Windows ADのLDAPへの照会について

[kai....@gmail.com]

度々失礼します。

今度はWindows2000ServerのActiveDIrectoryに対してLDAPによるユーザー認証を行おうとしているのですが、うまく行
きません。

Errorlogには、ldap search result count in not 1.と返ってきております。
WindowsとGheimdallとの間のパケットを見ると、1件もヒットしていないようなのです。

コマンドのldapsearchを行うとヒットできます。
ldapsearch -v -H 'ldap://ldaptest.mydomain.jp/' -wTestUserPass -x -D
'test...@mydomain.jp' -b 'dc=mydomain,dc=jp' '(&
(sAMAccountName=testuser))'

となると、設定かと思い、あれこれ弄っているのですが、結果は変わらずといったところです。

凡そ設定に必要な個所は、

|# auth_engine to use
|apps.auth_engine = 'ldapauth'（変更なし）
|
|# ldap stuff
|apps.ldap_uri = 'ldap://ldaptest.mydomain.jp/'
|apps.ldap_basedn = 'dc= mydomain,dc= jp'
|apps.ldap_filter = 'sAMAccountName=%s'
|apps.ldap_rootdn = 'cn=administrator,dc=mydomain,dc=jp'
|apps.ldap_rootpw = 'adminpass'
|

こんな感じだと思うのですが、何か足りないのでしょうか？
またご教授いただけると幸いです。

よろしくお願いいたします。

＝＝改井

[kai....@gmail.com]

自己解決しましたので、その方法を書いておきます。

問題はAD側にあり、通常ADのLDAPへANONYMOUSなアクセスは許可されていません。

そのため、AD側のドメインへのセキュリティ設定に

ANONYMOUS USER/read only(このオブジェクトとすべての子オブジェクト)
Everyone/read only(このオブジェクトとすべての子オブジェクト)

とすることで問い合わせできるようになります。

特定のOU以下だけに許可する場合は、辿る場所に、

ANONYMOUS USER/read only(このオブジェクトのみ)
Everyone/read only(このオブジェクトのみ)
と、許可する場所に
ANONYMOUS USER/read only(このオブジェクトとすべての子オブジェクト)
Everyone/read only(このオブジェクトとすべての子オブジェクト)
とするといいようです。

以上、失礼いたしました。

＝＝改井



On 3月9日, 午後9:56, "k-...@anchorage-works.jp" <kai.k...@gmail.com>
wrote:

> 度々失礼します。
>
> 今度はWindows2000ServerのActiveDIrectoryに対してLDAPによるユーザー認証を行おうとしているのですが、うまく行
> きません。
>
> Errorlogには、ldap search result count in not 1.と返ってきております。
> WindowsとGheimdallとの間のパケットを見ると、1件もヒットしていないようなのです。
>
> コマンドのldapsearchを行うとヒットできます。
> ldapsearch -v -H 'ldap://ldaptest.mydomain.jp/' -wTestUserPass -x -D

> 'testu...@mydomain.jp' -b 'dc=mydomain,dc=jp' '(&

[Takashi Matsuo]

松尾です。

改井さん

レポートありがとうございます。またお返事が遅れてすみません。

現在の ldapauth は初めに Anonymous bind してユーザエントリを探すような
仕様になっています。

やろうと思えば bind する cn を指定するようにもできるのですが、あまり要
望が多くなかったので実装はしていないのでした。

Regards,

-- Takashi Matsuo


2009/3/10 k-...@anchorage-works.jp <kai....@gmail.com>:

[kai....@gmail.com]

松尾さん

ソースを見て、あーそうなんだーと気づきました。
だったら、自分でモジュール作れ...って話なんでしょうけどね。
(Pythonは未経験なので...）

触っていて面白いので、携帯への対応なんか出来たらなぁなんて考えています。
その前にPython覚えないといけないですが(^_^;

またなにかりましたら、ご教授ください。
お返事ありがとうございました。

＝＝改井

On 3月10日, 午後2:35, Takashi Matsuo <matsuo.taka...@gmail.com> wrote:
> 松尾です。
>
> 改井さん
>
> レポートありがとうございます。またお返事が遅れてすみません。
>
> 現在の ldapauth は初めに Anonymous bind してユーザエントリを探すような
> 仕様になっています。
>
> やろうと思えば bind する cn を指定するようにもできるのですが、あまり要
> 望が多くなかったので実装はしていないのでした。
>
> Regards,
>
> -- Takashi Matsuo
>

> 2009/3/10 k-...@anchorage-works.jp <kai.k...@gmail.com>:

[Takashi Matsuo]

松尾です。

携帯への対応は GHeimdall2 という(いちおう)別のプロジェクトでやっていま
す。

GHeimdall2 は完全に別プロジェクトというわけでは無くて、TurboGears は依
存するパッケージが多すぎるのが嫌だったり、あと Google App Engine では
Django が標準採用されていたりする事が理由で、フレームワークを
TurboGears から Django に変えてしまいました。

Project site:
http://code.google.com/p/gheimdall2/

Source code:
http://bitbucket.org/tmatsuo/gheimdall2/

もし宜しければこちらもお試しください。

Happy coding :-)

-- Takashi Matsuo



2009/3/10 k-...@anchorage-works.jp <kai....@gmail.com>:

[kai....@gmail.com]

改井です。

Gheimdall2...ビックリしました(^o^;

はい、また環境を作ったら試させていただきます！
ありがとうございました！

＝＝改井

On 3月10日, 午後3:10, Takashi Matsuo <matsuo.taka...@gmail.com> wrote:
> 松尾です。
>

> 携帯への対応は GHeimdall2 という(いちおう)別のプロジェクトでやっていま
> す。
>
> GHeimdall2 は完全に別プロジェクトというわけでは無くて、TurboGears は依
> 存するパッケージが多すぎるのが嫌だったり、あと Google App Engine では
> Django が標準採用されていたりする事が理由で、フレームワークを
> TurboGears から Django に変えてしまいました。
>
> Project site:http://code.google.com/p/gheimdall2/
>
> Source code:http://bitbucket.org/tmatsuo/gheimdall2/
>
> もし宜しければこちらもお試しください。
>
> Happy coding :-)
>
> -- Takashi Matsuo
>

> 2009/3/10 k-...@anchorage-works.jp <kai.k...@gmail.com>: