問題タブ [adam]

アプリケーションが接続する必要がある ADAM ディレクトリがあります。現在、適切な LDAP 呼び出しを行う代わりに、リポジトリが Sql Server を使用するように抽象化しています。統合ポイントに近づき、代わりに実際の LDAP リポジトリを利用したいと考えています。

問題は、これにより開発シナリオが遅くなることです。「Get Latest -> F5」の経験があり、アプリは「ただ動く」だけです。この統合ポイントを完全に導入すると、それが台無しになり、(完全に) やりたくありません。

はい、すべての VM を ADAM で実行できますが、それには多くのオーバーヘッドがあります。使用できる中央サーバーもありますが、接続が遅いです (3G 接続を介してリモートで作業し、LDAP ルックアップに 5 秒の往復を要します)。

そこで、LDAP プロトコルにフックし、それらの呼び出しをインターセプトして、それらを XML または何らかのデータベースにリダイレクトする方法があるかどうか疑問に思っています。この種のものが利用可能であると聞いたことがありますが (ここで言います!)、.Net の世界では何も見つかりませんでした (これは Java だったと思います)。

したがって、基本的には、同様の問題を解決した人、または LDAP 呼び出しにフックする方法を知っている人を探しています。ありがとう。

これは私の状況です：

現在、Sun の iPlanet でホストされている証明書ストアを、Microsoft の Lightweight Directory Services (新しいバージョンの ADAM with Server 2008) に置き換える作業を進めています。

これらの証明書は、LDS のアプリケーション パーティション (o=myorg、C=AU など) にインポートされています。この構造の下に、約 40,000 の OU があり、各顧客 OU の下の顧客を表す各 OU は、1 つ以上のユーザー (iNetOrg) オブジェクト (全部で約 60,000) です。各ユーザーには、UserCertificate 属性に 1 つ以上の証明書があります。

社内で作成されたアプリケーション コードと独自の PKI コードの組み合わせが、これらの証明書を読み取って公開し、金融取引を検証します。

証明書の LDAP パスは顧客証明書内 (およびアプリケーション コード内) に格納されており、コードを変更する必要がないため、iPlanet ディレクトリ全体を取得して LDS にダンプする必要がありました。同じ構造。

(Microsoft CA を使用またはホストするつもりはありません。これらの証明書をホストするために LDAP 準拠のディレクトリを実装するだけです)

LDS のデータを使用してアプリケーションを完全にテストしましたが、すべて正常に動作します。

取り消された、または有効期限が切れた証明書を削除するためのプロセスが導入されていなかったため、データの大部分は完全に役に立たず、システムは約 8 年間稼働しています。簡単な分析を行ったところ、データの少なくとも 80% はもはや有効ではないと見積もっています。

私はディレクトリを管理する責任を負っているので、クリーンなディレクトリから始めたいと思います。これらの期限切れの証明書をクリーンアップする方法を知っている人はいますか? 私は経験豊富なスクリプターではありませんが、VB のバックグラウンドがあります。私はCAPICOMの使用を研究しており、これが使用できる可能性があると感じていますが、正確にはどのように使用できるかわかりません??

有効期限 (2010 年より前に有効期限が切れた証明書など) を指定して、LDS パーティションに対して実行できるスクリプトを作成することをお勧めします。このようにして、スクリプトを定期的に再利用してディレクトリをクリーンアップできます（上記のように、証明書を作成しているアプリケーションを調整する方法はありません。これはサードパーティによるものです）。

もう 1 つのあまり魅力的ではない代替手段は、LDIF ファイル (270 万行!) をマッサージして、インポートの前に証明書を取り除くことです。

どんな助けやアドバイスも大歓迎です。

乾杯

ジョン

現在、asp.netに組み込まれている内部ビジネスアプリでの認証のためだけにActiveDirectoryMembershipProviderを使用しています。これは魅力のように機能します。

私は現在、ユーザーのカスタムプロファイル情報を処理するためのいくつかの機能を追加しようとしています。理想的にはActiveDirectoryにも保存されています。

簡単な例として、カスタム属性がFavoriteColorであるとしましょう。次に、認証されたユーザーのこのカスタム属性をアプリが読み取れるようにすることが目標になります。

私はADAMを少し調べました。ロールプロバイダーにとっては素晴らしいことのように見えますが、プロファイルプロバイダーにとって、またはFavoriteColorなどのカスタム属性を保存できるかどうかを示すものは実際には見つかりませんでした。多分誰かがもっとよく知っていますか？

私もActiveDirectoryにかなり慣れていないので、カスタムユーザー属性（FavoriteColorなど）をその中に保存するオプションさえあるのでしょうか？

一般的に、私はこれを実装するための最良の方法についてのアイデアを探していますか？

ありがとう！

私はADLDSに非常に慣れておらず、経験はありますがSSASの資格がないため、これらを知らなかったことをお詫びします。

HTTPSプロキシ（msmdpump.dll）を介してSSASを公開する実装がいくつかあり、現在、これを処理する一時的なドメイン設定があります（これにより、エンドユーザーは2番目のアカウントと管理するクレジットを持っています=理想的ではありません） 。WebアプリやSSASなどのすべての認証をADLDSに移行することを考えている、より永続的なソリューションに移行したいと考えています。しかし、SSASは私がこれについて懸念しているところです。

SSASにはWindows認証が必要であり、うまく機能するためには、最終的にActiveDirectoryが関与することを意味します。

完全なADDS実装を使用する代わりに、AD LDSでこれを実行する方法はありますか？もしそうなら、どのように？

ADAMを使用して、開発環境でADサーバーをシミュレートしています。いくつかのキーコードパスをテストするには、数人のユーザーのパスワードを期限切れにする必要があります。

これを行うには、パスワードの有効期限ウィンドウを低く（1日）設定し、パスワードの有効期限が切れるまでその間隔を待ちます。ただし、これは低速であり、パスワードを変更したら、有効期限が切れるまでもう1日待つ必要があります。

誰かがこの問題の簡単な解決策を持っていますか？

ADSIプロバイダーを使用してC＃クライアントからADAMインスタンスにバインドしています。バインドが失敗すると、失敗を示す一般的なエラー状態が返されます。トラフィックのネットワークトレースを見ると、ADAMインスタンス自体が、この認証が失敗した理由を示す拡張エラー情報をクライアントに送り返していることがわかりますが、ADSIプロバイダーはこの拡張情報を破棄し、事実を提供しているようです。バインドが失敗したこと。

たとえば、バインドに失敗すると、常に値8007052Eを含むErrorCode属性を指定してCOMExceptionがスローされます。ネットワークトレースを見ると、LDAPが返送する失敗には複数の理由があり、パスワードの有効期限、アカウントの無効化、パスワードの無効、ユーザーが存在しないなどのエラーが含まれる可能性があります。

ADSIまたはCOMExceptionオブジェクトを使用してこの拡張エラー情報を取得する方法はありますか？そうでない場合、この情報を取得できる誰かが使用した他の.NETプロバイダーはありますか？

複数の WCF サービスを呼び出す Silverlight 4 クライアントがあります。SSL を使用して通信を暗号化し (この部分は既に解決しています)、すべての呼び出しが AD LDS (ADAM) に対して認証されるようにしたいのですが、これを機能させる方法を示す簡単な例はありますか? 非常に多くの WCF オプションに関するドキュメントはたくさんありますが、この特定の (しかし非常に一般的だと思います) シナリオ (SSL 暗号化 + ADAM 認証 + Silverlight) の簡単な動作例を見つけることができませんでした。どんな助けや指針も大歓迎です。

わかりました。AD LDS に対して WCF 呼び出し元を認証するための探求において長い道のりを歩んできました。現在、VS2010 プロジェクト/ASP.NET 構成ツールでも AD LDS ユーザーを作成および編集できるように、ActiveDirectoryMembershipProvider をセットアップしています。安全な接続を使用してそうします（したがって、web.configにユーザー名/パスワードは必要ありません）。これまでのところ非常に良好ですが、実際にユーザーを認証しようとすると、認証失敗メッセージが表示され続けます。これはADが原因であると強く疑っていますLDS は user@domain 形式のユーザー名を想定しています。Active Directory を使用している場合、ドメインは明らかですが、私は AD LDS を使用しているので、このシナリオのドメインは何ですか? 私は本当に、本当に、これが明白なADAMの質問であることを願っています.

C# で DirectoryServices.AccountManagement ライブラリを使用して、PrincipalContext を確立し、そのコンテキストを使用してユーザーを検証しています。

コンテキストを確立しているユーザー名が断続的に破損/リセットされているか、他の何かが原因でコンテキストの確立が失敗しているようです。

ADSIEdit を使用するようにパスワードを手動でリセットした後、通常どおりコンテキストを確立できます。

次のようにコンテキストを確立しています。

PrincipalContext ldsUserContext = new PrincipalContext( ContextType.ApplicationDirectory, "[サーバー名]:389", "CN=USERS,CN=XXX,O=XXX", ContextOptions.SimpleBind, "CN=[ユーザー名],CN=PEOPLE,CN=XXX ,O=XXX", "[パスワード]");

次に、次のように ValidateCredentials を使用します。

context.ValidateCredentials("CN=[ログイン]、CN=USERS、CN=XXX、O=XXX"、[ユーザーパスワード]、ContextOptions.SimpleBind)

現在、約 15 人のユーザーが 1 日に約 5 回ログインしています。問題が発生するまでに数日または数か月かかる場合があります。

何が起こっているのかについてのアイデアはありますか?

ありがとう、

マット

spring-security を使用して、セットアップしたローカル ADAM インスタンスと通信する Java アプリを取得しようとしています。

ADAM を正常にインストールし、次のようにセットアップしました....

• localhost:389 で実行されているインスタンス
• ルートはO=Company
  • OU=Company Users(orgnizationalUnit) という子
    • CN=Mike Q（ユーザー）という孫
    • uid = mikeとpassword = welcome

次に、spring-security (バージョン 3.0.3、spring-framework 3.0.4、および spring-ldap 1.3.0) をセットアップしました。スプリングファイル

そしてTestAuthentication

これを実行すると、次のエラーが表示されます

誰かが私が間違っているところを指摘できれば、私は感謝します。この時点で、入力したユーザー/パスワードを LDAP を使用して認証したいだけで、それ以上に複雑なことはありません。

LDAP の世界に初めて足を踏み入れたので、いくつかの一般的な点にも興味があります。

• LDAP は大文字と小文字を区別しますか?
• スペースを避けるのが最善ですか?
• LDAP クエリでパスワードをクリア テキストで送信しないようにするための一般的なユースケース/ベスト プラクティスは何ですか?