鷹山 (C)1996-2017 Copyright  データベースアメニティ研究所 Connected via IPv4
2015年10月10日 震災から復旧 米沢高等工業学校本館

【研究ノート】 Shibboleth IdPをLDAP Proxy経由でADに認証する方法

一覧戻る進む
研究ノート-Shibboleth IdPをL@1086-Shibboleth IdPをLDAP Proxy経由でADに認証する方法

シボレス認証によって、このページの感想やコメント、質問などを記入できます。学術認証フェデレーション(学認)参加機関から利用できます。
→ シボレスログイン
→ RSS
シボレス-トップメニュー
学認参加機関/一覧
ページレビュー説明書
山形大学 学術認証-fed

ID⇒#1086@研究ノート;
要約【研究ノート】Shibboleth IdPをLDAP Proxy経由でADに認証する方法⇒#1086@研究ノート;
日時記録=2009/1/28, 修正=2010/6/24
研究者伊藤 智博
リンク関連外部URL=https://upki-por…, 学認共有URL=講義 研究 発表 業績 テーマ 製品 計算式
内容shibboleth IdPLDAP Proxy経由でWindows Server 2003ADActive Directoryに認証する方法

事前にADに認証するためにOpenLDAPのslapdのLDAPプロキシ機能overlay rwmの機能使ってuidとsamaccountnameなどの属性ピグローカルLDAPに設定する1)2)

shibboleth IdPLDAP Proxy経由でActive Directoryに認証する場合はリフェラル紹介設定有効にする必要がある

具体的にはlogin.configとattribute-resolver.xmlつのファイル注意しましょう

また動作保証するものではありませんより良い設定方法がありましたら教えていただけると幸いです

2010年になってGCグローバルカタログ使うことでリフェラル有効にしなくても動作することがわかりました3)
 リフェラルつかうとDC1台でも停止すると認証に不具合が発生することがありますのでリフェラル無効にして利用すること推奨します

例)login.config
edu.vt.middleware.ldap.jaas.LdapLoginModule sufficient
host="localhost"
base="dc=xxxxx,dc=yamagata-u,dc=ac,dc=jp"
ssl="false"
userField="uid"
subtreeSearch="true"
serviceUser="cn=xxxx,CN=Users,dc=xxxx,dc=yamagata-u,dc=ac,dc=jp"
serviceCredential="xxxxx"
referral="follow" <--重要みたい?

例)attribute-resolver.xml """"は全角文字に変化されていますので半角にしてください
resolver:DataConnector id="myLDAP2" xsi:type="LDAPDirectory" xmlns="urn:mace:shibboleth:2.0:resolver:dc"
ldapURL="ldap://localhost" baseDN="dc=xxxx,dc=yamagata-u,dc=ac,dc=JP" princi
pal="cn=xxxxx,CN=Users,dc=xxxx,dc=yamagata-u,dc=ac,dc=jp"
principalCredential="xxxxx"
FilterTemplate
![CDATA[
(uid=$requestContext.principalName)
]]
/FilterTemplate
LDAPProperty name="java.naming.referral" value="follow"/ <--ここが重要みたい?
/resolver:DataConnector


関連講義
サイバーキャンパス鷹山,UPKI-シングルサインオン実証実験4)
サイバーキャンパス鷹山,UPKI関係資料5)

この内容については2009年に橋記念講堂で開催されたUPKIシンポジウム2009において既存の複数認証基盤統合したUPKI用統合認証基盤の構築について報告している6)

動作確認バージョン
Shibboleth IdP 2.0.0
Shibboleth IdP 2.1.27)
Shibboleth IdP 2.1.38)


関連書籍
シボレスIdPの構築9)
by

UPKI用Shibboleth IdPの構築記録(OS環境の設定 No.1)
伊藤 智博, 研究ノート, (2009).

OpenLDAPのプロキシ機能による属性の変換設定
伊藤 智博, 研究ノート, (2009).

ADにLDAP接続するときに、リフェラルを無効にして属性情報を取得する方法
伊藤 智博, 研究ノート, (2010).

高等学校 > 高校公民 > 政治・経 > 独立行政 > 大学共同 > 国立情報 > UPKI-シングルサインオン(SSO)実証実験,国立情報学研究所
仁科 辰夫,サイバーキャンパス「鷹山, 講義ノート, (2009).

高等学校 > 高校公民 > 政治・経 > 独立行政 > 大学共同 > 国立情報 > UPKI > UPKI関係資料,UPKI-シングルサインオン(SSO)実証実験
仁科 辰夫,サイバーキャンパス「鷹山, 講義ノート, (2009).

既存の複数認証基盤を統合したUPKI用統合認証基盤の構築
伊藤智博,吉田浩司,鈴木勝人,青木和恵,UPKIシンポジウム2009講演要旨集 (2009).

Shibboleth IdP 2.1.2へのバージョンアップの検証
伊藤 智博, 研究ノート, (2009).

Shibboleth IdP 2.1.3へのバージョンアップ
伊藤 智博, 研究ノート, (2009).

(1UPKI用Shibboleth IdPの構築記録(OS環境の設定 No.1)
伊藤 智博, 研究ノート, (2009).
(2OpenLDAPのプロキシ機能による属性の変換設定
伊藤 智博, 研究ノート, (2009).
(3ADにLDAP接続するときに、リフェラルを無効にして属性情報を取得する方法
伊藤 智博, 研究ノート, (2010).
(4高等学校 > 高校公民 > 政治・経 > 独立行政 > 大学共同 > 国立情報 > UPKI-シングルサインオン(SSO)実証実験,国立情報学研究所
仁科 辰夫,サイバーキャンパス「鷹山, 講義ノート, (2009).
(5高等学校 > 高校公民 > 政治・経 > 独立行政 > 大学共同 > 国立情報 > UPKI > UPKI関係資料,UPKI-シングルサインオン(SSO)実証実験
仁科 辰夫,サイバーキャンパス「鷹山, 講義ノート, (2009).
(6既存の複数認証基盤を統合したUPKI用統合認証基盤の構築
伊藤智博,吉田浩司,鈴木勝人,青木和恵,UPKIシンポジウム2009講演要旨集 (2009).
(7Shibboleth IdP 2.1.2へのバージョンアップの検証
伊藤 智博, 研究ノート, (2009).
(8Shibboleth IdP 2.1.3へのバージョンアップ
伊藤 智博, 研究ノート, (2009).
(9 > シボレスIdPの構築
国立情報学研究所 編, 平成20年度シングルサインオン実証実験報告書, , (2009).
研究ノート
Shibboleth IdPをLDAP Proxy経由でADに認証する方法
CISCO ASAのFailover構成のときのIPv6動作について
CISCO ASAのFailover構成のときのIPv6動作について(2;バージョンアップ後)
山形大学のShibboleth IdPの現状(UPKI-SSOへの取り組み)
山形大学のeduroamシステムの概要
FTPサーバシステム
Shibboleth IdP, SPのUPKI-Fed.Schemaへの対応
UPKI-eduPersonTargetedIDの設定
UPKI用Shibboleth IdPの構築記録(OS環境の設定 No.1)
UPKI用Shibboleth IdPの構築記録(OS環境の設定 No.2)
UPKI(学認)用Shibboleth IdPでGoogle Apps SSOを利用する方法
Shibboleth IdP 2.1.2へのバージョンアップの検証
Dynamic VLAN 属性
学術認証フェデレーションに対応するためのメタデータの更新作業
差分-Shibboleth IdP (2.0.0 - 2.1.2; StoredID)
Shibboleth IdP 2.1.3へのバージョンアップ
研究ノート…
既存の複数認証基盤を統合したUPKI用統合認証基盤の構築
山形大学UPKI認証基盤の状況
山形大学UPKI認証基盤の状況
Shibboleth IdPサーバ
試料…
試料使用履歴…
ページレビュー
シボレスページレビュー…/一覧
HyperLink