🏠
🌡️ 📆 令和6年3月19日
戻る 進む

🗒️ Shibboleth IdPをLDAP Proxy経由でADに認証する方法

⇒#1086@研究ノート;

日時
関係者(共同研究者)

https://upki-portal.nii.ac.jp/docs/fed
#🗒️👨‍🏫shibboleth#🗒️👨‍🏫AD#🗒️👨‍🏫OpenLDAP#🗒️👨‍🏫シングルサインオン#🗒️👨‍🏫UPKI#🗒️👨‍🏫LDAP#🗒️👨‍🏫IdP

shibboleth IdPLDAP Proxy経由でWindows Server 2003ADActive Directoryに認証する方法

事前にADに認証するためにOpenLDAPのslapdのLDAPプロキシ機能overlay rwmの機能使ってuidとsamaccountnameなどの属性ピグローカルLDAPに設定する1)2)

shibboleth IdPLDAP Proxy経由でActive Directoryに認証する場合はリフェラル紹介設定有効にする必要がある

具体的にはlogin.configとattribute-resolver.xmlつのファイル注意しましょう

また動作保証するものではありませんより良い設定方法がありましたら教えていただけると幸いです

2010年になってGCグローバルカタログ使うことでリフェラル有効にしなくても動作することがわかりました3)
 リフェラルつかうとDC1台でも停止すると認証に不具合が発生することがありますのでリフェラル無効にして利用すること推奨します

例)login.config
edu.vt.middleware.ldap.jaas.LdapLoginModule sufficient
host="localhost"
base="dc=xxxxx,dc=yamagata-u,dc=ac,dc=jp"
ssl="false"
userField="uid"
subtreeSearch="true"
serviceUser="cn=xxxx,CN=Users,dc=xxxx,dc=yamagata-u,dc=ac,dc=jp"
serviceCredential="xxxxx"
referral="follow" <--重要みたい?

例)attribute-resolver.xml """"は全角文字に変化されていますので半角にしてください
resolver:DataConnector id="myLDAP2" xsi:type="LDAPDirectory" xmlns="urn:mace:shibboleth:2.0:resolver:dc"
ldapURL="ldap://localhost" baseDN="dc=xxxx,dc=yamagata-u,dc=ac,dc=JP" princi
pal="cn=xxxxx,CN=Users,dc=xxxx,dc=yamagata-u,dc=ac,dc=jp"
principalCredential="xxxxx"
FilterTemplate
![CDATA[
(uid=$requestContext.principalName)
]]
/FilterTemplate
LDAPProperty name="java.naming.referral" value="follow"/ <--ここが重要みたい?
/resolver:DataConnector


関連講義
サイバーキャンパス鷹山,UPKI-シングルサインオン実証実験4)
サイバーキャンパス鷹山,UPKI関係資料5)

この内容については2009年に橋記念講堂で開催されたUPKIシンポジウム2009において既存の複数認証基盤統合したUPKI用統合認証基盤の構築について報告している6)

動作確認バージョン
Shibboleth IdP 2.0.0
Shibboleth IdP 2.1.27)
Shibboleth IdP 2.1.38)


関連書籍
シボレスIdPの構築9)
by



UPKI用Shibboleth IdPの構築記録(OS環境の設定 No.1)
伊藤 智博, 研究ノート, (2009).

OpenLDAPのプロキシ機能による属性の変換設定
伊藤 智博, 研究ノート, (2009).

ADにLDAP接続するときに、リフェラルを無効にして属性情報を取得する方法
伊藤 智博, 研究ノート, (2010).

高等学校 > 高校公民 > 政治・経 > 独立行政 > 大学共同 > 国立情報 > UPKI-シングルサインオン(SSO)実証実験,国立情報学研究所
仁科 辰夫,サイバーキャンパス「鷹山, 講義ノート, (2009).

高等学校 > 高校公民 > 政治・経 > 独立行政 > 大学共同 > 国立情報 > UPKI > UPKI関係資料,UPKI-シングルサインオン(SSO)実証実験
仁科 辰夫,サイバーキャンパス「鷹山, 講義ノート, (2009).

既存の複数認証基盤を統合したUPKI用統合認証基盤の構築
伊藤智博,吉田浩司,鈴木勝人,青木和恵,UPKIシンポジウム2009講演要旨集 (2009).

Shibboleth IdP 2.1.2へのバージョンアップの検証
伊藤 智博, 研究ノート, (2009).

Shibboleth IdP 2.1.3へのバージョンアップ
伊藤 智博, 研究ノート, (2009).

(1UPKI用Shibboleth IdPの構築記録(OS環境の設定 No.1)
伊藤 智博, 研究ノート, (2009).
(2OpenLDAPのプロキシ機能による属性の変換設定
伊藤 智博, 研究ノート, (2009).
(3ADにLDAP接続するときに、リフェラルを無効にして属性情報を取得する方法
伊藤 智博, 研究ノート, (2010).
(4高等学校 > 高校公民 > 政治・経 > 独立行政 > 大学共同 > 国立情報 > UPKI-シングルサインオン(SSO)実証実験,国立情報学研究所
仁科 辰夫,サイバーキャンパス「鷹山, 講義ノート, (2009).
(5高等学校 > 高校公民 > 政治・経 > 独立行政 > 大学共同 > 国立情報 > UPKI > UPKI関係資料,UPKI-シングルサインオン(SSO)実証実験
仁科 辰夫,サイバーキャンパス「鷹山, 講義ノート, (2009).
(6既存の複数認証基盤を統合したUPKI用統合認証基盤の構築
伊藤智博,吉田浩司,鈴木勝人,青木和恵,UPKIシンポジウム2009講演要旨集 (2009).
(7Shibboleth IdP 2.1.2へのバージョンアップの検証
伊藤 智博, 研究ノート, (2009).
(8Shibboleth IdP 2.1.3へのバージョンアップ
伊藤 智博, 研究ノート, (2009).
(9 > シボレスIdPの構築
国立情報学研究所 編, 平成20年度シングルサインオン実証実験報告書, , (2009).

器具・消耗品(履歴)
履歴ID概要
サンプル(履歴)
履歴ID概要
装置(履歴)
履歴ID概要
112

  1 375 🖱 テキスト画像変換

テキストは、文字コードの羅列です。 文字コードを 表示や印刷するには、フォントを使って画像にします。


西暦と元号

  1 西暦と元号
西暦 令和 🔷 平成 🔷 昭和 🔷 大正 🔷 明治
2004 R-14 H16 S79 T93 M137
2005 R-13 H17 S80 T94 M138
2006 R-12 H18 S81 T95 M139
2007 R-11 H19 S82 T96 M140
2008 R-10 H20 S83 T97 M141
2009 R-9 H21 S84 T98 M142
2010 R-8 H22 S85 T99 M143
2011 R-7 H23 S86 T100 M144
2012 R-6 H24 S87 T101 M145
2013 R-5 H25 S88 T102 M146
2014 R-4 H26 S89 T103 M147
*

参考文献


QRコード
https://edu.yz.yamagata-u.ac.jp/developer/Asp/Youzan/Laboratory/LaboNote/@LaboNote.asp?id=1086

🎄🎂🌃🕯🎉
山形大学 データベースアメニティ研究所
〒992-8510 山形県米沢市城南4丁目3-16
3号館(物質化学工学科棟) 3-3301
准教授 伊藤智博
0238-26-3573
http://amenity.yz.yamagata-u.ac.jp/

Copyright ©1996- 2024 Databese Amenity Laboratory of Virtual Research Institute,  Yamagata University All Rights Reserved.