LDAPについて

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 05/18 01:27 / Filesize : 285 KB / Number-of Response : 969
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

LDAPについて

1 名前：名無し君 [02/02/02 20:53]: 語りましょう。
私は俺はこんなものまでLDAPで管理している等々。。
99 名前：名無しさん＠お腹いっぱい。 [02/12/01 01:18]: ldap - samba でPDCしようとしてます。
日系linux参考にしてるんですが、Win2k からログオンできません。
何かいい情報あったらよろしくおねがいします。
100 名前：名無しさん＠お腹いっぱい。 mailto:sage [02/12/01 04:26]: >>99 （´_ゝ`）ふーん
101 名前：名無しさん＠お腹いっぱい。 mailto:sage [02/12/01 13:16]: >>99
とりあえずログを読めば？
102 名前：名無しさん＠お腹いっぱい。 [03/01/07 13:28]: age
103 名前：名無しさん＠お腹いっぱい。 [03/01/08 08:08]: で、結局LDAPって何に使えるの？
ユーザーアカウントをRDBMSじゃなくて、LDAPで管理して何が嬉しいの？？(純粋に疑問)
「色々なデーターを管理できます」って聞くけど。。。
104 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/01/08 09:14]: >>103
そう思うなら使わなきゃ良いのです。コレを使って何かしよう、
じゃなくって、こういうシステムを作りたいからコレが必要とか、
場合によっちゃ「コレ」に当たるものを実装してしまうぐらい
じゃないと。
ちなみに、実アカウントが RDBMS じゃ遅いですのん。
105 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/01/08 09:43]: >>104
んじゃ、どんなシステムで LDAP が必要だったの?
106 名前：名無しさん＠お腹いっぱい。 [03/01/08 10:55]: NISと比べてLDAPって早いのかな
107 名前：名無しさん＠お腹いっぱい。 [03/01/08 11:58]: >103
>ユーザーアカウントをRDBMSじゃなくて、LDAPで管理して何が嬉しいの？？(純粋に疑問)
RDBMS vs LDAPの話はよくでてきますよね。
RDBMSの世界では、ユーザーアカウントの名前、パスワードとかの列名や格納する表名
の標準がないですが、LDAPではそこらへんの標準化がされているので、
LDAPで一個ディレクトリを作っておけば、LDAP対応の製品をすぐに
実装できてディレクトリの一元化が実現といったとこでしょうか。

パフォーマンス的な優劣は何ともいえないかな。というのは、商用LDAPの中には
データの格納にRDBMSを使ってるのもあるし。ただ、クライアントはLDAPの方が軽いかも。
108 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/01/08 16:11]: >>107
openldapでもbackendにback-sql使えばOracleとか使えるしね。標準はldbmだけど。
109 名前：名無しさん＠お腹いっぱい。 [03/01/09 00:51]: あ、ほんとだ。

openldap-2.1.12/servers/slapd/back-sql/rdbms_depend/に
ibmdb2/ mssql/ mysql/ oracle/ pgsql/ timesten/
各DB用のSQLのファイルがあるね。

誰か使ってる？
110 名前：名無しさん＠お腹いっぱい。 [03/01/10 12:37]: ディレクトリサービスを使って蔵書管理するのっておかしいかな？
111 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/01/10 12:46]: >>110
やってるの?
112 名前：110 mailto:sage [03/01/10 13:14]: うん、といっても、昨日オブジェクトクラス'book'を
作ったばっかり。ぼちぼち本を登録していこうと思ってる。

このサービスのWebフロントエンドを作って、携帯電話から
簡単に問い合わせできたら、同じ本を２冊買うこともなくなるかな、
と思って。
113 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/01/10 13:26]: >>110
LDAPでアクセスして嬉しいことって何だろう?
114 名前：110 mailto:sage [03/01/10 14:19]: >>113
本質からは外れるけど、データベースに問い合わせを行うのに
特別なクライアントが必要ないことも嬉しいね。Netscapeの
アドレス帳からでも問い合わせができるし。
もっとも、もともとアドレス帳はアドレス帳なので、表示される
属性は限定されるけど。
115 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/01/11 12:19]: >>114
うむ。ネットワーク越しに使える client が非常に充実しているのは大きいかも。
116 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/01/12 22:35]: >>112,114
その辺りは、imc.orgなんかも取り組んでいて、期待したいところですな。

しかし、LDAPと比べるなら、X.500シリーズやODBC/JDBCだと思うのだが…
プロトコルとシステムカテゴリ比べてどうする?
117 名前：名無しさん＠お腹いっぱい。 [03/01/13 10:08]: >>116
LDAP サーバーに JDBC 経由でアクセスできると思うのだが…
プロトコルと API を比べてどうする?
118 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/01/13 15:25]: >>116
>>11-14 を見ろ。っていうか、お前、論破されて逃げ出した11か?
119 名前：困惑者 mailto:com_letters@hotmail.com [03/01/13 21:30]: freeradius + openldapに対して各利用者に
papとchapの両方可能にすることってできるのでしょうか？
また同じ用に、vpopmail + openldapで
popとapopを可能にすることはできるでしょうか？
いろいろな書き込みやFAQなどで調べているのですが
決定的な情報がなくて・・・。
どなたか情報をお持ちでしたら是非教えてください！
120 名前：名無しさん＠お腹いっぱい。 [03/01/15 12:04]: Servletを利用したLDAPサーバの検索を行うクライアントの作成をしたいと思います。
どこか参考になるHPや手法等教えていただけないでしょうか。
LDAPにアクセスするためのクラスすら見つけれず、悪戦苦闘しています。
121 名前：名無しさん＠お腹いっぱい。 [03/01/15 12:22]: >>120
JNDIがキーワードだ。
122 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/01/15 12:48]: JNDIで検索したらほしい情報が載ってそうなサイトがたくさん引っかかりました。
Servletの勉強中に見かけたんですが思いっきり忘れてました。
かなり道が開けたような気がします。ありがとうございました！
123 名前：山崎渉 mailto:（＾＾）sage [03/01/15 12:52]: （＾＾）
124 名前：名無しさん＠お腹いっぱい。 [03/01/20 10:10]: 唯一スレなんでage
125 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
126 名前：名無しさん＠お腹いっぱい。 [03/01/20 18:18]: 大量の属性（８０項目）をLDAPMod構造体にセットするには
どうしたらよいでしょうか？
ちまちま領域確保してやっていますが
めちゃめちゃソースが長くなります。
127 名前：名無しさん＠お腹いっぱい。 mailto:age [03/01/27 08:43]: age 沈みやすいなぁ、ここ
128 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
129 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/01/27 11:45]: >>127
ネタないの?
130 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/01/30 14:08]: RedHat7.3 + OpenLDAP2.1.12 + BDB4.1.24 です。

インストール後、
ldapadd -x -D "cn=admin, dc=." -w パス
とし、
dn: dc=.
objectClass: dcObject
dc: .

だと登録不可で、

dn: dc=.
objectClass: domain
dc: .

だと登録可能です。

RPMでOpenLDAPをインストールしたときは、dcObject で出来たのですが、
何か変更があったのでしょうか？

ちなみにエラーは、
adding new entry "dc=."
ldapadd: update failed: dc=.
ldap_add: Object class violation (65)
additional info: no structural object class provided
といわれます。
131 名前：名無しさん＠お腹いっぱい。 [03/01/30 14:08]: age忘れ。
132 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/01/31 00:52]: スキーマをインクルードしてないとかはないよね？
133 名前：130 [03/02/01 01:05]: 長文なので分割します。

スキーマはインクルードしてあります。

スキーマ見て分かったのですが、
objectclass ( 1.3.6.1.4.1.1466.344 NAME 'dcObject'
DESC 'RFC2247: domain component object'
SUP top AUXILIARY MUST dc )
と書いてあり、
どうも AUXILIARY というタイプは単体で objectClass を指定できないみたいですね。
134 名前：130 [03/02/01 01:06]: objectclass ( 2.5.6.4 NAME 'organization'
DESC 'RFC2256: an organization'
SUP top STRUCTURAL
MUST o
(略)
のような、STRUCTURAL というタイプと一緒に登録するとできました。
下記は登録可です。

dn: dc=.
objectClass: dcObject
objectClass: organization
dc: .
o: hogehoge

バージョン 2.0.27 だと、
dn: dc=.
objectClass: dcObject
dc: .
のみで登録できたのですが。
なんか仕様が変わったのですね。

おさわがせしました。
135 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/02/17 13:22]: 保守 sage
136 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/02/22 04:37]: どこかに、vpopmailでのLDAPの利用を日本語で解説しているページないですかねぇ。
137 名前：名無しさん＠お腹いっぱい。 [03/02/23 01:38]: LDAPプロキシってないですか？
HTTPプロキシと同じ機能のLDAP板的なもの。
探したのですが、見つかりませんでした・・
138 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/02/23 01:59]: >>137
delegate
139 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/02/25 02:21]: >137
別に tis fwtk の plug-gw で構わんと思うが?
fwtk じゃなくても汎用の tcp relay プログラムなら
ぐぐってみればたくさん引っかかるぞ。
140 名前：名無しさん＠Ｅｍａｃｓ [03/03/09 14:00]: LDAPに参加させるマシンはグループIDなんかは貼りなおしですか？
141 名前：名無しさん＠お腹いっぱい。 [03/03/12 16:43]: LDAPでファイル権限も操作できます？
LDAPで認証したユーザに対して、このファイルは見れるがこっちのファイルは見れない、とか。
142 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/03/12 19:08]: >>141
OSによるとしかいいようがないけど。
143 名前：名無しさん＠お腹いっぱい。 [03/03/12 21:44]: >>142
申し訳ない。UNIX系です。たぶんそらりす。
144 名前：名無しさん＠お腹いっぱい。 [03/03/13 00:37]: >>141 の書きっぷり（謎）を見ると、OSによらずできると思うが、
まぁ、そらりすなら、尚更できるんでないの？
145 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/03/13 01:33]: >>143
とりあえず、これでも読んでSolarisのACLについてお勉強
docs.sun.com/db/doc/816-4883/6mb2joasn?a=view#secfile-37
146 名前：山崎渉 mailto:（＾＾） [03/03/13 16:30]: （＾＾）
147 名前：名無しさん＠ギブアップ [03/03/17 13:18]: メタディレクトリを構築するのに参考になる本や Web ページ何か無いでしょうか？
148 名前：名無しさん＠お腹いっぱい。 [03/03/18 10:59]: LDIFのGUI編集が行えるツールなどはないでしょうか？
例えば500人分追加でデータを格納する時にLDIFを直接編集するのは正直辛いので・・・。
ツールでなくとも「こういう手法なら楽になるよ」などの意見があれば是非教えていただきたいです。
もしくは既存DBやCSV形式の変換などでもありがたいです。
よろしくお願いします。
149 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/03/19 13:52]: >>148
こんなんでいいのかな？

LDAP Browser/Editor
www.iit.edu/~gawojar/ldap/index.html
150 名前： mailto:sage [03/03/31 21:14]: いまから LDAP で遊びます。
逐次報告します。
151 名前：名無しさん＠お腹いっぱい。 [03/04/01 00:49]: 期待 age
152 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
153 名前：名無しさん＠お腹いっぱい。 [03/04/16 17:33]: FreeBSD 上で OpenLDAP 2.0.25 を使って、ちょっとした LDAP クライアント
を書いています。LDAP サーバとの通信に SSL を利用したいのですが、
具体的に、どの API を使えば良いのでしょう?

ldap_init() した後に ldap_set_option() で LDAP_OPT_X_TLS をセット
(値は LDAP_OPT_X_TLS_HARD) すれば良いのかなぁ? と思ってやってみた
のですが、ldap_simple_bind_s() でエラーになってしまいます。

ldap_perror() で確認すると

　additional info: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure

というメッセージが出力されます。
これ自体はOpenSSL のエラーメッセージのようなので、何か SSL の設定
のようなものが必要なのでしょうか?
154 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/04/17 01:36]: >>153
サーバは SSL 対応してるの？サーバのログは？
155 名前：153 [03/04/17 11:05]: >>154
debug レベルで syslog を取ると

Apr 17 11:00:48 XXXXXX slapd[9936]: connection_read(10): TLS accept error error=-1 id=1, closing

って出てます。SSL を全然理解してないんですが、
サーバ側で SSL を使うための設定をしないといけない
んですよね。その辺から勉強してきます。
156 名前：山崎渉 mailto:（＾＾） [03/04/17 11:45]: （＾＾）
157 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/04/17 21:06]: >>155
サーバの設定から見直すのであれば、自分で書いたクライアントの前に、
ldapsearch などのツールの TLS オプションで確認するといいかもしれない。
158 名前：名無しさん＠お腹いっぱい。 [03/04/19 01:56]: age
159 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
160 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/05/01 10:51]: PostgreSQL勉強して(ﾟдﾟ)ｳﾏｰ
だたんだけど
LDAP勉強したら(ﾟдﾟ)ｳﾏｰ
になりますか？
161 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/05/01 13:00]: >>160
まずは、まるで用途が違うってことをお勉強しましょう。
162 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/05/01 21:33]: はーい
163 名前：名無しさん＠お腹いっぱい。 [03/05/08 04:59]: もりage
164 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
165 名前：名無しさん＠お腹いっぱい。 [03/05/08 11:57]: >>160
最近、openldapdは、backendにPostgreSQL使えるけど、あれどうなんだろうな?
166 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/05/08 12:25]: >>165
RDBで特有のデータ構造のためだけじゃなくて、
トランザクション管理をまかせるためにも使えるんだから
別にいいんでないの？
167 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/05/08 12:29]: >>166
うん、調子いいのかなと
168 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/05/08 15:10]: >>165
OpenLDAP で back-sql 使ってバックエンドに RDBMS 使えるのは、別に最近の
ことじゃないですが…
んで、バックエンドに RDMBS 使うのは帯にも襷にも長すぎるっていうのは確かでせう。
169 名前：名無しさん＠お腹いっぱい。 [03/05/13 21:58]: windows用のクライアントってないの？
170 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/05/13 23:03]: >>169
いっぱいあるよ。スレ違いだから教えないけど。
171 名前：名無しさん＠お腹いっぱい。 [03/05/14 22:08]: LDAPサーバから検索してその結果をcsvに落としたい。
複数回サーバには問い合わせます。
なんかいいプログラム等ないですか？
172 名前：名無しさん＠お腹いっぱい。 [03/05/14 22:14]: >>171
そりくらい自分で書け！
Cが無理ならPHPだ。

あ、ってかシェルスクリプト駆使するだけでもできる罠
173 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/05/14 22:15]: >>171
ldapsearch
174 名前：名無しさん＠お腹いっぱい。 [03/05/14 22:34]: BASE64でデコード＋UTF-8変換も結構めんどい。
既存ではないの？
175 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
176 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/05/14 22:49]: >>174
PHPならコード変換を含めこれくらいでできるよね？

$host="ldapserver";
$port="389";
$dn="dc=hoge,dc=jp";
$filter="*";
$ds=ldap_connect($host,$port);
$r=ldap_bind($ds);
$sr=ldap_search($ds,$dn,$filter);
$entries=ldap_get_entries($ds,$sr);
for ($i=0;$i<$entries["count"];$i++) {
$sn=$entries[$i]["sn"][0];
$givenName=$entries[$i]["givenName"][0];
echo mb_convert_encoding("$sn,$givenName\n","SJIS","UTF-8");
}
ldap_close($ds);
177 名前：172 [03/05/14 23:40]: >>176
$filterは"objectclass=*"とかでない？
178 名前：176 mailto:sage [03/05/15 00:18]: 「これくらい」と書いている通り、そこいらへん適当だよ!
179 名前：177 [03/05/15 00:28]: >>178
>適当
それだと動かないYO（ｗ

でもとりあえず>>174は176のサンプルに感謝するように。
あとはphp.netのサンプルやマニュアルで勉強だな。
180 名前：176 mailto:sage [03/05/15 00:40]: 適当でスマソ!

でも、>>171 位のプログラムなら、このスレッドの中でも適当(wに作れそうじゃ
ん。とりあえず>>171 は自分の欲しい仕様をダラダラ書いたら？

レスに収まらなくなってきたら、どこかのWikiサーバに一時間借りして、ソー
スや仕様書、コメント等を書かせてもらっても良いだろうし。

如何～
181 名前：171 [03/05/15 23:10]: 日本語の姓名をKEYにしてLDAPサーバにKEYごとに問い合わせを行う。
filterはmail=xxx@xxxx.com
この結果をCSVに落とす。
もちろん、EUCもしくはSJISで。
182 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/05/15 23:29]: >>171
おいおい、「filter」の意味わかってる？
もうちょっと LDAP の勉強した方がいいんじゃない？

ところで、最近の国内の LDAP 周辺の事情に疎いんだけど、
LDAP 情報ポータルサイトみたいなんってあるのかな？
>>180 で思ったんだけど、
LDAP 初心者でもとっつきやすそうな Wiki サイトとかあると良いのかな、なんて。
183 名前：171 [03/05/16 22:59]: ホントだ。ないっているだろう。いってきます
184 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
185 名前：名無しさん＠お腹いっぱい。 [03/06/03 20:51]: 最新のOpenLDAPについて勉強出来る日本語サイト、おしえて！
186 名前：名無しさん＠お腹いっぱい。 [03/06/04 22:13]: >185

無い(いやマジで)。

書籍ならば UNIX USER 2002/1 の特集とか先月と今月の Software Design
とか。o'reilly の「LDAP system Administraion」(洋書)を買うとか。
↑ OpenLDAP の事しか書いてないぞ、これ。。。

まだ見てないけど 5/2 に出たばかりの
「Understanding and Deploying LDAP Directory Services 2nd Edition」
に期待大(こいつも洋書だ)。
でも 936 ページもあるらしいので人一人死なすには十分。
187 名前：名無しさん＠お腹いっぱい。 [03/06/07 17:58]: と言う訳で「Understanding and Deploying LDAP Directory Services 2nd Edition」
が届いた。何なの、この辞書のような装いは...。
188 名前：名無しさん＠Ｅｍａｃｓ mailto:sage [03/06/07 18:48]: RDBの概念から実際のソフトウェアの扱いまでを一冊に
納めようとしたら、それぐらいの分量になりそうだけど
そんな感じの本なの？
189 名前：名無しさん＠Ｅｍａｃｓ [03/06/07 22:45]: >188

日本の LDAP ML で和訳が進行していたらしい(そして頓挫？）本の 2nd Edition な
んでそれなりの本じゃないかな。

出版元(ADDISON-WESLEY)の紹介ページで Table of Contents 見てもよー分からん。

www.awprofessional.com/catalog/product.asp?product_id={0A213C17-EE78-4AC2-9D72-812B36E94742}
190 名前：名無しさん＠お腹いっぱい。 [03/06/12 10:27]: ディレクトリに人のエントリを格納し、この人は a, b, c のアプリを利用で
き、この人は b, c, d のアプリが利用できるといった制御をするためにはサー
バ側での実現方法、アプリ側での認証方法はどのようにしたら良いでしょう
か？
191 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/06/12 10:40]: アプリを動かすplatformは?
192 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/06/12 10:53]: scheme/schema
science.2ch.net/test/read.cgi/math/1011949239/
193 名前：名無しさん＠お腹いっぱい。 [03/06/12 11:07]: >191

アプリは Windows, UNIX 上での Perl, PHP, Java, VB 等様々です。

ユーザ認証を行うには uid, password で bind して成功/失敗をチェックすれば
良いのではと考えてます。
その後ユーザが利用出来るアプリを制限するところがピンときません。
194 名前：名無しさん＠お腹いっぱい。 [03/06/12 11:35]: >>193
アプリが全部自作なら、
アプリ自身が実行しているユーザが利用可能であるか、directory情報を見て、
自分で制御すればいいと思います。終了するなど。

自作じゃないなら、local systemのauthorization systemを使って、
実行可能/不可能を制御すればいいです。
グループをdirectoryで管理して、グループに対するアクセス許可を行なう。

Authentication systemとauthorization systemの区別が
はっきりしてないからピンと来ないということはないですか?
LDAPはauthenticationしかやってくれないので、
authorizationは別途実現してやる必要があります。

上の2例の場合、authenticationはログオン/イン時に行なわれます。

アノニマスログオン/インが許可されている環境で、
authenticationも絡めて行ないたい場合は、
(つまりlocal systemのauthenticationを信頼しない場合)
アプリごとにou=アプリ名を作って、
その中にcn=ユーザ名を作成、(パスワードはCoSで共有する)
アプリで認証する時のbaseDNをこのouを指定する、などの方法があります。
cn=ユーザ名があるユーザが利用可能なユーザ。
195 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/06/12 11:39]: ちなみに、
> この人は a, b, c のアプリを利用でき、
> この人は b, c, d のアプリが利用できるといった制御
は、authorization(=アクセス制御)です。
196 名前：名無しさん＠お腹いっぱい。 [03/06/12 13:33]: >194
なんとなく見えてきました。

authorization を行う為の手段は明確には定められていない。
それは各アプリが任意の方法を用いて各自で判断しなさいと。

>アプリごとにou=アプリ名を作って、
>その中にcn=ユーザ名を作成、(パスワードはCoSで共有する)
>アプリで認証する時のbaseDNをこのouを指定する、などの方法があります。

この方法の場合、各アプリで個別に必要になる属性を
ou=アプリ 1, ou=アプリ 2, ou=アプリ 3 に格納し、パスワードのような共通属性は
Cos で ou=人のようなエントリ以下とひも付けすると言う事ですね。

ユーザ A がアプリ 1 を利用しようとした場合、
アプリ 1 は ou=アプリ 1 を baseDN として cn, password で bind してみる。
→ 成功/失敗をチェック！

従ってユーザ A はアプリ1, 2, 3 を、ユーザ B はアプリ 2 を、ユーザ C は
アプリ 2, 3 を利用出来るようにしたいなら

ou=人には ... cn=ユーザ A, cn=ユーザ B, cn=ユーザ C (共通属性を格納)
ou=アプリ 1 には ... cn=ユーザ A (固有の属性を格納)
ou=アプリ 2 には ... cn=ユーザ A, cn=ユーザ B, cn=ユーザ C (固有の属性を格納)
ou=アプリ 3 には ... cn=ユーザ A, cn=ユーザ C (固有の属性を格納)

の各エントリを作ってあげれば authentication & authorization が行なえ
ると言う事でよいでしょうか？
197 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/06/12 15:40]: >>189
鵜飼さんの日記にも出てた。
Understanding and Deploying LDAP Directory Services , Second Edition
198 名前：名無しさん＠お腹いっぱい。 mailto:sage [03/06/12 16:33]: >>196
> authorization を行う為の手段は明確には定められていない。

明確に定められてないどころか関知しません。
LDAPはauthentication serviceとdirectory serviceを提供するだけです。

DITに対するaccessのauthorizationについては、
serverごとに実装されていて、またいろいろな標準提案もありますが。

> (ずばっと省略)

そんな感じでいいんじゃないでしょうか。
もちろんこれはひとつの方法に過ぎませんが。
199 名前：名無しさん＠お腹いっぱい。 [03/06/13 15:35]: 最近 SunONE Directory Server に興味津々なんですが、製品を購入した際に付いてくる
マニュアルは docs.sun.com にあるもの以外何かありますでしょうか？

あれだけではとても利用(運用)は無理と思いまして。。。

Solaris9 に付いてくるのはひょっとしてソフトだけでマニュアル無しとか？

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef