⇒#1265@研究ノート;

ADにLDAP接続するときに、リフェラルを無効にして属性情報を取得する方法

日時	2010-2-4
関係者（共同研究者）

https://upki-portal.nii.ac.jp/docs/fed

表器具・消耗品(履歴)

履歴ID	概要

表サンプル(履歴)

履歴ID	概要

表装置(履歴)

履歴ID	概要

AD に LDAP 接続するときに、リフェラルを無効にして属性情報を取得する方法

通常、ＡＤに LDAP（ポート番号 389)で接続すると、リフェラルを有効にする必要がある。

このとき、１つの問題が生じる。リフェラルは、このとき、DomainDnsZones.xxx・・を参照するように返してくるが、この名前空間は、DNSによるラウンドロビンで、ＤＣを選択するようになっている。

ref: ldap://DomainDnsZones.xxx.yamagata-u.ac.jp/DC=DomainDnsZones,DC=xxx,DC=yamagata-u,DC=ac,DC=jp

リフェラル要求時に、故障などによって停止しているＤＣあり、そのＤＣにラウンドロビンで接続した場合、アプリケーションによっては、タイムアウトによって、認証失敗と判断して動作することがある。

この問題は、Shibbolethでも発生している。これまで、その回避策を検討していた。その解決策としては、ADのGC(グローバルカタログ）を参照することであった（気がつくのが遅かった・・・）。ちなみに、Shibboleth IdPでは、リフェラルを無効にても、問題なくADから認証・属性情報を取得ができました。
これで、Shibboleth IdPから冗長化されたＤＣの情報を利用して、ＤＣが故障や停止しても、IdPサービスを安定して提供できる。

GCポート番号： 3268

【謝辞】
GCを活用すればよいことに気がつかせていただいた成城大学五十嵐先生のＭＬへの問い合わせおよび国立情報学研究所の学術認証フェデレーション¹⁾の情報交換ＭＬサービスに感謝いたします。

【参考ＵＲＬ】
ＭＬ記事：https://upki-por…
ＵＰＫＩ技術資料（成城大学提供）：https://upki-por…
Shibboleth参考ドキュメント：https://spaces.i…IdP A DConfigIssues

【関連ノート】
・Shibboleth IdPをLDAP Proxy経由でADに認証する方法²⁾
・Active DirectoryをeduPersonスキーマ対応にする方法³⁾

【関連講義】
・サイバーキャンパス「鷹山」,UPKI 関係資料⁴⁾