Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Active Directory #TechLunch

Avatar for Livesense Inc. Livesense Inc. PRO
September 03, 2014
Technology
140
2

Active Directory #TechLunch

Active Directory
2014/9/3 (水) @ Livesense TechLunch
発表者:吉田 航

Avatar for Livesense Inc.

Livesense Inc. PRO

September 03, 2014

More Decks by Livesense Inc.

See All by Livesense Inc.
28新卒_Webエンジニア職採用_会社説明資料
Avatar for Livesense Inc. livesense
PRO
0
54
27新卒_総合職採用_会社説明資料
Avatar for Livesense Inc. livesense
PRO
0
4.6k
27新卒_Webエンジニア職採用_会社説明資料
Avatar for Livesense Inc. livesense
PRO
0
9k
株式会社リブセンス・転職会議 採用候補者様向け資料
Avatar for Livesense Inc. livesense
PRO
0
340
株式会社リブセンス 会社説明資料(報道関係者様向け)
Avatar for Livesense Inc. livesense
PRO
1
1.7k
データ基盤の負債解消のためのリプレイス
Avatar for Livesense Inc. livesense
PRO
0
600
26新卒_総合職採用_会社説明資料
Avatar for Livesense Inc. livesense
PRO
0
13k
株式会社リブセンス会社紹介資料 / Invent the next common.
Avatar for Livesense Inc. livesense
PRO
2
63k
26新卒_Webエンジニア職採用_会社説明資料
Avatar for Livesense Inc. livesense
PRO
1
13k

Other Decks in Technology

See All in Technology
要件定義の精度を高めるための型と生成AIの活用 / Using Types and Generative AI to Improve the Accuracy of Requirements Definition
Avatar for haru860 haru860
0
300
AWS Transform CustomでIaCコードを自由自在に変換しよう
Avatar for k-kun duelist2020jp
0
240
AI時代に越境し、 組織を変えるQAスキルの正体 / QA Skills for Transforming an Organization
Avatar for miisan mii3king
5
4k
Vision Banana: Image Generators are Generalist Vision Learners
Avatar for Kazuyuki Miyazawa kzykmyzw
0
250
Google Cloud Next '26 の裏でこっそりリリースされたCloud Number Registry & Cloud Hub コスト分析 を試してみた
Avatar for hikaru hikaru1001
0
160
ファインディの事業拡大を支える 拡張可能なデータ基盤へのリアーキテクチャ
Avatar for Noriaki Hiraki hiracky16
0
900
ServiceによるKubernetes通信制御ーClusterIPを例に
Avatar for 周学勤(Zhou Xueqin) miku01
1
140
変化の激しい時代をゴキゲンに生き抜くために 〜ストレスマネジメントのススメ〜
Avatar for KAKEHASHI kakehashi
PRO
4
1.1k
GitHub Copilot Dev Days
Avatar for tomokusaba tomokusaba
0
150
もっとコンテンツをよく構造化して理解したいので、LLM 時代こそ Taxonomy の設計品質に目を向けたい〜!
Avatar for MasatoMasaMasa morinota
0
190
古今東西SRE
Avatar for Kaoru okaru
1
130
Oracle Cloud Infrastructure:2026年4月度サービス・アップデート
Avatar for oracle4engineer oracle4engineer
PRO
0
340

Featured

See All Featured
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
55
8.1k
Have SEOs Ruined the Internet? - User Awareness of SEO in 2025
Avatar for Akash Hashmi akashhashmi
0
330
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
52
3.7k
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
16
1.9k
What’s in a name? Adding method to the madness
Avatar for The Alliance productmarketing
PRO
24
4k
Leading Effective Engineering Teams in the AI Era
Avatar for Addy Osmani addyosmani
9
1.9k
Facilitating Awesome Meetings
Avatar for Lara Hogan lara
57
6.8k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
59
6.5k
エンジニアに許された特別な時間の終わり
Avatar for watany watany
106
240k
Done Done
Avatar for chrislema chrislema
186
16k
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
463
34k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
Avatar for Michelle Schulp Hunt marktimemedia
31
2.8k

Transcript

  1. Active Directory TechLunch at 2014/9/3 by Wataru Yoshida

  2. 今更ながらの自己紹介 • 吉田 航 • 2013年1月入社 • いわゆる社内SE的なお仕事 • 職歴

    • 某大手SIerに8年在籍 インフラエンジニア 3年:NW機器とかサーバとか触ってました アプリケーションSE 3年:C#とかMSSQLとか触ってました 情報システム部門 2年 :いろいろ触ってました 2

  3. やってきたお仕事 3 2013年2月 電話システム リプレース 2013年4月 Active Directory導入 2013年5月 社内システム用サーバー移設

    2013年7月 無線LANリプレース、SSL-VPN導入 2013年9月 オフィス増床(久米ビル) 2013年11月 confluenceリプレース 2014年2月 消費税増税対応 2014年3月 JIRA導入 2014年4月 Google Apps導入、Gmail移行 2014年6月 オフィス増床(IKビル) 他にも組織変更対応、アカウント管理、内部統制対応、中間DBの改修など

  4. 本日のテーマ 4 Active Directory

  5. 5 1.Active Directory概要 2.Active Directory応用その1 3.Active Directory応用その2

  6. Active Directoryとは • LDAPをベースとした、Microsoft製のディレクトリ サービス • Windows 2000 Server ではじめて搭載された

    • 前身はWindows NTドメイン • 略してAD 6

  7. LDAPとは • LDAP(Lightweight Directory Access Protocol) • ディレクトリサービスにアクセスするためのプロトコル • ディレクトリサービス

    • ユーザーアカウントやコンピュータアカウント等の 情報を集約し、照会する機能を提供するサービス • 製品例 • OpenLDAP • Active Directory 7

  8. LDAPのイメージ 8 ・ローカルにユーザーを持たず、LDAPでユーザーを一元管理 ※ホームディレクトリはローカルに保持し、認証のみをLDAPに任せる

  9. Why Active Direcory ? • Windows製品との親和性 • グループポリシー(後述)が非常に強力 • デファクトスタンダード

    • 連携できる製品が非常に多い • 管理が容易、ドキュメントも豊富 • MS製品にしてはよく出来てる • 高可用性&高安定性 • Windows Serverの標準機能(=無料!) 9

  10. Active Directory導入のメリット • アカウント管理の負荷低減 • 入社、退社の際のアカウントメンテ • 管理者によるアカウントの無効化、パスワードリセット • Active

    Directoryを認証基盤として活用 • 統制の強化 • パスワードポリシーの強制 • グループポリシーによる設定の統一 10

  11. Active Directory導入前のリブセンス • 全PCのローカルユーザーのパスワードをExcel管理 • Pマークの運用で年1回のパスワード変更が必要 • 江原さんが全PCのパスワードを変えて回っていた(らしい) • 入社時のアカウント発行が苦行

    • 当時のNASやブラウザチェック環境は、それぞれに同じID/PWの ローカルユーザーを登録していた • 「PCのパスワードが分からなくなった」 • 「ご愁傷様です」 11

  12. 12 これは早めにActiveDirectoryを 導入しないと死ぬ

  13. Active Directory導入 • 速攻ActiveDirectoryを導入 • Windowsだけでなく、MacもADに登録 • ついでに無線LANの認証もAD連携させる • SSL-VPNの認証もADに任せちゃう

    13

  14. 構成図 14

  15. Active Directoryの画面(サーバ) 15

  16. Active Directoryの画面(クライアント) 16

  17. Active Directoryの画面(クライアント) 17

  18. 18 1.Active Directory概要 2.Active Directory応用その1 3.Active Directory応用その2

  19. Active Directoryによる認証 • ADではアカウントをグループで束ねて管理することが可能 • グループはネスト可能 • NTFSアクセス権をADのグループで設定 • 組織変更が発生した際も、ADのグループをメンテするだけでOK

    • 無線LANやSSL-VPNの認証もADのグループを利用 19

  20. Active Directoryによる認証 20 NTFSアクセス権

  21. Active Directoryによる認証 21

  22. Active Directoryによる認証 無線LAN、SSL-VPN 22

  23. グループポリシー • WindowsやOffice等の設定を強制配布する機能 • グループポリシーで配布された設定は、ローカルの設定 で上書きすることができない • 実際に配布している設定 • Windows

    Updateの設定 • 無線LANの設定+証明書配布 • Officeの各種設定 • ログイン、ログオフスクリプト など • Windows以外のOSには適用不可 23

  24. グループポリシーの設定画面 24 アルバイトPCから 外部媒体への書き込みを禁止

  25. 25 1.Active Directory概要 2.Active Directory応用その1 3.Active Directory応用その2

  26. LDAPクエリ • ADが管理者にとって便利ということは分かった • 利用者側で何かに活用できないの? • ADの情報を他のシステムから参照したい • LDAPクエリによる問い合わせが可能 26

  27. LDAPクエリ • LDAPクエリ • LDAPに問い合わせを行うためのクエリ • LDAPクエリの構文や基本的なアトリビュートは製品に 関わらず共通(RFCで定義されている) • 主要な言語であればLDAP用のライブラリが用意されて

    いる 27

  28. LDAPクエリ • RubyからActiveDirectoryにアクセスしてみる • ActiveRecordっぽくLDAPオブジェクトを 扱える”ActiveLdap”を使ってみる • 必要なgemのインストール 28 $

    gem install net-ldap $ gem install activeldap

  29. LDAPクエリ 29 HOST_IP_V4 = '192.168.20.221' BIND_BASE = 'ou=RootOU,dc=ad,dc=livesense,dc=co,dc=jp' BIND_USER =

    'cn=200071,ou=Common,ou=User,ou=RootOU,dc=ad,dc=livesense,dc=co,dc=jp' BIND_USER_PASSWORD = 'hogehoge' BIND_PORT = 389 BIND_METHOD = 'plain' ActiveLdap::Base.setup_connection( :host => HOST_IP_V4, :port => BIND_PORT, :method => BIND_METHOD, :base => BIND_BASE, :bind_dn => BIND_USER, :password => BIND_USER_PASSWORD) ※ReadOnlyでよければ、自分の社員番号のユーザーで問題なし Active Directoryへのconnectionを張る

  30. LDAPクエリ 30 class User < ActiveLdap::Base ldap_mapping dn_attribute: "cn", prefix:

    '' end user = User.find('200071') #所属するグループの一覧を表示 user.memberOf.each do |member| p.member.rdns[0][‘CN’] end "G_触媒部_総務グループ“ "G_正社員“ "DL_SSLVPN_Permit“ … <出力> Active Directoryのユーザーオブジェクトを取得

  31. LDAPクエリ • Railsに組み込んで、従業員マスタを作成してみる 31

  32. LDAPクエリ • LDAPクエリを書く為には、LDAP識別名(dn)の記法と、 対象ドメインのOUのツリー構造を理解しておく必要があり ます。 • dn :LDAPオブジェクトを指定する識別名 • OU:オブジェクトを格納するコンテナ

    32

  33. LDAPクエリ 33 dn = 'cn=200071,ou=Common,ou=User,ou=RootOU,dc=ad,dc=livesense,dc=co,dc=jp' dn:カンマ区切りで識別子を並べた文字列 ドメイン OU オブジェクト名

  34. LDAPクエリまとめ • LDAPクエリを活用すれば、ADのリソースに 他システムからアクセスできる • システム毎にアカウントの2重管理はせず、 ADにアカウントを集約することが可能 • LDAP認証を実装すれば、AD認証やSSOも実現可能 •

    実際にAD認証機能を備えたパッケージも多い • Redmine、MS SQL Server、Google Apps、etc… 34

  35. まとめ • Active Directoryにより管理者の運用負荷は大きく 低減される • Active Directoryを外部システムの認証基盤や 従業員マスタとして活用することが可能 35

  36. 36 ご静聴ありがとうございました