[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[drf:3038] LDAP関連RFCは新しいのがあります (Re: Re: DSpaceのLDAP連携について)
- Date: Thu, 24 May 2012 18:55:38 +0900
ほりこしです。訂正。RFCはもっと新しいのがあります。
そっちを見るべきでした。
http://www.ipa.go.jp/security/rfc/RFC.html#LDAP
#いかにわかってないかを露呈した形に…きゃー。
(2012/05/24 17:55), Kunie Horikoshi wrote:
> 北大 堀越です。追加。
>
>> LDAPを使うに当たっては、RFC2251をきちんと読んでおく必要がありますね。
>
> RFC2255も必要、ですね。
>
> (2012/05/24 17:40), Kunie Horikoshi wrote:
>> 高輝度光科学研究センター 酒井さま
>> みなさま
>>
>> 北大 堀越です。
>> いつもお世話になっております。
>>
>> 今、動作確認できる機体が手元にない分、ちゃんとソースを見ておこう
>> とおもっていて、出遅れました。
>> #…言いわけですね。すみません。
>>
>> dspace.cfgの「Hierarchical LDAP Settings」で「subtree scope」での
>> 検索を行うようにするとよいのではないかな、と思います。
>> dspace.cfg(1.7.2)の Hierarchical LDAP Settings設定部分を
>> 抜き出しておきます。
>>> ##### Hierarchical LDAP Settings #####
>>>
>>> # If your users are spread out across a hierarchical tree on your
>>> # LDAP server, you will need to use the following stackable authentication
>>> # class:
>>> # plugin.sequence.org.dspace.authenticate.AuthenticationMethod = \
>>> # org.dspace.authenticate.LDAPHierarchicalAuthentication
>>> #
>>> # You can optionally specify the search scope. If anonymous access is not
>>> # enabled on your LDAP server, you will need to specify the full DN and
>>> # password of a user that is allowed to bind in order to search for the
>>> # users.
>>>
>>> # This is the search scope value for the LDAP search during
>>> # autoregistering. This will depend on your LDAP server setup.
>>> # This value must be one of the following integers corresponding
>>> # to the following values:
>>> # object scope : 0
>>> # one level scope : 1
>>> # subtree scope : 2
>>> #ldap.search_scope = 2
>>>
>>> # The full DN and password of a user allowed to connect to the LDAP server
>>> # and search for the DN of the user trying to log in. If these are not specified,
>>> # the initial bind will be performed anonymously.
>>> #ldap.search.user = cn=admin,ou=people,o=myu.edu
>>> #ldap.search.password = password
>>>
>>> # If your LDAP server does not hold an email address for a user, you can use
>>> # the following field to specify your email domain. This value is appended
>>> # to the netid in order to make an email address. E.g. a netid of 'user' and
>>> # ldap.netid_email_domain as '@example.com' would set the email of the user
>>> # to be 'user@example.com
>>> #ldap.netid_email_domain = @example.com
>>
>> 関連するjavaに手を入れて〜とか考えてたりしたんですが、
>> 設定だけですむのならそちらのほうがいいですよね。
>>
>> LDAPを使うに当たっては、RFC2251をきちんと読んでおく必要がありますね。
>> #という私も、まだざっとみただけです。
>>
>> (2012/05/23 9:02), Sakai Hisanobu wrote:
>>> 公益財団法人 高輝度光科学研究センターの酒井です
>>>
>>> おはようございます。
>>> 三隅さま、高橋さま、他皆様 ご歓迎頂きありがとうございます。
>>>
>>> さて、表記の件ですが、現在 DSpace 1.7.2 をベースに実験データを
>>> 管理するシステムを構築しています。
>>>
>>> 実験データの管理という事もあり、コンテンツの公開という通常の
>>> DSpace の使い方では実現できない詳細なアクセスコントロールが必
>>> 要で、その部分に関してDSpaceを改造して使用しています。
>>>
>>> ユーザーアカウントの管理は、既に施設のインフラとして存在している
>>> LDAPを使用しているのですが、SPring-8 の成り立ちから、OUが財団、
>>> 理研、共同利用者という区分になっております。
>>>
>>> 今回のシステムでは、これら3つのOU共にユーザーとなるのですが、
>>> dspace.cfgでは、ユーザーを検索するOUとして、1つ指定できるだけの
>>> ようです。
>>>
>>> ldap.object_context = ou=jasri,dc=spring8,dc=or,dc=jp
>>> ldap.search_context = ou=jasri,dc=spring8,dc=or,dc=jp
>>>
>>> しかしながら、大きな組織では、OU構造を持たないフラットなLDAPを構築
>>> しているとは思えず、何らかの方法で、OU構造を持つLDAPを使っているの
>>> ではないかと考えています。
>>>
>>> 長くなりましたが、質問を要約しますと
>>>
>>> Q:複数のOU構造を持つLDAPの全ユーザーを、DSpaceに認証させる方法
>>> はありますか?
>>>
>>> になります。
>>>
>>> LDAP上に存在するOU構造は、
>>> ou=jasri,dc=spring8,dc=or,dc=jp 300アカウント程度
>>> ou=riken,dc=spring8,dc=or,dc=jp 400アカウント程度
>>> ou=user,dc=spring8,dc=or,dc=jp 10000アカウント程度
>>> です。
>>>
>>>
>>> 以上よろしくお願いいたします。
>>>
>>
>>
>
>
--
堀越 邦恵
北海道大学附属図書館 利用支援課情報リテラシー担当
TEL: 011-706-4107
e-mail: 担当宛 ref @ xxxxxxxxxxxxxxxxx
個人宛 horikoshi @ xxxxxxxxxxxxxxxxx
──────────────────☆────────
月刊DRF http://drf.lib.hokudai.ac.jp/gekkandrf/
2012年5月号(28号)を発行しました!
DRF(Digital Repository Federation)
http://drf.lib.hokudai.ac.jp/drf/
─────★─────────────────────