[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[drf:3036] Re: DSpaceのLDAP連携について



高輝度光科学研究センター 酒井さま
みなさま

北大 堀越です。
いつもお世話になっております。

今、動作確認できる機体が手元にない分、ちゃんとソースを見ておこう
とおもっていて、出遅れました。
#…言いわけですね。すみません。

dspace.cfgの「Hierarchical LDAP Settings」で「subtree scope」での
検索を行うようにするとよいのではないかな、と思います。
dspace.cfg(1.7.2)の Hierarchical LDAP Settings設定部分を
抜き出しておきます。
> ##### Hierarchical LDAP Settings #####
> 
> # If your users are spread out across a hierarchical tree on your
> # LDAP server, you will need to use the following stackable authentication
> # class:
> #  plugin.sequence.org.dspace.authenticate.AuthenticationMethod = \
> #        org.dspace.authenticate.LDAPHierarchicalAuthentication
> #
> # You can optionally specify the search scope. If anonymous access is not
> # enabled on your LDAP server, you will need to specify the full DN and
> # password of a user that is allowed to bind in order to search for the
> # users.
> 
> # This is the search scope value for the LDAP search during
> # autoregistering. This will depend on your LDAP server setup.
> # This value must be one of the following integers corresponding
> # to the following values:
> # object scope : 0
> # one level scope : 1
> # subtree scope : 2
> #ldap.search_scope = 2
> 
> # The full DN and password of a user allowed to connect to the LDAP server
> # and search for the DN of the user trying to log in. If these are not specified,
> # the initial bind will be performed anonymously.
> #ldap.search.user = cn=admin,ou=people,o=myu.edu
> #ldap.search.password = password
> 
> # If your LDAP server does not hold an email address for a user, you can use
> # the following field to specify your email domain. This value is appended
> # to the netid in order to make an email address. E.g. a netid of 'user' and
> # ldap.netid_email_domain as '@example.com' would set the email of the user
> # to be 'user@example.com
> #ldap.netid_email_domain = @example.com

関連するjavaに手を入れて〜とか考えてたりしたんですが、
設定だけですむのならそちらのほうがいいですよね。

LDAPを使うに当たっては、RFC2251をきちんと読んでおく必要がありますね。
#という私も、まだざっとみただけです。

(2012/05/23 9:02), Sakai Hisanobu wrote:
> 公益財団法人 高輝度光科学研究センターの酒井です
> 
> おはようございます。
> 三隅さま、高橋さま、他皆様 ご歓迎頂きありがとうございます。
> 
> さて、表記の件ですが、現在 DSpace 1.7.2 をベースに実験データを
> 管理するシステムを構築しています。
> 
> 実験データの管理という事もあり、コンテンツの公開という通常の
> DSpace の使い方では実現できない詳細なアクセスコントロールが必
> 要で、その部分に関してDSpaceを改造して使用しています。
> 
> ユーザーアカウントの管理は、既に施設のインフラとして存在している
> LDAPを使用しているのですが、SPring-8 の成り立ちから、OUが財団、
> 理研、共同利用者という区分になっております。
> 
> 今回のシステムでは、これら3つのOU共にユーザーとなるのですが、
> dspace.cfgでは、ユーザーを検索するOUとして、1つ指定できるだけの
> ようです。
> 
> ldap.object_context = ou=jasri,dc=spring8,dc=or,dc=jp
> ldap.search_context = ou=jasri,dc=spring8,dc=or,dc=jp
> 
> しかしながら、大きな組織では、OU構造を持たないフラットなLDAPを構築
> しているとは思えず、何らかの方法で、OU構造を持つLDAPを使っているの
> ではないかと考えています。
> 
> 長くなりましたが、質問を要約しますと
> 
> Q:複数のOU構造を持つLDAPの全ユーザーを、DSpaceに認証させる方法
>   はありますか?
> 
> になります。
> 
> LDAP上に存在するOU構造は、
> ou=jasri,dc=spring8,dc=or,dc=jp  300アカウント程度
> ou=riken,dc=spring8,dc=or,dc=jp  400アカウント程度
> ou=user,dc=spring8,dc=or,dc=jp  10000アカウント程度
> です。
> 
> 
> 以上よろしくお願いいたします。
> 


-- 
堀越 邦恵
 北海道大学附属図書館 利用支援課情報リテラシー担当
 TEL: 011-706-4107
 e-mail: 担当宛 ref @ xxxxxxxxxxxxxxxxx
         個人宛 horikoshi @ xxxxxxxxxxxxxxxxx
──────────────────☆────────
月刊DRF http://drf.lib.hokudai.ac.jp/gekkandrf/
 2012年5月号(28号)を発行しました!

DRF(Digital Repository Federation)
http://drf.lib.hokudai.ac.jp/drf/ 
─────★─────────────────────