ユーザー認証用サーバーの事前設定をする
ユーザー認証の方式としてWindows認証/LDAP認証を初めて使用するときは、サーバー環境がユーザー認証機能の使用条件を満たしているかを確認し、設定してください。
Windows認証を使用するとき
以下の手順でサーバーの事前設定をしてください。
Windows認証の使用条件を確認します。
Webサーバー(IIS)と「Active Directory証明書サービス」をサーバーに導入する
サーバー証明書を作成する
ユーザー情報を暗号化通信しないでやりとりするときは、サーバー証明書の作成は不要です。
LDAP認証を使用するとき
LDAP認証の使用条件を確認し、必要に応じてサーバー環境を設定してください。
認証用サーバー認証の使用条件
項目 | 説明 |
---|---|
対応OS | Windows Server 2008/2008 R2/2012/2012 R2/2016/2019
|
認証方式 | 以下の認証方式に対応しています。
Kerberos認証を指定しても、認証先のサーバーがKerberos認証に対応していないときは、自動的にNTLM認証に切り替わります。 |
認証条件 |
|
別のドメインで管理されているユーザーでも認証できます。ただし、メールアドレスなどの情報は取得できません。
Kerberos認証を設定しているときは、SSL/TLSを設定しているとメールアドレスを取得できません。
認証済みユーザーのメールアドレスなどを本機のアドレス帳で編集しても、その後の認証でサーバーからの情報が上書きされることがあります。
ドメインコントローラに新規ユーザーを作成し、パスワード設定で「次回ログオン時にパスワード変更が必要」を選択したときは、先にパソコンでログオンしてパスワードの変更をしてください。
Windowsサーバーで「Guest」アカウントが有効に設定されているときは、ドメインコントローラに存在しないユーザーでも認証できます。そのときにユーザーはアドレス帳に登録され、[*Default Group]に設定されている機能だけを使用できます。
項目 | 説明 |
---|---|
対応バージョン | LDAP Ver 2.0/3.0 |
認証方式 |
平文認証ではLDAP簡易認証が有効になります。識別名(DN)ではなく、ユーザーの属性(cn, uid など)による簡略化した認証ができます。 |
認証条件 |
|
LDAPサーバーがActive Directoryで構成されているときの留意点
Kerberos認証とSSL/TLSを設定していると、メールアドレスを取得できません。
匿名認証が許可されることがあります。セキュリティーを高めるには匿名認証を無効にしてください。
認証済みユーザーのメールアドレスなどを本機のアドレス帳で編集しても、その後の認証でサーバーからの情報が上書きされることがあります。
LDAP認証では、本機の機能の使用制限を、サーバーに登録されたグループごとに適用することはできません。
ユーザーが初めて本機を使用したときは、[ユーザー認証管理]で設定した「使用できる機能」が使用できます。
ユーザーごとに「使用できる機能」を制限するには、アドレス帳にユーザーと「使用できる機能」をあらかじめ設定しておくか、ユーザーが自動登録されてから設定してください。
Webサーバー(IIS)と「Active Directory証明書サービス」をインストールする
Active Directoryに登録されているユーザー情報を自動取得するため、Windowsサーバーに必要なサービスをインストールします。
Windows Server 2012/2012 R2/2016/2019
[スタート]メニューから、[サーバーマネージャー]をクリックする。
[管理]メニューから[役割と機能の追加]をクリックする。
[次へ]をクリックする。
[役割ベースまたは機能ベースのインストール]を選択し、[次へ]をクリックする。
サーバーを選択する。
[Active Directory 証明書サービス]と[Webサーバー(IIS)]のチェックボックスにチェックを付け、[次へ]をクリックする。
確認メッセージが表示されたときは、[機能の追加]をクリックします。
インストールする機能にチェックを付け、[次へ]をクリックする。
表示された内容を確認したあと、[次へ]をクリックする。
Active Directory証明書サービスのインストールする役割サービスで、[証明機関]にチェックが付いていることを確認し、[次へ]をクリックする。
表示された内容を確認したあと、[次へ]をクリックする。
Windows Server 2016のときは、表示された内容を確認したあと手順12に進みます。
Web サーバー(IIS)のインストールする役割サービスにチェックを付け、[次へ]をクリックする。
[インストール]をクリックする。
インストールの終了後、サーバーマネージャーの通知アイコンをクリックし、[対象サーバーにActive Directory 証明書サービスを構成する]をクリックする。
[次へ]をクリックする。
役割サービスで[証明機関]にチェックを付けて、[次へ]をクリックする。
[エンタープライズCA]を選択し、[次へ]をクリックする。
[ルートCA]を選択し、[次へ]をクリックする。
[新しい秘密キーを作成する]を選択し、[次へ]をクリックする。
秘密キーを作成するため、暗号化プロバイダー、キー長、ハッシュアルゴリズムを選択し、[次へ]をクリックする。
「このCAの共通名:」にCAの名前を入力し、[次へ]をクリックする。
証明書の有効期間を選択し、[次へ]をクリックする。
「証明書データベースの場所:」と「証明書データベース ログの場所:」は変更しないで[次へ]をクリックする。
[構成]をクリックする。
「構成に成功しました」というメッセージが表示されたら、[閉じる]をクリックする。
Windows Server 2008 R2
「スタート」メニューから「管理メニュー」をポイントし、サーバーマネージャーを起動する。
左枠の[役割]をクリックし、「操作」メニューから[役割の追加]をクリックする。
[次へ]をクリックする。
「Webサーバー(IIS)」と「Active Directory証明書サービス」のチェックボックスにチェックを付け、[次へ]をクリックする。
確認メッセージが表示されたときは[機能の追加]をクリックします。
表示された内容を確認したあと、[次へ]をクリックする。
「証明機関」にチェックを付け、[次へ]をクリックする。
「エンタープライズ」を選択し、[次へ]をクリックする。
「ルートCA」を選択し、[次へ]をクリックする。
「新しい秘密キーを作成する」を選択し、[次へ]をクリックする。
暗号化サービスプロバイダー、キーの長さ、ハッシュアルゴリズムを選択し、[次へ]をクリックする。
「このCAの共通名:」にCAの名前を入力し、[次へ]をクリックする。
証明書の有効期間を選択し、[次へ]をクリックする。
「証明書データベースの場所:」と「証明書データベース ログの場所:」は変更せず、[次へ]をクリックする。
注意事項を確認し、[次へ]をクリックする。
インストールする役割サービスにチェックを付け、[次へ]をクリックする。
[インストール]をクリックする。
追加機能のインストールが始まります。
サーバー証明書を作成する
ユーザー情報を暗号化するために、Windowsサーバーでサーバー証明書を作成します。Windows Server 2016の例で説明します。
[スタート]メニューで[すべてのアプリ]をクリックし、[管理ツール]の[インターネットインフォメーションサービス(IIS)マネージャー]をクリックする。
左枠の[サーバー名]をクリックして選択し、[サーバー証明書]をダブルクリックする。
右枠の[証明書の要求の作成…]をクリックする。
すべての情報を入力して[次へ]をクリックする。
「暗号化サービスプロバイダー:」でプロバイダーを選択し、[次へ]をクリックする。
[…]をクリックし、証明書を要求するためのファイル名を入力する。
ファイルを保存する場所を指定し、[開く]をクリックする。
[終了]をクリックする。