LDAP同期の設定

社内ネットワークへの接続とアクセスのプロセスを簡素化するために、Enterprise Server はブラウザインターフェースを通じてディレクトリサービスのサポートを提供します。

これにより、Lightweight Directory Access Protocol（LDAP）に基づくドメインユーザーの同期が可能になります。LDAP はネットワークの中央 LDAP サーバーにクエリを実行し、ドメインユーザーのグループおよびロールの所属情報を取得します。このように既存のディレクトリサービスを通じてドメインユーザーを認証することで、Enterprise Server を含む社内のすべてのシステムに対して単一のログインでアクセスできる可能性があります。

Enterprise Server の LDAP 同期はユーザーロール単位でネットワークサービスにクエリを行い、Enterprise Server のユーザーアクセス認可のためにロール所属情報を収集します。LDAP サービスを通じてドメイン所属（同期）をポーリングすることで、同期サイクル内にドメインユーザー設定の変更へ対応できます。

LDAP Sync

LDAP Sync を使用すると、Enterprise Server Workspace の管理者はネットワークドメインに既存のユーザー名とパスワード資格情報を活用でき、Workspace のブラウザインターフェースの Users ページでユーザー資格情報を 1 件ずつ手動作成する必要がなくなります。正しく設定されていれば、Users ページにはユーザー資格情報が自動的に反映され、一覧に表示されたユーザーは通常の社内ネットワークのユーザー名とパスワードで Workspace にアクセスできるようになります。

この記事では、ドメイン上で LDAP Sync を設定する際に実際に成功している実証済みの手順を詳説します。自身のドメインで LDAP Sync を設定する際は、この手順を試してください。

何が必要ですか？

• Workspace への管理者アクセス権。
• 任意ですが、非常に役立つユーティリティとして LDAP Admin というアプリケーションがあります（LdapAdminExe-<version>.zip を https://sourceforge.net/projects/ldapadmin/ からダウンロード）。

LDAP 検索文字列（Distinguished Name）の取得

Workspace のブラウザベースのインターフェースで LDAP Sync タスクを設定する際は、LDAP Distinguished Name（DN）を指定する必要があります。これは文字列形式で入力し、LDAP 検索のベースオブジェクトを識別します。この文字列を取得するために LDAP Admin ユーティリティを使用します。まず zip ファイルをダウンロードし、含まれている LdapAdmin 実行ファイルを展開してください。

LdapAdmin.exe ファイルをダウンロードして展開します。

LdapAdmin.exe 実行ファイルを管理者として実行します（右クリックして Run as administrator を選択）。

LDAP Admin パネルが開いたら、Connections ダイアログにアクセスするために Start » Connect を選択し、次に Connection properties ダイアログにアクセスするために New connection をダブルクリックします。

LDAP Admin ユーティリティ内で新しい接続を作成します。

Connection properties ダイアログの General タブで、ドメインに合わせて接続情報を設定します。例は次のとおりです。

• Connection name: 接続アイコンに使用する任意の名前。
• Host: testsite.com
• Port: 389

• Base: DC=testsite, DC=com
• GSS-API オプションを有効にします。

• Account: Use current user credentials オプションは有効のままにします。

標準 LDAP を使用する場合の接続設定例。LDAPS（LDAP over SSL）を使用する場合は、Port を 636 に変更し、SSL オプションを有効にします。

接続プロパティを設定したら、Test connection ボタンを押します。すべて正しく設定されていれば、Connection is successful メッセージが表示されます。OK をクリックして新しい接続の作成を完了します。

次に、LDAP 検索のベースオブジェクトを指す文字列を特定する必要があります。そのために次を行います。

1. 新しく作成した接続を選択し、Connections ダイアログで OK をクリックします。ネットワークドメインとユーザーグループ階層が表示されます。
2. 必要なユーザーが含まれるフォルダーに到達するまで、該当するフォルダーパスを展開します。
3. そのフォルダーを右クリックし、コンテキストメニューから Search コマンドを選択します。これにより Search パネルが開きます。必要な重要情報は、Path フィールドにすでに入力されている文字列です。左から右へ読むと、この文字列はドメイン構造内で、このユーザーフォルダーへのパスを下位から上位へ表しています。例として、特定ユーザーのフォルダー Engineers が親フォルダー Users の子であると仮定します。この場合、文字列は次のとおりです： OU=Engineers,OU=Users,DC=testsite,DC=com。
4. この文字列をコピーしてテキストファイルに貼り付け、後続の設定作業で使用するか、任意で Search パネルを開いたままにしておきます。

この時点以降の手順では、LDAP Admin ユーティリティは不要です。

Workspace を LDAP Sync で使用するよう設定する

次に、ブラウザインターフェースから対象の Workspace に管理者としてサインインします。LDAP からユーザー資格情報を自動作成するつもりであれば、既存の手動作成ユーザーは削除したほうがよいでしょう。理想的には、インターフェースの Admin - Users ページにある既定の管理ユーザー admin のみから開始します。

既定の管理ユーザー admin のみが存在する対象 Workspace の例。

LDAP Sync のユーザーを特定のグループに関連付けたい場合は、Groups ページに切り替えて必要に応じて新しいグループ（例：Electrical Designers、Mechanical Designers、PCB Specialists など）を作成し、ユーザーは空のままにします。ここでの例では、インストール済みサンプルデータに含まれていた既定グループ Engineers を使用しています。

次に LDAP Sync ページへ切り替え、 ボタン（この例では Create a new one リンク）をクリックして LDAP Sync Creation ウィンドウを開きます。

Workspace のブラウザインターフェースから新しい LDAP Sync タスクを追加します。

次の情報を入力します（前のセクションで使用したドメイン構造例に基づく）。

General

• Target Role: Engineers

• Distinguished Name: OU=Engineers,OU=Users,DC=testsite,DC=com

  これは、前のセクションで LDAP Admin ユーティリティを使用した際に、Search パネルの Path フィールドから取得した文字列です。

• Url: LDAP://testsite.com:389

  LDAPS（LDAP over SSL）を設定する場合、この例の Url は LDAPS://testsite.com:636 になります。

• Scope: sub

• Attributes: sAMAccountName

• Filter: このフィールドは空のままにして、ドメイン上で（DN フィールドで）指定したグループからすべてのユーザーを取得します。ドメイン構造の指定領域にさらにユーザーのグルーピングがある場合は、ここに適切なフィルタ文字列を指定して、その一部のユーザーだけを抽出できます。

  たとえば、Engineers グループ配下に管理権限を持つユーザー群（CN=Administrators）があったとします。Engineers 全員（ドメイン構造の OU=Engineers 領域配下）ではなく、このユーザー群だけを対象にするには、ドメイン構造のこの地点を狙うクエリ文字列を作成できます。

  (&(objectClass=user)(memberof=CN=Administrators,OU=Engineers,OU=Users,DC=testsite,DC=com))

  Filter フィールドは空でもよく、DN フィールドで定義されたパス上のすべてのユーザーを返しますが、これは非常に危険になり得ます。そのパスが大量のユーザーを含むドメイン構造領域を指している可能性があり、Enterprise Server と Active Directory に過剰な負荷がかかって組織全体が停止する恐れがあります。専用のフィルタリングを用いて、特定のユーザーセットを 1 つ以上ターゲットにするほうが確実です。

Attribute Mapping

• First Name: givenName
• Last Name: sn
• Email: mail
• User Name: sAMAccountName
• Overwrite existing users – 有効にすると、ユーザー名が完全一致する限り、LDAP Sync は同期クエリで返されたユーザーで手動作成ユーザーを上書きします。

Authentication

• User Name: domain\<your username>（例：testsite\jason.howie）
• Password: <your password>
• User authentication type: Windows
• Domain: testsite.com

標準 LDAP を使用する場合に必要な情報をすべて入力して構成した LDAP Sync タスクの例。LDAPS（LDAP over SSL）を使用する場合、Url の入力は LDAPS://testsite.com:636 に変更します。

すべての設定入力が完了したら、 をクリックします。これにより同期プロセスが開始され、入力した情報を処理するため 1～2 分かかる場合があります。

次に Users ページにアクセスします。この一覧には、OU=<GroupName> 設定で定義されたすべてのユーザーが反映されているはずです（下の例の画像を参照）。これで、誰でも通常の Windows ログインで Workspace にアクセスできます。

LDAP 同期を使用して Workspace のユーザーが反映された例。