◀
戻る
進む
▶
ADにLDAP接続するときに、リフェラルを無効にして属性情報を取得する方法
⇒#1265@研究ノート;
https://upki-portal.nii.ac.jp/docs/fed
ADにLDAP接続するときに、リフェラルを無効にして属性情報を取得する方法
通常、ADにLDAP(ポート番号 389)で接続すると、リフェラルを有効にする必要がある。
このとき、1つの問題が生じる。リフェラルは、このとき、DomainDnsZones.xxx・・を参照するように返してくるが、この名前空間は、DNSによるラウンドロビンで、DCを選択するようになっている。
ref: ldap://DomainDnsZones.xxx.yamagata-u.ac.jp/DC=DomainDnsZones,DC=xxx,DC=yamagata-u,DC=ac,DC=jp
リフェラル要求時に、故障などによって停止しているDCあり、そのDCにラウンドロビンで接続した場合、アプリケーションによっては、タイムアウトによって、認証失敗と判断して動作することがある。
この問題は、Shibbolethでも発生している。これまで、その回避策を検討していた。その解決策としては、ADのGC(グローバルカタログ)を参照することであった(気がつくのが遅かった・・・)。ちなみに、Shibboleth IdPでは、リフェラルを無効にても、問題なくADから認証・属性情報を取得ができました。
これで、Shibboleth IdPから冗長化されたDCの情報を利用して、DCが故障や停止しても、IdPサービスを安定して提供できる。
GCポート番号: 3268
【謝辞】
GCを活用すればよいことに気がつかせていただいた成城大学 五十嵐先生のMLへの問い合わせおよび国立情報学研究所の学術認証フェデレーション1)の情報交換MLサービスに感謝いたします。
【参考URL】
ML記事:https://upki-por…
UPKI技術資料(成城大学提供):https://upki-por…
Shibboleth参考ドキュメント:https://spaces.i…IdPADConfigIssues
【関連ノート】
・Shibboleth IdPをLDAP Proxy経由でADに認証する方法2)
・Active DirectoryをeduPersonスキーマ対応にする方法3)
【関連講義】
・サイバーキャンパス「鷹山」,UPKI関係資料4)
高等学校 >
高校公民 >
政治・経 >
独立行政 >
大学共同 >
国立情報 >
UPKI >
UPKI-学術認証フェデレーション,
UPKI-シングルサインオン(SSO)実証実験仁科 辰夫,
サイバーキャンパス「鷹山,
講義ノート, (
2009).
Shibboleth IdPをLDAP Proxy経由でADに認証する方法伊藤 智博,
研究ノート, (
2009).
Active DirectoryをeduPersonスキーマ対応にする方法伊藤 智博,
研究ノート, (
2009).
高等学校 >
高校公民 >
政治・経 >
独立行政 >
大学共同 >
国立情報 >
UPKI >
UPKI関係資料,
UPKI-シングルサインオン(SSO)実証実験仁科 辰夫,
サイバーキャンパス「鷹山,
講義ノート, (
2009).
(
1) 
高等学校 >
高校公民 >
政治・経 >
独立行政 >
大学共同 >
国立情報 >
UPKI >
UPKI-学術認証フェデレーション,
UPKI-シングルサインオン(SSO)実証実験仁科 辰夫,
サイバーキャンパス「鷹山,
講義ノート, (
2009).
(
2) 
Shibboleth IdPをLDAP Proxy経由でADに認証する方法伊藤 智博,
研究ノート, (
2009).
(
3) 
Active DirectoryをeduPersonスキーマ対応にする方法伊藤 智博,
研究ノート, (
2009).
(
4) 
高等学校 >
高校公民 >
政治・経 >
独立行政 >
大学共同 >
国立情報 >
UPKI >
UPKI関係資料,
UPKI-シングルサインオン(SSO)実証実験仁科 辰夫,
サイバーキャンパス「鷹山,
講義ノート, (
2009).
表器具・消耗品(履歴)表サンプル(履歴)表装置(履歴)

https://edu.yz.yamagata-u.ac.jp/developer/Asp/Youzan/Laboratory/LaboNote/@LaboNote.asp?nLaboNoteID=1265
このマークはこのページで
著作権が明示されない部分について付けられたものです。
3号館(物質化学工学科棟) 3-3301
0238-26-3573