大学教育の質の保証・向上ならびに 電子化及びオープンアクセスの推進の観点から 学校教育法第百十三条に基づき、 教育研究活動の状況を公表しています。
第百十三条 大学は、教育研究の成果の普及及び活用の促進に資するため、その教育研究活動の状況を公表するものとする。
Shibboleth IdPでStatic Attribute+LDAP属性の組合せ Shiboleth IdPを構築するときに、属性情報を固定値+LDAPから取得した属性を加えるときの設定方法を示す。 たとえば、eduPersonAffiliation⇒#3@SAML属性;に常に'member'属性⇒#1@属性値;を送信し、かつ、LDAPにそれ以外の情報があった場合に、用いた場合の設定例を下記にします。 <resolver:AttributeDefinition id="eduPersonAffiliation" xsi:type="Simple" xmlns="urn:mace:shibboleth:2.0:resolver:ad" sourceAttributeID="eduPersonAffiliation"> <resolver:Dependency ref="myLDAP" /> <resolver:Dependency ref="staticAttributes" /> <resolver:AttributeEncoder xsi:type="SAML1String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:mace:dir:attribute-def:eduPersonAffiliation" /> <resolver:AttributeEncoder xsi:type="SAML2String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.1" friendlyName="eduPersonAffiliation" /> </resolver:AttributeDefinition> <resolver:DataConnector id="staticAttributes" xsi:type="Static" xmlns="urn:mace:shibboleth:2.0:resolver:dc">
OpenLDAPのプロキシ機能による属性の変換設定 Shibboleth IdPなどで、ADやLDAPの属性名を別の属性名に変換する方法のサンプルコードを示します。 〇Compile時の注意 ./configure --enable-overlays --enable-dyngroup --enable-dynlist --enable-rwm --enable-crypt --enable-ldap 〇設定例 slapd.confに、 overlay rwm rwm-map attribute uid sAMAccountname rwm-map attribute eduPersonPrincipalName userprincipalname rwm-map attribute mail mail rwm-map attribute jasn sn のように記入。 【関連講義】 ・サイバーキャンパス「鷹山」,UPKI関係資料⇒#2869@講義; 【関連書籍】 ・シボレスIdPの構築⇒#14@シボレスレビュー;
ADにLDAP接続するときに、リフェラルを無効にして属性情報を取得する方法 通常、ADにLDAP(ポート番号 389)で接続すると、リフェラルを有効にする必要がある。 このとき、1つの問題が生じる。リフェラルは、このとき、DomainDnsZones.xxx・・を参照するように返してくるが、この名前空間は、DNSによるラウンドロビンで、DCを選択するようになっている。 ref: ldap://DomainDnsZones.xxx.yamagata-u.ac.jp/DC=DomainDnsZones,DC=xxx,DC=yamagata-u,DC=ac,DC=jp リフェラル要求時に、故障などによって停止しているDCあり、そのDCにラウンドロビンで接続した場合、アプリケーションによっては、タイムアウトによって、認証失敗と判断して動作することがある。 この問題は、Shibbolethでも発生している。これまで、その回避策を検討していた。その解決策としては、ADのGC(グローバルカタログ)を参照することであった(気がつくのが遅かった・・・)。ちなみに、Shibboleth IdPでは、リフェラルを無効にても、問題なくADから認証・属性情報を取得ができました。 これで、Shibboleth IdPから冗長化されたDCの情報を利用して、DCが故障や停止しても、IdPサービスを安定して提供できる。 GCポート番号: 3268 【謝辞】 GCを活用すればよいことに気がつかせていただいた成城大学 五十嵐先生のMLへの問い合わせおよび国立情報学研究所の学術認証フェデレーション⇒#2842@講義;の情報交換MLサービスに感謝いたします。 【参考URL】 ML記事:https://upki-portal.nii.ac.jp/ml-archives/upki-fed/msg00151.html UPKI技術資料(成城大学提供):https://upki-portal.nii.ac.jp/docs/fed/technical/idp/customize/knowhow/ad1 Shibboleth参考ドキュメント:https://spaces.internet2.edu/display/SHIB2/IdPADConfigIssues 【関連ノート】 ・Shibbole
Radiusサーバと連携して、VLAN ID属性を動的に変更するときに利用する属性です。 Tunnel-Type = 13; VLAN Tunnel-Medium-Type = 6; イーサネット Tunnel-Private-Group-Id = xx ; VLAN ID: xx
IIS上にShibboleth SPを構築したときに属性情報の文字化けを修正する方法 日本語文字列などを取り扱うと文字化けが発生した。ASP .NETで下記のようなコードで改善された サンプルコード Dim tmp As Byte() = Encoding.GetEncoding(932).GetBytes(Me.Request.Headers("jao").ToString) Label1.Text = Encoding.UTF8.GetString(tmp) サンプルコード追加前:螻ア蠖「螟ァ蟄ヲ サンプルコード追加後:山形大学 ※状況によっては、文字化けを改善できないことがわかりました。 よい対処方法がありましたら、教えてください。 【関連講義】 ・サイバーキャンパス「鷹山」,UPKI関係資料⇒#2869@講義; by
特定のShibboleth SPに属性が特定の条件を満たした時のみ属性情報を送信するIdPの設定 たとえば、https://upki-t est-sp01.nii.ac.jp/のSPに対してIdPは、 eduPersonScopedAffiliation属性にfacultyが含まれるときに、eduPersonScopedAffiliation属性を送信する設定は、下記のようになる。この条件を満たさない場合は、eduPersonScopedAffiliation属性はNULLになる。 <AttributeFilterPolicy> <PolicyRequirementRule xsi:type="basic:AttributeRequesterRegex" regex="(https://upki-t est-sp01.nii.ac.jp).*" /> <AttributeRule attributeID="transientId"> <PermitValueRule xsi:type="basic:ANY" /> </AttributeRule> <AttributeRule attributeID="eduPersonTargetedID"> <PermitValueRule xsi:type="basic:ANY" /> </AttributeRule> <AttributeRule attributeID="eduPersonScopedAffiliation"> <PermitValueRule xsi:type="basic:AttributeValueString" value="faculty" /> </AttributeRule> </AttributeFilterPolicy> by
大学教育の質の保証・向上ならびに 電子化及びオープンアクセスの推進の観点から 学校教育法第百十三条に基づき、 教育研究活動の状況を公表しています。
第百十三条 大学は、教育研究の成果の普及及び活用の促進に資するため、その教育研究活動の状況を公表するものとする。