EDB/LDAP

現在,LDAPサーバ

  • ldap1.db.tokushima-u.ac.jp
  • ldap2.db.tokushima-u.ac.jp
情報化推進センターにより管理されています.

LDAP Client Configuration

Item Value Note
Name The University of Tokushima 徳島大学 利用者のための識別名であるので設定は任意の名称で可
Server ldap.db.tokushima-u.ac.jp LDAPサーバのFQDN
Port 389 LDAPサーバのポート番号
Search Base dc=tokushima-u,dc=ac,dc=jp 検索の開始階層
Search Scope Subtree 下層についても検索する
Authentication None なし ユーザ認証なし

User Authentication for Binding

  • User's DN : "uid=SEID,ou=people,dc=tokushima-u,dc=ac,dc=jp"
  • Password : 個人,擬人情報の[パスワード]に登録されているパスワード.(注: EDBにログインするときのパスフレーズではない)
  • 認証方式: Simple
  • 認証対象:
    • EDBのユーザとして登録されている教職員(EDBの個人情報[パスワード]にパスワードを登録しているユーザ)
    • 学内組織の[長]または[構成員]として登録されている擬人(EDBの擬人情報[パスワード]にパスワードを登録している擬人)
  • サーバの設定
    • 並列サーバを複数設定できる場合:
      • ldap1.db.tokushima-u.ac.jp:389
      • ldap2.db.tokushima-u.ac.jp:389
      を指定.
    • サーバを1つのみ設定できる場合:
      • ldap.db.tokushima-u.ac.jp:389
      を指定.(DNSにおいてround robinされる)
  • 注意: 認可(ユーザリストなど)についてはクライアント(認証サービスを利用する側のシステム)で設定すること.

LDAP Server Configuratioin

  • Service Area: Inside of the Universtiy of Tokushima (150.59.0.0/255.255.0.0)
  • Providing information:
    • Personal Information:
      • Common Name
      • Surname
      • Givenname
      • E-mail address
      • Affiliation
      • Telephone Number
      • Facsimile Number
      • Portrait

UNI-LDAP (Unified LDAP) --- 徳島大学LDAP認証の統合

(2012年4月23日 情報化推進センター導入のシステム(暫定名: 「新システム」)の統合認証LDAPの利用開始)

現在,徳島大学のユーザ認証は,従来の教員向けLDAP認証(EDB/LDAP),高度情報化基盤センターの学生向けActive DirectoryのLDAP認証(AIT/AD)の並列運用から,情報化推進センターが2012年3月導入した統合認証(以下,AIT/AUTH)に切り替わりつつある. 統合認証においてはShibboleth認証がメインになると予想され,LDAP認証を利用する認証クライアントは徐々に淘汰されていくと思われる.

UNI-LDAPはEDB/LDAPとAIT/ADのLDAP認証機構を統合するために設置・運用していたLDAPサーバであるが,このような過渡期においてすぐにShibboleth認証に切替えることのできない認証クライアント(Webサーバなど)のために設定を変更し,統合認証とEDB/LDAPを複合したユーザ認証機能を提供することとした.(Apr. 25, 2012)

(複数のLDAPサーバの認証機構を統合することを主たる目的としているため,各々のLDAPサーバの提供する固有の情報等に関しては一部保障されないことに注意.)

LDAP Client Configuration

LDAP
Item Value Note
Name Unified-LDAP, The University of Tokushima 徳島大学統一認証 利用者のための識別名であるので設定は任意の名称で可
Server uni-ldap1.db.tokushima-u.ac.jp
uni-ldap2.db.tokushima-u.ac.jp
LDAPサーバのFQDN
Port 389 LDAPサーバのポート番号
Search Base dc=tokushima-u,dc=ac,dc=jp 検索の開始階層
URI ldap://uni-ldap1.db.tokushima-u.ac.jp/dc=tokushima-u,dc=ac,dc=jp
ldap://uni-ldap2.db.tokushima-u.ac.jp/dc=tokushima-u,dc=ac,dc=jp
LDAPサーバのURI
Search Scope Subtree 下層についても検索する
Authentication None なし ユーザ認証なし
LDAPS (LDAP+SSL)
Item Value Note
Name Unified-LDAP, The University of Tokushima 徳島大学統一認証 利用者のための識別名であるので設定は任意の名称で可
Server uni-ldap1.db.tokushima-u.ac.jp
uni-ldap2.db.tokushima-u.ac.jp
LDAPサーバのFQDN
Port 636 LDAPサーバのポート番号
Search Base dc=tokushima-u,dc=ac,dc=jp 検索の開始階層
URI ldaps://uni-ldap1.db.tokushima-u.ac.jp/dc=tokushima-u,dc=ac,dc=jp
ldaps://uni-ldap2.db.tokushima-u.ac.jp/dc=tokushima-u,dc=ac,dc=jp
LDAPサーバのURI
Search Scope Subtree 下層についても検索する
Authentication None なし ユーザ認証なし

User Authentication for Binding

  • 認証対象:
    • EDB/LDAPにて認証サービスを受ける教職員 (アカウント名「S〜」)
    • AIT/AUTHにて認証サービスを受ける学生 (アカウント名「c〜」)
  • User's DN : "uid=user-ID,dc=tokushima-u,dc=ac,dc=jp"
    Backend UNI-LDAPのDN BackendのDN
    EDB/LDAP uid=SXXXX,dc=tokushima-u,dc=ac,dc=jp uid=SXXXX,ou=people,dc=tokushima-u,dc=ac,dc=jp
    AIT/AUTH uid=cXXXX,dc=tokushima-u,dc=ac,dc=jp uid=cXXXX,ou=????,ou=students,ou=person,dc=tokushima-u,dc=ac,dc=jp
    uid=cXXXX,ou=teachers,ou=person,dc=tokushima-u,dc=ac,dc=jp
  • 認証方式: Simple
  • Password : 各々のBackendのLDAP認証パスワードと同一.
  • サーバの設定
    • 並列サーバを複数設定できる場合:
      • uni-ldap1.db.tokushima-u.ac.jp:389 (ldap://uni-ldap1.db.tokushima-u.ac.jp/)
      • uni-ldap2.db.tokushima-u.ac.jp:389 (ldap://uni-ldap2.db.tokushima-u.ac.jp/)
      または,SSLをONにして
      • uni-ldap1.db.tokushima-u.ac.jp:636 (ldaps://uni-ldap1.db.tokushima-u.ac.jp/)
      • uni-ldap2.db.tokushima-u.ac.jp:636 (ldaps://uni-ldap2.db.tokushima-u.ac.jp/)
      を指定.
  • 注意: 認可(ユーザリストなど)についてはクライアント(認証サービスを利用する側のシステム)で設定すること.
  • 動作推測図
  • 覚え書き
    • OpenLDAP 2.4.11
    • DYNAMIC_BACKENDSを外す.(database metaと競合するらしい)