統合Windows認証

概 要

統合Windows認証はActive Directoryドメイン環境で使用できるシングルサインオン機能です。

FileBlogに接続するとフォーム認証(ID/パスワードの入力)なしに自動的にFileBlogにログインします。

ユーザー認証に用いられるユーザー情報はWindows PCにサインインしているドメインユーザーアカウントです。

Windowsドメインに参加していない端末とWindows以外のOSの端末では本機能を利用できません。たとえばモバイル端末やLAN外のネットワークにある端末からFileBlogに接続するとフォーム認証になります。

統合Windows認証の使用要件

  • Active Directoryの機能レベルがWindows Server 2003以降であること。

  • ファイルサーバーがKerberos認証および委任をサポートしていること。

  • 対象のファイルサーバーとFileBlogサーバー、およびクライアントがActive Directoryドメインに参加していること。

  • ログインするユーザーがActive Directoryユーザーアカウントであること。

  • サーバーとクライアントの時刻が同期されていること。

    • 認証Ticketには使用期限がありクライアント時刻とサーバー時刻のずれが大きいと認証失敗の要因になります。

  • Windows Server(2016以降)を使用していること。

  • Microsoft Edge(Chromium版)、Windows版 Google Chromeを使用していること。

  • FileBlogへの接続にHTTPプロキシサーバーを経由しないこと。

  • 長時間のバックグランド処理(コピー、移動、削除、圧縮、解凍、プロパティ更新)を行う場合には本機能の使用は避けてください。

    • バックグラウンド処理中に統合認証チケットが無効になり処理が中断されることがあります。

    • この場合、フォーム認証(ID/パスワードを入力)でログインを行ってからの操作をおすすめします。

システム構成例

次のようなシステム構成を例に設定手順を説明します。

サーバー

マシン名

説明

FileBlogサーバー

spt_fb01

FileBlogをインストールしたマシン

Active Directoryサーバー

spt_dc01

Active Directoryサービスが稼働しているマシン

ファイルサーバー

spt_fs01

ドキュメントルートフォルダのあるサーバー

名前空間サーバー

spt_dfs01

DFS名前空間をホストするサーバー

共有フォルダのパスが \\ドメイン名\共有名 の場合にはDFS名前空間が使用されている可能性があります。

  • 上記4つの全てが同一ドメインに所属しています。

  • DFS名前空間の環境ではない場合は名前空間サーバーについては無視してください。

FileBlogサーバーの設定

FileBlogをインストールしたマシン(spt_fb01)の設定です。

  1. Fb5Webサービス(Webサーバー)の実行アカウントは、標準既定の ローカルシステムアカウント(SYSTEM)にします。

  2. ドメイン設定をしていない場合は設定します。

    • ドメイン名はNetBios形式で指定します。(アクセスログなどでFQDN形式と混在します)

  3. [管理ツール > 設定全般 > WEBサーバー > 認証 > 統合Windows認証]を選択します。

  4. [WebSever/Authenticaion/Windows/Enabled]を選択してチェックを入れると統合Windows認証機能が有効になります。

    ../../../../_images/20241023-134616-992.png

  5. [WebSever/Authenticaion/Windows/Scope]を選択します。

    ../../../../_images/20241023-135024-489.png

  6. [変更]を選択して統合Windwos認証を許可する範囲を定義します。

  7. 許可するIPアドレスとユーザーエージェントを指定します。

    ../../../../_images/wa003.png

    項 目

    説 明

    IPアドレス

    指定したIPアドレス範囲で統合Windows認証が有効になります。

    ユーザーエージェント

    通常は変更しません。
    対象となるWEBブラウザ種別(ユーザーエージェント)を限定・拡張するときに変更します。

    ホスト

    統合Windows認証できるサーバーのホスト名を制限します。
    未指定のホスト名(IPアドレス等)で接続したときにフォーム認証になります。

  8. [保存する]を選択してサービスを再起動します。

Active Directoryサーバーの設定

ドキュメントルートフォルダのファイルサーバー(spt_fs01)がFileBlogサーバーのネットワークドライブの場合は委任設定が必要です。(ログインユーザーの代理でCIFSサービスを利用するためです)

ドキュメントルートフォルダがFileBlogサーバー(spt_fb01)のローカルドライブである場合、委任設定は不要です。(この章はスキップしてください)

  1. Active Directoryサーバー(spt_dc01)にて、[サーバーマネージャー > ツール > Active Directoryユーザーとコンピューター > ドメイン > Computers > spt_fb01 プロパティ > 委任タブ]を開きます。

    ../../../../_images/wa004.png

  2. [指定されたサービスへの委任でのみこのコンピューターを信頼する]と[任意の認証プロトコルを使う]にチェックを入れます。

    ../../../../_images/wa005.png

  3. [追加]を選択して[ユーザーまたはコンピューター > cifs   SPT-FS01]を選択します。

    ../../../../_images/wa006.png

  4. [cifs spt_fs01]を選択して[OK]でプロパティを閉じます。

  5. ドキュメントルートフォルダにDFS名前空間のフォルダを指定している場合、同様に名前空間サーバー「spt_dfs01」も任意の認証プロトコルで委任を設定します。

    • DFS名前空間を複数台の名前空間サーバーで構成している場合、その全てに対して任意の認証プロトコルで委任を設定します。

  6. FileBlogサーバー(spt_fb01)のOSを再起動します。

DNSエイリアスをcifs委任対象にする

ドキュメントルートフォルダのパスがDNSエイリアス(DNS CNAME)で指定しているとき、cifs委任の対象としてDNSエイリアスの選択が必要です。

[委任 > サービスの追加]のダイアログにはDNSエイリアスの名称が表示されず選択できないときは、setspnコマンドでSPN(Service Principal Name)を登録すると選択できるようになります。

下表にある環境を例としてsetspnコマンドを実行する手順です。

ドキュメントルート

DNSエイリアス

実際のコンピューター名

ドメイン

\\FSKANAGAWA\share

FSKANAGAWA

SPT-FS01

piyo.local

  1. Active Directoryサーバーのコンソールでコマンドプロンプトを起動します。

  2. 次の2つのコマンドを実行します。

    setspn -A cifs/FSKANAGAWA SPT-FS01
setspn -A cifs/FSKANAGAWA.piyo.local SPT-FS01

    • コマンド実行後の出力例です。

      C:\Users\Administrator>setspn -A cifs/FSKANAGAWA SPT-FS01
ドメイン DC=piyo,DC=local を確認しています

CN=SPT-FS01,CN=Computers,DC=piyo,DC=local  ServicePrincipalNames を登録しています
        cifs/FSKANAGAWA
更新されたオブジェクト

  3. 次のコマンドで登録結果を確認します。

    setspn -L SPT-FS01

    • 次の出力例のようにコマンド実行した2行が表示されるとSPNが登録された状態です。

      C:\Users\Administrator>setspn -L SPT-FS01
次の項目に登録されている CN=SPT-FS01,CN=Computers,DC=piyo,DC=local:
        cifs/FSKANAGAWA
        cifs/FSKANAGAWA.piyo.local
        ・・・
        ・・・

  4. [委任 > サービスの追加]にセットしたSPNが表示されるか確認します。

ポイント

  • ドキュメントルートが複数あって接続先ホスト(ファイルサーバー)がそれぞれ異なる場合は各ホストに設定が必要です。

  • ドキュメントルートフォルダの設定は、\\ホスト名\共有名でパス指定します。

     有 効 

    パ ス

      ×

    \\192.168.0.100\share

      ○

    \\spt_fs01\share

  • 任意の認証プロトコルの委任設定で使用するコンピューター名とホスト名を一致させてください。

    • ホスト名にDNSエイリアスを使用していると[cifsサービス]にコンピューター名が表示されない場合があります。

    • その場合、Windows標準のsetspnコマンドでDNSエイリアスをコンピューター名に対応付けできます。

クライアントの設定

  1. [WIndowsコントロールパネル > ネットワークとインターネット > インターネットオプション > 詳細設定タブ]を開きます。

    • [統合Windows認証を使用する]にチェックを入れます。

    ../../../../_images/wa007.png

  2. [セキュリティ > ローカルイントラネット > サイト > 詳細設定]を選択します。

    • FileBlogサーバーのURLを登録します。

    • NetBIOS名でコンピューター名を指定すると標準でローカルイントラネットに含まれるため設定は不要です。([イントラネットのネットワークを自動で検出する]がONの場合)

    • ドメイン含む形式(FQDN名)でコンピューター名を指定すると標準ではローカルイントラネットには含まれていないため設定が必要です。

    ../../../../_images/wa008.png ../../../../_images/wa009.png ../../../../_images/wa010.png

  3. [セキュリティ > ローカルイントラネット > レベルのカスタマイズ > 詳細設定]を選択します。

    • [イントラネットゾーンでのみ自動的にログオンする](イントラネットで利用している場合)、または[現在のユーザー名とパスワードで自動的にログオンする]にチェックを入れます。

    ../../../../_images/wa011.png ../../../../_images/wa012.png

ポイント

  • FileBlogサーバーへ接続するときにHTTPプロキシサーバーを経由させないようにしてください。

  • ショートカットやブックマークに登録するURLは http://fpt_fs01/fileblog/ にします。

    • http://fpt_fs01/fileblog/#/login で登録すると必ずログイン画面に遷移してしまいます。

  • クライアント側の設定を正しく行っても統合Windows認証(シングルサインオン)できない場合

    • サーバー設定に不備がないか確認してください。

    • クライアントOSの再起動を行ってください。

トラブルシューティング

  1. 統合Windows認証できない、ログイン画面が表示されてしまう

    • 「FileBlogサーバーの設定」において[Enabled](統合Windows認証を有効にする)にチェックが入っていますか。

    • FileBlogサーバーのWindows OSを再起動しましたか。

    • WEBブラウザはEdgeまたはChromeですか。

    • FileBlogサーバーに接続するのにHTTPプロキシサーバーを経由していませんか。

  2. ドキュメントルートフォルダが表示されない

    • 「Active Directoryサーバーの設定」において委任設定は正しく設定されていますか。

    • ドキュメントルートフォルダに指定したパスのホスト名と委任設定のコンピューター名(またはSPN)が同じですか。

    • 委任設定後にFileBlogサーバーのWindows OSを再起動しましたか。