Shibboleth(シボレス)には、基本的には多くの属性をLDAPやDBから取得してリリースするための設定が既に入っており、これらのコメントアウトを解除して有効化するだけで実行することができます。
また、属性の変換機能として、”@nii.ac.jp”といったスコープの付与、値の変換、固定値の割り当てや、スクリプトを利用した変換等が可能です。
さらに、リリース制御では、サイトとしてのポリシー、各個人のポリシーによる制御や、各SPに対応したリリース制御等が可能です。
以下では、新たなIDや属性の追加、そのリリースの方法について説明します。
以下の利用者をLDAPへ登録する例を示します。
uid | userPassword | ou | eduPersonAffiliation |
---|---|---|---|
test004 | test004 | technology | student |
dn: ou=technology,o=test_o,dc=ac,c=JP # test004, technology, test_o, ac, JP dn: uid=test004,ou=technology,o=test_o,dc=ac,c=JP objectClass: eduPerson objectClass: inetOrgPerson ou: technology sn: test_sn_4 cn: test_cn_4 uid: test004 userPassword: test004 eduPersonAffiliation: student |
# ldapadd -x -h localhost -D "cn=olmgr,o=test_o,dc=ac,c=JP" -w csildap -f sample1.ldif |
利用者に「displayName」属性を追加する例を示します。
dn: uid=test004,ou=technology,o=test_o,dc=ac,c=JP changetype: modify add: displayName displayName: Test4 |
# ldapmodify -x -h localhost -D "cn=olmgr,o=test_o,dc=ac,c=JP" -w csildap -f sample2.ldif |
先に追加した「displayName」属性をSPへリリースする例を示します。
・/etc/openldap/schema配下にスキーマファイルがあります。
・「displayName」属性は、/etc/openldap/schema/inetorgperson.schemaにて以下のように定義されています。赤字で示されている部分が displayName の oid です。
(中略) # displayName # When displaying an entry, especially within a one-line summary list, it |
(中略)
|
※ 途中のSAML1Stringについては、URNとして登録されていない属性の場合はこの行自体を削除してください。
|