アカウント認証外部連携機能のご紹介

こんにちは！

今回はver. 6.2.2から追加された、アカウント認証外部連携機能についてご紹介いたします。

Hinemosのユーザアカウント認証に、LDAPv3対応の外部認証サーバを利用することが出来る機能です。

LDAPv3認証を構成するツールとしては、Active DirectoryやOpenLDAP等があります。

今回は、Active Directoryを例にご紹介していきたいと思います。

設定方法

例として、以下のような「mydomain.com」ドメインのOU(組織単位)「my_org」>「hinemos_org」内のユーザで認証し、Hinemosにログインしてみます。

外部認証を使用する場合、Hinemosがログインユーザを検索するために、OU配下への参照権限を持ったユーザが必要です(例:ドメインの管理者ユーザ)

本例では、「searcher」ユーザを検索用ユーザとして使用します。

1. Hinemosプロパティを変更する

メンテナンスパースペクティブから、メンテナンス[Hinemosプロパティ]ビューより「access.authenticator.id」の値を「ldap」に変更します。

2. ログインしたいユーザIDでHinemosのユーザを登録する。

外部認証でログインしたいユーザをHinemosのユーザとして登録する必要があります。

本例ではアカウントパースペクティブより「user01」、「user02」を作成します。

認証はActive Directoryサーバが行うため、パスワードの設定は必要ありません。

3. 専用のプロパティファイルにLDAP接続設定を記載する。

Hinemosマネージャサーバに配置している専用のプロパティファイルを編集し、LDAPサービスへの接続設定を記載します。

配置場所:Hinemosマネージャのインストール先/etc/hinemos_authenticator.properties

設定項目

• access.authenticator.ldap.url.1
  LDAP接続先URLを指定します。
• access.authenticator.ldap.basedn.1
  ログインユーザを検索するDN(識別名)を指定します(RFC4514準拠)。
  本例の「hinemos_org」内から検索する場合、DNは以下になります。
  「OU=hinemos_org,OU=my_org,DC=mydomain,DC=com」
• access.authenticator.ldap.searchuserdn.1
  ログインユーザ検索用に使用するユーザのDN(識別名)を指定します。
  本例では「searcher」を使用するため、以下DNを設定します。
  「CN=searcher,OU=hinemos_org,OU=my_org,DC=mydomain,DC=com」
• access.authenticator.ldap.password.1
  検索用ユーザのログインパスワードを指定します。
• access.authenticator.ldap.searchuserdn.1
  ユーザ検索時に使用するフィルタ条件式(RFC1558準拠)を指定します。
  以下のフィルタ条件式で、ユーザIDから検索出来ます。
  「(CN={0})」
• access.authenticator.ldap.XXXXXX.2
  上記項目と同様の設定を指定することで、セカンダリサーバを使用することが可能です。
  (本例では使用しません。)

hinemos_authenticator.propertiesの設定例:

4. Hinemosマネージャを再起動する

アカウント外部連携の有効化にはHinemosマネージャの再起動が必要です。

5. Active DirectoryサーバのユーザでHinemosマネージャにログインする。

「user01」のユーザIDとログインパスワードでHinemosマネージャにログインしてみます。

ログイン出来ました！

もちろん、「user02」でもログイン可能です。

ご紹介は以上になります。

外部認証サーバを利用していたら、是非活用してみて下さい！