GakuNinShibInstall

スペース ショートカット

ページ ツリー

比較バージョン

古いバージョン 4

changes.mady.by.user misatou

保存しました

次と比較

新しいバージョン 5

changes.mady.by.user kikuchihara

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

...

Shibboleth IdP で Windows Server 2003 R2 の Active Directory を直接データソースとして利用する際の設定方法を検証する.尚,ここでは UPKI イニシアティブ学術認証フェデレーションで公開されている技術ガイド(以下「技術ガイド」という)を基に,Active Directory 用の設定部分のみに言及し,他の設定については省略する.

 

...


1. UPKI フェデレーションで利用するスキーマの導入

Active Directory 用 eduPerson スキーマを以下の URL からダウンロードする.
https://spaces.internet2.edu/display/macedir/Active+Directory+eduPerson
コマンドプロンプトで,ldifde.exe を実行してスキーマを拡張する.log を c:\tmp に出力して,ssotest.seijo.ac.jp ドメインに対してスキーマ拡張するにはパラメータを以下のように与える.

...

 その後,MMC の Active Directory スキーマ スナップインで追加した属性を選択してプロパティを開き,[グローバル カタログにこの属性をレプリケートする] にチェックを入れる.
*この設定をしないとグローバルカタログに問い合わせた際に属性値が参照できなくなる.詳細については後述する.

 

...


2. テストデータの作成

PowerShell を使ってユーザー作成時に拡張属性に値を設定する.以下のスクリプトでは eduPersonAffiliation 属性の値を staff に設定している.

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
$strOU = "ou=mnc,dc=ssotest,dc=seijooo,dc=ac,dc=jp"
$prinStr = "@ssotest.seijo.ac.jp"

$Password = Read-Host "Password" -asSecureString
$oOU = [ADSI]"LDAP://$strOU"

$name = "zazu"
$kname = "座図"
$cnx = "cn=" + $name
$snx = "sn=" + $kname

$oUser = $oOU.Create("user", $cnx)
$oUser.Put("sAMAccountName", $name)
$oUser.Put("userPrincipalName", $name+$prinStr)
$oUser.Put("sn", $kname)
$oUser.setInfo()

$oUser.SetPassword($Password.ToString())
$oUser.Put("userAccountControl","66176")
$oUser.Put("eduPersonAffiliation","staff") # ← eduPersonAffiliation 値の追加
$oUser.setInfo()

 



...


3. login.config ファイルの編集

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
https://wiki.shibboleth.net/confluence/display/SHIB2/IdPADConfigIssues に Active Directory 設定時の注意点が解説されており,Port 3268 を使ってグローバルカタログへ接続すると Referral 問題を回避できる.以下はグローバルカタログを持つホスト mncssotad.seijooo.ac.jp に ldapadm ユーザーで接続するサンプル設定である.Active Directory の場合 userField は sAMAccoutName を使用する.
パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
ShibUserPassAuth {
   edu.vt.middleware.ldap.jaas.LdapLoginModule required
      host="mncssotad.seijooo.ac.jp"
      port="3268"
      base="dc=ssotest,dc=seijooo,dc=ac,dc=jp"
      ssl="false"
      userField="sAMAccountName"
      serviceUser="ldapadm@ssotest.seijo.ac.jp"
      serviceCredential="ldapadm のパスワード"
      subtreeSearch="true";
};

...



...

4. attribute-resolver.xml ファイルの編集
eduPersonPrincipalName を有効にする場合は,sourceAttributeID にsAMAccountNameを指定する.
...
 その他 Shibboleth Idp の設定については技術ガイドの通り行う.
 
...

6. 接続テスト
https://test-sp00.gakunin.nii.ac.jp/ に接続し,eduPersonAffiliation 属性が表示されていることが確認できる.
...