概要
FileBlogVersion 3.4.1.1から統合Windows認証に対応しました。
この機能をActive Directoryドメイン環境の内で利用すると、Internet Explorerを使用してFileBlogにアクセスした場合に、FileBlogへのログイン認証が自動的に行われ、ID/パスワードの入力なしにFileBlogを利用することができるようになります。
要件
| • | FileBlogVersion 3.4.1.1 以降を使用していること。 |
| • | Active Directoryドメイン環境を使用していること。 |
| • | Active Directoryがケルベロス認証をサポートしていること。 |
| • | ファイルサーバーがケルベロス認証および委任をサポートしていること。 |
| • | 対象のクライアントとサーバーがActive Directoryドメインに参加していること。 |
| • | ログインするユーザーがActive Directoryユーザーであること。 |
| • | サーバーとクライアントの時刻が同期されていること。 |
認証Ticketには使用期限が設定されており、クライアント時刻とサーバー時刻に大きなずれがあると認証に失敗する可能性があります。
| • | Windows Server(2008 / 2008 R2 / 2012 / 2012 R2)を使用していること。 |
| • | Internet Explorer(9 / 10 / 11)を使用すること。※Microsoft Edgeは統合Windows認証に対応していません。 |
| • | HTTPプロキシサーバー越しでないこと。 |
システム構成
以下では下記のようなシステム構成を例に、ご説明しています。
サーバー種類 |
説明 |
マシン名 |
FileBlogサーバー |
FileBlogをインストールしたマシン |
CARROT |
ActiveDirectoryサーバー |
ActiveDirectoryサービスが稼働しているマシン |
BROCCOLI |
ファイルサーバー |
ドキュメントルートフォルダが置いてあるサーバー |
KIWI |
※BROCCOLI, KIWI, CARROTの全てが、同一ドメインに所属しています。
サーバー設定
FileBlogサーバーの設定
FileBlogをインストールしたマシン(CARROT)上で以下の設定が必要になります。
| 1. | Fb3Apache(Webサーバー)サービスの実行アカウントは、LocalSystemアカウントにします。 |
| • | デフォルトの設定で、LocalSystemアカウントになっています。 |
LocalSystemアカウントには統合認証を行うための権限が与えられています。
| 2. | 管理ツールでドメインの設定を行います(設定はこちらをご覧ください)。 |
| • | FileBlog管理ツール > 基本設定 > セキュリティ > windows_domain を開きます。 |
| • | ドメイン名は必ずNetBios形式で指定してください。アクセスログなどでFQDN形式と混在してしまいます。 |
| 3. | 管理ツールで統合認証の設定を行います。 |
| • | FileBlog管理ツール > 高度な設定 > 統合Windows認証 を開きます。 |
| • | 「統合Windows認証を利用する」にチェックを入れます |
| • | 統合認証するブラウザのユーザーエージェントを正規表現で指定します。 |
通常はデフォルト値の msie|trident を変更する必要はありません。
| • | 統合認証を許可するクライアントのサブネットマスクを指定します。 |
※FileBlogサービスが再起動されるまで有効になりません。
ActiveDirectoryサーバーの設定
ドキュメントルートがFileBlogサーバー(CARROT)上ではなく、リモートのファイルサーバー(KIWI)上にある場合、ログインユーザーの代理でCIFSサービスを利用するための委任設定が必要になります。
※ドキュメントルートがCARROT上のローカルドライブ上にある場合は、委任設定は不要ですのでスキップしてください。
| 1. | Active Directory サーバー(BROCCOLI)にWindowsログインします。 |
| 2. | サーバーマネージャー > Active Directoryユーザーとコンピューター > ドメイン > Computers > CARROT のプロパティを表示します |
| 3. | 委任タブの「指定されたサービスへの委任でのみこのコンピューターを信頼する」「Kerberosのみを使う」にチェックを入れて、追加ボタンを押します。 |
| 4. | 「ユーザーまたはコンピューター」でファイルサーバー( KIWI )を選択します。 |
| 5. | 列挙されるサービスの、cifs を選択してOKボタンを押します。 |
| 6. | FileBlogサーバーのOSを再起動します。 |
※注意点
・ドキュメントルートが複数あり接続先ホストが異なる場合、それぞれのホストに設定が必要です
・ドキュメントルートの設定時にホスト名で指定する
ドキュメントルートは必ず、委任で設定したコンピューター名と合わせる必要があります。特にipアドレスで設定されていないかご確認ください
× \\192.168.0.100\share
○ \\KIWI\share
クライアント設定
対象ブラウザ
Internet Explorer(8 / 9 / 10 / 11)のみ対応しています。
統合認証の設定を行っても、InternetExplorer以外のブラウザの使用を制限することはありません。通常のログイン画面が表示されます。
Internet Explorerの設定
| 1. | InternetExplorerの「統合Windows認証を利用する」を有効にします。 |
| • | インターネットオプション > 詳細設定 > 統合Windows認証を利用する を確認してください。 |
| 2. | FileBlogサーバー(CARROT)のURLをローカルイントラネットのサイトに追加します。 |
| • | 指定がホスト名であればデフォルトで含まれます。 |
例)http://CARROT/fileblog/
| • | ホスト名ではなくIPアドレスやドメイン名で指定知る場合、デフォルトではローカルイントラネットには含まれていないため、サイトに追加してください。 |
例)http://192.168.xx.xx/fileblog/ | http://Domain.net/fileblog/
| • | インターネットオプション > セキュリティ > ローカルイントラネット > サイト > 詳細設定 |
| 3. | ローカルイントラネットのセキュリティレベルにおいてユーザー認証を設定します。 |
| • | インターネットオプション > セキュリティ > ローカルイントラネット > レベルのカスタマイズ > ユーザ認証 |
| • | ログオン設定において、「イントラネットゾーンでのみ自動的にログインする」(イントラネットで利用している場合) |
または「現在のユーザー名とパスワードで自動的にログオンする」にチェックを入れいる
※注意点
FileBlogサーバーへアクセスするときにHTTPプロキシサーバーを介さないようにしてください。
ショートカットやブックマークに使用するURLは、http://CARROT/fileblog/ としてください。
| • | http://CARROT/fileblog/login.php の場合は、必ずログイン画面が表示されてしまいます。 |
| • | /index.php、/adminindex.php、/index.php?path=*** などであれば自動的に統合認証されます。 |
トラブルシューティング
| • | 統合認証できない。ログイン画面が表示されてしまう |
管理ツールにて「統合Windows認証を利用する」にチェックが入っていますか?
FileBlogサーバーは再起動しましたか?
ブラウザはInternet Explorerですか?
HTTPプロキシサーバーを使用していませんか?
| • | ドキュメントルートが表示されない・ドキュメントルートが1つもありません |
委任設定は正しく設定されていますか?特にドキュメントルートホスト名と委任設定のコンピューター名はそろえていますか?
委任設定後にFileBlogサーバーOSを再起動しましたか?
| • | ファイルの書き込み系の操作だけができない |
FileBlogサーバーのユーザーアカウント制御(UAC)がONの場合に、ドキュメントルートがローカルドライブ上にあると、FileBlogサーバー上のInternet Explorerからアクセスした場合に、アップロードや、ファイルの更新など書き込み系の操作が行えません。