Windows Active Directoryやファイルサーバーとの連携

      Windows Active Directoryやファイルサーバーとの連携

      ownCloudの導入を検討されている方で、既にWindowsのファイルサーバーを導入済みかつActive Directoryでユーザーやグループを管理している、というユーザーは多いかと思います。

      ownCloudではActive Directory連携機能により、社内Windows端末にログインするためのID/パスワードをそのままownCloudで利用することが可能です。

      また、Active DirectoryのOU(Organizational Unit:組織単位)をownCloud上のグループ情報として反映できるため、セキュリティポリシーの整合性が確保でき、人事異動の際も最小限のフローで管理・運用できます。

      そんなわけでADサーバーとの接続方法を簡単にですがまとめてみました。

      まず、owncloudのアプリ管理画面より「LDAP User and group backend」を追加して、アプリを有効にします。

      SnapCrab_Desktop_2014-7-14_9-35-58_No-00

      そうするとownCloudの管理画面に以下の項目が追加されます。

      SnapCrab_Desktop_2014-6-26_18-59-9_No-00

      見出し等がないので唐突な感じもしますがこちらがLDAPやADとの連携用の設定画面です。

      ここでの画面のサンプルはowncloud.jp.localというドメインを例に設定していきます。

      まず、左端の「Server」タブを選択し、最上部のプルダウンより「サーバー設定を追加」を選択します。

      「ホスト」の項目に、ADサーバーのIP、「ユーザーDN」に対してADサーバーへのログインID、「パスワード」の項目にはパスワードを入力してください。

      匿名アクセスの場合は、パスワードは未入力となります。最下部の項目には、ユーザーDNを設定してください。

      正しく接続された場合は、「設定OK」と表示されますので、その隣の「続ける」ボタンをクリックしてください。

      クリックすると「User Filter」タブへ移動します。

      SnapCrab_Desktop_2014-6-26_18-59-13_No-00

      こちらは、グループを選択するか、「フィルタを編集」項目にその条件を入力してください。

      問題なければ「続ける」ボタンをクリックしましょう。次のタブ「Login Filter」に切り替わります。

      SnapCrab_Desktop_2014-6-26_18-59-17_No-00

      こちらはowncloudのログイン名として使用する項目を指定します。WindowsへのログインとownCloudへのログインするためのユーザーIDを統一するには上記のように設定してください。

      「続ける」をクリックすると「Group Filter」画面に遷移します。

      SnapCrab_Desktop_2014-6-26_18-59-21_No-00

      こちらでは、ADで管理ているグループのフィルタリングが可能です。とりあえずは全グループを取得するために上記の様に設定します。

      次に右側に配置されているAdbancedタブを選択してください。

      「接続設定」「ディレクトリ設定」「特殊属性」のメニュー項目が表示されます。

      こちら「接続設定」画面です。

      SnapCrab_Desktop_2014-6-26_18-59-25_No-00

      この画面ではテスト用のActiveDirectoryサーバーに接続しているため「SSL証明書の確認を無効にする」のチェックを入れています。

      次に「ディレクトリ設定」画面

      SnapCrab_Desktop_2014-6-26_18-59-28_No-00

      「特殊属性」に関しては、 「内部ユーザー名属性:へsAMAccountNameを設定しています。

      SnapCrab_Desktop_2014-7-16_17-17-57_No-00

      こちらを設定しないとユーザー管理画面にて名前がUUIDで表示されてしまいますのでご注意下さい。

      それではユーザ一覧画面を開くと以下の様にADから取得したユーザーが表示されました。

      SnapCrab_Desktop_2014-7-16_17-28-20_No-00

      ちなみにこちらがActive Directoryサーバー側のユーザーの画面です。

      SnapCrab_Desktop_2014-7-17_11-45-36_No-00

      ownCloudでは、Windowsファイルサーバーに対して、それぞれのユーザーや所属に応じて異なる共有設定がされている場合、またフォルダリダイレクト機能を利用している場合等でも、ActiveDrictoryと連携していれば、そのWinodowsのユーザーアカウント単位でファイルサーバーに接続しownCloud上でマウントすることが可能です。

      SnapCrab_Desktop_2014-7-17_14-37-59_No-00

      こちらの機能ですが、ownCloud7より追加予定の機能です。管理画面から「外部ストレージ」の上記画面の「SMB / CIFS using OC login」を利用することで実現可能です。

      ownCloud6をご利用の場合は、標準では実装されていませんが、同様の挙動をするプログラムを弊社にて開発しており、そちらを追加することで対応可能です。

      そちらをご利用されたい方は、下記のページをご参照下さい。

      ownCloud Forums - Guide: OC 6.0.X and H-Drive Integration