teratail
回答率
85.35%
teratail header banner
teratail header banner
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
トップLDAPに関する質問
LDAP

LDAPは、ディレクトリデータベースにアクセスするためのプロトコルです。ディレクトリデータベースとは、ネットワークに存在するメールアドレスや環境などさまざまな情報を一元的に管理するサービスのことで、クライアントはLDAPサーバにアクセスしてユーザ名から検索や追加などの操作することができます。

Q&A

解決済

1回答

510閲覧

Apache Directory Studioでパスワードを確認したい

hotta
hotta

総合スコア1613

LDAP

LDAPは、ディレクトリデータベースにアクセスするためのプロトコルです。ディレクトリデータベースとは、ネットワークに存在するメールアドレスや環境などさまざまな情報を一元的に管理するサービスのことで、クライアントはLDAPサーバにアクセスしてユーザ名から検索や追加などの操作することができます。

0グッド

0クリップ

投稿2024/01/05 00:29

編集2024/01/05 08:34

0

0

実現したいこと

  • Apache Directory Studio(ADS) でパスワードを確認したい。

前提

ADS で 389ds にアクセスし、特定のユーザーの userPassword 属性をダブルクリックすると、以下のような画面になります。そこでパスワードを入力して [Bind] をクリックすると The authentication was successful. となります。

Password Editor

発生している問題・エラーメッセージ

が、 [Verify] をクリックすると Password verification failed. と言われます。この理由を知りたいです。

  • 何らかの権限不足?
  • Verify ボタンの使い方を間違えている?
  • Bind が通ればパスワード認証はOKなので、特に気にしなくてよい?

試したこと

  • 適当なパスワードを入力して Bind すると失敗するので、認証はちゃんとできているようです。
  • New Password タブでパスワードを同じ文字列でリセットしても、やはり同じ状況です(Bind は通るが Verify は失敗)。

補足情報(FW/ツールのバージョンなど)

  • ADS のバージョンは 2.0.0v20210717-M17 です。389ds のログでは Bind ではそれなりのアクセスログが出ていますが、Verify ではログは出ません(内部処理?)。
  • ログの最後に意図せずして接続が切れたようなログがありますが、ひょっとしてスレッドが異常終了しているとか?
access
1[05/Jan/2024:09:06:09.756371379 +0900] conn=11 fd=65 slot=65 SSL connection from 192.168.56.1 to 192.168.56.6
2[05/Jan/2024:09:06:09.812134233 +0900] conn=11 TLS1.3 128-bit AES-GCM
3[05/Jan/2024:09:06:09.813178832 +0900] conn=11 op=0 BIND dn="uid=ldapuser1,ou=people,dc=example,dc=com" method=128 version=3
4[05/Jan/2024:09:06:09.822009563 +0900] conn=11 op=0 RESULT err=0 tag=97 nentries=0 wtime=0.056724946 optime=0.008847623 etime=0.065566998 dn="uid=ldapuser1,ou=people,dc=example,dc=com"
5[05/Jan/2024:09:06:09.827248828 +0900] conn=11 op=-1 fd=65 Disconnect - Bad Ber Tag or uncleanly closed connection - B1

security
1{ "date": "[05\/Jan\/2024:09:05:36.801293491 +0900] ", "utc_time": "1704413136.801293491", "event": "BIND_SUCCESS", "dn": "cn=directory manager", "bind_method": "SIMPLE", "root_dn": true, "client_ip": "192.168.56.1", "server_ip": "192.168.56.6", "ldap_version": 3, "conn_id": 10, "op_id": 0, "msg": "" }
2{ "date": "[05\/Jan\/2024:09:06:09.822023238 +0900] ", "utc_time": "1704413169.822023238", "event": "BIND_SUCCESS", "dn": "uid=ldapuser1,ou=people,dc=example,dc=com", "bind_method": "SIMPLE", "root_dn": false, "client_ip": "192.168.56.1", "server_ip": "192.168.56.6", "ldap_version": 3, "conn_id": 11, "op_id": 0, "msg": "" }
3{ "date": "[05\/Jan\/2024:09:06:09.827261963 +0900] ", "utc_time": "1704413169.827261963", "event": "TCP_ERROR", "client_ip": "192.168.56.1", "server_ip": "192.168.56.6", "ldap_version": 3, "conn_id": 11, "msg": "Bad Ber Tag or uncleanly closed connection - B1" }
  • 追記:当初の目的である authselect+sssd(-ldap) によるLDAP認証はできたので、問題ないといえばないのですが、せっかく質問を書いたので消さないで残しておきます。やっぱり原因がわからないのは気持ち悪いですし。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

自己解決

本件、LDAP関連の識者に Facebook でコメントをもらいました。私の想像とも合致するので記載します。

今回のパスワードハッシュは(dsidm コマンドのデフォルトである)PBKF2-SHA512 が使われています。

bind はバックエンド(389ds)が実行しており、正常に動作します。
ところが verify はフロントエンド(ADS)が実行しており、これが PBKF2-SHA512 に対応できていない可能性が高いと思われます。

使っている ADS のバージョンは 2.0.0(バイナリ版の最新)ですが、このバイナリ配布物が作られたのは 2021/07/17 のようです。最新のソースからビルドすれば進展がある可能性はありますが、そこまでの根性はないのでこれでクローズとします。

投稿2024/01/22 07:05

hotta
hotta

総合スコア1613

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップLDAPに関する質問

Apache Directory Studioでパスワードを確認したい