Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Tip

本ページはIdPテスト用のLDAPサーバ構築を行うものですので、別途構築されているLDAPサーバに接続する場合は不要です。次ページより先に進んでください。

OpenLDAPの設定

OpenLDAPは、バージョンによって設定の方法が変わっています。バージョン2.2まではslapd.confに設定内容を定義していましたが、バージョン2.3以降で非推奨となりディレクトリサービス上に設定を格納するようになりました。CentOS 6と7標準のOpenLDAPは2.3以降の、ディレクトリサービス上での設定を基本としています。
以下ではCentOS 7を想定してディレクトリサービス上に設定する方法で記述しています。


...

0. OpenLDAPパッケージの確認

/etc/openldap/schema ディレクトリが存在しない場合は、以下のようにしてOpenLDAPパッケージをインストールしてください。

...

Expand
titleCentOS6の場合
Panel
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
# chkconfig --level 345 slapd on


...

1. 追加のスキーマファイル

以下のURLには、edupersonスキーマの内容が記載されています。
/etc/openldap/schema 配下に「eduperson.schema」を作成し、スキーマの内容をコピーしてください。
※edupersonスキーマの追加は必須ではありません。
(既に統合認証基盤が構築されており、必要な属性値が存在する場合など)

https://spaces.at.internet2.edu/display/macedir/OpenLDAP+eduPerson


...

2. LDAPサーバのデフォルト設定

ディレクトリサービス上に設定する方法は、slapd.confから変換する方法もありますが、ここではディレクトリサービスのインタフェースを介した手順を説明します。

...

Panel
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
# ldapadd -Y EXTERNAL -H ldapi:// -f /etc/openldap/schema/eduperson.ldif



...

3. LDAPのテストデータ作成

以下のサンプルを基に、テスト用データを作成し、LDAPへ登録します。
Shibboleth を利用したID/パスワードでの認証に使用されるIDはuid 、パスワードは userPassword になります。
※IDに使用する属性については、ldap.propertiesidp.authn.LDAP.userFilterの修正で他の属性に変更できます。
 ただし、同様に送信属性値取得の設定がattribute-resolver.xmlもしくはldap.propertiesのidp.attribute.resolver.LDAP.searchFilterで行われており、
 こちらのLDAP検索キーも同様に変更しなければ不整合が起きるので、注意してください。

...