Active Directory からのユーザーのインポート

PAM360は、お使いの環境でActive Directoryと統合し、そこからユーザーをインポートできます。ドメインアカウントを使ってWindowsシステムにログインしたユーザーは、PAM360に直接ログインできます。

必要な手順

Active Directoryからのユーザーのインポートに関する手順は4つがあります:

  1. ユーザーのインポート
  2. 適切なユーザー役割の指定
  3. AD 認証の有効化

まず、[管理] >> [認証] >> [Active Directory]に移動します。[Active Directory 構成] ページが表示されます。

1.ユーザーのインポート

最初の手順は、認証情報の詳細を提供し、Active Directoryからユーザーをインポートすることです。PAM360は、実行中のPAM360が一部に含まれるサーバーの「Microsoft Windows Network」フォルダにあるドメインのリストを自動取得します。リストから必要なドメインを選択し、必要なドメインコントローラーの認証情報を入力する必要があります。

これをするには:

  1. [今すぐインポート]ボタンを押します。または、[ユーザー] >> [ユーザーを追加] >> [Active Directoryからインポート]の順に移動して、ここにアクセスすることもできます。
    active_directory_integration
  2. 表示されるポップアップフォームで、AD の一部を形成する必要なドメイン名をドロップダウンから選択します。
  3. ドメインコントローラーのDNS名を指定します。このドメインコントローラーはプライマリドメインコントローラーです。
  4. プライマリドメインコントローラーがダウンしている場合は、セカンダリドメインコントローラーを使用できます。セカンダリドメインコントローラがある場合は、それらのDNS名をカンマ区切り形式で指定します。利用可能なセカンダリドメインコントローラーの1つが使用されます。SSLモードを使用する場合は、ここで指定するDNS名がドメインコントローラーのSSL証明書で指定するCN(共通名)と一致していることを確認してください。
  5. 認証情報を入力します:ドメインコントローラーで読み取り権限を持つ有効なユーザー認証情報(ユーザー名とパスワード)を入力してください。(複数のドメインからユーザーをインポートする場合は、ユーザー名を次のように入力します:<DomainName>\<username>。たとえば、ドメインBのユーザー名/パスワードを指定してドメインAユーザーをインポートする場合は、ユーザー名を次のように入力する必要があります:<DOMAIN B>\username)。
  6. 接続モード:ドメインごとに、すべての通信で接続を暗号化チャネル経由にするかどうかをコンフィグできます。SSLモードを有効にするには、ドメインコントローラーはポート636のSSL上で作動している必要があり、ドメインコントローラーのルート証明書をPAM360サーバーマシンの証明書ストアにインポートする必要があります。
  7. インポートするユーザー: デフォルトでは、PAM360がすべての組織部門(OU)とグループをActive Directoryから入力します。特定のユーザーのみをインポートする場合は、必要なユーザー名をカンマ区切り形式で入力します。
  8. インポートするユーザーグループ/OU: 同様に、特定のユーザーグループまたは組織単位 (OU) のみをドメインからインポートすることを選択できます。それぞれのテキストフィールドにカンマ区切り形式で名前を指定できます。
  9. 同期間隔: Active Directoryに新しいユーザーが追加されるごとに、PAM360に自動追加し、ユーザーデータベースを同期化するプロビジョンがあります。PAM360がユーザーデータベースを同期化するためにActive Directoryを照会する必要がある時間間隔を入力します。時間間隔は、分単位まで下げるか、時間/日数の範囲にすることができます。
  10. [保存]をクリックします。[保存]ボタンを押すとすぐに、PAM360がドメイン詳細を保存します。後続のインポート中に、AD の新しいユーザーエントリのみがローカル データベースに追加されます。
  11. 組織単位 (OU) および Active Directory グループをインポートする場合、対応する OU/AD グループの名前でユーザーグループが自動的に作成されます。
    active_directory_integration

注記:前述のように、SSLモードを有効にするには、ドメインコントローラーはポート636でSSL経由でサービスを提供している必要があります。ドメインコントローラーの証明書が認定CAにより署名されていない場合、証明書をPAM360サーバーマシンの証明書ストアに手動でインポートする必要があります。各ルート証明書チェーンにあるすべての証明書 - すなわち、PAM360サーバーマシンの証明書と中間証明書(該当する場合)をインポートする必要があります。

ドメインコントローラーの証明書をPAM360マシンの証明書ストアにインポートするには:(SSL証明書をマシンの証明書ストアにインポートするのに通常使う手順を使うことができます。下に1つ例を挙げます)

  1. PAM360がインストールされているマシンでは、Internet Explorerを起動し、[ツール] >> [インターネットオプション] >> [コンテンツ] >> [証明書]の順に移動します。
  2. [インポート]をクリックします。
  3. 認証局によるルート証明書の問題を参照して見つけます。
  4. [次へ]をクリックし、[証明書の種類に基づいて証明書ストアを自動的に選択]オプションを選択してインストールします。
  5. [インポート]をもう一度クリックします。
  6. ドメインコントローラー証明書を参照して探します。
  7. [次へ]をクリックし、[証明書の種類に基づいて証明書ストアを自動的に選択]オプションを選択してインストールします。
  8. 変更を適用してウィザードを閉じます。
  9. この手順を繰り返して、ルートチェーンで他の証明書をインストールします。

2.適切なユーザー役割の指定

AD からインポートされたすべてのユーザーには、デフォルトでパスワード ユーザーの役割が割り当てられます。特定のユーザーに特定の役割を割り当てるには、

  1. ボタン[ロールを今すぐ割当]をクリックします。
    active_directory_integration
  2. 開いたポップアップ フォームに、AD からインポートされたすべてのユーザーが一覧表示されます。
  3. ロールを変更する希望ユーザーについて、[ロールを変更]ボタンをクリックし、ドロップダウンから適切なロールを選択します。
  4. [保存]をクリックすると、ユーザーに必要な役割が設定されます。
    active_directory_integration

3.AD 認証の有効化

3番目の手順はAD認証の有効化です。これで、ユーザーがAD ドメインパスワードを使って、PAM360にログインできます。この方式は、Active Directoryからローカルデータベースにすでにインポートされているユーザーに対してのみ機能します。

active_directory_integration

トラブルシューティングのヒント

コンピューターアカウントの認証情報が間違っている場合、ブラウザはログインページでドメインユーザーの認証情報を要求し続けます。その場合、ポップアップをキャンセルし、PAM360ログインページにアクセスします。