LDAPによる 認証システムの構築と応用

LDAPによる
認証システムの構築と応用
京都大学工学研究科 附属情報センター
浅野義直、奥中敬浩、上原哲太郎
2005.5.26 ITRC 第17回インターネット技術第163委員会研究会 –ITRC meet17キャンパス情報システム分科会
・LDAP概要
Tree構造
エントリ
LDAPクライアント
・京大工学研究科での応用例
職員検索システム
ユーザ認証
アクセス制御
LDAP
LightWeight Directory Access Protocol
ユーザ、アプリケーション、ネットワーク機器
などを統合管理するデータベース
<用途>
ユーザ認証、電子住所録、
アクセス制御、シングルサインオン
各システムからLDAPを参照
Tree構造
エントリ
dc=kyoto-u
o=kogaku
ou=people
o=・・・
ou=organization
Server1で管理
Server2で管理
Tree構造でデータを持つ
複数Serverで分割管理できる
エントリ
個々のデータセット (LDIF形式)
RDBのレコードに相当
dn: uid=aaa0001,ou=people,o=kogaku,dc=kyoto-u,dc=ac,dc=jp
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
uid: aaa0001
userPassword: {SMD5}TVsweb/O2blMrKp2gunproZqcQ=
sn: asano
givenName: yoshinao
cn: yoshinao asano
telephoneNumber: 0753837368
mail: asano@info.kogaku.kyoto-u.ac.jp
dn(Distinguished Name)でTree内の位置を表す
LDAPのクライアント
<管理ツール>
openLDAP クライアントコマンド
LDAP Browser/Editor, GQ
phpLDAPadmin (web経由)
<API>
PHP, Perl, Java, C, その他
<アプリ>
Netscape Mail, squirrelmail
京大工学研究科での応用例
個人エントリ
dn: uid=aaa0001,ou=people,o=kogaku,dc=kyoto-u,dc=ac,dc=jp
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: eduPerson
objectClass: kyoto-uEduPerson
uid: aaa0001
userPassword: {SMD5}YXrnet/S2vMrKs6p2ru0pHoLqcQ=
eduPersonPrimaryOrgUnitDN: ou=06000,ou=10000,ou=organization,o=kogaku,dc=kyoto-u,dc=ac,dc=jp
businessCategory;lang-ja: 技術職員
sn;lang-ja: 京大
sn;lang-ja: きょうだい
givenName;lang-ja: 四郎
givenName;lang-ja: しろう
・uidをKEIDと命名し、認証アカウントとして
sn: asano
givenName: yoshinao
各教職員に配布・管理
cn: yoshinao asano
cn;lang-ja: 京大 四郎
・KEIDで各システムの認証を行う
cn;lang-ja: きょうだい しろう
eduPersonNickname: asano
telephoneNumber: 0750123456
mail: shirou@kogaku.kyoto-u.ac.jp
kyoto-uEduPersonPrivate: telephoneNumber
kyoto-uEduPersonPrivate: mail
職員検索システム
教職員の情報を検索表示できる
KEIDログインして自分のエントリを修正
<学内のみアクセス可能>
<学外へ公開>
職員検索
管理アプリ(php)
LDAP
WEB
WEB
データ保守・管理
事務職員
利用
学内関係者
利用
訪問者
Web検針システム
桂キャンパスの電力使用量などを研究室ごとに表示できる
アクセス権ごとのグループにメンバーを登録
検針システムではログインした人の所属グループを調べてアクセス権を制御
アドレス帳
Webmailとの連携
開発中のシステム
<掲示板>
XOOPS(フォーラム), Wiki の認証
<メール>
メーリングリスト自動生成
<その他>
Webアンケートとの連携
研究成果DBとの連携(開発予定)
まとめ
京大工学研究科におけるLDAPの役割
認証:ログインが必要なアプリすべて
DB:職員検索
アクセス制御:Web検針システム