...

LDAPによる 認証システムの構築と応用

by user

on
Category: Documents
17

views

Report

Comments

Transcript

LDAPによる 認証システムの構築と応用
LDAPによる
認証システムの構築と応用
京都大学工学研究科 附属情報センター
浅野義直、奥中敬浩、上原哲太郎
2005.5.26 ITRC 第17回インターネット技術第163委員会研究会 –ITRC meet17キャンパス情報システム分科会
・LDAP概要
Tree構造
エントリ
LDAPクライアント
・京大工学研究科での応用例
職員検索システム
ユーザ認証
アクセス制御
LDAP
LightWeight Directory Access Protocol
ユーザ、アプリケーション、ネットワーク機器
などを統合管理するデータベース
<用途>
ユーザ認証、電子住所録、
アクセス制御、シングルサインオン
各システムからLDAPを参照
Tree構造
エントリ
dc=kyoto-u
o=kogaku
ou=people
o=・・・
ou=organization
Server1で管理
Server2で管理
Tree構造でデータを持つ
複数Serverで分割管理できる
エントリ
個々のデータセット (LDIF形式)
RDBのレコードに相当
dn: uid=aaa0001,ou=people,o=kogaku,dc=kyoto-u,dc=ac,dc=jp
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
uid: aaa0001
userPassword: {SMD5}TVsweb/O2blMrKp2gunproZqcQ=
sn: asano
givenName: yoshinao
cn: yoshinao asano
telephoneNumber: 0753837368
mail: [email protected]
dn(Distinguished Name)でTree内の位置を表す
LDAPのクライアント
<管理ツール>
openLDAP クライアントコマンド
LDAP Browser/Editor, GQ
phpLDAPadmin (web経由)
<API>
PHP, Perl, Java, C, その他
<アプリ>
Netscape Mail, squirrelmail
京大工学研究科での応用例
個人エントリ
dn: uid=aaa0001,ou=people,o=kogaku,dc=kyoto-u,dc=ac,dc=jp
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: eduPerson
objectClass: kyoto-uEduPerson
uid: aaa0001
userPassword: {SMD5}YXrnet/S2vMrKs6p2ru0pHoLqcQ=
eduPersonPrimaryOrgUnitDN: ou=06000,ou=10000,ou=organization,o=kogaku,dc=kyoto-u,dc=ac,dc=jp
businessCategory;lang-ja: 技術職員
sn;lang-ja: 京大
sn;lang-ja: きょうだい
givenName;lang-ja: 四郎
givenName;lang-ja: しろう
・uidをKEIDと命名し、認証アカウントとして
sn: asano
givenName: yoshinao
各教職員に配布・管理
cn: yoshinao asano
cn;lang-ja: 京大 四郎
・KEIDで各システムの認証を行う
cn;lang-ja: きょうだい しろう
eduPersonNickname: asano
telephoneNumber: 0750123456
mail: [email protected]
kyoto-uEduPersonPrivate: telephoneNumber
kyoto-uEduPersonPrivate: mail
職員検索システム
教職員の情報を検索表示できる
KEIDログインして自分のエントリを修正
<学内のみアクセス可能>
<学外へ公開>
職員検索
管理アプリ(php)
LDAP
WEB
WEB
データ保守・管理
事務職員
利用
学内関係者
利用
訪問者
Web検針システム
桂キャンパスの電力使用量などを研究室ごとに表示できる
アクセス権ごとのグループにメンバーを登録
検針システムではログインした人の所属グループを調べてアクセス権を制御
アドレス帳
Webmailとの連携
開発中のシステム
<掲示板>
XOOPS(フォーラム), Wiki の認証
<メール>
メーリングリスト自動生成
<その他>
Webアンケートとの連携
研究成果DBとの連携(開発予定)
まとめ
京大工学研究科におけるLDAPの役割
認証:ログインが必要なアプリすべて
DB:職員検索
アクセス制御:Web検針システム
Fly UP