Comments
Description
Transcript
LDAPによる 認証システムの構築と応用
LDAPによる 認証システムの構築と応用 京都大学工学研究科 附属情報センター 浅野義直、奥中敬浩、上原哲太郎 2005.5.26 ITRC 第17回インターネット技術第163委員会研究会 –ITRC meet17キャンパス情報システム分科会 ・LDAP概要 Tree構造 エントリ LDAPクライアント ・京大工学研究科での応用例 職員検索システム ユーザ認証 アクセス制御 LDAP LightWeight Directory Access Protocol ユーザ、アプリケーション、ネットワーク機器 などを統合管理するデータベース <用途> ユーザ認証、電子住所録、 アクセス制御、シングルサインオン 各システムからLDAPを参照 Tree構造 エントリ dc=kyoto-u o=kogaku ou=people o=・・・ ou=organization Server1で管理 Server2で管理 Tree構造でデータを持つ 複数Serverで分割管理できる エントリ 個々のデータセット (LDIF形式) RDBのレコードに相当 dn: uid=aaa0001,ou=people,o=kogaku,dc=kyoto-u,dc=ac,dc=jp objectClass: person objectClass: organizationalPerson objectClass: inetOrgPerson uid: aaa0001 userPassword: {SMD5}TVsweb/O2blMrKp2gunproZqcQ= sn: asano givenName: yoshinao cn: yoshinao asano telephoneNumber: 0753837368 mail: [email protected] dn(Distinguished Name)でTree内の位置を表す LDAPのクライアント <管理ツール> openLDAP クライアントコマンド LDAP Browser/Editor, GQ phpLDAPadmin (web経由) <API> PHP, Perl, Java, C, その他 <アプリ> Netscape Mail, squirrelmail 京大工学研究科での応用例 個人エントリ dn: uid=aaa0001,ou=people,o=kogaku,dc=kyoto-u,dc=ac,dc=jp objectClass: person objectClass: organizationalPerson objectClass: inetOrgPerson objectClass: eduPerson objectClass: kyoto-uEduPerson uid: aaa0001 userPassword: {SMD5}YXrnet/S2vMrKs6p2ru0pHoLqcQ= eduPersonPrimaryOrgUnitDN: ou=06000,ou=10000,ou=organization,o=kogaku,dc=kyoto-u,dc=ac,dc=jp businessCategory;lang-ja: 技術職員 sn;lang-ja: 京大 sn;lang-ja: きょうだい givenName;lang-ja: 四郎 givenName;lang-ja: しろう ・uidをKEIDと命名し、認証アカウントとして sn: asano givenName: yoshinao 各教職員に配布・管理 cn: yoshinao asano cn;lang-ja: 京大 四郎 ・KEIDで各システムの認証を行う cn;lang-ja: きょうだい しろう eduPersonNickname: asano telephoneNumber: 0750123456 mail: [email protected] kyoto-uEduPersonPrivate: telephoneNumber kyoto-uEduPersonPrivate: mail 職員検索システム 教職員の情報を検索表示できる KEIDログインして自分のエントリを修正 <学内のみアクセス可能> <学外へ公開> 職員検索 管理アプリ(php) LDAP WEB WEB データ保守・管理 事務職員 利用 学内関係者 利用 訪問者 Web検針システム 桂キャンパスの電力使用量などを研究室ごとに表示できる アクセス権ごとのグループにメンバーを登録 検針システムではログインした人の所属グループを調べてアクセス権を制御 アドレス帳 Webmailとの連携 開発中のシステム <掲示板> XOOPS(フォーラム), Wiki の認証 <メール> メーリングリスト自動生成 <その他> Webアンケートとの連携 研究成果DBとの連携(開発予定) まとめ 京大工学研究科におけるLDAPの役割 認証:ログインが必要なアプリすべて DB:職員検索 アクセス制御:Web検針システム