Question: LDAPのmailAttributeに複数のメールアドレスがある場合の設定

[is984]

Environment

Host

item	version
OS	CentOS Linux release 7.8.2003 (Core)
GROWI	4.1.8
node.js	14.9.0
npm	6.14.8
Using Docker	no
Using growi-docker-compose	no

(Accessing https://{GROWI_HOST}/admin helps you to fill in above versions)

Client

item	version
OS	Windows 10
browser	Google Chrome 85

How to reproduce? (再現手順)

1. LDAPの設定を行う(AttributeMappingはデフォルト設定)
2. mail Attributeにアドレスが2つ以上あるユーザーでログインする

What happens? (症状)

• ユーザーがログインできない
• ログに以下のエラーが記録される

[90m[2020-10-28T02:12:37.072Z]DEBUG: growi:routes:login-passport/14578 on test1: info undefined
[2020-10-28T02:12:37.100Z] ERROR: growi:models:user/14578 on test1:
  createUserByEmailAndPasswordAndStatus failed:  Error: User validation failed: email: Cast to string failed for value "[
 '[email protected]',
 '[email protected]'
 ]" at path "email"
 at ValidationError.inspect (/opt/growi/node_modules/mongoose/lib/error/validation.js:48:26)
 at internal/per_context/primordials.js:23:32
 at formatValue (internal/util/inspect.js:764:19)
 at inspect (internal/util/inspect.js:326:10)
 at formatWithOptionsInternal (internal/util/inspect.js:1994:40)
 at Logger.format (internal/util/inspect.js:1870:10)
 at mkRecord (/opt/growi/node_modules/bunyan/lib/bunyan.js:984:22)
 at Logger.error (/opt/growi/node_modules/bunyan/lib/bunyan.js:1044:19)
 at /opt/growi/src/server/models/user.js:667:16
 at /opt/growi/node_modules/mongoose/lib/model.js:4883:16
 at /opt/growi/node_modules/mongoose/lib/helpers/promiseOrCallback.js:16:11
 at /opt/growi/node_modules/mongoose/lib/model.js:4906:21
 at /opt/growi/node_modules/mongoose/lib/model.js:494:16
 at /opt/growi/node_modules/kareem/index.js:246:48
 at next (/opt/growi/node_modules/kareem/index.js:167:27)
 at next (/opt/growi/node_modules/kareem/index.js:169:9)
 at Kareem.execPost (/opt/growi/node_modules/kareem/index.js:217:3)
 at _handleWrapError (/opt/growi/node_modules/kareem/index.js:245:21)
 at /opt/growi/node_modules/kareem/index.js:272:14
 at _next (/opt/growi/node_modules/kareem/index.js:94:14)
 at /opt/growi/node_modules/kareem/index.js:507:38
 at processTicksAndRejections (internal/process/task_queues.js:75:11) {
 errors: {
 email: CastError: Cast to string failed for value "[
 '[email protected]',
 '[email protected]'
 ]" at path "email"
 at SchemaString.cast (/opt/growi/node_modules/mongoose/lib/schema/string.js:606:11)
 at SchemaString.SchemaType.applySetters (/opt/growi/node_modules/mongoose/lib/schematype.js:1031:12)
 at model.$set (/opt/growi/node_modules/mongoose/lib/document.js:1210:20)
 at model.set [as email] (/opt/growi/node_modules/mongoose/lib/helpers/document/compile.js:149:19)
 at Function.userSchema.statics.createUserByEmailAndPasswordAndStatus (/opt/growi/src/server/models/user.js:648:19)
 at runMicrotasks (<anonymous>)
 at processTicksAndRejections (internal/process/task_queues.js:93:5) {
 stringValue: '"[\n' +
 "  '[email protected]',\n" +
 "  '[email protected]'\n" +
 ']"',
 messageFormat: undefined,
 kind: 'string',
 value: [Array],
 path: 'email',
 reason: null
 }
 },
 _message: 'User validation failed'
 }

What is the expected result? (期待される動作)

• ユーザーはログインできる

Note

• 弊社内にはメールアドレスを2つ持っている方がいます。
• AttributeMappingにどういった設定をするのが望ましいのかご教示いただけると幸いです。

[yuki-takei]

@is984
こんにちは。かなりの遅いレスポンスで申し訳ないです。

AttributeMappingにどういった設定をするのが望ましいのかご教示いただけると幸いです。

GROWI が LDAP の attribute mapping で期待しているのは、ユーザーリストの中でユニークなメールアドレスです。
一方、ご利用の LDAP スキーマの「email」の用途は当該ユーザーに紐付けるメールアドレスを順浮動で登録するものだとお見受け致しました。

上記の用途と仮定すると、GROWI が求める属性としてマッピングするのに、今回の email は相応しくない気がします。もしスキーマ変更が可能なのであれば、ユーザー間でユニークなメインのメールアドレス(単数)という属性を用意いただいて、そちらとマッピングするのがよいかと思います。

別の解ですと GROWI 本体側で「マッピングされたメールアドレス属性値が array の場合は、先頭の要素を用いる」という修正を行うアイデアもあるかとは思いますが、こちらも実装したところで結局「先頭の要素がユニークなものかどうか」「当該ユーザーの ID たり得るメールアドレスかどうか」は結局 LDAP 側の運用に委ねられるため、GROWI 側の責任範囲を超えていると言えるかもしれません。

パッとしない回答で申し訳ないのですが、上記咀嚼いただいた上で、ご検討いただけますでしょうか。

[is984]

確認遅くなり、申し訳ございません。
ご回答いただきありがとうございます。

上記の用途と仮定すると、GROWI が求める属性としてマッピングするのに、今回の email は相応しくない気がします。もしスキーマ変更が可能なのであれば、ユーザー間でユニークなメインのメールアドレス(単数)という属性を用意いただいて、そちらとマッピングするのがよいかと思います。

弊社の場合は、email属性には当該ユーザーの個人アドレスが登録されます(弊社では用途に応じてメインとは異なるドメインパートを持つアドレスを発行することがあります。)
そのため、ユーザー間でユニークなアドレスではあるものの、mail属性が複数になるというちょっと特殊な環境になっています。

別の解ですと GROWI 本体側で「マッピングされたメールアドレス属性値が array の場合は、先頭の要素を用いる」という修正を行うアイデアもあるかとは思いますが、こちらも実装したところで結局「先頭の要素がユニークなものかどうか」「当該ユーザーの ID たり得るメールアドレスかどうか」は結局 LDAP 側の運用に委ねられるため、GROWI 側の責任範囲を超えていると言えるかもしれません。

なるほど･･･。弊社の場合はローカルパートは必ずユニークとなるような運用となっていますが、他社さんでも同じとは限らないので一律での実装は確かに微妙そうですね･･･