...
注意 |
---|
前項と同様、同一のIDが2つのLDAPツリー上に存在すると問題になりますので、uidがこの条件を満たさない場合は他の属性をID(principal)として使うようにしてください。 |
LDAPサーバにStartTLSを利用する方法(LDAPサーバがCentOS 5の場合)
CentOS 5標準のopenldap-serversパッケージでLDAPサーバを構築した環境のおいて、IdPからLDAPサーバにStartTLSで接続する設定について記載します。
LDAPサーバはホスト名 ldaptest1.gakunin.nii.ac.jp
として説明します。 LDAPプロキシサーバ : 複数台LDAPサーバ向けのLDAPプロキシサーバ設定方法 の「LDAPサーバ設定(ldaptest1)」を参考に /etc/openldap/slapd.conf
の設定を行ってください。この説明で利用する証明書の情報は「LDAPサーバ設定(ldaptest1)」の設定に準じます。
IdPでは login.config , attribute-resolver.xml
には下記の設定を行います。LDAPサーバのCA証明書は /etc/pki/tls/certs/gakuninca.pem
として配置しています。
パネル | ||
---|---|---|
| ||
← TLSを有効にし、CA証明書を設定します |
パネル | ||
---|---|---|
| ||
← StartTLSを有効にします ← CA証明書を設定します |
特定のSPへのアサーションを暗号化しない設定
学認では技術運用基準として、アサーション(IdPで生成した利用者の属性等の情報)をSPに送る際には暗号化すべき(SHOULD)であると定めています(*1)が、Google AppsやOffice 365などのように暗号化したアサーションを受け付けないSPも存在します。Shibboleth IdPのデフォルトの挙動は、全てのSPに対して送信するアサーションを暗号化するようになっていますので、そのような特定のSPに対して送信するアサーションを暗号化しないように設定する方法を以下に記載します。
...