東京海洋大学情報処理センター様との共同研究開発

東京海洋大学情報処理センター様との共同研究開発
・グループ管理システム
【概要】
グループの作成と、グループのメンバ管理を行います。
グループには、メンバを個々に指定することができるグループ(列挙型)と、基幹システムのLDAPサーバに定義されている所属
や、役職等の属性を条件に指定して、合致した個人をメンバとするグループ(属性型)の大きく2つのグループを作成することが
できます。
また、本システムへの認可認証問い合わせに対し、登録しているグループのグループIDおよび、メンバのユーザIDを基に、認可可
否の判定をします。認可の場合は、連携する基幹システムのLDAPサーバに認証問い合わせをし、その結果を問い合わせ元に返しま
す。認可されない場合は、エラーを問い合わせ元に返します。
【効果(メリット)】
例えば、ワーキンググループに参加しているメンバーに、システムを利用させたいが、個々に許可の設定をするのは煩雑になりま
す。LDAP上でグループ属性を定義したくても、タイムリーに属性の追加ができないことも多く、利便性にかけることがあります。
そのような場合に、本システムを利用することで、必要な時にグループを作成し、グループに利用させたいアプリケーションから
認可問い合わせを行うことで、柔軟に認可認証システムを提供できます。
また、認証サーバへの問い合わせの前に、本システムで認可処理を行うことで、認証サーバの負荷軽減にもなります。
システム管理者にとっては、グループ毎に管理者を設定すれば、グループ管理者にグループの管理を移譲することで、システム管
理者の負担軽減にもなります。
【流れと仕組み】
①認可認証問い合わせを受け、perlバックエンド機能を利用し、問い合わせ先を判断をします。
②基幹システムのLDAPサーバへの問い合わせの場合、スルーして基幹システムのLDAPサーバに問い合わせをし、その結果を返しま
す。
③グループ管理システムへの問い合わせの場合、管理しているグループに合致しているものがあるか、ユーザが、同グループのメ
ンバか確認します。
④③で合致する場合、バックエンドの基幹システムのLDAPサーバに、問い合わせをし、その結果を返します。
※LDAPサーバの情報で認可する場合
例)
ldap://LDAPPROXYサーバ/dc=foo,dc=bar,dc=jp?uid?sub?(ou=group1)
他システム
アプリケーション
※LDAPPROXYサーバでグループ管理している情報で認可する場合
例)
ldap://LDAPPROXYサーバ/dc=foo,dc=local?uid?sub?(|(ou=group1)(ou=group2))
LDAP認証
"dc=foo,dc=bar,dc=jp"での問い合わせの場合、LDAPサーバにスルーし、認可/認
証を任せ、その結果を問い合わせ元に返します。
"dc=foo,dc=local"での問い合わせの場合、perlバックエンドで処理を行います。
この場合、認可処理をperlプログラムで行い、あらかじめ登録している「グルー
プ管理DB」に問い合わせ、認可可否を実施します。
認証はLDAPミラーに問い合わせを行い、その結果を問い合わせ元に返します。
グループ管理システム
1
LDAP
database ldap
(dc=foo,
dc=bar,dc=jp)
database
(dc=foo,
dc=local)
perl
3
認可/認証
認証
2
4
LDAP
(dc=fooi,dc=bar,dc=jp)
基幹システムのLDAPサーバ
認
可
Apache + PHP
グループ管理DB
My SQL
グループ管理機能
(Webアプリケーション)
同期(夜間バッチによる属性等メンバ情報の同期)
【利用例】
下図は、利用例です。
1.認可機能を利用し、特定グループにアプリケーションの利用を許可する。
2.グループに属するメンバーに同胞送信する。
ミラーLDAP
LDAP
・・・
同報送信
認証
メールサーバ
・エイリアス情報
認可
・グループ情報
グループ管理システム
・ユーザID
・グループID
(LDAPProxy含む)
アプリケーションサーバ
グループ管理システム を利用した
認可認証の流れ
1.アプリケーションにログインする際、
グループ管理システムに認可問合せ
を行います。
2.グループ管理システムは、認可問
合せに対し、認可可否を判断し、可の
場合、LDAPに認証問合せを行います。
利用者
・・・・・
【動作環境】
OS
S/W
CentOS 6.5
PHP(CentOS 6.5標準のもの)
LDAP(CentOS 6.5標準のもの)
Apache(CentOS 6.5標準のもの)
Perl(CentOS 6.5標準のもの)
※動作を確認している環境になります。
【問い合わせ先】
株式会社アイティフラッグス
〒980-0014
宮城県仙台市青葉区本町1-11-14 HANIX Ⅱ B.L.D
URL: http://www.itflags.co.jp/
Email:[email protected]