-
Title
LDAPユーザー認証の設定手順 -
Description
この記事ではKACE システム管理アプライアンス(SMA)とLDAPサーバーを連携させてLDAPサーバー上のユーザー情報でWebインターフェースへのログインできるようにする手順を説明します。 -
Resolution
LDAPサーバーのソースとしては Active Directory を想定して説明しています。
Active Directory 自体の制限、動作についてはシステム管理者へご確認ください。
目次
1. LDAPサーバー認証への切替え
2. 新しいLDAP認証設定の追加
3. LDAPブラウザによる確認
4. LDAPサーバー設定の保存
5. インポートのスケジュール
6. 検索フィルタ入力例
7. 備考
8. 参考情報-
LDAPサーバー認証への切替え
KACE管理者コンソールにて 設定 | ユーザー認証 を開きます。
[LDAP認証]を選択します。
[ローカル認証]
[LDAP認証] ●こちら注意:
組織の認証設定をローカル認証からLDAP認証へ変更するとデフォルトのローカルビルトイン管理者(デフォルト名 admin )を除き、LDAPユーザーのみログインが許可されるようになります。ローカルビルトイン管理者以外の SMAローカルユーザーはログインはできなくなります。次のステップでは新たに構成したいLDAP設定を登録します。
-
新しいLDAP認証設定の追加
注意: デフォルトで登録されているLDAPサーバーの定義はサンプルであるため削除してください。通信不可能なLDAPサーバーの設定が構成されていると正しい認証時にもそちらへのクエリを試みるため認証に時間がかかることがあります。他の組織でLDAP認証を有効にしている場合、その組織のLDAPサーバー設定に使用不可能なものがあると同じようにログイン時間に悪影響を与えます。
[新規作成]ボタン を押して設定を追加します。
=====================================
名前:任意 例:社内KACE管理用ユーザー
ホスト名またはIPアドレス: LDAPサーバーのホスト名またはIPアドレスを指定します。
ポート: LDAPサービスのポート番号 (非SSLの場合389)
ベースDN:(6.フィルタ入力例 を参照)
検索フィルタ:(6.フィルタ入力例 を参照)
ログイン: LDAP情報を参照する際のユーザー名を入力します。
パスワード(必要に応じて):LDAPログインユーザーのパスワードを入力します。
役割: この認証設定でログインするユーザーのK1000上での"役割"を指定します。
=====================================
このまま[保存]ボタンで保存することもできますが、LDAPサービスへの接続の確認およびクエリーをお試しいただくことができます。
-
LDAPブラウザによる確認
[LDAPブラウザ] ボタンにてLDAPアクセスの確認を行います。
3-1.接続テスト
[テスト]ボタンを押し[次へ]ボタンが有効(青色)になりましたら[次へ]をクリックします
3-2.フィルタのテスト
ベースDNを選択して、検索フィルタを使用できます。ベースDNの検索にて一つ候補を選択して [参照]ボタンを押します。
Customを選択して任意のベースDNを入力出来るようになっています。検索フィルタについては(samaccountname=KBOX_USER)などのように記述します。
検索時には KBOX_USERを*(アスタリスク)に置き換えて検索を実行されます。
期待するオブジェクトをリストに表示出来ることを確認しましたら「*」を「KBOX_USER」に戻し、[次へ]を押して確認画面に移動してください。
3-3.確認画面
確認画面にて設定値が表示されます。もう一度[次へ]をクリックします。
最初のLDAPサーバー設定の編集画面に戻ります。ベースDNにOUの指定など必要なあれば改めて追加します。保存時の検索フィルタには "samaccountname=KBOX_USER" が含まれていることを確認してください。
-
LDAPサーバー設定の保存
必要があれば設定したサーバ設定を上に移動します。
サーバを上矢印のアイコンをクリックすると上にあがります。上位側のサーバー設定が先に検索されるため管理者役割のサーバー設定が上に来るようにすることをお勧めします。
[保存]をクリックして保存します。
設定は以上です。作成した組織へのログインにたいして、LDAP(AD)上のユーザーアカウントでログインできることを確認してください。
なお、ログインが行われるとその時点でユーザー情報が作成されます。
この際、ユーザーの属性として ログイン名(samaccount属性)、名前(samaccountname)、Eメール(email 空ではない場合)が設定されています。 -
インポート
ユーザーの作成時ではなく、LDAP検索フィルタに該当するユーザーを先にインポートすることもできます。
Active Directoryへ新規に登録されたユーザーを自動で登録することもできます。
5-1. 設定 | ユーザー認証 | LDAP認証 に移動します。
5-2. インポートを行いたいLDAP認証設定の横にあるベルのマークをクリックして「インポートのスケジュール」を開きます。
5-3. [属性の選択]画面
取得する属性:デフォルト cn,description,distinguishedname,homephone,mail,manager,memberof,mobile,name,objectclass,objectguid,objectsid,samaccountname,sn,telephonenumber,userprincipalname
使用可能な属性の指定を行います。全体でどのような属性が使用できるかは この欄を空にして[次へ]を押すと表示できますが、ActiveDirectory側で各アイテムのプロパティの属性エディタータブから調べることもできます。
ラベル属性:デフォルト memberOf
ラベルプレフィックス:デフォルト user_
バイナリ属性:objectsid, objectguid (変更しません)
最大行数:最大数を設定します。デフォルト 20
Eメール受信者:受信者を指定して実行時にメール送信します。
スケジュール:デフォルト スケジュールに従って実行しない
定期的なインポートを実行する場合、「スケジュールに従って実行しない」以外を選択します。[次へ]をクリックします。
5-4. [マッピングの定義]画面 : ユーザー属性とLDAP属性をマップします。
LDAP UID(必須): objectguid
ログイン(必須): samaccountname
名前: samaccountname
Eメール(必須): mail ※注意1
そのほかの値も設定できます。
役割: 初回インポート時にユーザーにKACE上の役割を与えます。※注意2
画面下の検索結果に値が見えますので取り込みたい他の属性があれば割り当てます。
注意1: 指定したユーザー属性はAD側で対応する属性データを必ず持つようにしてください。値がない場合、データが無効なユーザーとしてインポートの対象になりません。
注意2: デフォルト役割 (左ペイン 設定 | 役割 へ移動し役割一覧)がいずれかの役割 に設定されている場合、このインポートウィザード時の設定が デフォルトの役割に強制されます。
インポートで追加されるユーザーへLDAPユーザー認証設定と同じ(あるいは任意の役割)付けたい場合、アクションからデフォルト役割をクリアしてください。
5-5.[データのインポート]
次の項目を確認して LDAP登録上のユーザーがどのようにインポートされうるか確認します。
- インポートするユーザー
- 既存のユーザー(更新対象)
- データが無効なユーザーはインポートされません。
今すぐインポートを行うか、保存(完了)するかどうか選択します。
[今すぐインポート]をクリックするとを行うとこの場でインポートを行います。 -
検索フィルタ入力例
ユーザー認証を使用するときのフィルタの設定例をいくつか示します。
実際のシステムではお客様の運用に合わせて設定いただくようお願いいたします。
・AD上のユーザーを使用する例kace.localドメインにいる全ユーザーを指定する 例 DC=kace, DC=local
=================================================
わかりやすい名前:管理者ユーザー用の設定
サーバーのホスト名:192.168.133.251(ADサーバーのIPアドレス)
LDAPポート番号:389
ベースDNの検索:DC=kace,DC=local
検索フィルタ: (&(samaccountname=KBOX_USER)(objectClass=person))
LDAPログイン:CN=ldapread,CN=Users,DC=kace,DC=local
LDAPパスワード:上記ユーザーのパスワードを入力
ユーザー権限: 管理者
=================================================
ベースDNと検索フィルタを指定することで必要なユーザーだけ検索するようにできます。・AD上のユーザーをOUで制限する例
例えば、以下の様にベースDNにOUを加えるとOU内のユーザーのみを設定できます。
teamadm(識別名: OU=teamadm, DC=kace, DC=local) にKACE SMA管理者用ユーザーが登録されている場合
=================================================
サーバーのわかりやすい名前:管理者ユーザー用サーバー定義OU別
サーバーのホスト名:192.168.133.251(ADサーバーのIPアドレス)
LDAPポート番号:389
ベースDNの検索: OU=teamadm,DC=kace,DC=local
検索フィルタ: (&(samaccountname=KBOX_USER)(objectClass=person))
LDAPログイン:CN=ldapread,CN=Users,DC=kace,DC=local
LDAPパスワード:上記管理者IDのパスワードを入力
ユーザー権限:管理者
=================================================
・グル―プ(CN)でフィルタする例admingrp1(CN=admingrp1,CN=Users, DC=kace,DC=local)というグループのメンバーのみ絞り込むには以下のように設定します。
=================================================
サーバーのわかりやすい名前:グループ別管理者
サーバーのホスト名:192.168.133.251(ADサーバーのIPアドレス)
LDAPポート番号:389
ベースDNの検索: DC=kace,DC=local
検索フィルタ:(&(memberOf=CN=admingrp1,CN=Users, DC=kace,DC=local)(samaccountname=KBOX_USER))
LDAPログイン:CN=ldapread,CN=Users,DC=kace,DC=local
LDAPパスワード:上記ユーザーのパスワードを入力
ユーザー権限:管理者
================================================= -
備考
7-1.ローカル認証からLDAP認証へ変更するとデフォルトのローカルビルトイン管理者以外のユーザによるログインはできなくなります
デフォルトのローカルビルトイン管理者は認証オプションの設定にかかわらずローカルの認証情報が使用されます。7-2.(複数組織機能が有効なお客様のみ)複数組織が有効な環境では 'Default'組織(対応するDB: ORG1)の他にサーバ管理用のUIをもつ'System'と呼ばれる組織があります(k1sma/systemまたはk1sma/systemui からアクセス )。ORG2以降や KBSYS(システムUI)に対してLDAP認証を設定したい場合には別途同様の設定を行う必要があります。(v12.0+でシステムへのLDAP認証が設定可能になりました)
ローカル・LDAPの認証方式にかかわらず組織間(ORG<n>,システム)で同じユーザー名かつ同じパスワードのユーザー情報を設定している場合には通常の組織の管理者コンソールからログインした後で組織を切り替えることは可能です。7-3. 役割の割り当てはユーザー作成時 つまり、初回の「ログイン時」または「インポートによる作成」時のみ行われます。
ユーザーに割り当てられた[役割]を後からインポートスケジュールやログインのタイミングで最新の状態に反映させることはできません。
役割の変更を伴うユーザーの変更においてはLDAP・AD側での設定変更後、SMA側で手動で役割を変更するようにしてください(変更対象以外の管理者で実施する必要があります)。 -
参考資料
KACE Appliance LDAP Reference guide (itninja.com)
http://www.itninja.com/blog/view/kace-appliance-ldap-reference-guide-v1-7
LDAP Search Filter Syntax (microsoft.com)
https://msdn.microsoft.com/en-us/library/aa746475%28v=vs.85%29.aspxUsing Ldp.exe to Find Data in the Active Directory(microsoft.com)
http://support.microsoft.com/en-us/kb/224543
LDAP Query Basics (microsoft.com)
https://technet.microsoft.com/ja-jp/library/aa996205%28v=exchg.65%29.aspx
-