[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00656] Re: 複数のId体系のの扱い方



慶應義塾ITC本部の細川です。

昨日の、同じePPNで複数のエントリを作ることをやってみたのですが、なぜか片
方のエントリからのみePPNが渡されないという現象が生じてしまっており、首を
傾げています。

LDAPの内容は、2エントリのみで

% ldapsearch -x -D "cn=olmgr,o=keio,dc=ac,c=JP" -w ******** \
  -b "ou=user,o=keio,dc=ac,c=JP" "uid=*"
# extended LDIF
#
# LDAPv3
# base <ou=user,o=keio,dc=ac,c=JP> with scope subtree
# filter: uid=*
# requesting: ALL
#

# aa097025, user, keio, ac, JP
dn: uid=aa097025,ou=user,o=keio,dc=ac,c=JP
objectClass: eduPerson
cn: xxxxxxxx@xxxxxxxxxx
ou: user
sn: Hosokawa
jao:: 5oW25oeJ576p5aG+
uid: aa097025
jaou:: 44Om44O844K2
jasn:: 57Sw5bed
mail: xxxxxxxx@xxxxxxxxxx
givenName: Tatsumi
displayName: Tatsumi Hosokawa
jaGivenName:: 6YGU5bex
userPassword:: ******
jaDisplayName:: 57Sw5bedIOmBlOW3sQ==
eduPersonAffiliation: staff
eduPersonPrincipalName: xxxxxxxx@xxxxxxxxxx
eduPersonScopedAffiliation: xxxxx@xxxxxxxxxx

# xxxxxxxx@xxxxxxxxxx, user, keio, ac, JP
dn: uid=xxxxxxxx@xxxxxxxxxx,ou=user,o=keio,dc=ac,c=JP
objectClass: eduPerson
cn: xxxxxxxx@xxxxxxxxxx
ou: user
sn: Hosokawa
jao:: 5oW25oeJ576p5aG+
uid: xxxxxxxx@xxxxxxxxxx
jaou:: 44Om44O844K2
jasn:: 57Sw5bed
mail: xxxxxxxx@xxxxxxxxxx
givenName: Tatsumi
displayName: Tatsumi Hosokawa
jaGivenName:: 6YGU5bex
userPassword:: ******
jaDisplayName:: 57Sw5bedIOmBlOW3sQ==
eduPersonAffiliation: staff
eduPersonPrincipalName: xxxxxxxx@xxxxxxxxxx
eduPersonScopedAffiliation: xxxxx@xxxxxxxxxx

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 2

のような感じです。

ここで、test-sp1.gakunin.nii.ac.jpを用いて前者のエントリで認証すると、正
常にePPNが表示されるのですが、後者のエントリで認証すると、ePPNが「NOT
RECEIVED」になってしまいます。

ログで何が起こっているのか調べてみたのですが、関係有りそうな場所は次のよ
うな感じです。でもなぜePPNにフィルタがかかってしまったのか、よくわかりま
せん。

2013-06-21 09:07:43 DEBUG Shibboleth.AttributeFilter [2]: applying
filtering rule(s) for attribute (eppn) from
(https://gakunin1.keio.ac.jp/idp/shibboleth)
2013-06-21 09:07:43 WARN Shibboleth.AttributeFilter [2]: removed value
at position (0) of attribute (eppn) from
(https://gakunin1.keio.ac.jp/idp/shibboleth)
2013-06-21 09:07:43 WARN Shibboleth.AttributeFilter [2]: no values left,
removing attribute (eppn) from (https://gakunin1.keio.ac.jp/idp/shibboleth)

同じePPNが複数あるのが問題かと思い、後者のみを残して1個のエントリにして
認証を行なってみたのですが、状況は変わりません。

申し訳ありませんが、どなたかこの状況がわかる方、教えていただけますでしょ
うか。よろしくお願いします。

-- 
慶應義塾ITC本部  細川達己  xxxxxxxx@xxxxxxxxxxxxxx
Tel. 03-5427-1685  Fax. 03-5427-1722