大学教育の質の保証・向上ならびに 電子化及びオープンアクセスの推進の観点から 学校教育法第百十三条に基づき、 教育研究活動の状況を公表しています。
第百十三条 大学は、教育研究の成果の普及及び活用の促進に資するため、その教育研究活動の状況を公表するものとする。
LIBS=-ldlを忘れるな? /configure --enable-overlays --enable-dyngroup --enable-dynlist --enable-rwm --enable-crypt --enable-ldap --with-tls=openssl --with-ssl=/usr/local/ssl LIBS=-ldl Could not locate TLS/SSL package http://www.archivum.info/openldap-software@openldap.org/2007-02/00418/Re-Could-not-locate-TLS-SSL-package-on-openldap-install.html
Shibboleth IdPでStatic Attribute+LDAP属性の組合せ Shiboleth IdPを構築するときに、属性情報を固定値+LDAPから取得した属性を加えるときの設定方法を示す。 たとえば、eduPersonAffiliation⇒#3@SAML属性;に常に'member'属性⇒#1@属性値;を送信し、かつ、LDAPにそれ以外の情報があった場合に、用いた場合の設定例を下記にします。 <resolver:AttributeDefinition id="eduPersonAffiliation" xsi:type="Simple" xmlns="urn:mace:shibboleth:2.0:resolver:ad" sourceAttributeID="eduPersonAffiliation"> <resolver:Dependency ref="myLDAP" /> <resolver:Dependency ref="staticAttributes" /> <resolver:AttributeEncoder xsi:type="SAML1String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:mace:dir:attribute-def:eduPersonAffiliation" /> <resolver:AttributeEncoder xsi:type="SAML2String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.1" friendlyName="eduPersonAffiliation" /> </resolver:AttributeDefinition> <resolver:DataConnector id="staticAttributes" xsi:type="Static" xmlns="urn:mace:shibboleth:2.0:resolver:dc">
shibboleth IdPをLDAP Proxy経由でWindows Server 2003のAD(Active Directory)に認証する方法 事前に、ADに認証するために、OpenLDAPのslapdのLDAPプロキシ機能+overlay rwmの機能を使って、uidとsamaccountnameなどの属性マッピグをローカルLDAPに設定する⇒#1138@ノート;⇒#1185@ノート。 shibboleth IdPでLDAP Proxy経由でActive Directoryに認証する場合は、リフェラル(紹介)設定を有効にする必要がある。 具体的には、login.configとattribute-resolver.xmlの2つのファイルに注意しましょう。 また、動作を保証するものではありません。より良い設定方法がありましたら、教えていただけると幸いです。 2010年になって、GC(グローバルカタログ)を使うことで、リフェラルを有効にしなくても、動作することがわかりました⇒#1265@ノート;。 → リフェラルをつかうと、DCが1台でも停止すると認証に不具合が発生することがありますので、リフェラルを無効にして利用することを推奨します。 例)login.config edu.vt.middleware.ldap.jaas.LdapLoginModule sufficient host="localhost" base="dc=xxxxx,dc=yamagata-u,dc=ac,dc=jp" ssl="false" userField="uid" subtreeSearch="true" serviceUser="cn=xxxx,CN=Users,dc=xxxx,dc=yamagata-u,dc=ac,dc=jp" serviceCredential="xxxxx" referral="follow" <--重要みたい? 例)attribute-resolver.xml "<"、">"は全角文字に変化されていますので、半角にしてください。 <resolver:DataConnector id="myLDAP2" xsi:type="LD
UPKI用Shibboleth IdPの構築記録(OS環境の設定 No.1) ・Centos 5.3のインストール(http://ftp.yz.yamagata-u.ac.jp/pub/linux/centos/5.3/isos/i386/) CentOS-5.3-i386-netinstall.isoをダウンロードしてftpサーバよりOSをインストール ・ntpのインストール # yum install ntp.i386 ・時刻合わせためにcrontab の設定 */3 * * * * /sbin/clock --hctosys 10 0-23/1 * * * /usr/sbin/ntpdate (NTPサーバ)&& /sbin/clock -w ・gccのインストール # yum install gcc.i386 ・opensslのインストール(http://ftp.yz.yamagata-u.ac.jp/pub/network/security/openssl/) % tar zxf openssl-xx.xx.tar.gz % make # make install ・Berkeley DB のインストール( http://www.oracle.com/technology/software/products/berkeley-db/index.html) % tar zxf db-x.x.x.tar.gz % cd build_unix/ % ../dist/configure % make # make install または、 # yum install db4-devel.i386 ・openldapのインストール(http://ftp.yz.yamagata-u.ac.jp/pub/network/security/OpenLDAP/) % tar zxf openldap-x.x.tgz % ./configure --enable-overlays --enable-dyngroup --enable-dynlist --enable-rwm --enable-crypt --enable-ldap # make install ・apacheのインストール(http://ftp.yz.yamagata
OpenLDAPのプロキシ機能による属性の変換設定 Shibboleth IdPなどで、ADやLDAPの属性名を別の属性名に変換する方法のサンプルコードを示します。 〇Compile時の注意 ./configure --enable-overlays --enable-dyngroup --enable-dynlist --enable-rwm --enable-crypt --enable-ldap 〇設定例 slapd.confに、 overlay rwm rwm-map attribute uid sAMAccountname rwm-map attribute eduPersonPrincipalName userprincipalname rwm-map attribute mail mail rwm-map attribute jasn sn のように記入。 【関連講義】 ・サイバーキャンパス「鷹山」,UPKI関係資料⇒#2869@講義; 【関連書籍】 ・シボレスIdPの構築⇒#14@シボレスレビュー;
ADにLDAP接続するときに、リフェラルを無効にして属性情報を取得する方法 通常、ADにLDAP(ポート番号 389)で接続すると、リフェラルを有効にする必要がある。 このとき、1つの問題が生じる。リフェラルは、このとき、DomainDnsZones.xxx・・を参照するように返してくるが、この名前空間は、DNSによるラウンドロビンで、DCを選択するようになっている。 ref: ldap://DomainDnsZones.xxx.yamagata-u.ac.jp/DC=DomainDnsZones,DC=xxx,DC=yamagata-u,DC=ac,DC=jp リフェラル要求時に、故障などによって停止しているDCあり、そのDCにラウンドロビンで接続した場合、アプリケーションによっては、タイムアウトによって、認証失敗と判断して動作することがある。 この問題は、Shibbolethでも発生している。これまで、その回避策を検討していた。その解決策としては、ADのGC(グローバルカタログ)を参照することであった(気がつくのが遅かった・・・)。ちなみに、Shibboleth IdPでは、リフェラルを無効にても、問題なくADから認証・属性情報を取得ができました。 これで、Shibboleth IdPから冗長化されたDCの情報を利用して、DCが故障や停止しても、IdPサービスを安定して提供できる。 GCポート番号: 3268 【謝辞】 GCを活用すればよいことに気がつかせていただいた成城大学 五十嵐先生のMLへの問い合わせおよび国立情報学研究所の学術認証フェデレーション⇒#2842@講義;の情報交換MLサービスに感謝いたします。 【参考URL】 ML記事:https://upki-portal.nii.ac.jp/ml-archives/upki-fed/msg00151.html UPKI技術資料(成城大学提供):https://upki-portal.nii.ac.jp/docs/fed/technical/idp/customize/knowhow/ad1 Shibboleth参考ドキュメント:https://spaces.internet2.edu/display/SHIB2/IdPADConfigIssues 【関連ノート】 ・Shibbole
FTPサーバーの設計と構築 Anonymous (匿名) FTPサーバー⇒#336@装置;を構築した。仕様は、下記のように定めた。 サーバーとしての性能 スループット: 数百 Mbps ハードディスク容量: 1TB メモリ容量: 1GB FQDN名は,ftp.yz.yamagata-u.ac.jp とする.また,トップURLは,http://ftp.yz.yamagata-u.ac.jp/とする. 公開するパッケージは,UNIX関係を主とし,インターネットツールや,Linuxなどである. 2004年4月に検討したパッケージを下記に示す. - List of FTP mirror URL (http access) - FreeBSD : http://ftp.yz.yamagata-u.ac.jp/pub/FreeBSD/ FreeBSD-jp : http://ftp.yz.yamagata-u.ac.jp/pub/FreeBSD-jp/ FreeBSD(98) : http://ftp.yz.yamagata-u.ac.jp/pub/FreeBSD-PC98/ NetBSD:http://ftp.yz.yamagata-u.ac.jp/pub/NetBSD/ GNU : http://ftp.yz.yamagata-u.ac.jp/pub/GNU/ OpenBSD : http://ftp.yz.yamagata-u.ac.jp/pub/OpenBSD/ Linux: Slackware : http://ftp.yz.yamagata-u.ac.jp/pub/linux/slackware/ Yellowdog : http://ftp.yz.yamagata-u.ac.jp/pub/linux/yellowdog/ Debian : http://ftp.yz.yamagata-u.ac.jp/pub/linux/debian/ Debian Package : http://ftp.yz.yamagata-u.ac.jp/debian/ Debian Non-US: http://ftp.yz.yamagata-u.ac.jp/debian-non-US/ Debian cd : http://ftp.yz.y
大学教育の質の保証・向上ならびに 電子化及びオープンアクセスの推進の観点から 学校教育法第百十三条に基づき、 教育研究活動の状況を公表しています。
第百十三条 大学は、教育研究の成果の普及及び活用の促進に資するため、その教育研究活動の状況を公表するものとする。