HOME 教育状況公表 本日
⇒#1086@研究ノート;

Shibboleth IdPをLDAP Proxy経由でADに認証する方法

日時
関係者(共同研究者)

https://upki-portal.nii.ac.jp/docs/fed

shibboleth IdPをLDAP Proxy経由でADに認証する方法

shibboleth IdPLDAP Proxy経由でWindows Server 2003ADActive Directoryに認証する方法

事前にADに認証するためにOpenLDAPのslapdのLDAPプロキシ機能overlay rwmの機能使ってuidとsamaccountnameなどの属性ピグローカルLDAPに設定する1)2)

shibboleth IdPLDAP Proxy経由でActive Directoryに認証する場合はリフェラル紹介設定有効にする必要がある

具体的にはlogin.configとattribute-resolver.xmlつのファイル注意しましょう

また動作保証するものではありませんより良い設定方法がありましたら教えていただけると幸いです

2010年になってGCグローバルカタログ使うことでリフェラル有効にしなくても動作することがわかりました3)
 リフェラルつかうとDC1台でも停止すると認証に不具合が発生することがありますのでリフェラル無効にして利用すること推奨します

例)login.config
edu.vt.middleware.ldap.jaas.LdapLoginModule sufficient
host="localhost"
base="dc=xxxxx,dc=yamagata-u,dc=ac,dc=jp"
ssl="false"
userField="uid"
subtreeSearch="true"
serviceUser="cn=xxxx,CN=Users,dc=xxxx,dc=yamagata-u,dc=ac,dc=jp"
serviceCredential="xxxxx"
referral="follow" <--重要みたい?

例)attribute-resolver.xml """"は全角文字に変化されていますので半角にしてください
resolver:DataConnector id="myLDAP2" xsi:type="LDAPDirectory" xmlns="urn:mace:shibboleth:2.0:resolver:dc"
ldapURL="ldap://localhost" baseDN="dc=xxxx,dc=yamagata-u,dc=ac,dc=JP" princi
pal="cn=xxxxx,CN=Users,dc=xxxx,dc=yamagata-u,dc=ac,dc=jp"
principalCredential="xxxxx"
FilterTemplate
![CDATA[
(uid=$requestContext.principalName)
]]
/FilterTemplate
LDAPProperty name="java.naming.referral" value="follow"/ <--ここが重要みたい?
/resolver:DataConnector


関連講義
サイバーキャンパス鷹山,UPKI-シングルサインオン実証実験4)
サイバーキャンパス鷹山,UPKI関係資料5)

この内容については2009年に橋記念講堂で開催されたUPKIシンポジウム2009において既存の複数認証基盤統合したUPKI用統合認証基盤の構築について報告している6)

動作確認バージョン
Shibboleth IdP 2.0.0
Shibboleth IdP 2.1.27)
Shibboleth IdP 2.1.38)


関連書籍
シボレスIdPの構築9)
by



UPKI用Shibboleth IdPの構築記録(OS環境の設定 No.1)
伊藤 智博, 研究ノート, (2009).

OpenLDAPのプロキシ機能による属性の変換設定
伊藤 智博, 研究ノート, (2009).

ADにLDAP接続するときに、リフェラルを無効にして属性情報を取得する方法
伊藤 智博, 研究ノート, (2010).

高等学校 > 高校公民 > 政治・経 > 独立行政 > 大学共同 > 国立情報 > UPKI-シングルサインオン(SSO)実証実験,国立情報学研究所
仁科 辰夫,サイバーキャンパス「鷹山, 講義ノート, (2009).

高等学校 > 高校公民 > 政治・経 > 独立行政 > 大学共同 > 国立情報 > UPKI > UPKI関係資料,UPKI-シングルサインオン(SSO)実証実験
仁科 辰夫,サイバーキャンパス「鷹山, 講義ノート, (2009).

既存の複数認証基盤を統合したUPKI用統合認証基盤の構築
伊藤智博,吉田浩司,鈴木勝人,青木和恵,UPKIシンポジウム2009講演要旨集 (2009).

Shibboleth IdP 2.1.2へのバージョンアップの検証
伊藤 智博, 研究ノート, (2009).

Shibboleth IdP 2.1.3へのバージョンアップ
伊藤 智博, 研究ノート, (2009).

(1UPKI用Shibboleth IdPの構築記録(OS環境の設定 No.1)
伊藤 智博, 研究ノート, (2009).
(2OpenLDAPのプロキシ機能による属性の変換設定
伊藤 智博, 研究ノート, (2009).
(3ADにLDAP接続するときに、リフェラルを無効にして属性情報を取得する方法
伊藤 智博, 研究ノート, (2010).
(4高等学校 > 高校公民 > 政治・経 > 独立行政 > 大学共同 > 国立情報 > UPKI-シングルサインオン(SSO)実証実験,国立情報学研究所
仁科 辰夫,サイバーキャンパス「鷹山, 講義ノート, (2009).
(5高等学校 > 高校公民 > 政治・経 > 独立行政 > 大学共同 > 国立情報 > UPKI > UPKI関係資料,UPKI-シングルサインオン(SSO)実証実験
仁科 辰夫,サイバーキャンパス「鷹山, 講義ノート, (2009).
(6既存の複数認証基盤を統合したUPKI用統合認証基盤の構築
伊藤智博,吉田浩司,鈴木勝人,青木和恵,UPKIシンポジウム2009講演要旨集 (2009).
(7Shibboleth IdP 2.1.2へのバージョンアップの検証
伊藤 智博, 研究ノート, (2009).
(8Shibboleth IdP 2.1.3へのバージョンアップ
伊藤 智博, 研究ノート, (2009).
(9 > シボレスIdPの構築
国立情報学研究所 編, 平成20年度シングルサインオン実証実験報告書, , (2009).


QRコード
https://edu.yz.yamagata-u.ac.jp/developer/Asp/Youzan/Laboratory/LaboNote/@LaboNote.asp?nLaboNoteID=1086

SSLの仕組み

このマークはこのページで 著作権が明示されない部分について付けられたものです。

山形大学 データベースアメニティ研究所
〒992-8510 山形県米沢市城南4丁目3-16 3号館(物質化学工学科棟) 3-3301
准教授 伊藤智博
0238-26-3573
http://amenity.yz.yamagata-u.ac.jp/

Copyright ©1996- 2019 Databese Amenity Laboratory of Virtual Research Institute,  Yamagata University All Rights Reserved.