Active Directory連携とユーザーのインポート

目次

• ユーザーのインポート
• 役割の割り当て
• 認証を有効化する
• 単一シャットダウンの有効化

Network Configuration Managerでは、Active Directoryと連携しユーザーをインポートできます。ドメイン アカウントでWindowsシステムにログインしたユーザーは、NCMに直接ログイン可能です（別途NCMログインは不要）。

ADからユーザーをインポートし、そのユーザーにNCMでの役割と権限を割り当てるには、4段階の手順が必要です。下記の説明に従って操作してください。

手順1：ユーザーのインポート

初めに、資格情報を入力し、ADからユーザーをインポートします。NCMは、実行中のNCMが属しているサーバーの「Microsoft Windows Network」フォルダに存在するドメインを自動的に把握します。そこから、必要なドメインを選択し、ドメイン コントローラーの資格情報を入力してください。

そのためには、

• 管理 > ユーザー タブに移動して「Active Directory」をクリックします。
• 手順1に進み、「今すぐインポート」ボタンをクリックします。

ポップアップするUIで、

• ドロップダウンから、必要なドメイン名を選択します。
• ドメイン コントローラーのDNS名を指定します。このドメイン コントローラーが、プライマリ ドメイン コントローラーになります。
• プライマリ ドメイン コントローラーの停止に備え、セカンダリ ドメイン コントローラーを設定できます。セカンダリ ドメイン コントローラーがある場合は、それらのDNS名をカンマ区切りで指定します。使用されるのは、稼働中の祖z内するセカンダリ ドメイン コントローラーから1つです。SSLを使用するときは、指定したDNS名がドメイン コントローラーのSSL証明書に指定されているCN（共通名）と一致するか確認してください。
• 通信の暗号化を行うかは、ドメインごとに設定できます。SSLを有効にするには、ドメイン コントローラーがポート636でSSLでサービスを実行している必要があります。また、ドメイン コントローラーのroot証明書をNCMサーバー マシンの証明書にインポートする必要があります。

ドメイン コントローラーの証明書を公的認証局（CA）が署名していない場合は、証明書をNCMサーバー マシンの証明書ストアに手動でインポートする必要があります。それぞれのroot証明書チェーンに存在するすべての証明書、つまりNCMサーバー マシンの証明書と、中間証明書は、あるものすべてをインポートください。

ドメイン コントローラーの証明書をNCMマシンの証明書ストアにインポートするには、通常のSSL証明書のインポート手順で実行してください。以下に一例を示します。

• NCMインストール先マシンで、コントロール パネルを起動し、ツール > ネットワークとインターネット > インターネット オプション > コンテンツ > 証明書と移動します（Windows 10の場合）。
• 「インポート」をクリックします。
• 認証局によるroot証明書の問題を参照して見つけます。
• 「次へ」をクリックし、「証明書の種類にもとづいて、自動的に証明書ストアを選択する」を選択してインストールします。
• もう一度「インポート」をクリックします。
• ドメイン コントローラー証明書を参照して見つけます。
• 「次へ」をクリックし、「証明書の種類にもとづいて、自動的に証明書ストアを選択する」を選択してインストールします。
• 変更を適用してウィザードを閉じます。
• この手順を繰り返して、他の証明書をrootチェーンにインストールします。

これでNCMサーバーがSSLでこのドメイン コントローラーと通信できるようになります。同じ手順を、NCMとSSL通信する全ドメイン コントローラーで繰り返して下さい。ドメイン コントローラーに指定するDNS名は、ドメイン コントローラーのSSL証明書に指定されているCN（共通名）と一致している必要があります。

• ドメイン コントローラーで読み込み権限を持つ有効なユーザー資格情報（ユーザー名とパスワード）を入力してください。
• デフォルトでは、NCMはADからすべてのユーザーをインポートします。特定のユーザーのみをインポートする場合は、必要なユーザー名をカンマ区切りで入力してください。
• 同様に、ドメインから特定のユーザー グループまたはOUのみをインポートすることもできます。それぞれのテキスト欄に名前をカンマ区切りで指定できます。
• ユーザー データベースの同期は自動化が可能で、新規ユーザーがADに作成されるたび、自動的にNCMに取り込むことも可能です。NCMからADへの同期の問い合わせ間隔を指定してください。時間間隔は1分まで短くすることも、数時間や数日の範囲にすることもできます。
• 「保存」をクリックしてください。この「保存」ボタンをクリックした直後から、NCMは選択されたドメインからすべてのユーザーを追加し始めます。その後のインポート時には、AD内の新しいユーザー エントリのみがローカル データベースに追加されます。
• メモ：組織単位（OU）とADグループをインポートする場合は、対応するOU/ADグループの名前でユーザー グループが自動的に作成されます。インポート中には、AD認証が無効の時にNCMへのログインに使用するパスワードとあわせて、すべてのユーザーに通知が送信されます。

手順2：役割の割り当て

ADからインポートされたすべてのユーザーには、デフォルトで、「オペレーター」の役割が割り当てられます。ユーザーに役割を指定して割り当てるには、

• UI（管理 > Active Directory）の手順2に進み、「今すぐ役割を割り当てる」ボタンをクリックします。
• 開いたUIに、ADからインポートされたすべてのユーザーが左側の「オペレーター」列の下に表示されます。
• 役割を変更したいユーザーを選択し、矢印ボタンを適宜使用して、「管理者」または「パワー ユーザー」の役割を割り当てます。
• 「保存」をクリックすると、必要な役割がユーザーに設定されます。

手順3：認証の有効化

3番目の手順はAD認証の有効化です。これにより、ユーザーは自分のADドメイン パスワードを使用してNCMにログインできます。この方式は、ADからローカル データベースにすでにインポートされているユーザーに対してのみ機能します。

手順4：シングル サインオンの有効化

ドメイン アカウントでWindowsシステムにログインするユーザーは、設定を有効にすると、NCMログイン用の別アカウントは不要となります。これを機能させるには、AD認証を有効にし、対応するドメイン ユーザー アカウントをNCMにインポートしておく必要があります。

シングル サインオンの場合、NCMはサード パーティのライブラリを使用します。これにより、Microsoft Active DirectoryとJavaアプリケーション間の高度な連携が可能になります。NTLMセキュリティ プロバイダーは、Windowsサーバーと同じNetlogonサービスを使用して資格情報を検証します。

これを実現するには、Netlogonサービスに接続するためのアカウントは、コンピューター アカウントとして作成してください。

つまり、NCMは、認証を実行するためにドメイン コントローラーのコンピューター アカウントを必要とします（コンピューター アカウントは、既存でも新規作成でも問題ありません。他方、ユーザー アカウントは機能しません）。

シングル サインオンを有効にするには、

• UI（管理 > Active Directory）の手順4に進み、「シングル サインオンの有効化」ボタンをクリックします。
• 開いたUIで、ドメインを選択します。
• 「完全修飾ドメイン名」欄に入力してください。
• ドメイン コントローラーで作成したコンピューター アカウント名を入力してパスワードを指定します。
• コンピューター アカウントを新しく作成する場合は、「ドメインに当該コンピューター アカウントを作成する」チェック ボックスを選択ください。コンピューター アカウントにパスワードを設定するためのスクリプトが含まれています。
• 「保存」をクリックしてください

Google ChromeはWindowsコントロール パネルを呼び出すことでこれをサポートします。他方、Mozilla Firefoxでは、ブラウザー自体で設定を行います。

• Firefoxブラウザーを開き、URL「about:config」を入力して「Enterキー」を押します。
• 多数の設定がリストアップされます。
• フィルターに「ntlm」と入力して、設定「network.automatic-ntlm-auth.trusted-uris」を探します。そのエントリをダブル クリックし、テキスト欄（https://:）にNCMサーバーURLを入力します。
• それから、設定「network.ntlm.send-lm-response」を探します。
• エントリをダブル クリックして、デフォルト設定を「false」から「true」に変更します。