4.4. Active Directory連携

Exastro OASE における Active Directory連携(以降、「AD連携」と表記)機能を利用する為に必要なシステム構成と環境構築について説明します。

概要

AD連携機能は、以下の機能を提供します。

機能名

用途

ユーザ認証

Exastro OASE からドメインコントローラに対して AD 認証(LDAP 認証)を行います。

ミラーリング

ドメインコントローラ上のユーザ情報およびグループ情報を Exastro OASE 上の「ユーザ」および「グループ」にミラーリングをします。(一方向同期)

システム構成

AD連携機能は、ドメインを構成するドメインコントローラと連携します。
../../../_images/system_configuration.png
※ userPrincipalName … Active Directory 上のログインID
※ displayName … 表示名
※ commonName … オブジェクト名(上図では、グループオブジェクトの名称)
※ memberof … ユーザが所属するグループ名

Active Directory 設定

危険

AD連携を実行するとシステム管理者を除く現在登録中のグループ・ユーザ情報が全て削除され、ADから取得したグループ・ユーザを設定します。
AD連携を解除するとADから取得したグループ・ユーザが全て削除されます。
画面上部のメニューから システム ‣ システム設定 を開きます。
左メニューから Active Directory設定 を選択します。
../../../_images/ADLinkage_column_edit.png

図 4.26 Active Directory 設定編集画面

表 4.20 Active Directory 設定項目

構成要素

説明

Active Directory連携

AD連携の状態を選択してください。

管理者ユーザ

認証サーバ接続ユーザ名を入力して下さい。64文字以内で入力する必要があります。

管理者パスワード

認証サーバ接続パスワードを入力して下さい。

接続先

認証サーバ接続先ドメインを優先度が高い順にカンマ区切りで設定して下さい。512文字以内で入力する必要があります。

連携時刻

ドメインコントローラとの同期時刻(0-23時)を入力して下さい。複数時間設定する場合はカンマ区切りで設定してください。

接続タイムアウト

接続時無応答時のタイムアウト時間(秒)を設定します。1-99999 の値を設定できます。

読み取りタイムアウト

情報取得時のタイムアウト時間(秒)を設定します。1-99999 の値を設定できます。

認証サーバ検索文字

ドメインコントローラから取得できる識別名を指定してください。256文字以内で入力する必要があります。

行追加ボタン

対象グループリスト情報入力欄を1行ずつ追加します。対象グループリストは30件まで登録可能です。

属性値

ドメインコントローラに設定済みのグループ(CommonName)を属性値に指定してください。40文字以内で入力する必要があります。

所属部署名

所属部署名はOASEのグループ名として使用されます。40文字以内で入力する必要があります。

設定が完了したら  保存 をクリックします。
設定前の状態に戻すには、 リセット をクリックします。

Active Directory 連携の有効・無効切り替え時の動作

Active Directory との連携を行う契機として、以下の3つが挙げられます。
  • システム設定画面の「Active Directory連携」の設定項目を OFF から ON に切り替え保存する

  • システム設定画面の「Active Directory連携」の設定項目を ON から OFF に切り替え保存する

  • システム設定画面の「AD連携時刻」に設定された時刻を迎える

これらを契機に処理される連携関連の処理は、それぞれ異なる挙動をします。

OFFからONに切り替えた際の動作

OFF から ON に切り替えた際、システム画面にて入力された「Active Directory設定」の各項目をDBに保存します。
その後、一台のサーバに対して、Active Directory連携の crontab を設定します。
DBの保存、および、 crontab の設定が成功すると、認証サーバへ接続、認証を行い、ユーザとグループの情報を取得します。
取得されたユーザとグループの情報は、Exastro OASE 内のユーザとグループの情報として保存されます。
../../../_images/ADLinkage_Dialog01.png

図 4.27 Active Directory連携ON時のメッセージ

警告

画面に表示されているとおり、処理が完了するまでブラウザを閉じたり、別のページへ移動しないようご注意ください。
もし、ブラウザを閉じたり、別ページへ移動した場合、正常に連携が行われていない可能性があります。
その際は、一度「Active Directory連携」の設定項目を OFF にして保存した後、再度、ON にして設定をやり直してください。
また、エラーにより正常に連携ができなかった際も、同様の試みをしてください。

ONからOFFに切り替えた際の動作

ON から OFF に切り替えた際、既存の「Active Directory設定」の各項目は初期化されます。
その後、Active Directory連携の crontab 設定が削除されます。
各項目の初期化、および、crontab 設定の削除が成功すると、ドメインコントローラから取得したグループ・ユーザが全て削除されます。
../../../_images/ADLinkage_Dialog02.png

図 4.28 Active Directory連携OFF時のメッセージ