03/06/12 13:33
>194
なんとなく見えてきました。
authorization を行う為の手段は明確には定められていない。
それは各アプリが任意の方法を用いて各自で判断しなさいと。
>アプリごとにou=アプリ名を作って、
>その中にcn=ユーザ名を作成、(パスワードはCoSで共有する)
>アプリで認証する時のbaseDNをこのouを指定する、などの方法があります。
この方法の場合、各アプリで個別に必要になる属性を
ou=アプリ 1, ou=アプリ 2, ou=アプリ 3 に格納し、パスワードのような共通属性は
Cos で ou=人 のようなエントリ以下とひも付けすると言う事ですね。
ユーザ A がアプリ 1 を利用しようとした場合、
アプリ 1 は ou=アプリ 1 を baseDN として cn, password で bind してみる。
→ 成功/失敗をチェック!
従ってユーザ A はアプリ1, 2, 3 を、ユーザ B は アプリ 2 を、ユーザ C は
アプリ 2, 3 を利用出来るようにしたいなら
ou=人には ... cn=ユーザ A, cn=ユーザ B, cn=ユーザ C (共通属性を格納)
ou=アプリ 1 には ... cn=ユーザ A (固有の属性を格納)
ou=アプリ 2 には ... cn=ユーザ A, cn=ユーザ B, cn=ユーザ C (固有の属性を格納)
ou=アプリ 3 には ... cn=ユーザ A, cn=ユーザ C (固有の属性を格納)
の各エントリを作ってあげれば authentication & authorization が行なえ
ると言う事でよいでしょうか?