[Seasar-user:13162] Re: tomcat 上で s2directory の利用
Ryuusei Murakami
[E-MAIL ADDRESS DELETED]
2008年 3月 6日 (木) 11:18:29 JST
むらかみです。
回答ありがとうございます。
Jun Futagawa さんは書きました:
> On 2008/03/05 13:55,Ryuusei Murakami wrote:
>> Web経由でのLDAP認証を行うべく s2directory 0.6 を利用して
>> ApacheDS 1.0.2(ldaps) へ接続しようとしているのですが、
>> org.seasar.directory.impl.PermissiveSSLSocketFactory
>> を利用しても SSL 接続できないでいます。
>> # non-SSL なら問題なく接続できます
> 1. ApacheDSは、Tomcatとは別にスタンドアローンで起動させていますでしょうか、
> それとも、WEBアプリデプロイ時に一緒にアプリケーションとしてデプロイ&起動して
> おりますでしょうか?
> 後者の場合、ApacheDSのためのkeystore設定に注意してください。
前者ですね。 別プロセスで動いています。
> 2. 接続に失敗した時の directory.dicon の以下の箇所を教えてください
>
> <property name="sslSocketFactory">
> "org.seasar.directory.impl.PermissiveSSLSocketFactory"
> </property>
> <property name="enableTLS">false</property>
> <property name="url">
> "ldaps://localhost:636"
> </property>
---
<property name="sslSocketFactory">
"org.seasar.directory.impl.PermissiveSSLSocketFactory"
</property>
<property name="enableTLS">false</property>
<property name="url">
"ldaps://localhost:636"
</property>
<property name="baseDn">""</property>
<property name="user">"uid=admin,ou=system"</property>
<property name="password">"xxx"</property>
<property name="passwordAlgorithm">"PLAIN"</property>
---
です。 localhost を IPアドレスで記述しても同様にエラーでした。
> 上記の設定例を使用して、Tomcatにデプロイしたアプリケーションから
> OpenLDAPサーバへldapsによる接続は動作しています。
あらっ
>> apacheDS 側のログを見ると handshake 途中でこけているようにも
>> 見えるのですが...
> 明記していただいたログと似たようなエラーログが下記にありました。
> https://issues.apache.org/jira/browse/GERONIMO-3812
> この例では、keystoreの設定ミスだったようです。
>
> # PermissiveSSLSocketFactoryを使用している場合、
> # S2Directory側ではkeystoreを設定する必要は通常ありません。
ですよね...
ApacheDS の設定かとも思ったのですが、tomcat 無しの s2directory 及び、
JNDI だと ssl 接続ができるのでそれも違うかなと思い質問させてもらったので
すが、tomcat の設定とかの可能性もあるのかなと思うようにもなってきま
した。
他に可能性がある点ありますでしょうか ?
--- apacheDS の server.xml 抜粋
<property name="enableLdaps" value="true" />
<property name="ldapsPort" value="636" />
<property name="ldapsCertificateFile" value="C:\path\to\key\file.ks" />
<property name="ldapsCertificatePassword" value="xxx" />
---
--
% Ryuusei Murakami / [E-MAIL ADDRESS DELETED]
% http://www.scientia.co.jp/
Seasar-user メーリングリストの案内