統合Windows認証について

<< Click to Display Table of Contents >>

Navigation:  システム設定(管理者マニュアル) > セキュリティ設定 >

統合Windows認証について

概 要

本機能は、Active Directoryドメイン環境で利用できます。

Internet ExplorerでFileBlogにアクセスすると、ID/パスワードの入力なしにFileBlogを利用することができるようになります。
(Windows PCにサインインしているユーザーアカウントにて、FileBlogへのログイン認証が自動的に行われます)

※ Internet Explorer以外のWebブラウザでも本機能を利用できます。詳しくはこちらをご覧ください。

 

要 件

Version 3.15.x 以降を使用していること。

Active Directoryドメイン環境を使用していること。

Active Directoryがケルベロス認証をサポートしていること。

ファイルサーバーがケルベロス認証および委任をサポートしていること。

対象のクライアントとサーバーがActive Directoryドメインに参加していること。

ログインするユーザーがActive Directoryユーザーであること。

サーバーとクライアントの時刻が同期されていること。
(認証Ticketには使用期限が設定されており、クライアント時刻とサーバー時刻に大きなずれがあると認証に失敗することがあります)

Windows Server(2012以降)を使用していること。

Internet Explorer 11を使用すること。(Microsoft Edge, Windows版 Google Chrome, Firefox, 古いInterne Explorerも統合認証可能ですがサポート対象外です)

FileBlogへの接続にHTTPプロキシサーバーを経由しないこと。

長時間のバックグランド処理(コピー、移動、削除、圧縮、解凍、プロパティ更新)を行う場合には、本機能の利用は避けてください。

oバックグラウンド処理中に統合認証チケットが無効になり処理が中断されることがあります。

oこの場合、一旦ログアウトしてID/パスワードを入力して再ログインを行ってから操作を実行してください。

 

システム構成

次のようなシステム構成を例に設定方法を説明します。

サーバー種類

説明

マシン名

FileBlogサーバー

FileBlogをインストールしたマシン

CARROT

Active Directoryサーバー

ActiveDirectoryサービスが稼働しているマシン

CINNAMON

ファイルサーバー

ドキュメントルートフォルダのあるサーバー

KIWI

名前空間サーバー

DFS名前空間をホストするサーバー

共有フォルダのパスが、
\\ドメイン名\共有名
の場合にはDFS名前空間が使用されている可能性があります。

OREGANO

※ CARROT、CINNAMON、KIWI、OREGANO の全てが、同一ドメインに所属しています。

※ DFS名前空間の環境にない場合は、名前空間サーバーについては無視してください。

 

サーバー側の設定

FileBlogサーバーの設定

FileBlogをインストールしたマシン(CARROT)の設定です。

1.FbWeb(Webサーバー)サービスの実行アカウントは、標準の ローカルシステムアカウント(SYSTEM)にします。

2.システム設定でドメイン設定を行います。(設定はこちらをご覧ください)

 ※ ドメイン名は必ず NetBios 形式で指定してください。アクセスログなどで FQDN 形式と混在してしまいます。

 

3.システム設定で統合Windows認証の設定を行います。

FileBlog画面 > システム設定 > 統合Windows認証 を開きます。

0173

4.各設定を行います。

0174

1)チェックを入れます。

2)通常は変更する必要はありません。こちらの症状が発生した場合に設定を検討します。

3)通常は変更しません。統合認証の対象となるWebブラウザ種別(ユーザーエージェント)を限定・拡張するときに変更します。

4)お客様のネットワーク構成に合わせて、本機能を許可するIPアドレス範囲を指定します。

 

5.設定を保存してサービスを再起動すると反映されます。

ActiveDirectoryサーバーの設定

ドキュメントルートがネットワークのファイルサーバー(KIWI)にある場合、ログインユーザーの代理で、CIFSサービスを利用するための委任設定が必要です。

ドキュメントルートが CARROT のローカルフォルダにある場合は委任設定は不要のため、この項はスキップしてください。

1.Active Directory サーバー(CINNAMON)に、Windowsサインインします。

2.サーバーマネージャー > Active Directoryユーザーとコンピューター > ドメイン > Computers > CARROT のプロパティを表示します。

pic0019

 

3.委任タブの「指定されたサービスへの委任でのみこのコンピューターを信頼する」と、「Kerberosのみを使う」にチェックを入れて、追加ボタンを選択します。

pic0023

 

4.「ユーザーまたはコンピューター」でファイルサーバー( KIWI )を選択します。

pic0021

pic0020

 

5.利用可能なサービスの、「cifs」を指定しOKボタンを選択します。

pic0022

 

6.ドキュメントルートフォルダにDFS名前空間のフォルダを指定している場合、上記2~5の手順で同様に名前空間サーバー「OREGANO」のKerberos委任を設定します。
DFS名前空間を複数台の名前空間サーバーで構成している場合、その全てに対してKerberos委任を設定します。

7.FileBlogサーバーのOSを再起動します。

※ 注意点

ドキュメントルートが複数あって接続先ホストが異なる場合、それぞれのホストに設定が必要です。

ドキュメントルートの設定では、「\\ホスト名\共有名」の形式で指定します。

Kerberos の委任設定で使用するコンピュータ名とホスト名を一致させてください。

ホスト名はIPアドレスやFQDNではなくコンピュータ名(NetBIOS名)で指定してください。

oドキュメントルートフォルダのパスの入力形式

× \\192.168.0.100\share

○ \\KIWI\share

oKerberos委任設定で入力するFileBlogサーバーを信頼するコンピュータ名の入力形式

× 192.168.0.100

× KIWI.teppi.net

○ KIWI

 

クライアント側の設定

対象のWebブラウザ

Internet Explorer 11 に対応しています。

統合Windows認証の設定を行っても、別のWebブラウザでも使用できます。(通常のログイン操作が必要です)

Internet Explorerの設定

1.Internet Explorerの「統合Windows認証を利用する」を有効にします。

インターネットオプション > 詳細設定 > 統合Windows認証を仕様する にチェックをいれます。

pic0014

 

2.FileBlogサーバー(CARROT)のURLをローカルイントラネットのサイトに追加します。

インターネットオプション > セキュリティ > ローカルイントラネット > サイト > 詳細設定 を開きます。

pic0015_1

pic0016

NetBIOS名でコンピュータ名を指定している場合、標準でローカルイントラネットに含まれるため設定は不要です。(イントラネットのネットワークを自動で検出するがONの場合)

 例)http://CARROT/

ドメイン含む形式(FQDN名)でコンピュータ名を指定している場合、ローカルイントラネットには含まれていないため設定が必要です。

 例)http://CARROT.domain.net/

 

3.ローカルイントラネットのセキュリティレベルにおいてユーザー認証を設定します。

インターネットオプション > セキュリティ > ローカルイントラネット > レベルのカスタマイズ > ユーザー認証 を開きます。

pic0015

pic0017

ログオン設定において、「イントラネットゾーンでのみ自動的にログオンする」(イントラネットで利用している場合)、または「現在のユーザー名とパスワードで自動的にログオンする」にチェックを入れます。

※ 注意点

FileBlogサーバーへ接続するときに、HTTPプロキシサーバーを経由させないようにしてください。

ショートカットやブックマークに使用するURLは、http://CARROT/fileblog/ としてください。

 × http://CARROT/fileblog/login.php の場合 → 必ずログイン画面が表示されます。

 ○ /index.php、/adminindex.php、/index.php?path=*** などの場合 → 自動的に統合Windows認証されます。

Internet Explorer 11以外のブラウザについて

弊社サポート対象外とはなりますが、Internet Explorer以外のWebブラウザでも統合Windows認証機能が使用できます。

弊社で動作の確認が取れたWebブラウザは次のとおりです。(いずれもWindows OSで稼働することが条件です)

Microsoft Internet Explorer 9, 10

Microsoft Edge

Google Chrome

Mozilla Firefox

設定方法

ブラウザユーザーエージェントを指定します。

0209

 

例えば、Internet Explorer, Microsoft Edge、Chrome, Firefox を対象にする場合は以下のように設定します。

msie|trident|(?=Windows).*Chrome|(?=Windows).*Firefox

Mozilla Firefoxは、標準では統合Windows認証機能が無効に設定されています。有効にするには以下の設定を行ってください。

oFirefox のアドレスバーに "about:config" と入力し、警告を受け入れて詳細設定編集モードにして次の2つの設定を行います。

onetwork.negotiate-auth.trusted-uris に、FileBlogサーバーのURLを設定します。

onetwork.negotiate-auth.allow-non-fqdn は、 FileBlogサーバーのURLが、

FQDN形式なら false にします。

ピリオドを含まない形式なら true にします。

o統合Windows認証の方式として「NTLM」と「Kerberos」の2つの方式がありますが、FileBlogでは「Kerberos」方式を採用しています。
Firefoxの設定画面には「ntml」関連のエントリもありますが無視してかまいません。

 

トラブルシューティング

統合Windows認証できない、ログイン画面が表示されてしまう

システム設定において、「統合Windows認証を利用する」にチェックが入っていますか?

FileBlogサーバーのWindows OSを再起動しましたか?

Webブラウザは Internet Explorer11 ですか?

HTTPプロキシサーバーを使用していませんか?

ドキュメントルートが表示されない、ドキュメントルートが1つもありません

ドキュメントルートにネットワークフォルダを登録している場合、

ActiveDirectoryサーバーの設定」の通り、委任設定は正しく設定されていますか?

ドキュメントルートのホスト名と委任設定のコンピューター名がそろっていますか?

委任設定後にFileBlogサーバーのWindows OSを再起動しましたか?

委任設定が正しく設定されていても、ネットワークフォルダを参照できなくなることがあります。詳しくはこちらを参照下さい。

Kerberos の制限付き委任におけるネガティブ キャッシュの影響で、ドキュメントルートを表示できない

再現条件

参照できないドキュメントルートがネットワークフォルダ(FileBlogサーバーのローカルフォルダでない)である

FileBlogサーバーが、Windows 2012以上である

クライアントから、http://192.168.0.10/ のようなホスト名やFQDN名ではないIPアドレス形式のURLでアクセスして統合認証した

症状

一時的に全てのクライアントからFileBlogでネットワークフォルダにアクセスできなくなります。

一定時間(デフォルトでは15分)経過すると、参照できるようになります。

原因

Kerberos の制限付き委任におけるネガティブ キャッシュの影響を受けています。
(一時的にWindowsシステムに好ましくない接続としてFileBlogサーバーが登録されてしまうようなことです)

https://blogs.technet.microsoft.com/jpntsblog/2017/06/22/cross-forest-kcd/

解消方法

システム設定 > 統合Windows認証 を開きます。

「Kerberosの制限付き委任におけるネガティブ キャッシュの保存期限(単位:分)」 を 「0」 に設定して保存し、サービスを再起動します。

Webブラウザを再起動して現象をご確認ください。

書き込み系の操作だけができない

次の2つの条件が重なると、FileBlogサーバーのInternet Explorerからの接続時に、アップロードやファイル更新などの書き込み系の操作が行えません。

FileBlogサーバーのユーザーアカウント制御(UAC)がONの状態

ドキュメントルートフォルダがローカルドライブである