2012年3月9日金曜日

OpenLDAP ppolicy でロックされてるアカウントを検索

OpenLDAPのppolicyで、複数回パスワードを間違った時に、アカウントをロックする仕組みは作った。

が、、、
だれがロックされているのか・・・
これを簡単に調べる方法がわかんなくて、今一つかな~ と思っていました。


ちょっと調べてみてわかったんですが、パスワードがロックされているユーザには、
pwdAccountLockedTime
という運用属性がつくようです。

なので、この属性があるアカウントを検索すれば、ロックされたアカウントを簡単に把握する事が出来ます。
で、設定されている時刻から、ロック時間が経過していないエントリが、今まさにロックされているアカウントになります。
(設定されている時刻は、UTCなので、date -u などで取り出した現在時刻と比較してください)

実際のコマンドはこんな感じ

[root@cent6 ~]# ldapsearch -x -w secret -D "cn=manager,dc=example,dc=co,dc=jp" -b "dc=example,dc=co,dc=jp" pwdAccountLockedTime=* pwdAccountLockedTime
# extended LDIF
#
# LDAPv3
# base with scope subtree
# filter: pwdAccountLockedTime=*
# requesting: pwdAccountLockedTime
#

# user01, users, example.co.jp
dn: uid=user01,ou=users,dc=example,dc=co,dc=jp
pwdAccountLockedTime: 20120308152037Z

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

[root@cent6 ~]#

なお、ロック時間を経過したのち、一度でも認証に成功すると、この属性は消えてしまいます。

2012年3月3日土曜日

vmware esxi5 上で Windows8 consumer previewを動かす

いつの間にかパッチが出てました(^o^)
パッチを適用すると、ゲストの種類として、Windows8 32bit /64bit が普通に選べます。

もちろん、windows8 もノントラブルでインストール出来ちゃいます。

これで、またWindows8で遊べる!(^^)!



ちなみに、必要なパッチはここから入手できます。

VMware ESXi 5.0, Patch Release ESXi500-201112001



ESXi5 へのパッチのインストール手順は、こんな感じ
  1.  ESXi500-201112001 をデータストアへアップロード
    データストアブラウザを使ったアップロードで構いません
  2.  ssh/esxiシェル を有効化 (構成 -> セキュリティプロファイル -> サービス にある)
  3.  sshでログイン(チャレンジレスポンス認証じゃないと認証に失敗します)
  4.   ~ # esxcli software vib install -d /vmfs/volumes/internal-hdd/ESXi500-201112001.zip



ただ、ESXi5環境用の VMware-Tools は、まだ提供されてないみたいだから、VMWarePlayerで
遊んだ方がかなり快適な気がします ^^;

2012/3/22 追記
こちらの記事を参考に、VMWareToolsをインストールしました。
http://d.hatena.ne.jp/Takao/20120304/1330788033

なかなかいい感じに動いてます。

2012年2月28日火曜日

Facebook の災害用伝言板

初めは、シンプル過ぎない???
って思ったんだけど、使ってみると十分安否確認が出来るし、余計な機能がないから
使いやすいかも。

Windows 再起動して元に戻す。できればフリーソフトで ^^;

この要望に応えてくれるフリーソフトが見つかりました。

ってか、ちょっと前から知ってたソフトなんだけど、2012/2/8のアップデートで追加された機能のおかげで、かなり使いやすくなったと思います。
これまでは、Windowsを使ってて、

”やばいかも”

と、感じた時に、手動でWindowsの保護を開始しなきゃいけなかったんだけど
アップデート後は、

”Windowsの起動と共に保護を開始”

って事が出来るようになりました。
 しかも、このツールの操作画面を、パスワードで保護する事も出来ちゃいます。

パソコン教室なんかで使うパソコンにちょうど良さそうですね。


 Toolwiz Time Freeze

ちょっと不安なのは、日本のメジャーなサイトに紹介記事が無いことくらいかな。
ちゃんと動いてるみたいだけど、信用して大丈夫かな ^^;

2012年2月13日月曜日

Windows THIN PC の EWF

これ、Diskモードは使えないのかな???

ewfmgr.exe 以外の設定ツールが見当たらない。


変更内容が再起動毎に失われるんじゃなくて、任意のタイミングで変更内容を
破棄したいんだけど、Windows THIN PCでのやり方がわからないorz

2012年1月14日土曜日

CentOS6.2 の SSSD で LDAP filter を設定する

SSSDを使って、LDAP連携をやってるんだけど、特定の属性値を持ったIDだけを連携対象に
したいと思って、ちょっと調べてみました。

結果は、微妙……

manにもあるとおり、こんな設定を入れる事で、認証の制限は出来ました。
access_provider = ldap
ldap_access_filter = memberOf=cn=allowedusers

でも、ユーザーとしては、存在している事になってしまいます。
例えば、id user01 とか、getent passwd でユーザー情報が確認出来てしまいます。

ログイン出来なければ良いシステムであれば、これでも良いんだけど、例えばメールサーバ
だと、pop/imap等でメールを取り出す事は出来ないけど、送られてきたメールはサーバが
受信してしまいます。

これでは、メールを送ってくれた人も、メールが届いていない事に気づけないし困ってしまいます。

という事で、現時点で、LDAP上のアカウントのうち、システムを利用できるユーザーを、適当な
ldap filterを使って制限を行いたい場合は、sssdは使わずに、旧来の nslcd を使う方法を取り、
nslcd.conf と pam_ldap.conf でfilterを掛ける必要がありそうです。



ちなみに、SSSDの最新版(1.7系)では、LDAP filterを柔軟に適用出来るようです。
SSSDは、まだまだ発展途上といったところでしょうか。。。

2011年12月30日金曜日

ApacheJMeter を Windows7 64bitで使う

普通に、jmeter.batを実行しても、こんなエラーが出て起動してくれませんでした。

'java.exe' は、内部コマンドまたは外部コマンド、
操作可能なプログラムまたはバッチ ファイルとして認識されていません。
errorlevel=9009
続行するには何かキーを押してください . . .

これは、単にjava.exeが見つからないだけなので、jmeter.bat にpathを設定してあげれば
解消できます。こんな感じです。

rem =====================================================
rem Environment variables that can be defined externally:
rem
rem JMETER_BIN - JMeter bin directory (must end in \)
rem JM_LAUNCH - java.exe (default) or javaw.exe
rem JVM_ARGS - additional java options, e.g. -Dprop=val
rem
rem =====================================================

path %path%;C:\Program Files (x86)\Java\jre6\bin

if .%JM_LAUNCH% == . set JM_LAUNCH=java.exe