NDS(Novell Directory Services)によるユーザ認証の試み

更新日 2001/2/2

[HOME] / [Java] / [Perl] / [Oracle8] / [Palm(GCC)] / [Palm(CodeWarrior)] / [EJB] / [本の紹介]


  1. はじめに
  仕事で、あるシステムのユーザ認証部分を検討し始めたのですが、この辺の分野は不勉強でディレクトリサービスの役割やLDAP(Lightweight Directory Access Protocol) すらよくわからない有様でした。ここでは、Novell社より、eDirestory for Linux をダウンロードし、各種の実験を行います。なお、eDirestory for Linuxはユーザ100人分の製品版ですが、RedHatLinuxの購入が条件となっています。条件では、RedHatLinux6.2Jになっていますが、7Jでのライセンス番号でもダウンロードできましたし、今のところ動作も問題ないようです。

 参考となる文献を以下に示します。この他、月刊 INTEROPにも記事が載ってたりします。

     2. 準備
     3. Novell client による Login
     4. ConsoleOneを用いてのユーザ登録
     5. LDAPによるディレクトリサービスの利用
     6. Web APサーバ(WebLogic Server) でのユーザ認証時の参照
     7. 指紋認証との連携
     8. シングルサインオンの実現
     9. NDS以外の情報
   10. 参考文献
 
 
 2. 準備(インストール)
  LinuxマシンにNDSを、WindowsNT4.0または、Windows98にNDSの管理用ソフトであるConsoleOneをインストールすることにしています。このときWindowsマシンにはクライアントソフトが必要で、Novell Client for Windows NT/2000 または Novell Client for Windows 95/98についても合わせてインストールします。ここで注意が必要なのは、ConsoleOneがWindows2000では動作しないことです。
  1. 何はともあれ、ダウンロードしてきましょう。ここでは以下の3つをダウンロードします。はじめににも書きましたが、ダウンロードにはRedHatLinuxのプロダクト番号が必要です。なお、Novellさんによると7Jには正式に対応していないので、ダウンロードサービスも6.2Jに限定するようなことをいっていました。少なくとも私のときは、7Jのプロダクト番号でダウンロードできました。
  2. eDirectory for Linux のインストール

  3. RedHatLinuxをサーバタイプでインストールした場合、NDSのインストール時にライブラリがないといったメッセージがでてうまくいきませんでした。ワークステーションとしてインストールすると、うまくいくようです。インストール方法は、長くなるので切り出しています。ここを参照してください。
     
  4. Novell Client for Windows NT/2000 のインストール

  5. WindowsNT/2000用のものは NT2K471.ZIPというファイルで、これを解凍した後 i386のフォルダの中のSETUPNWをダブルクリックして標準インストールを実行します。システムを再起動すると、ログインウィンドウがNovellのものに変わっているはずです。ログイン方法については次の章で説明します。
     
  6. ConsoleOneのインストール

  7. Windows2000には対応していないようでうまく起動しませんでしたので、Windows98を使ってインストールしてみます。


    この後、ConsoleOneを起動してみると、以下のメッセージがでますので、yesとして、DLLもインストールしておきます
    The client DLLs are not the correct version necessary to run ConsoleOne.
    Do you want to install ths corect client DLLs?

    ConsoleOneの使い方については、第4章に記述します。

  3. Novell Client による Login (WindowsNT/2000/98)
  Novell Clientのインストール後、Login画面がNovellのものに変わります。この画面でユーザ名、パスワードを入れてOKボタンをクリックすると、NDSサーバに問い合わせてユーザ認証を行うのですが、まだNDSサーバなどが設定されていないため、うまく認証されません。次の手順で設定を行ってください。
  1. Novell Client にて、詳細ボタンをクリックしNDSタブを選択します
  2. サーバの右端のボタンをクリックすると、数秒の後、NDSサーバが立ち上がっていればサーバ名が表示されますので、これを選択して設定します
  3. 次にツリーの右端のボタンを選択すると、NDSのインストール時に登録したツリーが表示されますので、これを選択して設定します
  4. 最後に、コンテキストの右端ボタンで、ツリーのトップ から下に自分が登録されているコンテキストまで下がって設定します(トップのままでもいいようなので調べます)
  5. ログイン名に admin、パスワードにadminのパスワード(インストール時に設定したもの)を入力してログインできれば完了です
  4. ConsoleOneを用いてのユーザ登録 (Windows98)
 ここでは、NDS管理用のソフトであるConsoleOneを用いて、インストール時に作成される adminに加えて、egami というアカウント(NDSではユーザオブジェクト)を作成してみます。
  1. Nevoll Cilent にて adminで Loginします。Windowsを一旦、Logoutしてもいいですが、右下にあるマークの右クリックでNetWareログインを選択しても構いません
  2. Windowsのスタートか、ConsoleOneのアイコンから、ConsoleOneを起動します
  3. ネットワークから下がって、EGAMI_TREEの下の、EGAMI、chiba、homeと選び、homeの配下に新しいユーザオブジェクト(egami)を作成します
  4. プロパティの概要、識別にて電話番号やメールアドレスなども登録します。これは次章での検索キーにも使います
  5. LDAPによるディレクトリサービスの利用
 LDAPに対応したソフトはいろいろあるようですが、身近なところではメールソフトなどがあります。ここでは、NetscapeCommunicatorについてくるメーラを使って簡単な動作確認を実施してみます。
  1. Netscapeを起動し、Communicatorの中のアドレス帳を開いてください
  2. ファイルの中の新しいディレクトリを選択して、説明には適当に「NDS LDAPサービス」、LDAPサーバにNDSサーバのIPアドレス(私の環境では 192.168.0.5)、検索開始場所として、ツリーのトップ(私の環境では o=EGAMI)を設定します
  3. 設定後、左側のNDS LDAPサービスをクリックすると、サーバに接続にいきます。サーバが起動していないとその旨のワーニング表示があります。
  4. 表示する名前に何かを書くと、名前、電子メールアドレスなどでヒットしたものを結果表示します
  この他、ブラウザから直接検索することもできます。URLとして、以下のように入力して見てください。
  ldap://ldap_server_ip/o=EGAMI??sub?(cn=*yamada)
 
  6. Web APサーバ(WebLogic Server) でのユーザ認証時の参照
  BEA社のWebLogicServerは、EJBに関するページで紹介していますが、EJBやサーブレットが動かせるWebサーバのようなものです。このWebLogicのユーザ認証は特定のファイルに記述することで実現していますが、LDAPにも対応しており、外部のディレクトリサーバに問い合わせすることが可能です。ここでは、WebLogicServerにおける設定内容を示し、動作の確認を行いたいと思います。設定方法についてはWebLogicのHPにWebLogic LDAPセキュリティ・レルムの管理という記述がありますので、とりあえずこちらを参照ください。
 
  7. 指紋認証(バイオメトリクス)との連携
  最近、ユーザ認証の世界でバイオメトリクスというキーワードがあちらこちらでもてはやされてきています。パスワードを入力するのも面倒は私には、指紋などによる認証は画期的に映りました。このバイオメトリクスを含めて従来の認証手段をまとめて管理するためのソフトが、Novell社から提供されていましたので、ここで紹介していこうと思います。「NMAS EE 1.0」というもので、先のディレクトリサービスを活用して、指紋や眼球の虹彩などのバイオメトリクス、スマートカード、トークン,ディジタル証明書(X.509)などの多様な認証手段を一元管理するものです。手元にはないのでテクニカルセミナーなどに参加してから報告したいと思います。
販売:指紋認証つきマウスNTT-AT社) 開発元:SecuGen社
 
  8. シングルサインオンの実現
  Novell社の製品で、一度認証された後、他のソフトでのユーザ認証やシステムにLoginする際の、パスワードの入力を変わりにやってくれる機能のようです。「Novell Single Sign-on 2.0 / v-GO for NSSO Bundle」というものですが、手元にはないのでテクニカルセミナーなどに参加してから報告したいと思います。
 
 
  9. 製品情報
  NDS以外のディレクトリサービスソフトおよびシングルサインオンソフトの情報について以下に示します。

【ディレクトリサービス】
 

【シングルサインオン】
 日本エンコマース社 getAccess 4.0J
  日本チボリシステムズ  Policy Director
 
 
  10. 参考文献
  NDSに限らず役に立つと思われる書籍を紹介しています。本文からも参照できるようにしていきますが、一覧はこちらでまとめています。


[HOME] / [Java] / [Perl] / [Oracle8] / [Palm(GCC)] / [Palm(CodeWarrior)] / [EJB] / [本の紹介]

このページにご意見のある方は、egami@ee.e-mansion.com までお願い致します。