Active Directory #TechLunch

Transcript

1. Active Directory TechLunch at 2014/9/3 by Wataru Yoshida

2. 今更ながらの自己紹介 • 吉田 航 • 2013年1月入社 • いわゆる社内SE的なお仕事 • 職歴

   • 某大手SIerに8年在籍 インフラエンジニア 3年：NW機器とかサーバとか触ってました アプリケーションSE 3年：C#とかMSSQLとか触ってました 情報システム部門 2年 ：いろいろ触ってました 2

3. やってきたお仕事 3 2013年2月 電話システム リプレース 2013年4月 Active Directory導入 2013年5月 社内システム用サーバー移設

   2013年7月 無線LANリプレース、SSL-VPN導入 2013年9月 オフィス増床（久米ビル） 2013年11月 confluenceリプレース 2014年2月 消費税増税対応 2014年3月 JIRA導入 2014年4月 Google Apps導入、Gmail移行 2014年6月 オフィス増床（IKビル） 他にも組織変更対応、アカウント管理、内部統制対応、中間DBの改修など

4. 本日のテーマ 4 Active Directory

5. 5 1.Active Directory概要 2.Active Directory応用その1 3.Active Directory応用その2

6. Active Directoryとは • LDAPをベースとした、Microsoft製のディレクトリ サービス • Windows 2000 Server ではじめて搭載された

   • 前身はWindows NTドメイン • 略してAD 6

7. LDAPとは • LDAP(Lightweight Directory Access Protocol) • ディレクトリサービスにアクセスするためのプロトコル • ディレクトリサービス

   • ユーザーアカウントやコンピュータアカウント等の 情報を集約し、照会する機能を提供するサービス • 製品例 • OpenLDAP • Active Directory 7

8. LDAPのイメージ 8 ・ローカルにユーザーを持たず、LDAPでユーザーを一元管理 ※ホームディレクトリはローカルに保持し、認証のみをLDAPに任せる

9. Why Active Direcory ? • Windows製品との親和性 • グループポリシー（後述）が非常に強力 • デファクトスタンダード

   • 連携できる製品が非常に多い • 管理が容易、ドキュメントも豊富 • MS製品にしてはよく出来てる • 高可用性＆高安定性 • Windows Serverの標準機能（＝無料！） 9

10. Active Directory導入のメリット • アカウント管理の負荷低減 • 入社、退社の際のアカウントメンテ • 管理者によるアカウントの無効化、パスワードリセット • Active

    Directoryを認証基盤として活用 • 統制の強化 • パスワードポリシーの強制 • グループポリシーによる設定の統一 10

11. Active Directory導入前のリブセンス • 全PCのローカルユーザーのパスワードをExcel管理 • Pマークの運用で年1回のパスワード変更が必要 • 江原さんが全PCのパスワードを変えて回っていた（らしい） • 入社時のアカウント発行が苦行

    • 当時のNASやブラウザチェック環境は、それぞれに同じID/PWの ローカルユーザーを登録していた • 「PCのパスワードが分からなくなった」 • 「ご愁傷様です」 11

12. 12 これは早めにActiveDirectoryを 導入しないと死ぬ

13. Active Directory導入 • 速攻ActiveDirectoryを導入 • Windowsだけでなく、MacもADに登録 • ついでに無線LANの認証もAD連携させる • SSL-VPNの認証もADに任せちゃう

    13

14. 構成図 14

15. Active Directoryの画面（サーバ） 15

16. Active Directoryの画面（クライアント） 16

17. Active Directoryの画面（クライアント） 17

18. 18 1.Active Directory概要 2.Active Directory応用その1 3.Active Directory応用その2

19. Active Directoryによる認証 • ADではアカウントをグループで束ねて管理することが可能 • グループはネスト可能 • NTFSアクセス権をADのグループで設定 • 組織変更が発生した際も、ADのグループをメンテするだけでOK

    • 無線LANやSSL-VPNの認証もADのグループを利用 19

20. Active Directoryによる認証 20 NTFSアクセス権

21. Active Directoryによる認証 21

22. Active Directoryによる認証 無線LAN、SSL-VPN 22

23. グループポリシー • WindowsやOffice等の設定を強制配布する機能 • グループポリシーで配布された設定は、ローカルの設定 で上書きすることができない • 実際に配布している設定 • Windows

    Updateの設定 • 無線LANの設定＋証明書配布 • Officeの各種設定 • ログイン、ログオフスクリプト など • Windows以外のOSには適用不可 23

24. グループポリシーの設定画面 24 アルバイトPCから 外部媒体への書き込みを禁止

25. 25 1.Active Directory概要 2.Active Directory応用その1 3.Active Directory応用その2

26. LDAPクエリ • ADが管理者にとって便利ということは分かった • 利用者側で何かに活用できないの？ • ADの情報を他のシステムから参照したい • LDAPクエリによる問い合わせが可能 26

27. LDAPクエリ • LDAPクエリ • LDAPに問い合わせを行うためのクエリ • LDAPクエリの構文や基本的なアトリビュートは製品に 関わらず共通（RFCで定義されている） • 主要な言語であればLDAP用のライブラリが用意されて

    いる 27

28. LDAPクエリ • RubyからActiveDirectoryにアクセスしてみる • ActiveRecordっぽくLDAPオブジェクトを 扱える”ActiveLdap”を使ってみる • 必要なgemのインストール 28 $

    gem install net-ldap $ gem install activeldap

29. LDAPクエリ 29 HOST_IP_V4 = '192.168.20.221' BIND_BASE = 'ou=RootOU,dc=ad,dc=livesense,dc=co,dc=jp' BIND_USER =

    'cn=200071,ou=Common,ou=User,ou=RootOU,dc=ad,dc=livesense,dc=co,dc=jp' BIND_USER_PASSWORD = 'hogehoge' BIND_PORT = 389 BIND_METHOD = 'plain' ActiveLdap::Base.setup_connection( :host => HOST_IP_V4, :port => BIND_PORT, :method => BIND_METHOD, :base => BIND_BASE, :bind_dn => BIND_USER, :password => BIND_USER_PASSWORD) ※ReadOnlyでよければ、自分の社員番号のユーザーで問題なし Active Directoryへのconnectionを張る

30. LDAPクエリ 30 class User < ActiveLdap::Base ldap_mapping dn_attribute: "cn", prefix:

    '' end user = User.find('200071') #所属するグループの一覧を表示 user.memberOf.each do |member| p.member.rdns[0][‘CN’] end "G_触媒部_総務グループ“ "G_正社員“ "DL_SSLVPN_Permit“ … <出力> Active Directoryのユーザーオブジェクトを取得

31. LDAPクエリ • Railsに組み込んで、従業員マスタを作成してみる 31

32. LDAPクエリ • LDAPクエリを書く為には、LDAP識別名（dn）の記法と、 対象ドメインのOUのツリー構造を理解しておく必要があり ます。 • dn ：LDAPオブジェクトを指定する識別名 • OU：オブジェクトを格納するコンテナ

    32

33. LDAPクエリ 33 dn = 'cn=200071,ou=Common,ou=User,ou=RootOU,dc=ad,dc=livesense,dc=co,dc=jp' dn：カンマ区切りで識別子を並べた文字列 ドメイン OU オブジェクト名

34. LDAPクエリまとめ • LDAPクエリを活用すれば、ADのリソースに 他システムからアクセスできる • システム毎にアカウントの２重管理はせず、 ADにアカウントを集約することが可能 • LDAP認証を実装すれば、AD認証やSSOも実現可能 •

    実際にAD認証機能を備えたパッケージも多い • Redmine、MS SQL Server、Google Apps、etc… 34

35. まとめ • Active Directoryにより管理者の運用負荷は大きく 低減される • Active Directoryを外部システムの認証基盤や 従業員マスタとして活用することが可能 35

36. 36 ご静聴ありがとうございました