| 内容 | Shibboleth Idpのlogin.confで設定できる.
この例では,ldap proxyのrwm-mapによって
uidをsamaccountnameに変換して,ADサーバとバインドしているので,userFilterにuid={0}を使用しているが,Shibboleth idpが直接ADサーバとバインドする場合,samaccountname=0}となる.
下記に設定例を示す.
ADのグループ属性が,Authsのメンバーに登録され,かつ,NotGakuninsのメンバーに登録されていない場合に,認証を許可する.
edu.vt.middleware.ldap.jaas.LdapLoginModule sufficient
host="localhost"
base="dc=xx,dc=xx,dc=xx,dc=xx,dc=xx"
ssl="false"
subtreeSearch="true"
userFilter="(&(uid={0})(memberOf=CN=Auths,CN=Users,DC=xx,DC=xx,DC=xx,DC=xx,DC=xx)(!(memberOf=CN=NotGakunins,CN=xx,DC=xx,DC=xx,DC=xx,DC=xx,DC=xx)))"
serviceUser="cn=prox,CN=Users,dc=xx,dc=xx,dc=xx,dc=xx,dc=xx"
serviceCredential="xxxx"
;
|