LDAP同期の設定

Parent page: 高度なトピック

社内ネットワークへの接続およびアクセスのプロセスを簡素化するために、Enterprise Server はブラウザー・インターフェースを通じてディレクトリ サービスのサポートを提供します。

これにより、Lightweight Directory Access Protocol（LDAP）に基づくドメイン ユーザーの同期が可能になります。LDAP はネットワークの中央 LDAP サーバーにクエリを実行し、ドメイン ユーザーのグループおよびロールの所属情報を取得します。このように確立されたディレクトリ サービスを通じてドメイン ユーザーを認証することで、Enterprise Server を含む社内のすべてのシステムに対して単一のログインでアクセスできる可能性が生まれます。

Enterprise Server の LDAP 同期はユーザー ロール単位でネットワーク サービスにクエリを行い、Enterprise Server のユーザー アクセス認可のためにロール所属情報を収集します。LDAP サービスを通じてドメイン所属をポーリング（同期）することで、同期サイクル内でドメイン ユーザー構成の変更にシステムが対応できるようになります。

LDAP Sync

LDAP Sync を使用すると、Enterprise Server Workspace の管理者はネットワーク ドメインに既存のユーザー名とパスワードの資格情報を活用でき、Workspace のブラウザー・インターフェースの Users ページでユーザー資格情報を 1 件ずつ手動作成する必要がなくなります。正しく設定されていれば、Users ページにユーザー資格情報が自動的に取り込まれ、一覧に表示されたユーザーは通常の社内ネットワークのユーザー名とパスワードで Workspace にアクセスできるようになります。

この記事では、ドメイン上で LDAP Sync を設定する際に実際に成功している実証済みのアプローチを詳説します。ご自身のドメインで LDAP Sync を設定する際に、この方法を試してください。

何が必要ですか？

• Workspace への管理者アクセス権。
• 任意ですが、非常に役立つユーティリティとして LDAP Admin というアプリケーションがあります（LdapAdminExe-<version>.zip を https://sourceforge.net/projects/ldapadmin/ からダウンロード）。

LDAP 検索文字列（Distinguished Name）の取得

Workspace のブラウザー・ベースのインターフェースで LDAP Sync タスクを構成する際、LDAP Distinguished Name（DN）を指定する必要があります。これは文字列形式で入力し、LDAP 検索のベース オブジェクトを識別します。この文字列を取得するために LDAP Admin ユーティリティを使用します。まず zip ファイルをダウンロードし、そこに含まれる LdapAdmin 実行ファイルを展開してください。

LdapAdmin.exe ファイルをダウンロードして展開します。

LdapAdmin.exe 実行ファイルを管理者として実行します（右クリックして Run as administrator を選択）。

LDAP Admin パネルが開いたら、Start » Connect を選択して Connections ダイアログにアクセスし、次に New connection をダブルクリックして Connection properties ダイアログにアクセスします。

LDAP Admin ユーティリティ内で新しい接続を作成します。

Connection properties ダイアログの General タブで、ドメインに関連する接続情報を設定します。例は次のとおりです。

• Connection name: 接続アイコンに使用する任意の名前。
• Host: testsite.com
• Port: 389

• Base: DC=testsite, DC=com
• GSS-API オプションを有効にします。

• Account: Use current user credentials オプションは有効のままにします。

標準 LDAP を使用する場合の接続設定例。LDAPS（LDAP over SSL）を使用する場合は、Port を 636 に変更し、SSL オプションを有効にします。

接続プロパティを設定したら、Test connection ボタンを押します。すべて正しく設定されていれば、Connection is successful メッセージが表示されます。OK をクリックして新しい接続の作成を完了します。

次に、LDAP 検索のベース オブジェクトを指す文字列を特定する必要があります。手順は次のとおりです。

1. 新しく作成した接続を選択し、Connections ダイアログで OK をクリックします。ネットワーク ドメインとユーザー グループの階層が表示されます。
2. 必要なユーザーが含まれるフォルダーに到達するまで、該当するフォルダー パスを展開します。
3. このフォルダーを右クリックし、コンテキスト メニューから Search コマンドを選択します。これにより Search パネルが開きます。必要な重要情報は、Path フィールドにすでに入力されている文字列です。左から右へ読むと、この文字列はドメイン構造内で下位から上位へ辿った、このユーザー フォルダーへのパスを表します。例として、特定ユーザーのフォルダー Engineers が親フォルダー Users の子であると仮定します。この場合、文字列は OU=Engineers,OU=Users,DC=testsite,DC=com です。
4. この文字列を後続の設定で使用するためにテキスト ファイルへコピー＆ペーストするか、任意で Search パネルを開いたままにしておきます。

この時点以降の手順では、LDAP Admin ユーティリティは不要です。

Workspace を LDAP Sync で使用するように設定する

次に、ブラウザー・インターフェースから対象の Workspace に管理者としてサインインします。LDAP からユーザー資格情報を自動作成するつもりであれば、既存の手動作成ユーザーは削除したほうがよいでしょう。理想的には、インターフェースの Admin - Users ページにある既定の管理ユーザー admin のみから開始します。

既定の管理ユーザー admin のみが存在する対象 Workspace の例。

LDAP Sync のユーザーを特定のロールに関連付けたい場合は、Roles ページに切り替えて必要に応じて新しいロール（例：Electrical Designers、Mechanical Designers、PCB Specialists など）を作成し、ユーザーは空のままにします。ここでの例では、インストール済みサンプル データに含まれていた既定のロール Engineers を使用しています。

次に LDAP Sync ページに切り替え、 ボタン（この場合は Create a new one リンク）をクリックして LDAP Sync Creation ウィンドウを開きます。

Workspace のブラウザー・インターフェースから新しい LDAP Sync タスクを追加します。

次の情報を入力します（前のセクションで使用した例のドメイン構造に基づく）。

General

• Target Role: Engineers

• Distinguished Name: OU=Engineers,OU=Users,DC=testsite,DC=com

  これは、前のセクションで LDAP Admin ユーティリティを使用した際に、Search パネルの Path フィールドから取得した文字列です。

• Url: LDAP://testsite.com:389

  LDAPS（LDAP over SSL）を構成する場合、この例の Url は LDAPS://testsite.com:636 になります。

• Scope: sub

• Attributes: sAMAccountName

• Filter: このフィールドは空のままにすると、ドメイン上で（DN フィールドで）指定したグループに属するすべてのユーザーを取得します。ドメイン構造の指定領域にさらにユーザーのグルーピングが含まれている場合は、ここに適切なフィルタ文字列を指定して、その一部のユーザーだけを抽出できます。

  たとえば、Engineers グループ配下に管理権限を持つユーザーのセット（CN=Administrators）があったとします。Engineers 全員（ドメイン構造の OU=Engineers 配下）ではなく、このユーザー セットだけを対象にするには、ドメイン構造のこの地点をターゲットにするクエリ文字列を記述できます。

  (&(objectClass=user)(memberof=CN=Administrators,OU=Engineers,OU=Users,DC=testsite,DC=com))

  Filter フィールドは空のままでも、DN フィールドで定義されたパス上のすべてのユーザーを返しますが、これは非常に危険になり得ます。そのパスがドメイン構造内の膨大な数のユーザーを含む領域を指している可能性があり、Enterprise Server と Active Directory に過剰な負荷がかかって組織全体が停止する恐れがあります。専用のフィルタリングを使用して、1 つ以上の特定ユーザー セットを対象にするほうが確実です。

Attribute Mapping

• First Name: givenName
• Last Name: sn
• Email: mail
• User Name: sAMAccountName
• Overwrite existing users – 有効にすると、ユーザー名が完全一致する限り、LDAP Sync は同期クエリで返されたユーザーで手動作成ユーザーを上書きします。

Authentication

• User Name: domain\<your username>（例：testsite\jason.howie）
• Password: <your password>
• User authentication type: Windows
• Domain: testsite.com

標準 LDAP を使用する場合に必要な情報をすべて入力して構成した LDAP Sync タスクの例。LDAPS（LDAP over SSL）を使用する場合、Url の項目は LDAPS://testsite.com:636 に変更します。

すべての設定入力が完了したら、 をクリックします。これにより同期プロセスが開始され、入力した情報を処理するため 1～2 分かかる場合があります。

次に Users ページにアクセスします。この一覧には、OU=<GroupName> 設定で定義されたすべてのユーザーが表示されているはずです（下の例の画像を参照）。これで、誰でも通常の Windows ログインで Workspace にアクセスできます。

LDAP 同期を使用して Workspace のユーザーが取り込まれた例。