4.4. Active Directory連携¶

Exastro OASE における Active Directory連携（以降、「AD連携」と表記）機能を利用する為に必要なシステム構成と環境構築について説明します。

概要¶

AD連携機能は、以下の機能を提供します。

機能名	用途
ユーザ認証	Exastro OASE からドメインコントローラに対して AD 認証(LDAP 認証)を行います。
ミラーリング	ドメインコントローラ上のユーザ情報およびグループ情報を Exastro OASE 上の「ユーザ」および「グループ」にミラーリングをします。(一方向同期)

システム構成¶

AD連携機能は、ドメインを構成するドメインコントローラと連携します。

../../../_images/system_configuration.png

※ userPrincipalName … Active Directory 上のログインID
※ displayName       … 表示名
※ commonName        … オブジェクト名（上図では、グループオブジェクトの名称）
※ memberof          … ユーザが所属するグループ名

Active Directory 設定¶

危険

AD連携を実行するとシステム管理者を除く現在登録中のグループ・ユーザ情報が全て削除され、ADから取得したグループ・ユーザを設定します。

AD連携を解除するとADから取得したグループ・ユーザが全て削除されます。

画面上部のメニューからシステム ‣ システム設定を開きます。

左メニューから Active Directory設定を選択します。

../../../_images/ADLinkage_column_edit.png — 図 4.26 Active Directory 設定編集画面¶

表 4.20 Active Directory 設定項目¶
構成要素	説明
Active Directory連携	AD連携の状態を選択してください。
管理者ユーザ	認証サーバ接続ユーザ名を入力して下さい。64文字以内で入力する必要があります。
管理者パスワード	認証サーバ接続パスワードを入力して下さい。
接続先	認証サーバ接続先ドメインを優先度が高い順にカンマ区切りで設定して下さい。512文字以内で入力する必要があります。
連携時刻	ドメインコントローラとの同期時刻(0-23時)を入力して下さい。複数時間設定する場合はカンマ区切りで設定してください。
接続タイムアウト	接続時無応答時のタイムアウト時間(秒)を設定します。`1-99999` の値を設定できます。
読み取りタイムアウト	情報取得時のタイムアウト時間(秒)を設定します。`1-99999` の値を設定できます。
認証サーバ検索文字	ドメインコントローラから取得できる識別名を指定してください。256文字以内で入力する必要があります。
行追加ボタン	対象グループリスト情報入力欄を1行ずつ追加します。対象グループリストは30件まで登録可能です。
属性値	ドメインコントローラに設定済みのグループ(CommonName)を属性値に指定してください。40文字以内で入力する必要があります。
所属部署名	所属部署名はOASEのグループ名として使用されます。40文字以内で入力する必要があります。

設定が完了したら  保存をクリックします。

設定前の状態に戻すには、 リセットをクリックします。

Active Directory 連携の有効・無効切り替え時の動作¶

Active Directory との連携を行う契機として、以下の3つが挙げられます。

システム設定画面の「Active Directory連携」の設定項目を OFF から ON に切り替え保存する
システム設定画面の「Active Directory連携」の設定項目を ON から OFF に切り替え保存する
システム設定画面の「AD連携時刻」に設定された時刻を迎える

これらを契機に処理される連携関連の処理は、それぞれ異なる挙動をします。

OFFからONに切り替えた際の動作¶

OFF から ON に切り替えた際、システム画面にて入力された「Active Directory設定」の各項目をDBに保存します。

その後、一台のサーバに対して、Active Directory連携の crontab を設定します。

DBの保存、および、 crontab の設定が成功すると、認証サーバへ接続、認証を行い、ユーザとグループの情報を取得します。

取得されたユーザとグループの情報は、Exastro OASE 内のユーザとグループの情報として保存されます。

../../../_images/ADLinkage_Dialog01.png — 図 4.27 Active Directory連携ON時のメッセージ¶

警告

画面に表示されているとおり、処理が完了するまでブラウザを閉じたり、別のページへ移動しないようご注意ください。
もし、ブラウザを閉じたり、別ページへ移動した場合、正常に連携が行われていない可能性があります。
その際は、一度「Active Directory連携」の設定項目を OFF にして保存した後、再度、ON にして設定をやり直してください。
また、エラーにより正常に連携ができなかった際も、同様の試みをしてください。

ONからOFFに切り替えた際の動作¶

ON から OFF に切り替えた際、既存の「Active Directory設定」の各項目は初期化されます。

その後、Active Directory連携の crontab 設定が削除されます。

各項目の初期化、および、crontab 設定の削除が成功すると、ドメインコントローラから取得したグループ・ユーザが全て削除されます。

../../../_images/ADLinkage_Dialog02.png — 図 4.28 Active Directory連携OFF時のメッセージ¶

AD 連携時刻を迎えた際の動作¶

Active Directory連携が ON の場合、「AD連携時刻」に設定された時刻に crontab による連携処理が行われます。

そのため、ドメインコントローラへユーザやグループの情報を更新しても、即時に Exastro OASE へは反映されません。

AD連携時刻を迎えるまでは、更新前の情報が Exastro OASE 内では有効となっております。

AD連携時刻を迎えると、認証サーバへ接続、認証を行い、ユーザとグループの情報を取得します。

取得されたユーザとグループの情報は、Exastro OASE 内のユーザとグループの情報として保存されます。

↑ Page Top