• ベストアンサー

LDAP認証について ADとの違いは???

よくパッケージソフトでLDAP認証対応と書いたものがあると思いますが、その辺の知識をお持ちの方ご教示いただけませんでしょうか? 上記のLDAP認証はActiveDirectoryを認証の基盤として利用できるという認識で良いものなのでしょうか? ActiveDirectoryユーザーでWindowsクライアントにログインさえすれば利用するパッケージソフトでのログインを不要としたいのです。 それか何か別のものを用意しなくてはならないのでしょうか? あまり費用はかけれないのですが詳しい方よろしくお願い致します。

  • mr-r00
  • お礼率93% (480/516)

質問者が選んだベストアンサー

  • ベストアンサー
  • maesen
  • ベストアンサー率81% (646/790)
回答No.1

>上記のLDAP認証はActiveDirectoryを認証の基盤として利用できるという認識で良いものなのでしょうか? >ActiveDirectoryユーザーでWindowsクライアントにログインさえすれば利用するパッケージソフトでのログインを不要としたいのです。 シングルサインオンとかシームレスとかいうことを実現したいということですね。 これはパッケージソフトに依存することになるので、LDAP対応と書いてあるから必ず利用できるとは限らないです。 ソフト毎個別に対応しているか確認する必要があるでしょう。 Active Directoryは、言うなればLDAPなどの標準的な技術を統合してマイクロソフトが独自のアレンジを加えたというイメージになると思います。 この辺が参考になるでしょう。 http://ascii.jp/elem/000/000/499/499149/ LDAPは標準プロトコルなので、LDAPに対応しているとなっていれば利用可能な場合が多いと思いますが保証されているわけではないということです。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. その他(ITシステム運用・管理)

関連するQ&A

  • LDAPのユーザー認証について

    本やいろんなサイトを回ったんですが いまいち理解できてないので質問します。 RedHatLinux9をインストールした LDAPサーバー(S)とLDAPクライアント(C)と2台あります。 LDAPクライアント(C)の認証をLDAPサーバー(S)側で行おうと思っているんですが、ここがよく理解できてません。 LDAPクライアント(C)にログインする時に、LDAPサーバー(S)でしか設定していないユーザーだと、入れないですよね?まずホームディレクトリが存在しませんし。かといってホームディレクトリ作っても、LDAPクライアント側にはそのユーザーはいないのでchownでオーナーの指定ができませんよね? となるとやはりサーバー&クライアント両方に同じユーザーを作る必要があるんでしょうか? あたりまえ過ぎる質問かもしれませんが わからないんです。よろしくお願いします

  • LDAP認証について

    お世話になっております。 この質問がこのカテゴリであっているか自身がありませんが、実行プログラムがASPなため、このカテゴリに質問させて頂きます。 LDAP認証をする場合、OUがない、ActiveDirectoryは、OUに何を指定すればいいのでしょうか?「Users」でいいのでしょうか? 以下プログラム strLdapPath="LDAP://xxx.xxx.xxx.xxx/CN=123,OU=???,DC=xxx,DC=xxx" strUserID="123" strPassword="****" Set obj = objLdap.OpenDSObject(strLdapPath, strUserID, strPassword, 0) よろしくお願い致します。

  • 認証サーバー(LDAP)について

    認証サーバー(LDAP)について 初歩的な質問をさせてください。 現在は、アクティブディレクトリーで、各システムへの認証をしております。 そこでLDAP認証に変えてライセンス費用を抑えようと考えております。 そこで質問なのですが、LDAP認証というのは、システム毎に、ログインを制御できるのでしょうか? (例) 営業部の山田、総務課の鈴木がいて、 ・Aシステムは、営業部の山田はログイン可能だが、総務課の鈴木は不可 ・Bシステムは、総務課の鈴木はログイン可能だが、営業部の山田は不可 こういう場合は、そもそもLDAPに情報を登録する時点でAシステムへのログインは営業部、 Bシステムへのログインは総務課というように、システム毎に分けることは可能なのでしょうか? 質問の内容そもそもが意味が通じるか不安ですが、不明な部分は補足説明でさせていただきます。 どうぞよろしくお願いします。

  • SSHをLDAPで認証

    SSHをLDAPを使って認証させたいのですが、上手くいきません・・・ /etc/passwdに登録してあるユーザはログイン可能なのですが、LDAPに登録してあるユーザではログインできません。以下、ログイン不能時のログです。 ※LDAPのログには、何も記述されていないので、そもそもSSHからLDAPサーバにアクセスできていないように思うのです。しかしながら、どうして良いか全く分からないため、皆様の知恵をお借りしたく。 --------log--------- Illegal user test from 127.0.0.1 May 11 10:13:07 Proxy sshd[23596]: PAM unable to dlopen(/lib/security/pam_ldap.so) May 11 10:13:07 Proxy sshd[23596]: PAM [dlerror: /lib/security/pam_ldap.so: undefined symbol: ber_pvt_opt_on] May 11 10:13:07 Proxy sshd[23596]: PAM adding faulty module: /lib/security/pam_ldap.so May 11 10:13:36 Proxy sshd[23596]: Failed password for illegal user test from 127.0.0.1 port 35168 ssh2 --------------------- /etc/pam.d/sshdに関しては、pam_ldapのソース内にあったものをそのまま流用しています。 ■基本情報 OS:Redhat 2.4.21-4.EL openldap-2.3.21 pam_ldap-182 nss_ldap-250 LDAPクライアント、サーバとも同一サーバ。

  • DirectoryEntryでのLDAP認証

    下記環境で、LDAP認証アプリを作成しております。 LDAPサーバ:Windows 2003R2サーバ クライアント:Windows 7 Pro VB.net 2010 Pro Apache Directory Studio(以降、ADS) を使用し、LDAPサーバに、添付した資料のように uid を追加。 LDAP認証した際に、登録したuidにも関わらず、 「ログオン失敗: ユーザー名を認識できないか、またはパスワードが間違っています。」 となってしまい困っております。 VB.netのソースを下記に記載します。 -------------------- Try drEntry = New DirectoryEntry("LDAP://(LDAPサーバ名):389/uid=hoge,ou=People,dc=maxcrc,dc=com", "ou=People,dc=maxcrc,dc=com","hogepassword", AuthenticationTypes.FastBind) Dim drSearch As New DirectorySearcher() drSearch.ServerTimeLimit = New System.TimeSpan(0, 0, 1000) drSearch.ClientTimeout = New System.TimeSpan(0, 0, 1000) drSearch.SearchRoot = drEntry drSearch.SearchScope = SearchScope.Subtree sResult = drSearch.FindOne MsgBox("ログイン成功") Catch ex As Exception MsgBox("ログイン失敗") End Try ---------------------- drEntry = New DirectoryEntry("LDAP://(LDAPサーバ名):389/uid=hoge,ou=People,dc=maxcrc,dc=com", "cn=manager,dc=maxcrc,dc=com","hogepassword", AuthenticationTypes.FastBind) ou=Peopleを、LDAPサーバー構築時に管理者で作成した cn=manager と変更すると、 ログインできるのですが。。。 DirectoryEntryへの接続文字列の指定の仕方が間違っているのか?はたまた?うーん。。。 そもそもLDAPへの理解がまだ全然足りていない部分もあり、時間も押し迫っていることから 質問させていただくこととなりました。 ADSでみたLDAPの構成と、VBのソースで何か気づかれた点、アドバイス等ありましたら ご指摘のほど、よろしくお願いいたします。

  • LDAP認証によるPfoftpdについて

    Solaris10で、OpenLDAPとProftpdとSun付属のLDAPクライアントで構成された環境で、Windowsから、FFFTPを使ってLDAP認証でログインさせようとしているんですが、うまく行きません。また、Proftpdをinetから起動させているんですが、再起動すると状態がメンテナンスの状態で、オンラインになりません。 Windowsから、SSHを使ってLDAPユーザでログインはできます。教えていたら幸いです。よろしくお願いします。 Proftpd.conf AuthPAM off LDAPServer "192.168.24.52" LDAPAuthBinds on LDAPDNInfo dc=solaristest,dc=com LDAPDoAuth on "ou=People,dc=solaristest,dc=com" LDAPDoGIDLookups on "ou=Group,dc=solaristest,dc=com" LDAPDoUIDLookups on "ou=People,dc=solaristest,dc=com" /etc/nsswitch.conf hosts files ldap svcs -a | grep ftp maintenance 2:09:32 svc:/network/ftp:default Proftpd.log Dec 25 02:07:44 solaris proftpd[1102] solaris (loghost[192.168.24.51]): FTP session opened. Dec 25 02:07:46 solaris proftpd[1102] solaris (loghost[192.168.24.51]): mod_ldap/2.8.20-20090124: pr_ldap_connect(): bind as cn=Manager,dc=solaristest,dc=com failed: Server is unwilling to perform Dec 25 02:07:46 solaris proftpd[1102] solaris (loghost[192.168.24.51]): mod_ldap/2.8.20-20090124: ldap_handle_getgroups(): LDAP search failed: Bad parameter to an ldap routine Dec 25 02:07:48 solaris proftpd[1102] solaris (loghost[192.168.24.51]): mod_ldap/2.8.20-20090124: pr_ldap_connect(): bind as cn=Manager,dc=solaristest,dc=com failed: Server is unwilling to perform Dec 25 02:07:48 solaris proftpd[1102] solaris (loghost[192.168.24.51]): mod_ldap/2.8.20-20090124: ldap_handle_getgroups(): LDAP search failed: Bad parameter to an ldap routine Dec 25 02:07:48 solaris proftpd[1102] solaris (loghost[192.168.24.51]): mod_ldap/2.8.20-20090124: pr_ldap_user_lookup(): LDAP search failed: Bad parameter to an ldap routine Dec 25 02:07:48 solaris proftpd[1102] solaris (loghost[192.168.24.51]): USER hoge: no such user found from loghost [192.168.24.51] to 192.168.24.52:21 Dec 25 02:07:49 solaris proftpd[1102] solaris (loghost[192.168.24.51]): FTP session closed

  • 認証と承認の仕組みについて

    現在、認証と承認の仕組みに興味を持っており、色々と調べているところなのですが、イマイチ具体的に理解できないので質問させていただきます。 そもそも、認証はIDとパスワード等の組み合わせが正しいか、そうでないのか、で、本人であるかどうかを確認するプロセスのことだと理解しています。 承認は、認証されたユーザに対して、どの様な権限が与えられているのか、また、その与えられた権限を承認するのが、承認のプロセスだと理解しています。 それぞれ、認証と承認は別々のサービスとして存在する(例えば、認証はKerberos認証やNTLM認証、承認はLDAPやActiveDirectory)と認識しています。 ここで疑問なのですが、認証されたユーザと、そのユーザが持っている権限はどのように・どうやって関連づけられているのでしょうか? 例えば、 認証サーバAを設置し、LDAPやActiveDirectoryなどのディレクトリサービスを提供するサーバBを設置し、何らかのサービスを提供しているサーバCを設置している様な環境で、Cにログインするための認証を認証サーバAに問い合わせ、そのサービスに対する権限情報をサーバBから取得し、やっと、サーバCのサービスが利用できる、といった様な流れになるのでしょうか? また、認証サーバAはどうやって、問い合わせのあったサービスを利用する権限をそのユーザが持っていて、またどの程度の権限がある、と言う様な判断はどうやって行われているのでしょうか。 よろしくお願い申し上げます。

  • LDAP認証について

    現在windows2008R2でアクティブディレクトリの2台構成で運用しています。 Primary 192.168.1.11 Server01 Secondary 192.168.1.22 Server02 通常はPrimaryのみ使用しています。 Primaryが倒れた場合Secondaryが稼働するわけですが 使用しているソフトウェアがLDAP認証は1つしか対応していません。 (現在は192.168.1.11を入力しています) そこで質問なのですが、LDAP認証が1つしか対応していない場合 サーバ側でどのような対処方があるでしょうか? 例えば現在ソフト側に現在192.168.1.11を入力していますが Server01のホスト名に変えて、windowsのHOSTSファイルに Server01 192.168.1.11 Server01 192.168.1.22 を入力するなど。 アドバイスをお願いいたします。

  • LDAP-OS認証 グループによる制限

    LDAP認証の設定がされているLinuxサーバ(CentOS 5.1)へログインする 際に、特定のグループに所属しているユーザのみ許可するにはどうすれ ばよいのでしょうか? ・grp1のldif dn: cn=grp1,ou=Group,ou=People,dc=abc,dc=jp objectClass: posixGroup cn: grp1 gidNumber: 603 memberUid: user1 memberUid: user3 ユーザはuser1、user2、user3の3人がLDAPへ登録されています。 現在は3人ともログインできてしまう。 user1、user3のみログインできるようにしたい。 /etc/ldap.conf のpam_groupdnおよびpam_member_attributeを修正して みましたが挙動は変わりません。 pam_groupdn cn=grp1,ou=Group,ou=People,dc=abc,dc=jp pam_member_attribute memberUid どなたかお知恵をお貸しください。

  • LDAPユーザー認証で、設定後パスワード変更したいが、、、

    RedHatLinux9+OpenLDAPで3台のサーバー(RedHat9+RedHat7+Solaris9)のユーザー認証させようと思ってます。 今現在ユーザー登録は、登録時に仮パスワードを発行、その後ユーザーに任意のパスワードに変更してもらうようにしています。でもこれだとその都度LDAPに登録しなおさないといけないわけですよね? LDAPからそのユーザーのエントリを削除してから入れなおすという順序になるんでしょうか? 追加ユーザー数が百近くあり、これは現実的ではないので、何かいい方法がないかと模索しています。 みなさんはこの辺をどう処理しているんでしょうか? よろしくお願いします

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する