統合Windows認証
概 要
本機能はActive Directoryドメイン環境で使用できます。
WEBブラウザでFileBlogに接続するとフォーム認証(ID/パスワードの入力)なしに自動的にFileBlogにログインします。
そのときユーザー認証に使用されるのはWindows PCにサインインしているドメインユーザーアカウントです。
Windows以外のOSの端末では本機能は使用できず、たとえばiOSなどモバイル端末からFileBlogに接続するとフォーム認証になります。
統合WIndows認証に使用要件
Active Directoryがケルベロス認証をサポートしていること。
ファイルサーバーがケルベロス認証および委任をサポートしていること。
対象のクライアントとファイルサーバーおよびFileBlogサーバーがActive Directoryドメインに参加していること。
ログインするユーザーがActive Directoryユーザーアカウントであること。
サーバーとクライアントの時刻が同期されていること。
認証Ticketには使用期限がありクライアント時刻とサーバー時刻のずれが大きいと認証失敗の要因になります。
Windows Server(2016以降)を使用していること。
Microsoft Edge、Windows版 Google Chromeを使用すること。
FileBlogへの接続にHTTPプロキシサーバーを経由しないこと。
長時間のバックグランド処理(コピー、移動、削除、圧縮、解凍、プロパティ更新)を行う場合には本機能の使用は避けてください。
バックグラウンド処理中に統合認証チケットが無効になり処理が中断されることがあります。
この場合、一旦ログアウトしてID/パスワードを入力して再ログインを行ってから操作を実行してください。
システム構成例
次のようなシステム構成を例に設定方法を説明します。
サーバー |
マシン名 |
説明 |
|---|---|---|
FileBlogサーバー |
spt_fb01 |
FileBlogをインストールしたマシン |
Active Directoryサーバー |
spt_dc01 |
ActiveDirectoryサービスが稼働しているマシン |
ファイルサーバー |
spt_fs01 |
ドキュメントルートフォルダのあるサーバー |
名前空間サーバー |
spt_dfs01 |
DFS名前空間をホストするサーバー |
上記4つの全てが同一ドメインに所属しています。
DFS名前空間の環境ではない場合は名前空間サーバーについては無視してください。
サーバーの設定
FileBlogサーバーの設定
FileBlogをインストールしたマシン(CARROT)の設定です。
Fb5Web(Webサーバー)サービスの実行アカウントは、デフォルトの ローカルシステムアカウント(SYSTEM)にします。
2.システム設定でドメイン設定を行います。(設定はこちらをご覧ください)
※ ドメイン名は必ず NetBios 形式で指定してください。アクセスログなどで FQDN 形式と混在してしまいます。
[管理ツール > 設定全般]を選択します。
[すべての設定 > Webサーバー > 認証 > 統合Windows認証]を選択します。
[Enabled]にチェックを入れると統合Windows認証モードが有効になります。
[Scope > 変更]を選択して統合Windwos認証モードの及ぶ範囲を定義します。
許可するIPアドレスとユーザーエージェントを指定します。
項目 |
説明 |
|---|---|
IPアドレス |
指定したIPアドレス範囲で統合Windows認証が有効になります。 |
ユーザーエージェント |
通常は変更しません。 |
ホスト |
統合Windows認証できるサーバーのホスト名を制限します。 |
[保存する]を選択してサービスを再起動します。
Active Directoryサーバーの設定
ドキュメントルートフォルダがネットワークのファイルサーバー(spt_fs01)にある場合、ログインユーザーの代理でCIFSサービスを利用するための委任設定が必要です。
ドキュメントルートフォルダがFileBlogサーバー(spt_fb01)のローカルフォルダにある場合は委任設定が不要です。(この章はスキップしてください)
Active Directoryサーバー(spt_dc01)にWindowsサインインします。
[サーバーマネージャー > ツール > Active Directoryユーザーとコンピューター > ドメイン > Computers > spt_fb01 プロパティ > 委任タブ]を開きます。
[指定されたサービスへの委任でのみこのコンピューターを信頼する]と[任意の認証プロトコルを使う]にチェックを入れます。
[追加]を選択して[ユーザーまたはコンピューター > cifs SPT-FS01]を選択します。
[cifs spt_fs01]を選択して[OK]でプロパティを閉じます。
ドキュメントルートフォルダにDFS名前空間のフォルダを指定している場合、同様に名前空間サーバー「spt_dfs01」の任意の認証プロトコルで委任を設定します。
DFS名前空間を複数台の名前空間サーバーで構成している場合、その全てに対して任意の認証プロトコルで委任を設定します。
FileBlogサーバー(spt_fb01)のOSを再起動します。
注 意
ドキュメントルートが複数あって接続先ホストがそれぞれ異なる場合は各ホストに設定が必要です。
ドキュメントルートの設定では、[\\ホスト名\共有名]の形式で指定します。
任意の認証プロトコルの委任設定で使用するコンピューター名とホスト名を一致させてください。
ホスト名はIPアドレスやFQDNではなくコンピューター名(NetBIOS名)で指定してください。
ドキュメントルートフォルダのパスの入力形式
× \\192.168.0.100\share
○ \\spt_fs01\share
任意の認証プロトコルの委任設定で入力するFileBlogサーバーを信頼するコンピューター名の入力形式
× 192.168.0.100
× spt_fs01.local.net
○ spt_fs01
クライアントの設定
インターネットオプションの設定
[WIndowsコントロールパネル > ネットワークとインターネット > インターネットオプション > 詳細設定タブ]を開きます。
[統合Windows認証を使用する]にチェックを入れます。
[セキュリティタブ > ローカルインターネット > サイト > 詳細設定]を選択します。
FileBlogサーバーのURLを登録します。
NetBIOS名でコンピューター名を指定すると標準でローカルイントラネットに含まれるため設定は不要です。([イントラネットのネットワークを自動で検出する]がONの場合)
ドメイン含む形式(FQDN名)でコンピューター名を指定すると標準ではローカルイントラネットには含まれていないため設定が必要です。
[セキュリティタブ > ローカルインターネット > レベルのカスタマイズ > 詳細設定]を選択します。
[イントラネットゾーンでのみ自動的にログオンする](イントラネットで利用している場合)、または[現在のユーザー名とパスワードで自動的にログオンする]にチェックを入れます。
注 意
FileBlogサーバーへ接続するときにHTTPプロキシサーバーを経由させないようにしてください。
ショートカットやブックマークに登録するURLは
http://fpt_fs01/{{product-s}}/login.phpを使用しないでください。(ログイン画面に遷移してしまいます)クライアント側の設定を正しく行っても統合Windows認証(シングルサインオン)できない場合
サーバー設定に不備がないか確認してください。
クライアントOSの再起動を行ってください。
トラブルシューティング
統合Windows認証できない、ログイン画面が表示されてしまう
管理ツールの設定において[Enabled](統合Windows認証を有効にする)にチェックが入っていますか。
FileBlogサーバーのWindows OSを再起動しましたか。
WebブラウザはEdgeまたはChromeですか。
FileBlogサーバーに接続するのにHTTPプロキシサーバーを経由していませんか。
ドキュメントルートフォルダが表示されない
「Active Directoryサーバーの設定」にて委任設定は正しく設定されていますか。
ドキュメントルートのホスト名と委任設定のコンピューター名がそろっていますか。
委任設定後にFileBlogサーバーのWindows OSを再起動しましたか。