HOME 教育状況公表 本日

ADにLDAP接続するときに、リフェラルを無効にして属性情報を取得する方法

ADにLDAP接続するときに、リフェラルを無効にして属性情報を取得する方法

通常、ＡＤにLDAP（ポート番号 389)で接続すると、リフェラルを有効にする必要がある。

このとき、１つの問題が生じる。リフェラルは、このとき、DomainDnsZones.xxx・・を参照するように返してくるが、この名前空間は、DNSによるラウンドロビンで、ＤＣを選択するようになっている。

ref: ldap://DomainDnsZones.xxx.yamagata-u.ac.jp/DC=DomainDnsZones,DC=xxx,DC=yamagata-u,DC=ac,DC=jp

リフェラル要求時に、故障などによって停止しているＤＣあり、そのＤＣにラウンドロビンで接続した場合、アプリケーションによっては、タイムアウトによって、認証失敗と判断して動作することがある。

この問題は、Shibbolethでも発生している。これまで、その回避策を検討していた。その解決策としては、ADのGC(グローバルカタログ）を参照することであった（気がつくのが遅かった・・・）。ちなみに、Shibboleth IdPでは、リフェラルを無効にても、問題なくADから認証・属性情報を取得ができました。
これで、Shibboleth IdPから冗長化されたＤＣの情報を利用して、ＤＣが故障や停止しても、IdPサービスを安定して提供できる。

GCポート番号： 3268

【謝辞】
GCを活用すればよいことに気がつかせていただいた成城大学 五十嵐先生のＭＬへの問い合わせおよび国立情報学研究所の学術認証フェデレーション¹⁾の情報交換ＭＬサービスに感謝いたします。


【参考ＵＲＬ】
ＭＬ記事：https://upki-por…
ＵＰＫＩ技術資料（成城大学提供）：https://upki-por…
Shibboleth参考ドキュメント：https://spaces.i…IdPADConfigIssues

【関連ノート】
・Shibboleth IdPをLDAP Proxy経由でADに認証する方法²⁾
・Active DirectoryをeduPersonスキーマ対応にする方法³⁾

【関連講義】
・サイバーキャンパス「鷹山」,UPKI関係資料⁴⁾

高等学校 > 高校公民 > 政治・経 > 独立行政 > 大学共同 > 国立情報 > UPKI > UPKI-学術認証フェデレーション,UPKI-シングルサインオン(SSO)実証実験
仁科 辰夫,サイバーキャンパス「鷹山, 講義ノート, (2009).

Shibboleth IdPをLDAP Proxy経由でADに認証する方法
伊藤　智博, 研究ノート, (2009).

Active DirectoryをeduPersonスキーマ対応にする方法
伊藤　智博, 研究ノート, (2009).

高等学校 > 高校公民 > 政治・経 > 独立行政 > 大学共同 > 国立情報 > UPKI > UPKI関係資料,UPKI-シングルサインオン(SSO)実証実験
仁科 辰夫,サイバーキャンパス「鷹山, 講義ノート, (2009).

---

https://edu.yz.yamagata-u.ac.jp/developer/Asp/Youzan/Laboratory/LaboNote/@LaboNote.asp?nLaboNoteID=1265

SSLの仕組み

このマークはこのページで 著作権が明示されない部分について付けられたものです。

---

山形大学 データベースアメニティ研究所
〒992-8510 山形県米沢市城南4丁目3-16 ３号館（物質化学工学科棟） 3-3301
准教授 伊藤智博
0238-26-3573
http://amenity.yz.yamagata-u.ac.jp/