...
LDAPを利用したID/パスワード認証の他に、様々な認証方法を利用することが可能です。以下では、クライアント証明書を利用した認証の設定方法を示します。
この例では、
...
- クライアント証明書を発行するキャンパス認証局のCA証明書=Camp-CA.crt
...
- クライアント証明書のサブジェクト”o”の値=“Test_University_A”
として設定を行い、クライアント証明書が有効な証明書であり、かつ、上記の条件を満たす場合に認証を行う設定としています。
また、eduPersonPrincipalNameをキーとして、クライアント証明書のサブジェクト“CN”の値によりLDAPから各属性を取得してい ます。そのため、クライアント証明書のサブジェクト”CN”の値を、LDAPのeduPersonPrincipalNameに格納しておくことが必要で す。
...
| パネル | ||||||
|---|---|---|---|---|---|---|
| ||||||
※「LDAP Connector」を検索し、場所を特定してください。 <!-- Example LDAP Connector -->
<!-- -->
<resolver:DataConnector id="myLDAP" xsi:type="LDAPDirectory" xmlns="urn:mace:shibboleth:2.0:resolver:dc"
ldapURL="ldap://localhost" baseDN="o=test_o,dc=ac,c=JP" principal="cn=olmgr,o=test_o,dc=ac,c=JP"
principalCredential="csildap">
<FilterTemplate>
<![CDATA[
(eduPersonPrincipalName=$requestContext.principalName) ←変更
]]>
</FilterTemplate>
</resolver:DataConnector>
<!-- --> |
...
※Apacheではクライアント証明書が認識されているがその情報がTomcatに伝わっていない場合、/usr/java/tomcat /conf/server.xmlの8009番ポートConnectorにtomcatAuthentication="false"が設定されているこ とを確認してください。が設定されていることを確認してください。
参考: jdk6、tomcat6をインストールする
参考URL(証明書認証の別実装): https://wiki.shibboleth.net/confluence/display/SHIB2/X.509+Login+Handler