| Interstage Application Server シングル・サインオン運用ガイド |
|
目次
索引
|
| 第2章 環境構築(SSO管理者編) | > 2.3 リポジトリサーバの構築 | > 2.3.2 SSOリポジトリへのユーザ情報、ロール定義の登録 |
Interstage シングル・サインオンが提供するサンプルのLDIFファイルを例に、ユーザ情報、およびロール定義の登録方法について説明します。LDIFファイルを使用してエントリを登録する手順を以下に示します。LDIFファイルを使用しての登録はldapmodifyコマンドを実行することにより行います。
LDIFファイルの詳細については、“Smart Repository運用ガイド”を参照してください。また、ldapmodifyコマンドの詳細については、“リファレンスマニュアル(コマンド編)”の“Smart Repository運用コマンド”を参照してください。
なお、LDIFファイルを使用して、情報の削除、および更新も行うことができます。情報の削除、および更新方法については、“Smart Repository運用ガイド”を参照してください。
LDIFファイルに、SSOリポジトリに登録するロール定義、およびユーザ情報を設定します。サンプルのLDIFファイルに設定されているロール定義、およびユーザ情報を参考に、必要に応じて修正してください。
ロール定義、およびユーザ情報のエントリ属性については、“ロール定義のエントリ”、および“ユーザ情報のエントリ”を参照してください。
なお、LDIFファイルの作成時は、以下の点に注意してください。
SSOリポジトリ作成時に、[公開ディレクトリ]の初期値を変更した場合は、サンプルのLDIFファイルの太字部分を[公開ディレクトリ]に設定したディレクトリに変更してください。
また、[デフォルトツリーの作成]で“作成しない”を選択した場合には、サンプルのLDIFファイルの先頭に以下の設定例を追加してください。
以下のエントリを登録する設定例です。
公開ディレクトリ ou=interstage,o=fujitsu,dc=com
アクセス制御情報の登録先 ou=SSO ACI,ou=interstage,o=fujitsu,dc=com
ロール定義の登録先 ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com
保護リソースの登録先 ou=Resource,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com
ユーザ情報の登録先 ou=User,ou=interstage,o=fujitsu,dc=com
なお、登録先を変更した場合は、サンプルのLDIFファイルに設定されている登録先も合わせて変更してください。
dn: ou=SSO ACI,ou=interstage,o=fujitsu,dc=com objectClass: organizationalUnit objectClass: top ou: SSO ACI dn: ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com objectClass: organizationalUnit objectClass: top ou: Role dn: ou=Resource,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com objectClass: organizationalUnit objectClass: top ou: Resource dn: ou=User,ou=interstage,o=fujitsu,dc=com objectClass: organizationalUnit objectClass: top ou: User |
サンプルLDIFファイルのファイル名と格納先を以下に示します。
# # # Interstage Single Sign-on # # Repository(Directory) Entry sample LDIF # # #****************************************************** # # Role definition # #****************************************************** # Entry: Role: Admin dn: cn=Admin,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com <- ロール名“Admin”の登録先 objectClass: ssoRole <- 必須オブジェクトクラス objectClass: top <- 必須オブジェクトクラス cn: Admin <- ロール名 # Entry: Role: Leader dn: cn=Leader,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com <- ロール名“Leader”の登録先 objectClass: ssoRole <- 必須オブジェクトクラス objectClass: top <- 必須オブジェクトクラス cn: Leader <- ロール名 # Entry: Role: General dn: cn=General,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com <- ロール名“General”の登録先 objectClass: ssoRole <- 必須オブジェクトクラス objectClass: top <- 必須オブジェクトクラス cn: General <- ロール名 # Entry: RoleSet: AdminSet dn: cn=AdminSet,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com <- ロールセット名“AdminSet”の登録先 ssoRoleName: Admin <- ロールセットに設定するロール objectClass: ssoRoleSet <- 必須オブジェクトクラス objectClass: top <- 必須オブジェクトクラス cn: AdminSet <- ロールセット名 # Entry: RoleSet: LeaderSet dn: cn=LeaderSet,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com <- ロールセット名“LeaderSet”の登録先 ssoRoleName: AdminSet <- ロールセットに設定するロールセット ssoRoleName: Leader <- ロールセットに設定するロール objectClass: ssoRoleSet <- 必須オブジェクトクラス objectClass: top <- 必須オブジェクトクラス cn: LeaderSet <- ロールセット名 # Entry: RoleSet: GeneralSet dn: cn=GeneralSet,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com <- ロールセット名“GeneralSet”の登録先 ssoRoleName: LeaderSet <- ロールセットに設定するロールセット ssoRoleName: General <- ロールセットに設定するロール objectClass: ssoRoleSet <- 必須オブジェクトクラス objectClass: top <- 必須オブジェクトクラス cn: GeneralSet <- ロールセット名 #****************************************************** # # User definition # #****************************************************** # Entry: User: tarou dn: cn=Fujitsu Tarou,ou=User,ou=interstage,o=fujitsu,dc=com <- 利用者“Fujitsu Tarou”の登録先 objectClass: top <- 必須オブジェクトクラス objectClass: person <- 必須オブジェクトクラス objectClass: organizationalPerson <- 必須オブジェクトクラス objectClass: inetOrgPerson <- 必須オブジェクトクラス objectClass: ssoUser <- 必須オブジェクトクラス uid: tarou <- パスワード認証時のユーザID userPassword: tarou <- パスワード認証時のパスワード mail: tarou@jp.fujitsu.com <- メールアドレス employeeNumber: 100001 <- 従業員番号 ssoRoleName: Admin <- ロール名 ssoAuthType: basicAuthOrCertAuth <- 認証方式 ssoCredentialTTL: 60 <- 再認証までの間隔 ssoNotBefore: 20010101090000+0900 <- 利用開始時間 sn: Fujitsu <- 姓 cn: Fujitsu Tarou <- 姓名 # Entry: User: hanako dn: cn=Fujitsu Hanako,ou=User,ou=interstage,o=fujitsu,dc=com <- 利用者“Fujitsu hanako”の登録先 objectClass: top <- 必須オブジェクトクラス objectClass: person <- 必須オブジェクトクラス objectClass: organizationalPerson <- 必須オブジェクトクラス objectClass: inetOrgPerson <- 必須オブジェクトクラス objectClass: ssoUser <- 必須オブジェクトクラス uid: hanako <- パスワード認証時のユーザID userPassword: hanako <- パスワード認証時のパスワード mail: hanako@jp.fujitsu.com <- メールアドレス employeeNumber: 100002 <- 従業員番号 ssoRoleName: Admin <- ロール名 ssoAuthType: basicAuthOrCertAuth <- 認証方式 ssoCredentialTTL: 60 <- 再認証までの間隔 ssoNotBefore: 20010101090000+0900 <- 利用開始時間 sn: Fujitsu <- 姓 cn: Fujitsu Hanako <- 姓名 # Entry: User: jirou dn: cn=Fujitsu Jirou,ou=User,ou=interstage,o=fujitsu,dc=com <- 利用者“Fujitsu jirou”の登録先 objectClass: top <- 必須オブジェクトクラス objectClass: person <- 必須オブジェクトクラス objectClass: organizationalPerson <- 必須オブジェクトクラス objectClass: inetOrgPerson <- 必須オブジェクトクラス objectClass: ssoUser <- 必須オブジェクトクラス uid: jirou <- パスワード認証時のユーザID userPassword: jirou <- パスワード認証時のパスワード mail: jirou@jp.fujitsu.com <- メールアドレス employeeNumber: 100003 <- 従業員番号 ssoRoleName: Leader <- ロール名 ssoAuthType: basicAuth <- 認証方式 ssoCredentialTTL: 60 <- 再認証までの間隔 ssoNotBefore: 20010101090000+0900 <- 利用開始時間 sn: Fujitsu <- 姓 cn: Fujitsu Jirou <- 姓名 # Entry: User: junko dn: cn=Fujitsu Junko,ou=User,ou=interstage,o=fujitsu,dc=com <- 利用者“Fujitsu junko”の登録先 objectClass: top <- 必須オブジェクトクラス objectClass: person <- 必須オブジェクトクラス objectClass: organizationalPerson <- 必須オブジェクトクラス objectClass: inetOrgPerson <- 必須オブジェクトクラス objectClass: ssoUser <- 必須オブジェクトクラス uid: junko <- パスワード認証時のユーザID userPassword: junko <- パスワード認証時のパスワード mail: junko@jp.fujitsu.com <- メールアドレス employeeNumber: 100004 <- 従業員番号 ssoRoleName: Leader <- ロール名 ssoAuthType: basicAuth <- 認証方式 ssoCredentialTTL: 60 <- 再認証までの間隔 ssoNotBefore: 20010101090000+0900 <- 利用開始時間 sn: Fujitsu <- 姓 cn: Fujitsu Junko <- 姓名 # Entry: User: saburou dn: cn=Fujitsu Saburou,ou=User,ou=interstage,o=fujitsu,dc=com <- 利用者“Fujitsu saburou”の登録先 objectClass: top <- 必須オブジェクトクラス objectClass: person <- 必須オブジェクトクラス objectClass: organizationalPerson <- 必須オブジェクトクラス objectClass: inetOrgPerson <- 必須オブジェクトクラス objectClass: ssoUser <- 必須オブジェクトクラス uid: saburou <- パスワード認証時のユーザID userPassword: saburou <- パスワード認証時のパスワード mail: saburou@jp.fujitsu.com <- メールアドレス employeeNumber: 100005 <- 従業員番号 ssoRoleName: General <- ロール名 ssoAuthType: basicAuthAndCertAuth <- 認証方式 ssoCredentialTTL: 60 <- 再認証までの間隔 ssoNotBefore: 20020101090000+0900 <- 利用開始時間 sn: Fujitsu <- 姓 cn: Fujitsu Saburou <- 姓名 # Entry: User: kyouko dn: cn=Fujitsu Kyouko,ou=User,ou=interstage,o=fujitsu,dc=com <- 利用者“Fujitsu Kyouko”の登録先 objectClass: top <- 必須オブジェクトクラス objectClass: person <- 必須オブジェクトクラス objectClass: organizationalPerson <- 必須オブジェクトクラス objectClass: inetOrgPerson <- 必須オブジェクトクラス objectClass: ssoUser <- 必須オブジェクトクラス uid: kyouko <- パスワード認証時のユーザID userPassword: kyouko <- パスワード認証時のパスワード mail: kyouko@jp.fujitsu.com <- メールアドレス employeeNumber: 100006 <- 従業員番号 ssoRoleName: General <- ロール名 ssoAuthType: CertAuth <- 認証方式 ssoCredentialTTL: 60 <- 再認証までの間隔 ssoNotBefore: 20020101090000+0900 <- 利用開始時間 ssoNotAfter: 20021201085959+0900 <- 利用終了時間 sn: Fujitsu <- 姓 cn: Fujitsu Kyouko <- 姓名 |
作成したLDIFファイルを指定してldapmodifyコマンドを実行し、SSOリポジトリにユーザ情報、ロール定義を登録します。
ldapmodifyコマンド実行後は、エントリ情報の取り出しなどを行い、ユーザ情報、ロール定義が正しく登録されているか確認してください。エントリの操作方法については “Smart Repository運用ガイド”の“エントリの管理”を参照してください。
管理者用DN、およびBindパスワードには、Interstage管理コンソールを使用して、[システム] > [サービス] > [リポジトリ]からSSOリポジトリを作成した時に設定した管理者用DN、および管理者用DNのパスワードを指定してください。以下の例では、SSOリポジトリのポート番号に389、管理者用DNに“cn=manager,ou=interstage,o=fujitsu,dc=com”を指定して、SSOリポジトリを作成したリポジトリサーバで行っています。
LDIFファイル C:\Interstage\F3FMsso\ssoatcsv\sample\ldif\sample.ldif
ロール定義登録先 ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com
ユーザ情報登録先 ou=User,ou=interstage,o=fujitsu,dc=com
管理者用DN cn=manager,ou=interstage,o=fujitsu,dc=com
Bindパスワードの入力を促されたら、管理者用DNのパスワードを入力してください。入力したパスワードは表示されません。
|
C:\> C:\Interstage\ID\Dir\sdk\C\bin\ldapmodify -p 389 -D "cn=manager,ou=interstage,o=fujitsu,dc=com" -W -a -f C:\Interstage\F3FMsso\ssoatcsv\sample\ldif\sample.ldif adding new entry cn=Leader,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com adding new entry cn=General,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com adding new entry cn=AdminSet,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com adding new entry cn=LeaderSet,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com adding new entry cn=GeneralSet,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com adding new entry cn=Fujitsu Tarou,ou=User,ou=interstage,o=fujitsu,dc=com adding new entry cn=Fujitsu Hanako,ou=User,ou=interstage,o=fujitsu,dc=com adding new entry cn=Fujitsu Jirou,ou=User,ou=interstage,o=fujitsu,dc=com adding new entry cn=Fujitsu Junko,ou=User,ou=interstage,o=fujitsu,dc=com adding new entry cn=Fujitsu Saburou,ou=User,ou=interstage,o=fujitsu,dc=com adding new entry cn=Fujitsu Kyouko,ou=User,ou=interstage,o=fujitsu,dc=com C:\> |
管理者用DN、およびBindパスワードには、Interstage管理コンソールを使用して、[システム] > [サービス] > [リポジトリ]からSSOリポジトリを作成した時に設定した管理者用DN、および管理者用DNのパスワードを指定してください。以下の例では、SSOリポジトリのポート番号に389、管理者用DNに“cn=manager,ou=interstage,o=fujitsu,dc=com”を指定して、SSOリポジトリを作成したリポジトリサーバで行っています
LDIFファイル /opt/FJSVssosv/sample/ldif/sample.ldif
ロール定義登録先 ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com
ユーザ情報登録先 ou=User,ou=interstage,o=fujitsu,dc=com
管理者用DN cn=manager,ou=interstage,o=fujitsu,dc=com
Bindパスワードの入力を促されたら、管理者用DNのパスワードを入力してください。入力したパスワードは表示されません。
|
# /opt/FJSVidsdk/C/bin/ldapmodify -p 389 -D "cn=manager,ou=interstage,o=fujitsu,dc=com" -W -a -f /opt/FJSVssosv/sample/ldif/sample.ldif adding new entry cn=Leader,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com adding new entry cn=General,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com adding new entry cn=AdminSet,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com adding new entry cn=LeaderSet,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com adding new entry cn=GeneralSet,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com adding new entry cn=Fujitsu Tarou,ou=User,ou=interstage,o=fujitsu,dc=com adding new entry cn=Fujitsu Hanako,ou=User,ou=interstage,o=fujitsu,dc=com adding new entry cn=Fujitsu Jirou,ou=User,ou=interstage,o=fujitsu,dc=com adding new entry cn=Fujitsu Junko,ou=User,ou=interstage,o=fujitsu,dc=com adding new entry cn=Fujitsu Saburou,ou=User,ou=interstage,o=fujitsu,dc=com adding new entry cn=Fujitsu Kyouko,ou=User,ou=interstage,o=fujitsu,dc=com # |
管理者用DNのパスワードについては、パスワードアタックへの対策を考慮し、取り扱いには十分注意してください。
パスワードアタックへの対策については、“セキュリティシステム運用ガイド”の“セキュリティ侵害の脅威”−“Interstage シングル・サインオン”−“セキュリティ対策”を参照してください。
|
目次
索引
|