LDAPサーバーのソースとしては Active Directory を想定して説明しています。
Active Directory 自体の制限、動作についてはシステム管理者へご確認ください。
目次
1. LDAPサーバー認証への切替え
2. 新しいLDAP認証設定の追加
3. LDAPブラウザによる確認
4. LDAPサーバー設定の保存
5. インポートのスケジュール
6. 検索フィルタ入力例
7. 備考
8. 参考情報
KACE管理者コンソールにて 設定 |コントロールパネル | ユーザー認証 [LDAP信頼関係の設定] を開きます。
認証設定 にて LDAP認証を選択します。
○[ローカル認証]
●[LDAP認証] こちら
注意:
組織の認証設定をローカル認証からLDAP認証へ変更するとデフォルトのローカルビルトイン管理者(デフォルト名 admin )を除き、LDAPユーザーのみログインが許可されるようになります。ローカルビルトイン管理者以外の SMAローカルユーザーはログインはできなくなります。
次のステップでは新たに構成したいLDAP設定を登録します。
注意: LDAP認証を有効化する際、デフォルトで登録されているLDAPサーバーの定義はサンプルであるため削除してください。通信不可能なLDAPサーバーの設定が構成されていると正しい認証時にもそちらへのクエリを試みられることで認証に余計な時間がかかることがあります。ログイン対象の組織以外でLDAP認証を有効にしている場合でも、(ログイン対象組織以外の)組織のLDAPサーバー設定に使用不可能なサーバーがあると同じようにログイン時間に悪影響を与えます。
[新規作成]ボタン をクリックして設定を追加します。
=====================================
名前: 任意 例:社内KACE管理用ユーザー
ホスト名またはIPアドレス: LDAPサーバーのホスト名またはIPアドレスを指定します。
ポート: LDAPサービスのポート番号 (デフォルト636。 非セキュアの場合389)
役割: この認証設定でログインするユーザーのK1000上での"役割"を指定します。
高度な検索: (6.フィルタ入力例 を参照)
ベースDN:(6.フィルタ入力例 を参照)
資格情報: LDAP情報を参照するためのユーザーとパスワードを指定します。(設定 | 資格情報 で管理されます)
=====================================
このまま[保存]ボタンで保存することもできますが、LDAPサービスへの接続の確認およびクエリーをお試しいただくことができます。
ベースDNの検索にて一つ候補を選択して [参照]ボタンを押します。
Customを選択して任意のベースDNを入力出来るようになっています。
検索フィルタについては(samaccountname=KBOX_USER)などのように記述します。
検索時には KBOX_USERを*(アスタリスク)に置き換えて検索を実行されます。
期待するオブジェクトをリストに表示出来ることを確認しましたら「*」を「KBOX_USER」に戻し、[次へ]を押して確認画面に移動してください。
3-3.確認画面
確認画面にて設定値が表示されます。
もう一度[次へ]をクリックします。
最初のLDAPサーバー設定の編集画面に戻ります。ベースDNにOUの指定など必要なあれば改めて追加します。
保存時の検索フィルタには "samaccountname=KBOX_USER" が含まれていることを確認してください。
作成した組織へのログインにたいして、LDAP(AD)上のユーザーアカウントでログインできることを確認してください。
LDAP上のユーザーでログインが行われるとその時点でユーザー情報が作成されます。この際、
ユーザーの属性として ログイン名(samaccount属性)、名前(samaccountname)、Eメール(email 空ではない場合)が設定されています。
ユーザーの作成時ではなく、LDAP検索フィルタに該当するユーザーを先にインポートすることもできます。
Active Directoryへ新規に登録されたユーザーを自動で登録することもできます。
5-1. 設定 | ユーザー認証 | LDAP認証 に移動します。
5-2. インポートを行いたいLDAP認証設定の横にあるベルのマークをクリックして「インポートのスケジュール」を開きます。
5-3. [属性の選択]画面
取得する属性:デフォルト cn,description,distinguishedname,homephone,mail,manager,memberof,mobile,name,objectclass,objectguid,objectsid,samaccountname,sn,telephonenumber,userprincipalname
使用可能な属性の指定を行います。全体でどのような属性が使用できるかは この欄を空にして[次へ]を押すと表示できますが、ActiveDirectory側で各アイテムのプロパティの属性エディタータブから調べることもできます。
ラベル属性:デフォルト memberOf
ラベルプレフィックス:デフォルト user_
バイナリ属性:objectsid, objectguid (変更しません)
最大行数:最大数を設定します。デフォルト 20
Eメール受信者:受信者を指定して実行時にメール送信します。
スケジュール:デフォルト スケジュールに従って実行しない
定期的なインポートを実行する場合、「スケジュールに従って実行しない」以外を選択します。
[次へ]をクリックします。
5-4. [マッピングの定義]画面 : ユーザー属性とLDAP属性をマップします。
LDAP UID(必須): objectguid
ログイン(必須): samaccountname
名前: samaccountname
Eメール(必須): mail ※注意1
そのほかの値も設定できます。
役割: 初回インポート時にユーザーにKACE上の役割を与えます。※注意2
画面下の検索結果に値が見えますので取り込みたい他の属性があれば割り当てます。
注意1: 指定したユーザー属性はAD側で対応する属性データを必ず持つようにしてください。値がない場合、データが無効なユーザーとしてインポートの対象になりません。
注意2: デフォルト役割 (左ペイン 設定 | 役割 へ移動し役割一覧)がいずれかの役割 に設定されている場合、このインポートウィザード時の設定が デフォルトの役割に強制されます。
インポートで追加されるユーザーへLDAPユーザー認証設定と同じ(あるいは任意の役割)付けたい場合、アクションからデフォルト役割をクリアしてください。
5-5.[データのインポート]
次の項目を確認して LDAP登録上のユーザーがどのようにインポートされうるか確認します。
- インポートするユーザー
- 既存のユーザー(更新対象)
- データが無効なユーザーはインポートされません。
今すぐインポートを行うか、保存(完了)するかどうか選択します。
[今すぐインポート]をクリックするとを行うとこの場でインポートを行います。
kace.localドメインにいる全ユーザーを指定する 例 DC=kace, DC=local
=================================================
名前: 管理者ユーザー用の設定
ホスト名またはIPアドレス: 192.168.133.251(ADサーバーのIPアドレス)
ポート: 636
役割: 管理者
高度な検索(検索フィルタ): (&(samaccountname=KBOX_USER)(objectClass=person))
ベースDN:DC=kace,DC=local
資格情報: CN=ldapread,CN=Users,DC=kace,DC=local
=================================================
ベースDNと検索フィルタを指定することで必要なユーザーだけ検索するようにできます。
・AD上のユーザーをOUで制限する例
例えば、以下の様にベースDNにOUを加えるとOU内のユーザーのみを設定できます。
teamadm(識別名: OU=teamadm, DC=kace, DC=local) にKACE SMA管理者用ユーザーが登録されている場合
=================================================
名前:管理者ユーザー用サーバー定義OU別
ホスト名またはIPアドレス: 192.168.133.251(ADサーバーのIPアドレス)
ポート: 636
役割: 管理者
高度な検索(検索フィルタ): (&(samaccountname=KBOX_USER)(objectClass=person))
ベースDN: OU=teamadm,DC=kace,DC=local
資格情報: CN=ldapread,CN=Users,DC=kace,DC=local
=================================================
・グル―プ(CN)でフィルタする例
admingrp1(CN=admingrp1,CN=Users, DC=kace,DC=local)というグループのメンバーのみ絞り込むには以下のように設定します。
=================================================
名前:グループ別管理者
ホスト名またはIPアドレス: 192.168.133.251(ADサーバーのIPアドレス)
ポート: 636
役割: 管理者
高度な検索(検索フィルタ): (&(memberOf=CN=admingrp1,CN=Users, DC=kace,DC=local)(samaccountname=KBOX_USER))
ベースDN: OU=teamadm,DC=kace,DC=local
資格情報: CN=ldapread,CN=Users,DC=kace,DC=local
=================================================
7-1. ローカル認証からLDAP認証へ変更するとデフォルトのローカルビルトイン管理者以外のユーザによるログインはできなくなります。
デフォルトのローカルビルトイン管理者('admin')は認証オプションの設定にかかわらずローカルの認証情報が使用されます。
7-2.(複数組織機能が有効なお客様のみ)複数組織が有効な環境では 'Default'組織(対応するDB: ORG1)の他にサーバ管理用のUIをもつ'System'と呼ばれる組織があります。
ORG2以降や KBSYS(/systemuiからアクセス)に対し、LDAP認証を設定したい場合には別途同様の設定を行う必要があります。
ローカル・LDAPの認証方式にかかわらず組織間(ORG<n>およびシステム)で同じユーザー名かつ同じパスワードのユーザー情報を設定している場合には通常の組織の管理者コンソールからログインした後で画面右上から表示する組織を切り替えることが可能です。
7-3. ユーザーへの役割の割り当てはユーザー作成時にのみ行われます。つまり、初回の「ログイン時」または「インポートによる作成」時のみ行われます。
ユーザーに割り当てられた[役割]を後からインポートスケジュールやログインのタイミングで最新の状態に反映させることはできません。
既存のLDAPユーザーに割り当てられた役割を変更する場合、SMA側で手動で役割を変更するようにしてください(変更対象以外の管理者で実施する必要があります)。
LDAP Authentication Examples (4252556)
検索フィルターの構文 (learn.microsoft.com)43
