ホワイトペーパー Active Directory でユーザ 管 理 を 統 合 した Open Xchange グループウェア システムの 構 築 について ネクスト イット 株 式 会 社 技 術 本 部 ソリューション 技 術 部 2012/08/29 本 書 の 著 作 権 はネクスト イット 株 式 会 社 にあります
目 次 目 的... 3 1. 目 的... 3 概 要... 5 1. 連 携 イメージ... 5 2. 概 要... 5 構 成... 6 1. 構 成... 6 2.AD 連 携 の 構 成... 6 3. 構 築 の 流 れ... 7 ActiveDirectory の 設 定... 8 1.Turbo ID AIO のインストール... 8 2.スキーマの 拡 張... 8 Mail サーバの 設 定... 9 1.Mail サーバの 構 築... 9 2.LCAD のインストール... 9 3.ケルベロスの 設 定... 9 4.ドメイン 名 の 省 略... 10 OX サーバの 設 定... 11 1.OX サーバの 構 築... 11 2.OXLDAPSync のインストール... 11 3. 各 設 定 ファイルの 編 集... 11 4.コンテキストの 作 成... 12 5.IMAP 認 証 先 の 設 定... 12 6.Mail サーバの 設 定... 13 7.ログイン 設 定 の 変 更... 13 完 成 図... 14 1. 完 成 図... 14 運 用... 15 1.AD サーバでのユーザの 登 録... 15 2.AD サーバでユーザを 作 成 する 時 の 注 意 点... 15 3.Mail サーバへのログイン... 16 4.OX サーバでの LDAPSync... 16 5.OX グループウェアへのログイン... 18 2
目 的 1. 目 的 OpenXchange は 独 OpenXchange 社 が 開 発 販 売 サポートを 行 っている Outlook ライ クなユーザインターフェイスを 持 つグループウェアで 主 な 機 能 として メール カレン ダー 連 絡 帳 タスク(ToDo) インフォストア( 共 有 フォルダ)があります OpenXchange( 以 下 OX と 称 す)は Linux ベースの IA サーバにインストールして OX サーバとして 構 築 しますが OX サーバは メールサーバの 機 能 は 持 っておらず 外 部 のメールサーバ(Postfix/Dovecot)に 接 続 して メールの 送 受 信 を 行 っています つまり メールサーバからみると メールクライアントとして 動 作 します OX サーバは ユーザをユーザアカウント ドメイン( 内 部 的 にはコンテキスト) パス ワードの3つを 内 部 データベースで 管 理 しており OX を 利 用 するユーザは 下 図 のようなロ グイン 画 面 で ユーザ@ドメイン パスワードを 入 力 してログインすることができます OX サーバでは ユーザ 管 理 のうちパスワードについては 内 部 DB 認 証 LDAP 認 証 IMAP 認 証 のいずれかを 選 択 することができ IMAP 認 証 を 使 えばパスワード 認 証 は Mail サーバに 任 せられますが そのためには Mail サーバと OX サーバの 間 でのユーザアカウ ントは 一 致 させておく 必 要 があります また 企 業 においては マイクロソフト 社 の Active Directory が 導 入 されており こち らでユーザ 管 理 されているのが 一 般 的 です そのため AD/Mail/OX サーバの 間 でユー ザアカウント パスワードを AD で 一 元 管 理 できないかという 要 望 がお 客 様 から 上 がって 来 ておりました OX サーバには LDAPSync というモジュールがありますので これを 使 うことで AD サーバに 登 録 されたユーザアカウントから OX のユーザアカウントを 生 成 が 可 能 です しかし Mail サーバについては AD サーバのユーザアカウントを 同 期 させようとする と Samba(Linux マシンを Windows マシンのファイルサーバとして 使 用 できるサービス) 3
というパッケージにあるモジュール Winbind を 使 うことができるものの オープンソー スであるためサポートの 面 での 不 安 がありました この 問 題 を 解 決 するのが ターボリナックス 社 の Linux Connector for Active Directory ( 以 下 LCAD)です これを 導 入 することで ユーザアカウントとパスワード そしてメ ールアドレスは AD サーバで 一 元 管 理 され システム 管 理 者 の 運 用 や 管 理 の 手 間 をかけず に OX グループウェアを 導 入 する 事 が 可 能 となります 4
概 要 1. 連 携 イメージ 2. 概 要 上 図 のように AD サーバ Mail サーバ OX サーバを LCAD LDAPSync IMAP 認 証 で 連 携 させることで AD サーバで 追 加 されたユーザが Mail サーバ OX サーバにも 反 映 され パスワード 認 証 も AD サーバが 行 うことになります このように ユーザ 管 理 は AD サーバで 完 全 に 一 元 化 されますので システム 管 理 者 に 大 きな 負 担 をかけずに OX グループウェアを 導 入 することが 可 能 となります 5
構 成 1. 構 成 AD サーバ Mail サーバ OX サーバ OS Windows Server 2003 R2 Turbolinux Server 11 CentOS 5.8 IP 192.168.11.232 192.168.11.233 192.168.11.236 ホスト 名 AD.NEXTIT.LOCAL MS.NEXTIT.LOCAL OX.NEXTIT.LOCAL その 他 Turbo ID AIO SMTP:Postfix-2.4.5-11 Open Xchange Server 管 理 コンソール IMAP:Dovecot-1.2.8-3 -6.20.6.0-3_7.1 2.AD 連 携 の 構 成 -Mail サーバ LCAD を 用 いて Linux ユーザを AD ユーザと 同 期 させます LCAD とは Windows と Linux が 混 在 する 企 業 システムで 相 互 の ICT 資 源 をシーム レスに 統 合 し Active Directory での 集 中 管 理 を 実 現 するターボリナックス 社 のミドルウ ェア 製 品 です これにより ユーザの 一 元 管 理 を 容 易 に 行 うことができるようになりま す -OX サーバ OXLDAPSync を 利 用 し OX ユーザと AD ユーザの 同 期 を 行 います ただし OXLDAPSync では ActiveDirectory のケルベロス 認 証 には 対 応 しておらず パスワードを 同 期 させることができません そこで AD 連 携 をしている Mail サーバへ IMAP 認 証 を 行 うことで Mail サーバを 介 してパスワード 認 証 を 行 っています 6
3. 構 築 の 流 れ このホワイトペーパーにしたがって 構 築 することで AD サーバでユーザ 管 理 が 一 元 管 理 された OX グループウェア システムが 実 現 できます 7
ActiveDirectory の 設 定 1.Turbo ID AIO のインストール LCAD の 管 理 コンソールである Turbo ID AIO を AD サーバにインストールします イ ンストールが 完 了 しましたら マニュアル( 下 記 リンク 先 )にしたがって 初 期 設 定 を 行 い ます (http://www.turbolinux.co.jp/products/linuxconnector/manuals/lcad_userguide.pdf) 2.スキーマの 拡 張 初 回 起 動 時 には Active Directory のスキーマを 拡 張 する 必 要 があります メニューバー " ツール" -> " 配 置 " をクリックし アクティブディレクトリスキーマ 拡 張 機 能 の 配 置 画 面 で[チェック]ボタンをクリックします 下 図 左 のように 表 示 されたら[ 配 置 ]ボタンを クリックし 配 置 を 完 了 します 下 図 右 のように" 状 態 " 欄 に " 終 了 " と 表 示 され 緑 色 の 文 字 に 変 われば 成 功 です [ 閉 じる]ボタンをクリックして 終 了 してください 一 度 拡 張 したスキーマを 元 に 戻 すことはできません ご 注 意 ください 8
Mail サーバの 設 定 1.Mail サーバの 構 築 TurboLinuxServer11 での 構 築 は 下 記 リンク 先 を 参 考 にします (http://www.turbolinux.co.jp/products/server/11s/user_guide/mailserver.html) 外 部 (OX サーバ 192.168.11.232 も 含 む 192.168.11.*)からの 接 続 の 許 可 を 与 えます /etc/hosts_allow 2.LCAD のインストール LCAD を 利 用 出 来 るようにするために 追 加 パッケージをインストールします 下 記 の 三 つのパッケージを リンク 先 を 参 考 にインストールします ( http://www.turbolinux.co.jp/products/linuxconnector/manuals/lcad_quickstart_gui de.pdf) 3.ケルベロスの 設 定 -AD サーバとパスワードをやり 取 りするのに 必 要 なケルベロスの 設 定 を 行 います ケ ル ベ ロ スの 設 定 フ ァイル /etc/krb5.conf にレルム 名 (realm ) を 指 定 し ま す ActiveDirectory では レルム 名 としてドメイン 名 を 使 用 します /etc/krb5.conf [realms] セクションの 1 行 目 AD.NEXTIT.LOCAL の 部 分 には ターゲットとなるケル 9
ベロスのレルム 名 (ActiveDirectory のドメイン 名 )を 必 ず 大 文 字 で 入 力 します 2 行 目 の kdc= にはケルベロス 認 証 を 行 う KDC のホスト(ドメインコントローラ)を 指 定 します ActiveDirectory にバックアップドメインコントーラが 存 在 する 場 合 kdc 行 を 複 数 記 述 し ておきますと 指 定 順 に 使 用 されます 障 害 発 生 時 などに 有 効 です ( 今 回 はありませんので ad.nextit.local:88 のみとなっています )3 行 目 の admin_server= にはレルムの 管 理 サー バを 指 定 します ( 今 回 は ad.nextit.local:749 となっています )[domain_realm] セクシ ョンには DNS のドメイン 名 とケルベロスのレルム 名 とのマッピングを 指 定 します ActiveDirectory の 場 合 AD.NEXTIT.LOCAL の 例 のようにドメイン 名 の 大 文 字 指 定 がレ ルム 名 となります 4.ドメイン 名 の 省 略 -ドメイン 名 を 省 略 してログインできるように 設 定 します これは OX サーバと Mail サーバから AD サーバへのドメイン 名 の 渡 し 方 が 異 なるため です OX サーバは AD サーバに 対 してドメイン 名 をユーザ 名 @ドメイン 名 のように 渡 しますが Mail サーバでは AD サーバに 対 してドメイン 名 ユーザ 名 と 渡 します そこで /etc/turboadc/config.xml にて defaultrealm の 設 定 を 追 加 して ユーザ 名 とパスワードだけでログインができるようにします /etc/turboadc/config.xml <defaultrealm>ad</defaultrealm> 10
OX サーバの 設 定 1.OX サーバの 構 築 IMAP 認 証 方 式 で OX を /opt/open-xchange/sbin/open-xchange-groupware が 起 動 す るまで 下 記 リンク 先 を 参 考 に 構 築 します ( http://knowledgebase.open-xchange.com/download-install/hosting-server-edition.html ) 2.OXLDAPSync のインストール OXLDAPSync を 下 記 リンク 先 を 参 考 にインストールします (http://knowledgebase.open-xchange.com/extensions/hosting-server-edition.html) 3. 各 設 定 ファイルの 編 集 AD サーバ Mail サーバと 通 信 するための 設 定 を 行 います まずは OXLDAPSync の 設 定 ファイルを 編 集 します /opt/oxldapsync/etc/ldapsync-ads.conf 同 期 する AD サーバの IP アドレスを 入 力 します 同 期 したいユーザの 所 属 している グループを 入 力 します 同 期 したいグループの 所 属 している グループを 入 力 します AD サーバへ 接 続 出 来 る 権 限 のある ユーザ パスワードを 入 力 します 11
/opt/oxldapsync/etc/mapping.ads.conf Mail サーバを FQDN 名 (または IP アドレス)で 指 定 します 必 ずダブルクォーテー ション( )で 囲 んで 入 力 します 4.コンテキストの 作 成 AD サーバと 同 期 させるコンテキストを 作 成 します (OX はドメインをコンテキストと いう 単 位 で 管 理 しています) 下 記 コマンドを 実 行 します コマンドの 解 説 前 半 部 分 の /opt/open-xchange/sbin/createcontext が 実 際 の 実 行 コマンドです 続 く -A oxadminmaster -P admin_master_password は OX サーバの 管 理 者 とパスワー ドです OX サーバのインストール 時 に 設 定 します 次 の -c 1 は 作 成 したいコンテキス トの 番 号 を 入 れます すでに 存 在 しているとエラーとなります -u oxadmin -p secret が そのコンテキストの 管 理 者 とパスワードに 当 たります -d "Context Admin" -g Admin -s User は 表 示 名 姓 名 です -L defaultcontext を 実 行 し このコンテキストをデフォ ルトにする 事 で ドメイン 名 を 省 いたログインを 可 能 にします -e oxadmin@example.com に 当 た る 電 子 メ ー ル ア ド レ ス は 管 理 者 で も 必 須 項 目 で す 最 後 の --access-combination-name=all は 使 用 できる 機 能 を 決 定 するコマンドです ( 今 回 は 全 ての 機 能 を 使 用 できるものになっています ) 5.IMAP 認 証 先 の 設 定 IMAP 認 証 先 の Mail サ ー バ を 設 定 し ま す こ こ で は 192.168.11.233 (MS.NEXTIT.LOCAL)です /opt/open-xchange/etc/groupware/imap.properties /opt/open-xchange/etc/groupware/imapauth.properties 12
6.Mail サーバの 設 定 使 用 する Mail サーバを 設 定 します ここでは 認 証 先 と 同 じサーバです /opt/open-xchange/etc/groupware/mail.properties 7.ログイン 設 定 の 変 更 ドメイン 名 なしでのログインにするために 下 記 設 定 ファイルを 変 更 します /opt/open-xchange/etc/groupware/imapauth.properties /opt/open-xchange/etc/groupware/mail.properties 13
完 成 図 1. 完 成 図 今 回 の 構 築 で 出 来 た 構 成 の 完 成 図 です 以 上 で AD/Mail/OX サーバの AD 連 携 に 関 する 構 築 を 終 えます 14
運 用 実 際 に AD サーバ Mail サーバ OX サーバの 順 に 運 用 時 の 操 作 を 行 います 1.AD サーバでのユーザの 登 録 Turbo ID AIO 管 理 コンソールへのユーザの 追 加 AD サーバにてユーザを 登 録 後 Turbo ID AIO 管 理 コンソールを 起 動 します 起 動 後 下 記 画 面 で Mail サーバに 同 期 させる AD サーバのユーザを 追 加 します この 操 作 が 無 いと 同 期 されません 2.AD サーバでユーザを 作 成 する 時 の 注 意 点 姓 名 表 示 名 電 子 メールアドレスを 必 ず 入 力 してください これらは OX へ 同 期 する 際 に 最 低 限 必 要 な 項 目 です 左 図 :AD サーバ ユーザ 作 成 画 面 右 図 :OX サーバ ユーザ 情 報 画 面 15
3.Mail サーバへのログイン AD サーバで 同 期 を 行 ったユーザで Mail サーバへのログインを 行 います この 時 ドメイン 名 は 必 要 ありません 4.OX サーバでの LDAPSync AD サーバに 追 加 されたユーザを OX サーバへ 登 録 します OX サーバにて 下 記 コマンドを 実 行 します コマンドの 解 説 前 半 部 分 の /opt/oxldapsync/sbin/oxldapsync.pl が 実 際 の 実 行 コマンドです 続 く -f /opt/oxldapsync/etc/ldapsync-ads.conf が 適 用 する 設 定 ファイルです このファ イルに 従 って 連 携 する AD 等 を 決 定 します 後 半 部 分 の -c 1 がユーザを 追 加 したいコンテキストで -A oxadmin -P secret がその コンテキストの 管 理 者 とパスワードに 当 たります 最 後 の -s はオプションで これを 付 ける 事 でユーザの 登 録 状 況 を 見 る 事 が 出 来 ます 実 行 結 果 上 記 コマンドを 実 行 しますと 以 下 のように 表 示 されます 16
User Guest has no value for displayname 設 定 項 目 が 足 りずに 失 敗 しています AD サーバにてユーザの 必 須 項 目 を 確 認 修 正 後 再 度 実 行 してください group Domain Users in context 1 changed ユーザの 追 加 が 成 功 しました 無 事 にユーザが 追 加 されました 17
5.OX グループウェアへのログイン 最 後 に OX グループウェアにアクセスし ログインします http://192.168.11.236 へアクセスします AD サーバへ 登 録 したユーザ 名 とパスワードを 入 力 し Login ボタンを 選 択 します この 時 ドメイン 名 は 必 要 ありません ログインに 成 功 すると 上 記 画 面 が 表 示 されます 以 上 で AD/Mail/OX サーバの AD 連 携 に 関 するホワイトペーパーを 終 わります 18
さらに 製 品 の 詳 細 を 知 りたい あるいは 興 味 やご 質 問 がある 方 は 下 記 にお 問 い 合 わせく ださい ネクスト イット 株 式 会 社 住 所 : 140-0004 東 京 都 品 川 区 南 品 川 2-4-7 アサミビル 5F ホームページ:http://nextit.jp 電 話 03-5783-0702 Fax 03-5783-0704 メール info@nextit.jp ターボリナックス 株 式 会 社 住 所 : 111-0051 東 京 都 台 東 区 蔵 前 3-6-7 蔵 前 イセキビル 4F ホームページ:http://www.turbolinux.co.jp/ TEL:03-6417-9235 ( 代 表 ) FAX:03-3865-8220 メール info@turbolinux.co.jp なお このホワイトペーパーに 記 載 されている 内 容 は 情 報 提 供 を 目 的 としており 明 示 または 黙 示 に 関 わらず これらの 情 報 について ネクスト イット 社 及 びターボリナッ クス 社 はいかなる 責 任 も 負 わないものとします 19