17 August

Software Design 2010年9月号執筆

Software Design 2010年9月号 に 統合認証に関する記事を書きました。

第1特集
クラウド対策もこれでOK!
統合認証システム構築術
OpenAM/SAML/OpenLDAP/Active Directory


=目次 =

第1章:クラウド時代に対応するための
統合認証&シングルサインオン入門……小田切 耕司

第2章:ID連携&ID統合による
統合認証システム構築ガイド……小田切 耕司

第3章:OpenAM&SAMLを正しく理解する!
シングルサインオンの方式と構築パターン……岩片 靖,野村 健太郎

第4章:OpenAMの導入と初期設定……岩片 靖,野村 健太郎

第5章:Google Appsをさらに使いこなすための
SAMLによるシングルサインオンの設定……岩片 靖,野村 健太郎

第6章:〜多要素認証とその具体例〜
OpenAMの認証方式……岩片 靖,野村 健太郎

結構なページは書いたのですが、もっと情報が欲しい人には 、足りないかもしれません。

2〜3回の連載にできれば良かったのですが...


23:29:43 | sambamaster | | TrackBacks

23 October

ユニコーンIDマネージャー

プレス発表のネタはいくつかあってやらなくちゃなぁ
と思いつつも案件対応や見積もり作成が忙しくてできていませんでした。

しかしながらさすがに今日はセミナーで新製品の話をすることになっているので私の誕生日でもある10/21に発表しました。
(Unicorn IDMと私の誕生日は一緒ということにしよう)

http://www.osstech.co.jp/pr/2009-10-20
http://www.osstech.co.jp/product/unicorn

うちの製品はキメラとかユニコーンとか架空の生き物シリーズです。

プレスが遅れたために新製品といいつつ、すでにいくつも導入事例はあるし、3月に向けて導入予定もいっぱいです。

みなさんもぜひ導入検討ください。



09:25:04 | sambamaster | | TrackBacks

26 January

LDAPとX.500の違い

セミナーでいつも「LDAPはX.500のDAPを軽量化したもの」とか「X.500の90%の機能を10%のコストで実現」などと話しているのですが、先日 某雑誌記者の方からLDAPとX.500の詳細な違いについて聞かれてしまいました。

そこで10年以上も前の資料を本棚の奥から探してきて簡単にまとめました。(前々職でOSF/DCEとかやっていたのでした)

---------------------------------------------------
◎LDAPとX.500の違い

LDAPはX.500のDAPを軽量化したもの
しかし、X.500ではDAP以外にDSP,DOP,DISPといったプロトコルが規定されている。
つまりLDAPにはこの3つのプロトコルが存在しないことになる。

※参考資料:X.500 Active Directoryでは実装されていない機能

・DUA(Directory User Agent):ディレクトリの利用者に代わってディレクトリへアクセスする機能(プログラムやコマンド、ライブラリ)

・DSA(Directory Service Agent):ディレクトリ情報を管理する個々のシステム。ディレクトリはDSAの集合体として構成される。

・DAP(Directory Access Protocol):DSAがDUAに対してディレクトリサービスを提供するためのプロトコル

・DSP(Directory System Protocol):DSA間で分散協調動作(連鎖や紹介)を行うためのプロトコル

・DOP(Directory Operational binding management Protocol):ディレクトリ運用結合管理プロトコル。DSA間の運用結合の規定内容や状態の交換に用いられるプロトコル

・DISP(Directory Information Shadowing Protocol):DSA間で複製情報を交換するためのプロトコル


X.500のDAPはOSI各層の標準プロトコルを使用する。
LDAPはTCP/IPの上に実装されるため、DAPにあるROSE,RTSE,ACSEを実装していない。
(これらの機能はTCP/IPの中で実装されているのでLDAPでは不要)

・ROSE(Remote Operation Service Element):遠隔操作サービス要素、処理の依頼と結果の通知という通信メカニズムを実現するプロトコル要素

・RTSE(Reliable Transfer Service Element):高信頼転送サービス要素、通信経路障害などによって情報の欠落や重複が起きないようにするプロトコル要素

・ACSE(Association Control Service Element):アソシエーション制御サービス要素、コネクションの確立、正常開放、異常解放を行うサービス要素

---------------------------------------------------
11:07:30 | sambamaster | | TrackBacks

17 August

落雷のせいで東海道線止まり帰宅に2時間かかった

日本語版Windows Active Directoryで動作しなかったPWDUMPも武田君があっという間に動かしてくれ、Active DirectoryからSambaへの移行に光が見えてきました。
あとはADのツリーをOpenLDAPに移行する時にLDIFがあると便利なのですが、Windowsの上で簡単にLDIFを取り出せるツールがありません。
Linuxの上ならPerlやldapsearchコマンドで取り出せるのですが、ユーザがLinuxを持っていないケースもあるのでWindows Onlyで取り出せないかなぁと探しています。
Javaで動くLDAP EditorでADを検索してEXPORTすることもできそうなのですが、CN=UsersやGroupsはEXPORTできるものの特殊なツリー部分がEXPORTできず止まってしまいます。
VBスクリプトで必要な属性だけなら取り出すことはできたのですが、LDIFで取り出すためにWindows版OpenLDAP 2.3についているldapsearchコマンドを使ってみました。
ところがLinuxから取り出しても同じなのですが、ADは一度に千件しかLDIFをGETできません。

[Read more of this post]
23:47:11 | sambamaster | | TrackBacks

16 August

Mac OS Xの認証をLinuxのOpenLDAPで

試さなきゃと思って忘れていたのですが、今日必要に迫られて検証しました。
Mac OS X側の設定は簡単なのですが、うまく動きません。
どうやらSASL設定が必要なようだ。
ググってもほとんど資料無く、OpenLDAPのドキュメントを見ながら勘と経験でSASL GSSAPI機構を設定したらうまく認証できました。
こんなめんどくさいKerberos Vの設定はいるのだろうか?と思ったのですが、Googleしても資料がほとんどない。
みなさんはMac OS Xの統合認証どうやってるのかしら?
OS XサーバのOpen Directoryを使ってるのでしょうか?
Mac OS XでLinuxのpam_mkhome_dirみたいなのを使いたいけどどうやっていいものやら...
いろいろまだ調べることがありそうです。

23:43:13 | sambamaster | | TrackBacks