Title: Active Directory 設定

ここでは、ユーザー認証を Microsoft Active Directory で行うための連携設定について解説します。

TeamPage 6.2.66 以降では Kerberos 認証を利用できます。詳しくは DocJp2694: Microsoft ActiveDirectory を使用した Kerberos 認証用に TeamPage を設定する手順 をご覧ください。



NTLMv2 の Active Directory 環境では、有償の「NTMLv2 認証プラグイン(Jespa プラグイン)」が別途必要になります。詳しくは弊社サポートまでお問い合わせください。(参照: FAQ1632: ActiveDirectory環境でTeamPageへアクセスしたとき「ユーザー名またはパスワードが正しくありません」エラーになる





設定画面の詳細



ユーザー ディレクトリの設定画面を開くには、次のようにします。

新しいジャーナル



新しいジャーナルを作成するときに Active Directory の設定を開くには、ジャーナルのディレクトリ(保存場所)や説明を入力する画面で [詳細] をクリックして詳細設定オプションを表示し、[ユーザー ディレクトリ] のドロップダウンリスト下の [新規] をクリックします。



既存のジャーナル



使用中のジャーナルで Active Directory の設定を行うには、次の手順で操作してください。

[サーバーセットアップ] > [一般] > [現在のジャーナル] の [ユーザーディレクトリの変更] ボタンをクリックして「ユーザーディレクトリの変更」画面を表示する。



[新規] ボタンをクリックし、「ユーザーディレクトリの設定」画面を表示する。



Active Directory テンプレートの選択



[ファイルの選択] ドロップダウンメニューから [Microsoft Active Directory サーバー] を選択する。



概説



上記ドロップダウンメニューから選択されたものは、ユーザーディレクトリのテンプレートです。

設定を保存すると、修正、削除、テスト、使用可能なプロファイルになります。保存ファイルのパスや名前は、画面上部に表示されます。



変更した設定は何度でも保存できます。[保存] ボタンは画面の最下部にあります。設定名は自由に付けられます。設定に何か変更を加えると、この [保存] ボタンをクリックできるようになります。



プロファイルを保存すると画面のタイトルにプロファイル名が反映され、画面上部のドロップダウンメニューから選択できるようになります。



説明



[説明] 欄には、必要に応じて、プロファイルの説明や注意書きなどを記入します。



一般



ビジターのログインを許可



この設定の初期値は [いいえ] です。「いいえ」の場合、TeamPage の権限設定(アクセス コントロール リスト (ACL) の設定)に関わらず、ビジターは一切ログインできません。

ビジターのログインを許可

ログインを強制



[ビジターのログインを許可] を [はい] に変更する場合は、サブオプション [ログイン強制] を設定します。

ログインを強制



Active Directory サーバー



TeamPage の認証を行う Active Directory についての正しい設定値を入力します。

Active Directory サーバーの設定

ドメイン コントローラ



ドメインコントローラの IP アドレスまたはホスト名を指定します。

既定のドメイン



TeamPage がユーザーの認証をどのドメインに対して行うかを設定します。複数のドメインは、カンマで区切って記入します。

TeamPage がユーザー名とパスワードを要求するとき、ここに記入されたそれぞれのドメインに対して合致するユーザー名を問い合わせます。グローバルカ タログと複数のドメイン中でユーザーパーティションを使用している場合は、ログインに必要な全てのドメインを記入してください。

注意:ユーザー名は、全ドメインにおいてユニークでなければなりません。例えば、ユーザー「tanaka」がドメイン「A」に存在する場合、ドメイン「B」にユーザー「tanaka」が存在してはいけません。

LDAP検索ポイント



LDAP 内で TeamPage がユーザーとグループを検索する位置を指定します。

重要!! ここに記入するパスに対応するドメイン名は、TeamPage がインストールされたホストから名前解決できなければなりません。つまり、DNS あるいは hosts ファイルに登録されている必要があります。

上図のように検索ポイントを指定した場合、下図のように ping コマンドを使ってレスポンスを調べられます。(ホスト traction.inc に対して ping が通るかどうかを確認しています)



ping コマンドが失敗する場合、hosts ファイルにエントリを加えてください。hostsファイルは次の場所にあります。



LDAPポート



Active Directory が LDAP 接続に使うポート番号を指定します。初期値は 389 です。

認証



TeamPage は認証のために Active Directory サーバーに接続し、ユーザー名、グループ名、プロパティ(フルネームやメールアドレス)を検索します。

Active Directory 認証の設定

認証の種類



Active Directory サーバーが認証を求める場合は、[簡易認証] を選択してください。[簡易認証] を選択すると、その下に [アカウント] と [パスワード] の入力欄が表示されます。

[なし] を選択すると、TeamPage は Active Directory サーバーに匿名で接続します(Anonymous 接続)。Active Directory サーバーで匿名接続が許可されユーザー検索できる場合は [なし] で構いません。

注意:アカウントは、上図のように、ドメイン名つきで指定します。Windows のバージョンによっては "ユーザー名@ドメイン名" ではなく "ドメイン名\ユーザー名" と指定する場合があります。

メモ:入力されたパスワードは秘密鍵で暗号化され、TeamPage の設定ファイルに保存されます。

重要!! 可能であればパスワードの有効期間は「なし」にしてください(Active Directory 側でパスワードの有効期間の値を 0 に設定する)。有効期間が過ぎたとき、Active Directory でユーザー認証ができないため、すべてのユーザーが TeamPage にログインできなくなります。もし、有効期間を「なし」にできない 場合は、有効期間が過ぎる前に上図のパスワードの更新を行ってください。

詳細



ログイン方法



ログイン方法の詳細

多くの環境では、ユーザーの自動ログイン(シングル サインオン)ができる [NTLM] が使われます。

[NTLM] を選択したとき、TeamPage に最初にアクセスしたとき、Windows ログオンするときと同じユーザー ID のアカウントが TeamPage に作成されます。ユーザーは TeamPage のユーザー名やパスワードを入力する必要はありません(シングル サインオン)。TeamPage は、Active Directory で照合されるハッシュ値をログイン マネージャから得るだけで、ユーザーのパスワードを関知しません。

重要! ここで [Realms] や [Cookies] を選択すると、ユーザーが TeamPage にアクセスした際にパスワードの入力を求められます。これらの方法は、ログインの管理に違いがあります。

[Cookies] は、Webブラウザに保存される、クッキーによるログイン管理を有効にします。TeamPage にログインするユーザーは、ログイン画面の [ログインしたままにする] チェックボックスのオン/オフで、クッキーの有効期間を選択できます。

ログイン画面

チェックボックスのオン/オフ時のクッキーの有効期間は次のとおりです。



このチェックボックスをログイン画面に表示するかどうかは、サーバー管理者が、[サーバーセットアップ] > [一般] > [ログイン設定] の [[ログインしたままにする] チェックボックスを表示する] チェックボックスの表示」で選択できます。

[Realms] を選択したとき、パスワードはセキュリティ性を考慮して Uuencode で送信されます。[Cookies] の場合は Base64 で符号化されます。このような理由により、[Realms] または [Cookies] を選択する場合には、HTTP ではなく HTTPS での運用を推奨します。ユーザーのパスワードを TeamPage が関知しない [NTLM] は、この点で [Cookies] や [Realms] に比べて安全性が高いと言えます。

NTLMのオプション



[NTLM] が選択されたとき、Basic (realms) 認証を許可するかどうかを選択できます。Internet Explorer 以外のブラウザ (Firefox や Chrome など) や一般的な RSS リーダーなど、NTLM に対応していないクライアントで TeamPage にアクセスするかどうかを考慮して、選択してください。

[安全ではない Basic 認証を有効にする] では、HTTPS 接続だけでなく HTTP 接続においても Basic 認証を有効にするのかどうかの選択をします。

TeamPage ユーザー管理を有効



[ログイン方法] で [Realms] または [Cookies] を選択したとき、この設定が選択可能になります。

この設定では、TeamPage に登録されているが Active Directory には登録されていないユーザー(社外ユーザーなど)のアカウントを TeamPage に作成し、ログインできるようにするかどうか設定します。

パスワード変更メッセージ



Active Directory ではなく別の認証方式を使うユーザーの、パーソナルセットアップ > パスワード に表示するメッセージを設定します。

パスワード変更メッセージ

追加設定



場合によっては、この欄に設定を書き込むこともあります。

Active Directory の検索



ユーザーのルックアップ検索、グループのルックアップ検索、電子メール補完検索で設定された内容は、TeamPage が ActiveDirectory 内のユーザー、グループ、電子メールアドレスをルックアップ(検索)するときに使用されます。

プリンシパルキャッシングの設定



グループ メンバー検索



TeamPage は、パフォーマンスの向上と Active Directory サーバーの負担軽減のため、Active Directory から取得した情報をキャッシュします。Active Directory を使用するなら、ここは [直接検索] にします。

プリンシパル キャッシング



キャッシングは、認証を完了するまでの時間や、ディレクトリサーバーの負荷、ネットワークの使用量を減らし、性能向上に役立ちます。概して [はい] の設定を推奨します。

とても大きな Active Directory を運用している場合(10万ユーザー以上)、TeamPage はプリンシパル キャッシュを維持するために重要なメモリリソースを必要とします。サーバーマシンがとても速く、CPU 使用率も十分に空きがある場合は、キャッシュによる利益を体感できないかもしれません。

キャッシュ更新時刻



ディレクトリサーバーは、しばしば特定の時刻に別のサーバーと同期して運用されます。通常、同期が完了した後に、TeamPage のキャッシュをクリアして情報をアップデートします。ここでは更新を行う時刻を指定します。

キャッシュ更新の間隔



キャッシュ中の情報をディレクトリサーバーから再取得する間隔を指定します。

Active Directory のテスト



設定の保存とテスト画面の表示



すべての設定を済ませたら、画面下部の [保存] ボタンをクリックして設定を保存します。

そして、[テスト] ボタンをクリックして、Active Directory のテスト画面を表示します。

保存とテスト

下図の「ユーザー ディレクトリのテスト」画面が表示されたことを確認します。

テスト画面

ログインのテスト



ユーザーがログインできるかどうかを確認するには、ユーザー名とパスワードを記入して [ログインのテスト] ボタンをクリックします。

ドメインサーバーでの認証が成功すると、「ログインできました。」メッセージが表示されます。

ログインのテスト

ログインに失敗する場合、ユーザー名やパスワードに誤りがないか、設定に誤りがないか、TeamPage サーバーが実行されているホストから Active Directory サーバーのホストへ ping が通るか、DNS や hosts ファイルに設定されているか等を確認してください。

注意: ログインのテストは、[既定のドメイン] 設定で指定されたすべてのドメインに対して行われます。指定してもの以外のドメイン、または指定 したものの中の任意のドメインに対してテストする場合は、ドメイン名付きのユーザー名を記入します。(例) DomainName\UserName

ルックアップのテスト



ログインの成功を確認した後、[ルックアップのテスト] ボタンをクリックして、ルックアップ(ユーザーの検索)のテストを行います。

該当するユーザーが見つかると、そのユーザーアカウントが表示されます。下図は「suzuki」を含むユーザーを検索したところです。

「suzuki」を検索

[アカウント名の入力] 欄を空欄のままルックアップを実行すると、すべてのユーザーが表示されます。



アカウントの詳細を確認



表示されたアカウントの詳細情報を表示するには、一覧の中からアカウントを選択し、[詳細] リンクをクリックします。

アカウントの詳細情報を確認

メモ: TeamPage は、Active Directory の GUID を、TeamPage ユーザーと Windows ユーザーの間のマッピングに使用します。

トラブル・シューティング



設定やテストがうまくいかないとき、デバッグ用のログを確認して原因を調査できます。詳しくは、ログファイルを使ったトラブルシューティング を参照してください。

また、Active Directory 関連の FAQ も参考にしてください。





Attachments:
ad001.png
ad002.png
ad003.png
ad004.png
ad005.png
ad006.png
ad007.png
ad008.png
allow_visitor_login.png
force_login_visitor.png
active_directory_settings.png
ping.png
active_directory_auth.png
details_ntlm.png
remember_option.png
msg_change_pw.png
save_test.png
userdirtest_view.png
login_test.png
lookup_all_users.png
lookup_suzuki.png
details_principal.png
関連記事
参照されている (9)
DocJp2694: Microsoft ActiveDirectory を使用した Kerberos 認証用に TeamPage を設定する手順FAQ2230: ActiveDirectory認証とTeamPage認証を併用するにはFAQ1894: ログインページDocJp1526: 外部ディレクトリからのユーザーの追加FAQ755: Active Directory ユーザーのアカウントが自動的に作成されないようにするにはDocJp240: 現在のジャーナルDocJp99: ユーザーディレクトリの選択と設定DocJp68: インストール&セットアップ ガイドFAQ143: シングルサインオンにするにはどうすればよいですか
参照している (2)
DocJp2694: Microsoft ActiveDirectory を使用した Kerberos 認証用に TeamPage を設定する手順FAQ1632: ActiveDirectory環境でTeamPageへアクセスしたとき「ユーザー名またはパスワードが正しくありません」エラーになる
Article: DocJp92 (permalink)
Date: 2009/09/09; 16時29分35秒 JST

Author Name: TeamPage サポート
Author ID: jpbo