問題タブ [apacheds]

ユーザーとグループの Ldap スキーマを作成しようとしています (ApacheDS を使用していますが、それは問題ではありません)。

現在、私はこのようなものを持っています

問題は、このスキーマを認証/グループ メンバーシップに使用するためにポータルに接続しようとしていることです。

ポータルは、「ユーザー」がメンバーであるグループを「知る」ことを望んでいます (これはおそらくより効率的です)

だから私は次のようなものが必要になるでしょう

しかし、 inetOrgPerson はいかなる種類の memberOf 属性も許可していません....だから私の質問は:

memberof 属性を許可する inetOrgPerson の代わりに、どの種類の Ldap オブジェクト クラスを使用できますか。

LDAPサーバーでStart Tlsを機能させるのに苦労しています。Spring コンテキスト ファイルでキーストアとパスワードを構成しました。私の設定は SSL で機能しているようですが、Star Tls が鳥肌を引き起こしています。LDAP サーバーのラッパーに、StarTlsHandler を ExtendedOperationHandler として追加しました。他にも何か設定する必要がありますか。

JDK 1.6.0_15 を使用しています

キーストアとパスワードは現時点でハードコードされていますが、SSL またはデバッグを使用すると問題ないようです。

JLdap クライアントを使用して実装をテストしています。

Handler 用に追加したコード スニペットを次に示します。ldapServer.setCertificatePassword("シークレット"); ldapServer.addExtendedOperationHandler(新しい StartTlsHandler());

以下では、サーバー側のスタック トレースを確認できます。クライアント トレースはさらに下にあります。

2011-05-10 12:51:29,345 [rThread-4861-21] DEBUG [org.apache.directory.server.ldap.handlers.extended.StartTlsHandler] LDAP サービスの設定 2011-05-10 12:51:29,345 [rThread -4861-21] DEBUG [org.apache.directory.server.ldap.handlers.extended.StartTlsHandler] provider = SUN バージョン 1.6 2011-05-10 12:58:31,029 [rThread-4861-21] エラー [org.apache .directory.server.core.security.CoreKeyStoreSpi] ERR_68 キーの抽出に失敗しました。java.lang.IllegalStateException: ERR_436 プリンシパルに使用される名前は正規化する必要があります! org.apache.directory.server.core.LdapPrincipal.(LdapPrincipal.java:76) で org.apache.directory.server.core.security.CoreKeyStoreSpi.getTlsEntry(CoreKeyStoreSpi.java:84) で org.apache.directory. java.security.KeyStore.getKey(KeyStore.java:

****javax.net.debug=all によるクライアント トレース;****

keyStore は次のとおりです: C:/jdk/cacerts keyStore タイプは次のとおりです: jks keyStore プロバイダは次のとおりです: init keystore init keymanager of type SunX509 trustStore は次のとおりです: C:\jdk\cacerts trustStore タイプは次のとおりです: jks trustStore プロバイダは次のとおりです: init truststore は信頼できる証明書として追加します:件名: CN=SwissSign Platinum CA - G2、O=SwissSign AG、C=CH 発行者: CN=SwissSign Platinum CA - G2、O=SwissSign AG、C=CH アルゴリズム: RSA; シリアル番号: 0x4eb200670c035d4f 2006 年 10 月 25 日水曜日 10:36:00 CEST から 2036 年 10 月 25 日土曜日 10:36:00 CEST まで有効

SecureRandom のシードのトリガー シードの SecureRandom %% キャッシュされたクライアント セッションなし *** ClientHello、TLSv1 RandomCookie: GMT: 1288255192 バイト = { 100, 146, 27, 29, 47, 10, 97, 247, 253, 145, 49, 147 , 239, 157, 90, 4, 34, 15, 99, 243, 191, 156, 251, 25, 64, 42, 210, 231 } Session ID: {} Cipher Suites: [SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA, SSL_RSA_WITH_DES_CBC_SHA, SSL_DHE_RSA_WITH_DES_CBC_SHA, SSL_DHE_DSS_WITH_DES_CBC_SHA, SSL_RSA_EXPORT_WITH_RC4_40_MD5, SSL_RSA_EXPORT_WITH_DES40_CBC_SHA, SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA, SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA] Compression Methods: { 0 }

[書き込み] MD5 および SHA1 ハッシュ: len = 73 0000: 01 00 00 45 03 01 4D C9 37 D8 64 92 1B 1D 2F 0A ...E..M.7.d.../. 0010: 61 F7 FD 91 31 93 EF 9D 5A 04 22 0F 63 F3 BF 9C a...1...Z.".c... 0020: FB 19 40 2A D2 E7 00 00 1E 00 04 00 05 00 2F 00 ..@…………/。0030: 33 00 32 00 0A 00 16 00 13 00 09 00 15 00 12 00 3.2........ 0040: 03 00 08 00 14 00 11 01 00 ....... .. main, WRITE: TLSv1 Handshake, length = 73 [write] MD5 and SHA1 hash: len = 98 0000: 01 03 01 00 39 00 00 00 20 00 00 04 01 00 80 00 ....9... . ...... 0010: 00 05 00 00 2F 00 00 33 00 00 32 00 00 0A 07 00 ..../..3..2..... 0020: C0 00 00 16 00 00 13 00 00 09 06 00 40 00 00 15 ..........@... 0030: 00 00 12 00 00 03 02 00 80 00 00 08 00 00 14 00 ......... ........ 0040: 00 11 4D C9 37 D8 64 92 1B 1D 2F 0A 61 F7 FD 91 ..M.7.d.../.a... 0050: 31 93 EF 9D 5A 04 22 0F 63 F3 BF 9C FB 19 40 2A 1...Z.".c.....@ 0060: D2 E7 .. メイン、書き込み: SSLv2 クライアントの hello メッセージ、長さ = 98 メイン、読み取り: TLSv1 アラート、長さ = 2 メイン、RECV TLSv1 ALERT: 致命的、handshake_failure メイン、closeSocket() と呼ばれるメイン、例外処理: javax. net.ssl.SSLHandshakeException: 致命的なアラートを受信しました: handshake_failure エラー: LDAPException: 安全な接続をネゴシエートできませんでした (91) 接続エラー javax.net.ssl.SSLHandshakeException: 致命的なアラートを受信しました: handshake_failure

現在、SASL メカニズムをテストするために ApacheDS インスタンスをセットアップしようとしています。

ApacheDS で SASL を動作させることができた人はいますか?

ApacheDS 1.5.7 の作業セットアップ手順と、これが実際に機能することの確認を探しています...

私はldapデータベースを持っています。私は inetorgPerson オブジェクト クラスを使用しています。このクラスには userPassword 属性があります。userPassword 値は SHA 暗号です。userPassword 値を取得するために javax.naming.directory パッケージを使用しています。ただし、返される値は SHA パスワード値と同じではありません。どうすれば正しい値を取得できますか? 簡単なコードは次のとおりです。

誰かが、私のデータベース (MySQL) の代わりに ApacheDS を使用することを勧めてくれました。ここで議論を見つけることができます 。最後に私はこのページを手に入れました。

LDAP をネットワーク プロトコルと見なすことは可能ですか (ある場合)、デスクトップ アプリケーションの永続化ソリューションとして ApacheDS のような LDAP サーバーを使用するのは賢明な選択ですか?

LDAP を実行するためにアプリケーション サーバー (Tomcat など) は必要ありませんか? 私を照らしてくれませんか:) thnx

ApacheDSで、ldif形式で提供されているサンプルLDAPデータをここに説明してロードしようとしています。

server.xmlでパーティションのldifファイルを指定することにより、コンテキストレコードをロードするために使用したのと同じパターンに従いました（方向、ここにあるお粗末な方向）。

ので、私は持っています...

LdapBrowserにエントリが表示されているため、sevenSeasRoot.ldifファイルは正しく読み込まれているようです。しかし、その下に記録はありません。

私は何が間違っているのですか？SevenSeasの子レコードをロードするようにserver.xmlを構成するにはどうすればよいですか？

私は ApacheDS の初心者です。ApcheDS で新しいパーティションを作成しました。接続ファクトリを登録しようとすると、上記のエラーが発生します..(OracleAQを使用)

私のコードは;

私のLDIFファイルは次のようになります。

接続パラメータの何が問題になっていますか? 何か助けていただければ幸いです。

ありがとう、

LDAP サーバーから接続ファクトリ オブジェクトを正常に登録して取得しましたが、LDAP サーバーからキューを検索しようとすると、NPE が返されます。私はApacheDSでOracleAQを使用しています..

私のコードは;

キューの LDIF 定義は次のとおりです。

これについての手がかりはありますか？完全なエラー スタックは次のとおりです。

ありがとう、 -ラサ

私は Java で LDAP (ApacheDS) を使用しています。システム アカウントを使用してユーザーになりすますことができるかどうか疑問に思っていました。より具体的には、LDAP ディレクトリにさまざまなグループがあり、ユーザーがグループの下のエントリを変更できるようにする必要がありますが、この特定のユーザーが属するグループのみです。たとえば、次のグループがあるとします。

o=アクメ

そしてそのグループの管理者:

cn=管理者、o=アクメ

システム アカウントの資格情報を使用して管理者ユーザーになりすまし、acme グループの変更のみを許可したいと考えています。

上記は十分に明確ではないため、詳しく説明します。

ユーザー A がログインしたとします。彼は ou=Group A の管理者です。ログイン後しばらくして、LDAP への接続を必要とするアクションを実行した場合、その資格情報をセッションに保存して、接続。それを避け、ユーザーAのパスワードを必要とせずに、システム/他の管理者アカウントを使用してユーザーAになりすます。

前もって感謝します。

LDAP と Java での役割ベースのセキュリティの実装に取り​​組んでいます。具体的には、LDAP で表す必要がある次のオブジェクトがあります。

• ユーザー
• ユーザーの企業グループ - 人事、財務など
• 権限 - DOCUMENT_READ、DOCUMENT_MODIFY など。
• 役割 - ADMIN、GUEST など

ロールは基本的に権限のグループであり、ユーザーまたはユーザーのグループに割り当てることができます。

LDAPでそれらを次のように表すことを考えていました:

• ユーザー - userPassword 属性を持つ Person および uidObject クラス。
• ユーザーのグループ - ユーザーが配置されている organizationUnit クラス。
• ロール - groupOfNames オブジェクト クラス。
• パーミッション - これについてはわかりません。おそらく groupOfNames クラスもそうです。

アイデアは、ユーザーまたはグループから、このユーザーまたはグループが持つ役割のリストにすばやくアクセスできるようにすることです。ユーザーとグループを役割の「メンバー」属性に入れることができることはわかっていますが、すべての役割をスキャンして、このユーザーがリストされている役割を見つける必要があります。Person オブジェクトに「member」属性のようなものを持たせる方法はありますか?

一般に、LDAP での適切な役割ベースのセキュリティ実装を知っている人はいますか? このテーマに関する適切なドキュメントやチュートリアルが見つかりませんでした。現在、ApacheDS を LDAP サーバーとして使用していますが、提案は受け付けています。