LDAP同期の設定

Created: 4月 06, 2017 | Updated: 1月 18, 2018

企業ネットワークへの接続およびアクセスのプロセスを簡素化するために、Altium Infrastructure Server はブラウザー・インターフェースを通じてディレクトリサービスのサポートを提供します。

これにより、Lightweight Directory Access Protocol（LDAP）に基づくドメインユーザーの同期が可能になります。LDAP はネットワークの中央 LDAP サーバーに問い合わせを行い、ドメインユーザーのグループおよびロールの所属情報を取得します。このように既存のディレクトリサービスを通じてドメインユーザーを認証することで、Altium Infrastructure Server を含む社内のすべてのシステムに対して、単一のログインでアクセスできる可能性があります。

Infrastructure Server の LDAP 同期は、ユーザーのロールを基準にネットワークサービスへ問い合わせを行い、Infrastructure Server のユーザーアクセス認可のためにロール所属情報を収集します。LDAP サービスを通じてドメイン所属（同期）をポーリングすることで、同期サイクル内にドメインユーザー構成の変更へ対応できます。

LDAP の原則、機能、実装構文の詳細については、https://tools.ietf.org/html/rfc4510 およびその関連ドキュメントページを参照してください。

LDAP Sync

LDAP Sync を使用すると、Altium Infrastructure Server の管理者はネットワークドメインに既存のユーザー名／パスワード資格情報を活用でき、Infrastructure Server のブラウザーベース・インターフェースの USERS ページでユーザー資格情報を 1 件ずつ手動作成する必要がなくなります。正しく設定されていれば、USERS ページにユーザー資格情報が自動的に反映され、一覧に表示されたユーザーは誰でも通常の社内ネットワークのユーザー名とパスワードで Altium Infrastructure Server にサインインできるようになります。

Windows 認証のサポートを活用して Windows のログイン資格情報で Infrastructure Server にサインインするには、Use Windows Session credentials オプションを有効にします。

Altium Infrastructure Server は Standard LDAP と LDAPS（LDAP over SSL）の両方をサポートしています。

この記事では、ドメイン上で LDAP Sync を設定する際に実際に成功している実証済みのアプローチを詳説します。自身のドメインで LDAP Sync を設定する際は、このアプローチを試してください。

必要なもの

Altium Infrastructure Server への管理者アクセス。
任意ですが、非常に役立つユーティリティとして LDAP Admin というアプリケーションがあります（LdapAdminExe-<version>.zip を http://www.ldapadmin.org/ からダウンロード）。

LDAP Adminこれは、Altium Infrastructure Server の LDAP 設定ページを構成するために必要な、ユーザーグループのクエリ文字列と構文を正確に特定するのに使用できます。

LDAP 検索文字列（Distinguished Name）の取得

Altium Infrastructure Server のブラウザーベース・インターフェースで LDAP Sync タスクを構成する際、LDAP Distinguished Name（DN）を指定する必要があります。これは文字列形式で入力し、LDAP 検索のベースオブジェクトを識別します。この文字列を取得するために LDAP Admin ユーティリティを使用します。まず zip ファイルをダウンロードし、そこに含まれる LdapAdmin 実行ファイルを展開してください。

LdapAdmin.exe ファイルをダウンロードして展開します。

LdapAdmin.exe 実行ファイルを管理者として実行します（右クリックして Run as administrator を選択）。

LDAP Admin パネルが開いたら、Start » Connect を選択して Connections ダイアログにアクセスし、次に New connection をダブルクリックして Connection properties ダイアログにアクセスします。

LDAP Admin ユーティリティ内で新しい接続を作成します。

Connection properties ダイアログの General タブで、ドメインに合わせて接続情報を設定します。例は次のとおりです。

Connection name: 接続アイコンに使用する任意の名前。
Host: testsite.com
Port: 389

LDAPS（LDAP over SSL）を設定する場合、ポートは 636 にする必要があります。

Base: DC=testsite, DC=com
GSS-API オプションを有効にします。

LDAPS（LDAP over SSL）を設定する場合は、SSL オプションも有効にする必要があります。

Account: Use current user credentials オプションは有効のままにします。

標準 LDAP を使用する場合の接続設定例。LDAPS（LDAP over SSL）を使用する場合は、
Port を 636 に変更し、SSL オプションを有効にします。

接続プロパティを設定したら、Test connection ボタンを押します。すべて正しく設定されていれば、Connection is successful メッセージが表示されます。OK をクリックして新しい接続の作成を完了します。

次に、LDAP 検索のベースオブジェクトを指す文字列を特定する必要があります。手順は次のとおりです。

新しく作成した接続を選択し、Connections ダイアログで OK をクリックします。ネットワークドメインとユーザーグループ階層が表示されます。
必要なユーザーが含まれるフォルダーに到達するまで、該当するフォルダーパスを展開します。
このフォルダーを右クリックし、コンテキストメニューから Search コマンドを選択します。これにより Search パネルが開きます。必要な重要情報は、Path フィールドにすでに入力されている文字列です。左から右へ読むと、この文字列はドメイン構造内で、下位から上位へ向かってこのユーザーフォルダーに至るパスを表します。例として、特定ユーザーのフォルダー Managers が親フォルダー Users の子であるとします。この場合、文字列は OU=Managers,OU=Users,DC=testsite,DC=com です。
この文字列をコピーして、後続の設定作業で使用できるようテキストファイルに貼り付けるか、任意で Search パネルを開いたままにしておきます。

この時点で、以降の手順では LDAP Admin ユーティリティは不要です。

Altium Infrastructure Server を LDAP Sync で使用するよう構成する

次に Altium Infrastructure Server 側に移ります。対象の Altium Infrastructure Server に、ブラウザーベース・インターフェースから管理者としてサインインします。LDAP からユーザー資格情報を自動作成するつもりであれば、既存の手動作成ユーザーは削除した方がよいでしょう。理想的には、既定の管理者ロールユーザーである admin と System のみから開始します。

既定の管理者ユーザー admin と System の 2 名のみが存在する、対象 Altium Infrastructure Server の例。

LDAP Sync から取り込むユーザーを特定のロールに関連付けたい場合は、Roles タブに切り替えて、必要に応じて新しいロールを作成し、ユーザーは空のままにします。例では Managers というロールを作成します。

次に LDAP Sync タブへ切り替え、ボタンをクリックして Add LDAP Sync Task ダイアログを開きます。

Infrastructure Server のブラウザーベース・インターフェースから新しい LDAP Sync タスクを追加します。

次の情報を入力します（前のセクションで使用した例のドメイン構造に基づく）。

General

Target Role: Managers
Url: LDAP://testsite.com:389

LDAPS（LDAP over SSL）を設定する場合、この例の Url は LDAPS://testsite.com:636 になります。

DN: OU=Managers,OU=Users,DC=testsite,DC=com

これは、前のセクションで LDAP Admin ユーティリティを使用した際に、Search パネルの Path フィールドから取得した文字列です。

Filter: このフィールドは空欄のままにすると、ドメイン上で（DN フィールドで）指定されたグループに属するすべてのユーザーを取得します。ドメイン構造の指定領域にさらにユーザーのグルーピングが含まれている場合は、ここに適切なフィルタ文字列を指定することで、そのユーザーのサブセットのみを抽出できます。

たとえば、Managers グループ配下に管理権限を持つユーザーのセット（CN=Administrators）があったとします。Managers（ドメイン構造の OU=Managers 領域配下）すべてではなく、このユーザーセットだけを対象にするには、ドメイン構造のこの地点を狙うクエリ文字列を記述できます。

(&(objectClass=user)(memberof=CN=Administrators,OU=Managers,OU=Users,DC=testsite,DC=com))

Filter フィールドは空欄のままでも、DN フィールドで定義されたパス上のすべてのユーザーを返しますが、これは非常に危険になり得ます。そのパスが膨大な数のユーザーを含むドメイン構造領域を指している可能性があり、Altium Infrastructure Server と Active Directory に過剰な負荷がかかって組織全体が停止する恐れがあります。専用のフィルタリングを用いて、1 つ以上の特定ユーザーセットを対象にする方が望ましいです。特定ユーザーセットを対象にできる LDAP クエリの詳細は、次のリンクを参照してください。

Common LDAP Queries - 特にユーザーを扱うクエリ。これは Google の詳細マニュアル（Google Apps Directory Sync に関するもの）の一部ですが、LDAP を扱う領域に有用です。
LDAP Query Basics

Scope: sub
Attributes: sAMAccountName

Authentication

User Name: domain\<your username>（例：testsite\jason.howie）
Password: <your password>

Attribute Mapping

First Name: givenName
Last Name: sn
Email: mail
User Name: sAMAccountName

User authentication type

Radio button: Windows
Domain: testsite.com

標準 LDAP を使用する場合に必要な情報をすべて入力して構成した LDAP Sync タスクの例。LDAPS（LDAP over SSL）を使用する場合は、Url
の入力が LDAPS://testsite.com:636 に変更されます。

すべての設定入力が完了したら、をクリックします。これにより同期プロセスが開始され、入力した情報の処理に 1～2 分かかる場合があります。LDAP Sync ページ上部の同期ステータスメッセージを確認し、処理が完了するタイミングを把握してください。

次に Users タブをクリックします。この一覧には、OU=<GroupName> 設定で定義されたすべてのユーザーが反映されているはずです（下の例の画像を参照）。これで、誰でも通常の Windows ログインで Altium Infrastructure Server にサインインできます。

なお、LDAP Sync グループ外の追加ユーザーを手動で追加することも可能です。つまり、手動作成ユーザーと LDAP 指定（自動作成）ユーザーを混在させることができます。

LDAP 同期を使用して Altium Infrastructure Server にユーザーを登録する例。