統合 Windows 認証

<< Click to Display Table of Contents >>

Navigation:  こんな機能もあります >

統合 Windows 認証

Version3.7.0.* では統合Windows認証が使用できません。

 

概要

FileBlogVersion 3.4.1.1から、統合Windows認証に対応しました。

この機能をActive Directoryドメイン環境内で利用すると、Internet Explorerブラウザを使用してFileBlogにアクセスした場合、FileBlogへのログイン認証が自動的に行われ、ID/パスワードの入力なしにFileBlogを利用することができるようになります。

 

 

要件

Version 3.4.1.1 以降を使用していること。

Active Directoryドメイン環境を使用していること。

Active Directoryがケルベロス認証をサポートしていること。

ファイルサーバーがケルベロス認証および委任をサポートしていること。

対象のクライアントとサーバーがActive Directoryドメインに参加していること。

ログインするユーザーがActive Directoryユーザーであること。

サーバーとクライアントの時刻が同期されていること。

認証Ticketには使用期限が設定されており、クライアント時刻とサーバー時刻に大きなずれがあると認証に失敗する可能性があります。

Windows Server(2008 / 2008 R2 / 2012 / 2012 R2)を使用していること。

Internet Explorer(9 / 10 / 11)を使用すること。(Microsoft Edge は、統合Windows認証に対応していません。)

HTTPプロキシサーバーを経由しないこと。

 

 

システム構成

以下では下記のようなシステム構成を例に、ご説明しています。

サーバー種類

説明

マシン名

FileBlogサーバー

FileBlogをインストールしたマシン

CARROT

ActiveDirectoryサーバー

ActiveDirectoryサービスが稼働しているマシン

BROCCOLI

ファイルサーバー

ドキュメントルートフォルダが置いてあるサーバー

KIWI

※ BROCCOLI、KIWI、CARROT の全てが、同一ドメインに所属しています。

 

 

サーバー設定

FileBlogサーバーの設定

FileBlogをインストールしたマシン(CARROT)で次の設定が必要です。

1.Fb3Apache(Webサーバー)サービスの実行アカウントは、LocalSystemアカウントにします。

標準の設定で、LocalSystemアカウントになっています。

LocalSystemアカウントには統合認証を行うための権限が与えられています。

 

2.管理ツールでドメインの設定を行います(設定はこちらをご覧ください)。

画面下部のシステム設定 > 基本設定 > セキュリティ > セキュリティパラメーター > windows_domain を開きます。

ドメイン名は必ず NetBios 形式で指定してください。アクセスログなどで FQDN 形式と混在してしまいます。

 

3.管理ツールで統合認証の設定を行います。

画面下部のシステム設定 > 基本設定 > セキュリティ > 統合Windows認証 を開きます。

0173

 

「統合Windows認証を利用する」にチェックを入れます

統合認証するブラウザのユーザーエージェントを正規表現で指定します。

 通常はデフォルト値の msie|trident を変更する必要はありません。

統合認証を許可するクライアントのサブネットマスクを指定します。

0174

 

設定完了後に、「保存する」ボタンを選択してWEBサーバーにチェックを入れてサービスを再起動します。

 

ActiveDirectoryサーバーの設定

ドキュメントルートが、FileBlogサーバー(CARROT)ではなく、リモートのファイルサーバー(KIWI)にある場合、ログインユーザーの代理で CIFS サービスを利用するための委任設定が必要になります。

ドキュメントルートが CARROT のローカルドライブにある場合は、委任設定は不要のためスキップしてください。

1.Active Directory サーバー(BROCCOLI)に、Windowsログインします。

2.サーバーマネージャー > Active Directoryユーザーとコンピューター > ドメイン > Computers > CARROT のプロパティを表示します。

pic0019

 

3.委任タブの「指定されたサービスへの委任でのみこのコンピューターを信頼する」と「Kerberosのみを使う」にチェックを入れて、追加ボタンを選択します。

pic0023

 

4.「ユーザーまたはコンピューター」でファイルサーバー( KIWI )を選択します。

pic0021

pic0020

 

5.列挙されるサービスの、「cifs」を指定しOKボタンを選択します。

pic0022

 

6.FileBlogサーバーのOSを再起動します。

 

※ 注意点

ドキュメントルートが複数あり接続先ホストが異なる場合、それぞれのホストに設定が必要です

ドキュメントルートの設定時にホスト名で指定する

ドキュメントルートは必ず、委任で設定したコンピューター名と合わせる必要があります。

特にIPアドレスで設定されていないかご確認ください

× \\192.168.0.100\share
○ \\KIWI\share

 

 

クライアント設定

対象ブラウザ

Internet Explorer(9 / 10 / 11)のみに対応しています。

統合認証の設定を行っても、Internet Explorerとは別のブラウザでも使用できます。その場合、通常のログイン操作が必要です。

 

Internet Explorerの設定

1.Internet Explorerの「統合Windows認証を利用する」を有効にします。

インターネットオプション > 詳細設定 > 統合Windows認証を利用する を確認してください。

pic0014

 

2.FileBlogサーバー(CARROT)のURLをローカルイントラネットのサイトに追加します。

指定がホスト名であれば標準でローカルイントラネットに含まれます。

例)http://CARROT/fileblog/

ホスト名ではなくIPアドレスやドメイン名で指定している場合、標準ではローカルイントラネットには含まれていないため、サイトに追加してください。

 例)http://192.168.xx.xx/fileblog/ | http://Domain.net/fileblog/ 

インターネットオプション > セキュリティ > ローカルイントラネット > サイト > 詳細設定

pic0015_1

 

pic0016

 

3.ローカルイントラネットのセキュリティレベルにおいてユーザー認証を設定します。

インターネットオプション > セキュリティ > ローカルイントラネット > レベルのカスタマイズ > ユーザー認証

pic0015

 

ログオン設定において、「イントラネットゾーンでのみ自動的にログオンする」(イントラネットで利用している場合)、または「現在のユーザー名とパスワードで自動的にログオンする」にチェックを入れます。

pic0017

 

※ 注意点

FileBlogサーバーへアクセスするときに、HTTPプロキシサーバーを経由させないようにしてください。

ショートカットやブックマークに使用するURLは、http://CARROT/fileblog/ としてください。

ohttp://CARROT/fileblog/login.php の場合は、必ずログイン画面が表示されてしまいます。

o/index.php、/adminindex.php、/index.php?path=*** などであれば自動的に統合認証されます。

 

 

トラブルシューティング

統合認証できない、ログイン画面が表示されてしまう

システム設定において、「統合Windows認証を利用する」にチェックが入っていますか?

FileBlogサーバーは再起動しましたか?

ブラウザは Internet Explorer ですか?

HTTPプロキシサーバーを使用していませんか?

 

ドキュメントルートが表示されない・ドキュメントルートが1つもありません

委任設定は正しく設定されていますか?

特にドキュメントルートのホスト名と委任設定のコンピューター名はそろえていますか?

委任設定後にFileBlogサーバーのOSを再起動しましたか?

 

ファイルの書き込み系の操作だけができない

FileBlogサーバーのユーザーアカウント制御(UAC)がONの場合に、ドキュメントルートがローカルドライブにあると、FileBlogサーバーのInternet Explorerからアクセスすると、アップロードやファイル更新などの書き込み系の操作が行えません。