[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[drf:3038] LDAP関連RFCは新しいのがあります (Re: Re: DSpaceのLDAP連携について)



ほりこしです。訂正。RFCはもっと新しいのがあります。
そっちを見るべきでした。

http://www.ipa.go.jp/security/rfc/RFC.html#LDAP

#いかにわかってないかを露呈した形に…きゃー。

(2012/05/24 17:55), Kunie Horikoshi wrote:
> 北大 堀越です。追加。
> 
>> LDAPを使うに当たっては、RFC2251をきちんと読んでおく必要がありますね。
> 
> RFC2255も必要、ですね。
> 
> (2012/05/24 17:40), Kunie Horikoshi wrote:
>> 高輝度光科学研究センター 酒井さま
>> みなさま
>>
>> 北大 堀越です。
>> いつもお世話になっております。
>>
>> 今、動作確認できる機体が手元にない分、ちゃんとソースを見ておこう
>> とおもっていて、出遅れました。
>> #…言いわけですね。すみません。
>>
>> dspace.cfgの「Hierarchical LDAP Settings」で「subtree scope」での
>> 検索を行うようにするとよいのではないかな、と思います。
>> dspace.cfg(1.7.2)の Hierarchical LDAP Settings設定部分を
>> 抜き出しておきます。
>>> ##### Hierarchical LDAP Settings #####
>>>
>>> # If your users are spread out across a hierarchical tree on your
>>> # LDAP server, you will need to use the following stackable authentication
>>> # class:
>>> #  plugin.sequence.org.dspace.authenticate.AuthenticationMethod = \
>>> #        org.dspace.authenticate.LDAPHierarchicalAuthentication
>>> #
>>> # You can optionally specify the search scope. If anonymous access is not
>>> # enabled on your LDAP server, you will need to specify the full DN and
>>> # password of a user that is allowed to bind in order to search for the
>>> # users.
>>>
>>> # This is the search scope value for the LDAP search during
>>> # autoregistering. This will depend on your LDAP server setup.
>>> # This value must be one of the following integers corresponding
>>> # to the following values:
>>> # object scope : 0
>>> # one level scope : 1
>>> # subtree scope : 2
>>> #ldap.search_scope = 2
>>>
>>> # The full DN and password of a user allowed to connect to the LDAP server
>>> # and search for the DN of the user trying to log in. If these are not specified,
>>> # the initial bind will be performed anonymously.
>>> #ldap.search.user = cn=admin,ou=people,o=myu.edu
>>> #ldap.search.password = password
>>>
>>> # If your LDAP server does not hold an email address for a user, you can use
>>> # the following field to specify your email domain. This value is appended
>>> # to the netid in order to make an email address. E.g. a netid of 'user' and
>>> # ldap.netid_email_domain as '@example.com' would set the email of the user
>>> # to be 'user@example.com
>>> #ldap.netid_email_domain = @example.com
>>
>> 関連するjavaに手を入れて〜とか考えてたりしたんですが、
>> 設定だけですむのならそちらのほうがいいですよね。
>>
>> LDAPを使うに当たっては、RFC2251をきちんと読んでおく必要がありますね。
>> #という私も、まだざっとみただけです。
>>
>> (2012/05/23 9:02), Sakai Hisanobu wrote:
>>> 公益財団法人 高輝度光科学研究センターの酒井です
>>>
>>> おはようございます。
>>> 三隅さま、高橋さま、他皆様 ご歓迎頂きありがとうございます。
>>>
>>> さて、表記の件ですが、現在 DSpace 1.7.2 をベースに実験データを
>>> 管理するシステムを構築しています。
>>>
>>> 実験データの管理という事もあり、コンテンツの公開という通常の
>>> DSpace の使い方では実現できない詳細なアクセスコントロールが必
>>> 要で、その部分に関してDSpaceを改造して使用しています。
>>>
>>> ユーザーアカウントの管理は、既に施設のインフラとして存在している
>>> LDAPを使用しているのですが、SPring-8 の成り立ちから、OUが財団、
>>> 理研、共同利用者という区分になっております。
>>>
>>> 今回のシステムでは、これら3つのOU共にユーザーとなるのですが、
>>> dspace.cfgでは、ユーザーを検索するOUとして、1つ指定できるだけの
>>> ようです。
>>>
>>> ldap.object_context = ou=jasri,dc=spring8,dc=or,dc=jp
>>> ldap.search_context = ou=jasri,dc=spring8,dc=or,dc=jp
>>>
>>> しかしながら、大きな組織では、OU構造を持たないフラットなLDAPを構築
>>> しているとは思えず、何らかの方法で、OU構造を持つLDAPを使っているの
>>> ではないかと考えています。
>>>
>>> 長くなりましたが、質問を要約しますと
>>>
>>> Q:複数のOU構造を持つLDAPの全ユーザーを、DSpaceに認証させる方法
>>>   はありますか?
>>>
>>> になります。
>>>
>>> LDAP上に存在するOU構造は、
>>> ou=jasri,dc=spring8,dc=or,dc=jp  300アカウント程度
>>> ou=riken,dc=spring8,dc=or,dc=jp  400アカウント程度
>>> ou=user,dc=spring8,dc=or,dc=jp  10000アカウント程度
>>> です。
>>>
>>>
>>> 以上よろしくお願いいたします。
>>>
>>
>>
> 
> 


-- 
堀越 邦恵
 北海道大学附属図書館 利用支援課情報リテラシー担当
 TEL: 011-706-4107
 e-mail: 担当宛 ref @ xxxxxxxxxxxxxxxxx
         個人宛 horikoshi @ xxxxxxxxxxxxxxxxx
──────────────────☆────────
月刊DRF http://drf.lib.hokudai.ac.jp/gekkandrf/
 2012年5月号(28号)を発行しました!

DRF(Digital Repository Federation)
http://drf.lib.hokudai.ac.jp/drf/ 
─────★─────────────────────