターのページ番号のスタイルを変える

イメージ
○ やりたいこと 次のようなドキュメントをLibreOfficeで作りたいの 表紙 (フッターのページ番号はなし) 目次 (フッターのページ番号はローマ数字で例えば i〜iii) 本文 (フッターのページ番号はリセットされて例えば 1〜40) ○ 覚えとく概念 「書式(O)」の「スタイルと書式設定」で段落のスタイルとかを設定できます。 これの内、 段落スタイル を使って色々楽しくやる方法については、以下の本を参照してくだされ。 「スタイルと書式設定」の4つめのボタンが「ページスタイル」の設定です。今回フッターをページごとに変える際にも使います。 ○ 表紙のページスタイルを「最初のページ」にする まぁ簡単ですな ○ 表紙のページで「改ページ」するとともにスタイルもリセットする 「挿入(I)」から「任意区切り」を選んで、改ページを選択します。 ここで「スタイル」ってありますね。ここで次のページのスタイルを設定します。 言い方変えると、改ページしない限り、「次ページのスタイルを変える」ことは原則できません。例外が各ページスタイルで設定されている「次に続くスタイル」です。 基本的にこの項目は「左右見開き」とかそういう限定された時にしか使えませんね。 リセットして、目次用のスタイルを上記「区切りの挿入」で指定します。 ああ、「目次」なんていうページスタイルがLibreOfficeにはない。 というわけで作ります。「スタイルと書式設定」のページスタイルの項で右クリック、「新規作成」を選択します。ここの読者がこんなところでハマると信じたくはないな。……信じとぅない! 「ページ」タブが重要。最初に「フッターのページ番号をローマ数字にする」って言ったわけで。 これで目次用のスタイルが出来たので、改ページと一緒に次のページスタイルをこれにします。あと、「ページ番号の変更」で1を選ぶのを忘れない。 ○ 目次挿入 「挿入(I)」の「目次と索引 >> 目次と索引」を使います。上の本がちょっとだけ詳しいから省略。 ○ フッターにページ番号入れる。 フッターあたりをクリックして適当にやります。適当に。 フッターを中央寄せ...
続きを読む