WebアプリケーションのオープンソースSSOツールというと有名なのがOpenAMだと思うが、他にも無いのかなと調べて見たところ、『LemonLDAP::NG』なるツールを見かけた。
ドキュメントもかなり揃ってるし、スクリーンショットを見る限り良さげな感じ。
今回は、とりあえずCentOS 7にインストールをして動作させるまでをやってみる(ActiveDirectoryやOpenLDAPとの連携まではまた後日)。
複数台に役割を分散させることができるようなのだが、ここでは一台で全ての役割を担当させている。
ちなみにWebサーバはApacheかNginxを選べるようなのだが、ここではN...
諸事情があり、ldapsで利用している証明書に関する情報を取得したいということがあったので、備忘で残しておく。
以下のようにopensslコマンドを実行することで、ldapsの証明書を読み込む事ができる。
sshやRDP、VNCの踏み台サーバとして利用できるApache Guacamoleでは、LDAP連携を行うことでActive Directoryユーザでのログインが行える。
設定は簡単で、公式で配布されているjarファイルを所定の位置に配置してやり、かつLDAP連携の設定を設定ファイルに追記するだけだ。
公式でも手順が公開されている(…今回は既存のADとの連携だったからかそのままは利用できなかったけど)ので、参照すると良いだろう。
まず、以下のコマンドでjarファイルのダウンロード・配置を行う。
(以下の例では、Guacamoleのバージョンが0.9.10となっているので、自身の環境に合わせてファイルをダウンロードすること。また、ファイルの配布先についても環境に応じて変更すること。)
今回は、Postfix+Dovecotで構築されたメールサーバで、ActiveDirectory連携についてを行う。
なお、当たり前だがメールサーバ側からADサーバと通信できる必要があるので、DMZ領域にいる場合でもそこの通信を開けないといけなかったり、クラウド上にメールサーバが建ってる場合はVPNで接続したりする必要がある。
ネットワーク周りから考えないとならず、諸々面倒くさいことこの上ない。
小規模なグループで用いるメールサーバであれば少人数なので普通にpamでローカルユーザで管理してID統合は行わないか、おとなしくGSuiteやOffice 365を使ったほうがいいだろう(これらには...
RundeckをActiveDirectoryと連携させるには、管理画面からではだめで設定ファイルを直接いじってやる必要がある。
また、基本的にはログイン権限のロールとしてADグループを指定するので、事前にAD側でグループを作成・ユーザを参加させておく必要がある(今回の例では、とりあえずドメインはadtest.localと仮定し、ログイン可能なグループを「rundeck_group」としてAD側で作成済とする)。
注意したい点としては、ActiveDirectory連携をただ設定すると既存のローカルユーザが使用できなくなる点だ。
これについては、MultiAuthの設定をしてやることで解決...
Proxmox VE 4.1ではWebGUIから設定してActive Directory連携を行わせる事が出来る。
今回は、CentOS 7 + Samba4で作成したDomain ContollerとProxmox VE 4.1でこの連携を行う。
連携設定は簡単。
まず、[データセンター] > [認証] > [追加]で、Active Directoryを選択する。
レルムやドメイン、DCサーバの情報などの環境情報を入力する。
で、ここまでで終わるのかな?と思ってたのだが、どうやらグループやその権限、グループに所属するユーザとしてADのユーザも作らないといけないらしい。...
自宅にSamba4を用いたDomain Controllerを構築したので、それにCentOS 7を参加させてみる事にする。
まずは参加させるCentOS 7側で、以下のコマンドを実行し必要になるパッケージをインストールする。
1.必要パッケージの導入
yum -y install realmd sssd oddjob oddjob-mkhomedir adcli samba-common
2.AD参加設定
次に、参照するDNSサーバをDCのアドレスに変更する。
nmcli c modify インターフェイス名 ipv4.dns DCのアドレス
nmcli c down...
さて、今回はCentOS 7とSamba4で構築したDomain Controllerを用いて、移動ユーザプロファイルの設定を行う。
移動ユーザプロファイルというのは、ユーザごとに持っている環境設定(壁紙の設定やマイドキュメント配下のファイルなど)をドメインごとに共通で保持させる設定だ。
この機能を利用することで、ログイン時にフォルダの中身が自動的にADサーバ上のフォルダと同期される。ただ、あまり容量が大きくなるとログイン時に時間がかかるようになってしまうので、今回は参考サイトと同じく、この移動ユーザプロファイルとセットで使われる事の多いフォルダリダイレクト機能(各マシンで共有するフ...
今回は、CentOS 7上で作成したドメインコントローラーで、パスワードのルールなどを管理するアカウントポリシーの設定を行う。
なお、Samba 4のドメインコントローラーでは一部(アカウントのロックアウトなど)の機能が正常に動作しないようなので、実質的にはパスワードポリシーのみとなっている。
1.Windows(クライアント)から管理する
Windows上からのパスワードポリシーの設定は、「グループポリシーの管理」から設定する。
まずは、「グループポリシーの管理」から、[フォレスト] > [ドメイン] > [管理するドメイン名] > [Default Domain Policy]...
前回までで、Samba4で作られたドメインコントローラー、それをWindowsからGUIでリモート管理するリモートサーバ管理ツールまでを記述した。
今回は、実際にユーザーの管理を行っていく。
1.Windows(クライアント)から管理する
Windows上でのユーザー管理は、前回紹介したリモートサーバ管理ツールから行う。
GUIでの操作になるため、ここではユーザの作成にのみ触れるものとする。
といっても、何ら難しいものではない。
まず、ユーザーを追加したいコンテナ(ここでは、Users)を選択し、新規ユーザの作成ボタンを押下する。
ユーザの情報入力画面が表...
さて、前回CentOS 7上にSamba4を用いてドメインコントローラーを構築したが、今のままだとLinux上からしかActive Directoryの管理が出来ない。
そこで、管理を簡単にするために、クライアントであるWindows 7上にリモートサーバー管理ツール(Active Directory のドメインコントローラーに接続し、管理を行うソフトウェア)をインストールする。
前提条件としてインストールを行うクライアント機は対象ドメインにAdministratorユーザでログインしている必要がある。
1.インストーラーのダウンロード
まずは、リモートサーバー管理ツールのインス...
一定の規模を持つWindows環境を構築する上で、無くてはならないのがActive Directoryだ。
そのActive Directoryを使う上で欠かせないDomain Controllerだが、実はSamba 4で構築可能となったのだ。
今までのバージョンでは別途必要であったLDAPサーバやDNSサーバの導入も不要となっており、Samba 4でのDomain Contorllerでのドメインの連動テストにはMicrosoftも協力していることから、普通に利用する分には問題なく動作するだろう事が伺える。
それでは、早速インストールをしてみよう。なお、今回の構築・検証はこち...