Mais conteúdo relacionado
Semelhante a 開発環境の認証を改善して Redmineを社内標準にした話 (20)
開発環境の認証を改善して Redmineを社内標準にした話
- 3. 蘇田 亮(ソダ リョウ) @ryouma_nagare
札幌に本社があるシステム開発ベンダーの東京事業所に勤務。
Linux歴はFM-TOWNSから始まり20年を越えました。好きなディストリビューションはVineLinux。
サーバ/DB系が得意。オープン系のWebアプリの基盤/設計がメインでしたが、1年ほど前にインフラ系の部
署に強引に異動。運用/監視業務は嫌いですが、基盤を作るのは好きです。
Redmine歴は4年ぐらい。
趣味はポケコン、Palmなどの古いガジェット収集。
自己紹介
- 21. # OpenLDAP User schema
objectclass ( 1.1.2.2.1
NAME 'PartnerObject'
DESC 'Partner Object'
SUP 'inetOrgPerson'
STRUCTURAL
MUST ( sAMAccountName ) )
→sAMAccountNameにuidと同じ値をセットする。
※ADのスキーマ定義もLDAPに登録する必要があります。
解決策:inetOrgPersonスキーマを拡張
DNのフォーマットは
sAMAccountName=[アカウント名],ou=[会社名],ou=partner,dc=YYY,dc=ZZZ,dc=local
- 26. # For Proxy
database ldap
chase-referrals no
suffix "dc=ZZZ,dc=local"
uri ldap://[ADのIP]/
acl-bind bindmethod="simple"
binddn="[AD検索ユーザーのDN]"
credentials="[パスワード] "
idassert-bind bindmethod="simple"
binddn="[AD検索ユーザーのDN]"
credentials="[パスワード]" mode="legacy" flags="non-prescriptive"
ADのドメインがサーチベースの場合、
ADのみを検索する
slapd.conf ー LDAPをプロキシとしてAD検索
- 28. $ ldapsearch -x -h [LDAPのIP] -D "[LDAP検索ユーザーのDN]" -w'[パスワード]'
-b "dc=YYY,dc=ZZZ,dc=local"
"(sAMAccountName=[社員ID])"
"sAMAccountName" "mail"
dn:: Y2496JiH55Sw5LquLG91PU9VX1VzZXJzLGRjPXRhZHMsZGM9bG9jYWw=
sAMAccountName: [社員ID]
mail: [社員のメアド]@ZZZ.co.jp
検索結果あり
LDAPのサブドメインで社員アカウント検索
- 29. $ ldapsearch -x -h [LDAPのIP] -D "[LDAP検索ユーザーのDN]" -w'[パスワード]'
-b "dc=YYY,dc=ZZZ,dc=local"
"(sAMAccountName=[パートナーID])"
"sAMAccountName" "mail"
dn: sAMAccountName=[パートナーID],ou=[会社名],ou=partner,dc=YYY,dc=ZZZ,dc=local
sAMAccountName: [パートナーID]
mail: [パートナーのメアド]@ZZZ.co.jp
LDAPのサブドメインでパートナーアカウント検索
検索結果あり
- 30. $ ldapsearch -x -h [LDAPのIP] -D "[LDAP検索ユーザーのDN]" -w'[パスワード]'
-b "dc=ZZZ,dc=local"
"(sAMAccountName=[社員ID])"
"sAMAccountName" "mail"
dn:: Y2496JiH55Sw5LquLG91PU9VX1VzZXJzLGRjPXRhZHMsZGM9bG9jYWw=
sAMAccountName: [社員ID]
mail: [社員のメアド]@ZZZ.co.jp
ADのドメインで社員アカウント検索
検索結果あり
- 31. $ ldapsearch -x -h [LDAPのIP] -D "[LDAP検索ユーザーのDN]" -w'[パスワード]'
-b "dc=ZZZ,dc=local"
"(sAMAccountName=[パートナーID])"
"sAMAccountName" "mail"
→すべて希望通りの結果
ADのドメインでパートナーアカウント検索
検索結果なし
- 35. subversion - SASL経由でLDAP認証
GitBucket - デフォルトでLDAP対応
Apache - mod_authz_ldapでBASIC認証のデータソースをLDAPに
Let‘s Chat - LDAP対応のOSSチャット
WordPress - LDAPでセルフサインアップを可能に
phpLDAPadmin - 受入部署やパートナー自身の管理用GUI
周辺ツール
→LDAPに対応しないツールは基本的に使わない
ようになった