LDAP同期の設定

Parent page: 高度なトピック

社内ネットワークへの接続とアクセスのプロセスを簡素化するために、Enterprise Server はブラウザー・インターフェースを通じてディレクトリ サービスのサポートを提供します。

これにより、Lightweight Directory Access Protocol（LDAP）に基づくドメイン ユーザーの同期が可能になります。LDAP はネットワークの中央 LDAP サーバーにクエリを実行し、ドメイン ユーザーのグループおよびロールの所属情報を取得します。このように確立されたディレクトリ サービスを通じてドメイン ユーザーを認証することで、Enterprise Server を含む社内のすべてのシステムに対して単一のログインでアクセスできる可能性があります。

Enterprise Server の LDAP 同期は、ユーザー ロール単位でネットワーク サービスにクエリを行い、Enterprise Server のユーザー アクセス認可のためにロール所属情報を収集します。LDAP サービスを通じてドメインの所属情報をポーリング（同期）することで、同期サイクル内にドメイン ユーザー構成の変更へ対応できます。

LDAP Sync

LDAP Sync を使用すると、Enterprise Server Workspace の管理者はネットワーク ドメインに既存のユーザー名とパスワード資格情報を活用でき、Workspace のブラウザー・インターフェースの Users ページでユーザー資格情報を 1 件ずつ手動作成する必要がなくなります。正しく設定されていれば、Users ページにユーザー資格情報が自動的に反映され、一覧に表示されたユーザーは通常の社内ネットワークのユーザー名とパスワードで Workspace にアクセスできるようになります。

この記事では、ドメイン上で LDAP Sync を設定する際に実際に成功している実証済みのアプローチを詳述します。ご自身のドメインで LDAP Sync を設定する際に、この方法を試してください。

必要なものは？

• Workspace への管理者アクセス権。
• 任意ですが、非常に役立つユーティリティとして LDAP Admin というアプリケーションがあります（LdapAdminExe-<version>.zip を https://sourceforge.net/projects/ldapadmin/ からダウンロード）。

LDAP 検索文字列（Distinguished Name）の取得

Workspace のブラウザー・ベースのインターフェースで LDAP Sync タスクを構成する際、LDAP Distinguished Name（DN）を指定する必要があります。これは文字列形式で入力し、LDAP 検索のベース オブジェクトを識別します。この文字列を取得するために LDAP Admin ユーティリティを使用します。まず zip ファイルをダウンロードし、そこに含まれる LdapAdmin 実行ファイルを展開してください。

LdapAdmin.exe ファイルをダウンロードして展開します。

LdapAdmin.exe 実行ファイルを管理者として実行します（右クリックして Run as administrator を選択）。

LDAP Admin パネルが開いたら、Connections ダイアログにアクセスするために Start » Connect を選択し、次に Connection properties ダイアログにアクセスするために New connection をダブルクリックします。

LDAP Admin ユーティリティ内で新しい接続を作成します。

Connection properties ダイアログの General タブで、ドメインに合わせて接続情報を設定します。例は次のとおりです。

• Connection name: 接続アイコンに使用する任意の名前。
• Host: testsite.com
• Port: 389

• Base: DC=testsite, DC=com
• GSS-API オプションを有効にします。

• Account: Use current user credentials オプションは有効のままにします。

標準 LDAP を使用する場合の接続設定例。LDAPS（LDAP over SSL）を使用する場合は、Port を 636 に変更し、SSL オプションを有効にします。

接続プロパティを設定したら、Test connection ボタンを押します。すべて正しく設定されていれば、Connection is successful メッセージが表示されます。OK をクリックして新しい接続の作成を完了します。

次に、LDAP 検索のベース オブジェクトを指す文字列を特定する必要があります。手順は次のとおりです。

1. 新しく作成した接続を選択し、Connections ダイアログで OK をクリックします。ネットワーク ドメインとユーザー グループ階層が表示されます。
2. 必要なユーザーが含まれるフォルダーに到達するまで、該当するフォルダー パスを展開します。
3. このフォルダーを右クリックし、コンテキスト メニューから Search コマンドを選択します。これにより Search パネルが開きます。必要な重要情報は、Path フィールドにすでに入力されている文字列です。左から右へ読むと、この文字列はドメイン構造内で、このユーザー フォルダーへのパスを下位から上位へ表しています。例として、特定ユーザーのフォルダー Engineers が親フォルダー Users の配下にあると仮定します。この場合、文字列は OU=Engineers,OU=Users,DC=testsite,DC=com です。
4. この文字列をコピーしてテキスト ファイルに貼り付け、後続の構成手順で使用するか、任意で Search パネルを開いたままにしておきます。

この時点で、以降の手順では LDAP Admin ユーティリティは不要です。

Workspace を LDAP Sync に対応させる設定

次に、ブラウザー・インターフェースから管理者として対象の Workspace にサインインします。LDAP からユーザー資格情報を自動作成するつもりであれば、既存の手動作成ユーザーは削除したほうがよいでしょう。理想的には、インターフェースの Admin - Users ページにある既定の管理者ユーザー admin のみから開始します。

既定の管理者ユーザー admin のみが存在する対象 Workspace の例。

LDAP Sync のユーザーを特定のロールに関連付けたい場合は、Roles ページに切り替えて必要に応じて新しいロール（例：Electrical Designers、Mechanical Designers、PCB Specialists など）を作成し、ユーザーは空のままにしておきます。ここでの例では、インストール済みサンプル データに含まれていた既定のロール Engineers を使用しています。

次に LDAP Sync ページへ切り替え、LDAP Sync Creation ウィンドウにアクセスするために ボタン（この例では Create a new one リンク）をクリックします。

Workspace のブラウザー・インターフェースから新しい LDAP Sync タスクを追加します。

次の情報を入力します（前のセクションで使用した例のドメイン構造に基づく）。

General

• Target Role: Engineers

• Distinguished Name: OU=Engineers,OU=Users,DC=testsite,DC=com

  これは前のセクションで LDAP Admin ユーティリティを使用した際、Search パネルの Path フィールドから取得した文字列です。

• Url: LDAP://testsite.com:389

  LDAPS（LDAP over SSL）を構成する場合、この例の Url は LDAPS://testsite.com:636 になります。

• Scope: sub

• Attributes: sAMAccountName

• Filter: このフィールドは空欄のままにして、ドメイン上で（DN フィールドで）指定したグループに属するすべてのユーザーを取得します。ドメイン構造の指定領域にさらにユーザーのグルーピングがある場合は、ここに適切なフィルタ文字列を使用して、そのユーザーのサブセットのみを抽出できます。

  たとえば、Engineers グループ配下に管理権限を持つユーザーのセット（CN=Administrators）があったとします。Engineers（ドメイン構造の OU=Engineers 領域配下）全員ではなく、このユーザー セットだけを対象にするには、ドメイン構造のこの地点を狙うクエリ文字列を記述できます。

  (&(objectClass=user)(memberof=CN=Administrators,OU=Engineers,OU=Users,DC=testsite,DC=com))

  Filter フィールドは空欄のままでも、DN フィールドで定義されたパス上のすべてのユーザーを返しますが、これは非常に危険です。そのパスがドメイン構造内の膨大な数のユーザーを含む領域を指している可能性があり、Enterprise Server と Active Directory に過剰な負荷がかかって組織全体が停止する恐れがあります。専用のフィルタリングを使用して、特定のユーザー セットを 1 つ以上ターゲットにするほうが確実に望ましいです。

Attribute Mapping

• First Name: givenName
• Last Name: sn
• Email: mail
• User Name: sAMAccountName
• Overwrite existing users – 有効にすると、LDAP Sync は同期クエリで返されたユーザーで手動作成ユーザーを上書きします（ユーザー名が完全に一致する場合）。

Authentication

• User Name: domain\<your username>（例：testsite\jason.howie）
• Password: <your password>
• User authentication type: Windows
• Domain: testsite.com

標準 LDAP を使用する場合に必要な情報をすべて設定した LDAP Sync タスクの例。LDAPS（LDAP over SSL）を使用する場合、Url の入力は LDAPS://testsite.com:636 に変更します。

すべての設定入力が完了したら、 をクリックします。これにより同期プロセスが開始され、入力した情報を処理するために 1～2 分かかる場合があります。

次に Users ページへアクセスします。この一覧には、OU=<GroupName> 設定で定義されたすべてのユーザーが反映されているはずです（下の例の画像を参照）。これで、誰でも通常の Windows ログインで Workspace にアクセスできます。

LDAP 同期を使用して Workspace にユーザーが反映された例。