概要
この機能をActive Directoryドメイン環境の内で利用すると、Internet Explorerを使用してEx@Padにアクセスした場合に、Ex@Padへのログイン認証が自動的に行われ、ID/パスワードの入力なしにEx@Padを利用することができるようになります。
要件
| • | Active Directoryドメイン環境を使用していること。 |
| • | Active Directoryがケルベロス認証をサポートしていること。 |
| • | 対象のクライアントとサーバーがActive Directoryドメインに参加していること。 |
| • | ログインするユーザーがActive Directoryユーザーであること |
| • | サーバーとクライアントの時刻が同期されていること。 |
認証Ticketには使用期限が設定されており、クライアント時刻とサーバー時刻に大きなずれがあると認証に失敗する可能性があります。
| • | Windows Server(2008 / 2008 R2 / 2012 / 2012 R2)を使用していること。 |
| • | InternetExplorer(8 / 9 / 10 / 11)を使用すること。 |
設定
サーバー設定
| 1. | ローカルフォルダをドキュメントルートに設定する場合は、OS の ユーザーアカウント制御(UAC) を OFF にします。 |
| • | UACがONになっていると、ローカルフォルダのドキュメントルートに書き込み(アップロード、移動、コピー、削除)ができません。 |
| • | コントロールパネル→ユーザーアカウント→ユーザーアカウントから変更するか、以下のレジストリを変更することでもOFFにできます。※OSの再起動が必要です。 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA の「値のデータ」を 0 にします。
| 2. | Fb3Apache(Webサーバー)サービスの実行アカウントは、LocalSystemアカウントにします。 |
| • | デフォルトの設定で、LocalSystemアカウントになっています。 |
LocalSystemアカウントには統合認証を行うための権限が与えられています。
| 3. | 管理ツールでドメインの設定を行います(設定はこちらをご覧ください)。 |
| • | Ex@Pad管理ツール > 基本設定 > セキュリティ > windows_domain を開きます。 |
| • | ドメイン名は必ずNetBios形式で指定してください。アクセスログなどでFQDN形式と混在してしまいます。 |
| 4. | 管理ツールで統合認証の設定を行います。 |
| • | Ex@Pad管理ツール > 高度な設定 > 統合Windows認証 を開きます。 |
| • | 「統合Windows認証を利用する」にチェックを入れます |
| • | 統合認証するブラウザのユーザーエージェントを正規表現で指定します。 |
通常はデフォルト値の msie|trident を変更する必要はありません。
| • | 統合認証を許可するクライアントのサブネットマスクを指定します。 |
| • | OKを押してサービスを再起動します。 |
| 5. | ドキュメントルートがネットワークフォルダの場合には、ファイルサーバーからEx@Padサーバーに対してネットワークドライブアクセス(cifsサービス)の委任設定が必要です。委任元ファイルサーバーと、委任先Ex@Padサーバー(Webサーバー)とが、同一ドメインに所属することが前提です。 |
例)ネットワークフォルダ: \\carrot2\share
Ex@Padサーバー(Webサーバー)のホスト名: carrots
【委任先サーバの設定】
| • | Active Directory ドメインコントローラにWindowsログインします。 |
| • | サーバーマネージャー > Active Directoryユーザーとコンピュータ > ドメイン > Computers > carrots のプロパティを表示します |
| • | 委任タブの「指定されたサービスへの委任でのみこのコンピューターを信頼する」「Kerberosのみを使う」にチェックを入れて、追加ボタンを押します。 |
【委任元サーバの設定】
| • | 「ユーザーまたはコンピュータ」でファイルサーバー( carrots )を選択します。 |
|
|
| • | 列挙されるサービスの、cifs を選択してOKボタンを押します。 |
| • | Active Directoryの設定変更がEx@Padサーバーへ確実に適用されるように、Ex@PadサーバーのOSを再起動します。 |
※ ドキュメントルートが複数あり接続先ホストが異なる場合、それぞれのホストに設定が必要です
※ この委任設定が正常でない場合、「ドキュメントルートを表示できない」「ログイン時にアクセスできるドキュメントルートが1つもありません」といったエラーが表示されます。
クライアント設定
| 1. | InternetExplorerの「統合Windows認証を利用する」を有効にします。 |
| • | インターネットオプション > 詳細設定 > 統合Windows認証を利用する を確認してください。 |
| 2. | Ex@PadサーバーのURLをローカルイントラネットのサイトに追加します。 |
| • | 指定がホスト名であればデフォルトで含まれます。 |
例)http://ServerName/ExaPad/
| • | ホスト名ではなくIPアドレスやドメイン名で指定知る場合、デフォルトではローカルイントラネットには含まれていないため、サイトに追加してください。 |
例)http://192.168.xx.xx/ExaPad/ | http://Domain.net/ExaPad/
| • | インターネットオプション > セキュリティ > ローカルイントラネット > サイト > 詳細設定 |
| 3. | ローカルイントラネットのセキュリティレベルにおいてユーザ認証を設定します。 |
| • | インターネットオプション > セキュリティ > ローカルイントラネット > レベルのカスタマイズ > ユーザ認証 |
| • | ログオン設定において、「イントラネットゾーンでのみ自動的にログインする」(イントラネットで利用している場合) |
または「現在のユーザー名とパスワードで自動的にログオンする」にチェックを入れいる
| 4. | Ex@PadサーバーへアクセスするときにHTTPプロキシサーバーを介さないようにしてください。 |
| 5. | ショートカットやブックマークに使用するURLは、http://ServerName/ExaPad/ としてください。 |
| • | http://ServerName/ExaPad/login.php の場合は、必ずログイン画面が表示されてしまいます。 |
| • | /index.php、/adminindex.php、/index.php?path=*** などであれば自動的に統合認証されます。 |
InternetExplorer以外のブラウザを使用する場合
| • | ログインしていない状態で、どのURLを使用しても必ずログイン画面が表示されます。 |
統合認証の設定を行っても、InternetExplorer以外のブラウザの使用を制限することはありません。