[Seasar-user:11996] Re: 【s2directory】ldapsへの対応+α

Jun Futagawa [E-MAIL ADDRESS DELETED]
2007年 12月 8日 (土) 03:27:07 JST


ふたがわです。

お返事遅くなりました。要望ありがとうございます。

On 2007/12/06 23:49,鈴木 順 wrote:

> ■LDAPSへの対応
> 
> ADの制約でユーザのパスワードの付与はSSL経由でなければできないと言う制約
> があるようです。
> LDAPSの設定を行い、
> http://blogs.sqlpassj.org/mitsugi/archive/2006/07/20/17431.aspx
> を参考にJNDI経由でアカウントを足したら成功しました。
...
> 「独自認証局でのSSL/TLS対応」は未対応とのことですが、
> 実装していただけると幸いです。

[DIRECTORY-11] にて実装してみました。
https://www.seasar.org/issues/browse/DIRECTORY-11

提示していただいた参考ページのものとは違う実装をしたため、
独自認証局利用時であってもそれが良いか悪いかは別として
keytoolによる証明書のインポート手続きは不要です。
OpenLDAPへのSSLとTLS接続は動作しましたが、Active Directoryは
環境が無くて試せていません。

一応下記にSNAPSHOTを置きました。
http://maven.seasar.org/maven2-snapshot/org/seasar/directory/s2-directory/0.6-SNAPSHOT/s2-directory-0.6-20071207.174241-1.jar

もしSSL接続を試されるようでしたら directory.dicon に次のように
sslSocketFactory を足し、url を ldaps:// に変更してください。

<property name="sslSocketFactory">
	"org.seasar.directory.impl.PermissiveSSLSocketFactory"
</property>
<property name="url">
	"ldaps://localhost:636"
</property>

また、directorydao.dicon も変更したため、jar内から自分のプロジェクトに
コピーし直しているようでしたら、再度コピーして必要箇所を修正してください。
http://svn.seasar.org/browse/trunk/s2directory/s2-directory/src/main/resources/directorydao.dicon?revision=123&root=sandbox.s2directory&view=markup

> (こちらでDirectoryDataSourceImplを拡張する事も検討しましたが、
> diconに定義されているものではないので、厳しいと判断しました)

DirectoryDataSourceFactoryを作りたいと思います。

> ■BindDN≠BaseDN
> 
> LDAPへのバインドDNがBaseDN+Userとなっている点を、
> バインドDN自体を別個で定義できるようになると尚嬉しいです。
> なぜかと言いますと、
> Sun Java Directory Serverだと、作成したベースDNに関わらず、
> 管理者のDNが「cn=admin,cn=Administrators,cn=config」になるっぽいです。
> (Sun Java Directory Serverに詳しくないので回避方法があるかもしれませんが)

DirectoryDataSourceFactoryと一緒に対応方法を考えます。

とりあえずの対応方法としては、既に実行されているかもしれませんが、
BaseDN以外のバインドDNが必要な時は、ユーザモード実行を利用する
ようにしてください。
http://s2directory.sandbox.seasar.org/ja/documentation/directorydao.html#usermode

よろしくお願いします。

-- 
ふたがわ


Seasar-user メーリングリストの案内