[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:30] RE: [upki-fed:28] Re: [upki-fed:27] Re: eduPersonTargetedID 属性の形式



山形大学の伊藤です。

お世話になっております。

StoredIDについて、こちらでも実証試験を行ってみました。
ComputedIDとStoredIDのsalt値を同じにすることにより、
ComputedIDでもStoredIDでも、eduPersonTargetedIDは、
同一の値を送信するようでした。
よって、最初は、ComputedIDで運用しておいて、セキュリティなどの
強化が必要になった場合に、StoredIDにしても、SPへの実害はない
と思われます。

こちらのテストでは、MySQLをデータベースエンジンにして、動作確認を
しました。管理用のWindows PCからの閲覧は、ODBCドライバー経由で、
MS Accessを使用して、閲覧できました。
おかげさまで、非常に便利に認証情報を管理できます。
有益な情報、ありがとうございます>秋山先生

また、Microsoft SQL サーバへのJDBC経由でも接続も試みましたが、
LinuxからのWindows統合認証接続ができなかったので、ペンディングしています。

以上。簡単ですが、報告です。
> -----Original Message-----
> From: xxxxxxxxxxxxxx@xxxxxxxxx [mailto:xxxxxxxxxxxxxx@xxxxxxxxx] On
> Behalf Of Tomohiro Ito
> Sent: Friday, July 17, 2009 8:06 PM
> To: xxxxxxxx@xxxxxxxxx
> Subject: [upki-fed:29] RE: [upki-fed:28] Re: [upki-fed:27] Re:
> eduPersonTargetedID 属性の形式
>
> 秋山先生、山地先生
>
> 山形大学の伊藤です。
> お世話になっております。
>
> StoredIDという方法もあるんですね。勉強になりました。ありがとうございま
> す。
> 今度、時間をみて、JDBC経由で、SQLサーバーに接続して、できるかどうか、
> 試してみます。
>
> 完全に、ドキュメントを読んでいませんが、Shibboleth IdPで、saltをベース
> に
> SHA1を生成して、データベースサーバーに、SELECT文でリクエストを出して、
> 情報がないと、Insertするように感じました。
> この解釈が間違っていないと、SQLサーバーなどに、ログが残せることは、
> 管理上は、検索の高速化などを考えると非常に便利だと思っています。
>
> もちろん、実装が複雑化しますので、セキュリティと運用コストのトレードオ
> フの
> 判断は大切ですね。
>
> 有益なありがとうございます。今度、テストしてみます。
>
> > -----Original Message-----
> > From: xxxxxxxxxxxxxx@xxxxxxxxx [mailto:xxxxxxxxxxxxxx@xxxxxxxxx] On
> > Behalf Of Toyokazu Akiyama
> > Sent: Friday, July 17, 2009 11:37 AM
> > To: xxxxxxxx@xxxxxxxxx
> > Subject: [upki-fed:28] Re: [upki-fed:27] Re: eduPersonTargetedID 属性
> の
> > 形式
> >
> > 秋山です.
> >
> > > これをどうとらえるかは,運用か理想かのトレードオフで,世界的にも統
> 一
> > し
> > > た見解がなされていない感じです.見解というか,できるなら,そりゃ本
> 当
> > な
> > > らDBがいいだろうという意識はみなあると思います.先日,UKのフェデレ
> ー
> > シ
> > > ョン代表とこの件を話したのですが,UKではほとんどがcomputedIDだそう
> で
> > す.
> > > アメリカでも,いろいろ現状が分かれているそうなのですが,ワシントン
> 大
> > 学
> > > はDBを利用しているそうです.
> >
> > なるほど.
> > みなさんStoredIDの件は認識されているけれど,
> > ComputedIDを利用されているということですね.
> >
> > 先に面倒なところに手をつけるか,セキュリティの
> > 問題が発生したときに頑張るか,セキュリティリスク
> > がそれほど大きくないのなら,後者で良いのかも
> > しれませんね.
> >
> > >>
> >
> http://ssowiki.nii.ac.jp/wiki.cgi?page=%B5%FE%C5%D4%BB%BA%B6%C8%C2%E7%
> > B3%D8%2FShibboleth2%2FRails
> > >
> > > これ見えない人ごめんなさい.秋山さんからは,公開の許可を頂いている
> の
> > に
> > > フェデレーションのページに移行できていないのは僕の怠慢です_o_.
> >
> > すみません.ML内に見えない方がいらっしゃるのを認識
> > しておりませんでした.特に上記の議論について書かれて
> > いるわけではなく,ComputedIDとStoredIDを試してみました
> > くらいの内容ですので,ご興味があればご参照ください.
> >
> > --
> > Toyokazu AKIYAMA
> > Faculty of Computer Science and Engineering,
> > Kyoto Sangyo University
> > TEL/FAX: +81-75-705-1531

Attachment: smime.p7s
Description: S/MIME cryptographic signature