[Seasar-user:13162] Re: tomcat 上で s2directory の利用

Ryuusei Murakami [E-MAIL ADDRESS DELETED]
2008年 3月 6日 (木) 11:18:29 JST


むらかみです。
回答ありがとうございます。

Jun Futagawa さんは書きました:
> On 2008/03/05 13:55,Ryuusei Murakami wrote:
>> Web経由でのLDAP認証を行うべく s2directory 0.6 を利用して
>> ApacheDS 1.0.2(ldaps) へ接続しようとしているのですが、
>> org.seasar.directory.impl.PermissiveSSLSocketFactory
>> を利用しても SSL 接続できないでいます。
>> # non-SSL なら問題なく接続できます

> 1. ApacheDSは、Tomcatとは別にスタンドアローンで起動させていますでしょうか、
>  それとも、WEBアプリデプロイ時に一緒にアプリケーションとしてデプロイ&起動して
>  おりますでしょうか?
>  後者の場合、ApacheDSのためのkeystore設定に注意してください。

前者ですね。 別プロセスで動いています。

> 2. 接続に失敗した時の directory.dicon の以下の箇所を教えてください
> 
>   <property name="sslSocketFactory">
>     "org.seasar.directory.impl.PermissiveSSLSocketFactory"
>   </property>
>   <property name="enableTLS">false</property>
>   <property name="url">
>     "ldaps://localhost:636"
>   </property>

---
  <property name="sslSocketFactory">
    "org.seasar.directory.impl.PermissiveSSLSocketFactory"
  </property>
  <property name="enableTLS">false</property>

  <property name="url">
    "ldaps://localhost:636"
  </property>
  <property name="baseDn">""</property>
  <property name="user">"uid=admin,ou=system"</property>
  <property name="password">"xxx"</property>
  <property name="passwordAlgorithm">"PLAIN"</property>
---

です。 localhost を IPアドレスで記述しても同様にエラーでした。

> 上記の設定例を使用して、Tomcatにデプロイしたアプリケーションから
> OpenLDAPサーバへldapsによる接続は動作しています。

あらっ

>> apacheDS 側のログを見ると handshake 途中でこけているようにも
>> 見えるのですが...

> 明記していただいたログと似たようなエラーログが下記にありました。
> https://issues.apache.org/jira/browse/GERONIMO-3812
> この例では、keystoreの設定ミスだったようです。
> 
> # PermissiveSSLSocketFactoryを使用している場合、
> # S2Directory側ではkeystoreを設定する必要は通常ありません。

ですよね...
ApacheDS の設定かとも思ったのですが、tomcat 無しの s2directory 及び、
JNDI だと ssl 接続ができるのでそれも違うかなと思い質問させてもらったので
すが、tomcat の設定とかの可能性もあるのかなと思うようにもなってきま
した。

他に可能性がある点ありますでしょうか ?

--- apacheDS の server.xml 抜粋
<property name="enableLdaps" value="true" />
<property name="ldapsPort" value="636" />
<property name="ldapsCertificateFile" value="C:\path\to\key\file.ks" />
<property name="ldapsCertificatePassword" value="xxx" />
---



-- 
% Ryuusei Murakami / [E-MAIL ADDRESS DELETED]
% http://www.scientia.co.jp/



Seasar-user メーリングリストの案内