[Seasar-user:12014] Re: 【s2directory】ldapsへの対応+α

[E-MAIL ADDRESS DELETED] [E-MAIL ADDRESS DELETED]
2007年 12月 10日 (月) 12:58:50 JST 

ふたがわさん

お世話になっております。鈴木です。

早急な対応の方感謝いたします。

SNAPSHOTを取得し使用して報告します。
当方の都合で報告の方が明日になってしまいますが、ご了承ください。
出先なのでSNAPSHOT取得も明日になってしまいますが問題ないでしょうか?

以上

At Sat, 08 Dec 2007 03:27:07 +0900
 Jun Futagawa <[E-MAIL ADDRESS DELETED]> wrote:
>
> ふたがわです。
> 
> お返事遅くなりました。要望ありがとうございます。
> 
> On 2007/12/06 23:49,鈴木 順 wrote:
> 
> > ■LDAPSへの対応
> > 
> > ADの制約でユーザのパスワードの付与はSSL経由でなければできないと言う制約
> > があるようです。
> > LDAPSの設定を行い、
> > http://blogs.sqlpassj.org/mitsugi/archive/2006/07/20/17431.aspx
> > を参考にJNDI経由でアカウントを足したら成功しました。
> ...
> > 「独自認証局でのSSL/TLS対応」は未対応とのことですが、
> > 実装していただけると幸いです。
> 
> [DIRECTORY-11] にて実装してみました。
> https://www.seasar.org/issues/browse/DIRECTORY-11
> 
> 提示していただいた参考ページのものとは違う実装をしたため、
> 独自認証局利用時であってもそれが良いか悪いかは別として
> keytoolによる証明書のインポート手続きは不要です。
> OpenLDAPへのSSLとTLS接続は動作しましたが、Active Directoryは
> 環境が無くて試せていません。
> 
> 一応下記にSNAPSHOTを置きました。
> http://maven.seasar.org/maven2-snapshot/org/seasar/directory/s2-directory/0.6-SNAPSHOT/s2-directory-0.6-20071207.174241-1.jar
> 
> もしSSL接続を試されるようでしたら directory.dicon に次のように
> sslSocketFactory を足し、url を ldaps:// に変更してください。
> 
> <property name="sslSocketFactory">
> 	"org.seasar.directory.impl.PermissiveSSLSocketFactory"
> </property>
> <property name="url">
> 	"ldaps://localhost:636"
> </property>
> 
> また、directorydao.dicon も変更したため、jar内から自分のプロジェクトに
> コピーし直しているようでしたら、再度コピーして必要箇所を修正してください。
> http://svn.seasar.org/browse/trunk/s2directory/s2-directory/src/main/resources/directorydao.dicon?revision=123&root=sandbox.s2directory&view=markup
> 
> > (こちらでDirectoryDataSourceImplを拡張する事も検討しましたが、
> > diconに定義されているものではないので、厳しいと判断しました)
> 
> DirectoryDataSourceFactoryを作りたいと思います。
> 
> > ■BindDN≠BaseDN
> > 
> > LDAPへのバインドDNがBaseDN+Userとなっている点を、
> > バインドDN自体を別個で定義できるようになると尚嬉しいです。
> > なぜかと言いますと、
> > Sun Java Directory Serverだと、作成したベースDNに関わらず、
> > 管理者のDNが「cn=admin,cn=Administrators,cn=config」になるっぽいです。
> > (Sun Java Directory Serverに詳しくないので回避方法があるかもしれませんが)
> 
> DirectoryDataSourceFactoryと一緒に対応方法を考えます。
> 
> とりあえずの対応方法としては、既に実行されているかもしれませんが、
> BaseDN以外のバインドDNが必要な時は、ユーザモード実行を利用する
> ようにしてください。
> http://s2directory.sandbox.seasar.org/ja/documentation/directorydao.html#usermode
> 
> よろしくお願いします。
> 
> -- 
> ふたがわ
> _______________________________________________
> Seasar-user mailing list
> [E-MAIL ADDRESS DELETED]
> https://ml.seasar.org/mailman/listinfo/seasar-user
>

Seasar-user メーリングリストの案内