NDS(Novell Directory Services)によるユーザ認証の試み
更新日 2001/2/2
[HOME] / [Java]
/ [Perl] / [Oracle8]
/ [Palm(GCC)] / [Palm(CodeWarrior)]
/ [EJB] / [本の紹介]
仕事で、あるシステムのユーザ認証部分を検討し始めたのですが、この辺の分野は不勉強でディレクトリサービスの役割やLDAP(Lightweight
Directory Access Protocol) すらよくわからない有様でした。ここでは、Novell社より、eDirestory
for Linux をダウンロードし、各種の実験を行います。なお、eDirestory for
Linuxはユーザ100人分の製品版ですが、RedHatLinuxの購入が条件となっています。条件では、RedHatLinux6.2Jになっていますが、7Jでのライセンス番号でもダウンロードできましたし、今のところ動作も問題ないようです。
参考となる文献を以下に示します。この他、月刊
INTEROPにも記事が載ってたりします。
-
Active Directory & NDS ディレクトリ・サービス徹底入門 日経BPソフトプレス 定価
2,800円
-
RedHatで作るLinuxネットワークサーバ構築ガイド 秀和システム出版編集部 定価
3,800円
2. 準備
3. Novell client による Login
4. ConsoleOneを用いてのユーザ登録
5. LDAPによるディレクトリサービスの利用
6. Web APサーバ(WebLogic Server) でのユーザ認証時の参照
7. 指紋認証との連携
8. シングルサインオンの実現
9. NDS以外の情報
10. 参考文献
LinuxマシンにNDSを、WindowsNT4.0または、Windows98にNDSの管理用ソフトであるConsoleOneをインストールすることにしています。このときWindowsマシンにはクライアントソフトが必要で、Novell
Client for Windows NT/2000 または Novell Client for Windows 95/98についても合わせてインストールします。ここで注意が必要なのは、ConsoleOneがWindows2000では動作しないことです。
-
何はともあれ、ダウンロードしてきましょう。ここでは以下の3つをダウンロードします。はじめににも書きましたが、ダウンロードにはRedHatLinuxのプロダクト番号が必要です。なお、Novellさんによると7Jには正式に対応していないので、ダウンロードサービスも6.2Jに限定するようなことをいっていました。少なくとも私のときは、7Jのプロダクト番号でダウンロードできました。
-
eDirectory for Linux
-
Novell Client for Windows NT/2000 または Novell Client for Windows 95/98
-
ConsoleOne
-
eDirectory for Linux のインストール
RedHatLinuxをサーバタイプでインストールした場合、NDSのインストール時にライブラリがないといったメッセージがでてうまくいきませんでした。ワークステーションとしてインストールすると、うまくいくようです。インストール方法は、長くなるので切り出しています。ここを参照してください。
-
Novell Client for Windows NT/2000 のインストール
WindowsNT/2000用のものは NT2K471.ZIPというファイルで、これを解凍した後
i386のフォルダの中のSETUPNWをダブルクリックして標準インストールを実行します。システムを再起動すると、ログインウィンドウがNovellのものに変わっているはずです。ログイン方法については次の章で説明します。
-
ConsoleOneのインストール
Windows2000には対応していないようでうまく起動しませんでしたので、Windows98を使ってインストールしてみます。
-
適当にフォルダをつくり、この中にダウンロードしてきた3つのファイル (ndswin1.exe、ndswin2、exendswin3.exe)
を入れます。
-
ndswin1.exe (自己解凍ファイル)をダブルクリック。Winzipの画面が現れるので解凍先を作ったフォルダ名に変更して
unzipをクリックすると、配下にwindowsというフォルダが作成されます
-
ndswin2.exe,ndswin3.exeについても同様に解凍する解凍先を、(ndswin1.exeで作成されたwindowsではなく)作成したフォルダをして
unzipします
-
windowsフォルダの中のwinsetup.exeをダブルクリックすると、ConsoleOneとAdmin
Utilities が表示されますが、ConsoleOneを選択します
-
言語を選択にて日本語のまま実行、インストール先もそのままにすると、C:\novell
が作られその配下にインストールされます
この後、ConsoleOneを起動してみると、以下のメッセージがでますので、yesとして、DLLもインストールしておきます。
The client DLLs are not the correct version necessary
to run ConsoleOne.
Do you want to install ths corect client DLLs?
ConsoleOneの使い方については、第4章に記述します。
3. Novell
Client による Login (WindowsNT/2000/98) |
Novell Clientのインストール後、Login画面がNovellのものに変わります。この画面でユーザ名、パスワードを入れてOKボタンをクリックすると、NDSサーバに問い合わせてユーザ認証を行うのですが、まだNDSサーバなどが設定されていないため、うまく認証されません。次の手順で設定を行ってください。
-
Novell Client にて、詳細ボタンをクリックしNDSタブを選択します
-
サーバの右端のボタンをクリックすると、数秒の後、NDSサーバが立ち上がっていればサーバ名が表示されますので、これを選択して設定します
-
次にツリーの右端のボタンを選択すると、NDSのインストール時に登録したツリーが表示されますので、これを選択して設定します
-
最後に、コンテキストの右端ボタンで、ツリーのトップ から下に自分が登録されているコンテキストまで下がって設定します(トップのままでもいいようなので調べます)
-
ログイン名に admin、パスワードにadminのパスワード(インストール時に設定したもの)を入力してログインできれば完了です
4. ConsoleOneを用いてのユーザ登録
(Windows98) |
ここでは、NDS管理用のソフトであるConsoleOneを用いて、インストール時に作成される
adminに加えて、egami というアカウント(NDSではユーザオブジェクト)を作成してみます。
-
Nevoll Cilent にて adminで Loginします。Windowsを一旦、Logoutしてもいいですが、右下にあるNマークの右クリックでNetWareログインを選択しても構いません
-
Windowsのスタートか、ConsoleOneのアイコンから、ConsoleOneを起動します
-
ネットワークから下がって、EGAMI_TREEの下の、EGAMI、chiba、homeと選び、homeの配下に新しいユーザオブジェクト(egami)を作成します
-
プロパティの概要、識別にて電話番号やメールアドレスなども登録します。これは次章での検索キーにも使います
LDAPに対応したソフトはいろいろあるようですが、身近なところではメールソフトなどがあります。ここでは、NetscapeCommunicatorについてくるメーラを使って簡単な動作確認を実施してみます。
-
Netscapeを起動し、Communicatorの中のアドレス帳を開いてください
-
ファイルの中の新しいディレクトリを選択して、説明には適当に「NDS
LDAPサービス」、LDAPサーバにNDSサーバのIPアドレス(私の環境では
192.168.0.5)、検索開始場所として、ツリーのトップ(私の環境では
o=EGAMI)を設定します
-
設定後、左側のNDS LDAPサービスをクリックすると、サーバに接続にいきます。サーバが起動していないとその旨のワーニング表示があります。
-
表示する名前に何かを書くと、名前、電子メールアドレスなどでヒットしたものを結果表示します
この他、ブラウザから直接検索することもできます。URLとして、以下のように入力して見てください。
ldap://ldap_server_ip/o=EGAMI??sub?(cn=*yamada)
6. Web APサーバ(WebLogic
Server) でのユーザ認証時の参照 |
BEA社のWebLogicServerは、EJBに関するページで紹介していますが、EJBやサーブレットが動かせるWebサーバのようなものです。このWebLogicのユーザ認証は特定のファイルに記述することで実現していますが、LDAPにも対応しており、外部のディレクトリサーバに問い合わせすることが可能です。ここでは、WebLogicServerにおける設定内容を示し、動作の確認を行いたいと思います。設定方法についてはWebLogicのHPにWebLogic
LDAPセキュリティ・レルムの管理という記述がありますので、とりあえずこちらを参照ください。
最近、ユーザ認証の世界でバイオメトリクスというキーワードがあちらこちらでもてはやされてきています。パスワードを入力するのも面倒は私には、指紋などによる認証は画期的に映りました。このバイオメトリクスを含めて従来の認証手段をまとめて管理するためのソフトが、Novell社から提供されていましたので、ここで紹介していこうと思います。「NMAS
EE 1.0」というもので、先のディレクトリサービスを活用して、指紋や眼球の虹彩などのバイオメトリクス、スマートカード、トークン,ディジタル証明書(X.509)などの多様な認証手段を一元管理するものです。手元にはないのでテクニカルセミナーなどに参加してから報告したいと思います。
販売:指紋認証つきマウス(NTT-AT社) 開発元:SecuGen社
Novell社の製品で、一度認証された後、他のソフトでのユーザ認証やシステムにLoginする際の、パスワードの入力を変わりにやってくれる機能のようです。「Novell
Single Sign-on 2.0 / v-GO for NSSO Bundle」というものですが、手元にはないのでテクニカルセミナーなどに参加してから報告したいと思います。
NDS以外のディレクトリサービスソフトおよびシングルサインオンソフトの情報について以下に示します。
【ディレクトリサービス】
【シングルサインオン】
日本エンコマース社
getAccess 4.0J
日本チボリシステムズ
Policy Director
NDSに限らず役に立つと思われる書籍を紹介しています。本文からも参照できるようにしていきますが、一覧はこちらでまとめています。
[HOME] / [Java]
/ [Perl] / [Oracle8]
/ [Palm(GCC)] / [Palm(CodeWarrior)]
/ [EJB] / [本の紹介]
このページにご意見のある方は、egami@ee.e-mansion.com
までお願い致します。