Active Directory連携

 

目次:

1.Active Directory連携機能の概要

2.AD連携機能のメイン機能について

2-1)トラスト・ログインユーザーの管理

①自動登録・自動無効化(仮削除)

②トラスト・ログイングループの所属の制御

③ユーザー属性更新

④同期タイミングについて

⑤ユーザーの情報源について

2-2)トラスト・ログインへのログイン

2-3)AD連携機能が一番発揮できる環境について

3.システムの仕組みについて

3-1)インストールするソフトウェアについて

3-2)インストール方法

①インストール前の確認・準備

②インストール手順

③アンインストール手順

3-3)ユーザー同期設定

3-4)コネクターのログの確認

4.お客様のご利用方法に合わせた設定

  ログインボタンの表示変更

5.  最後に

  よくあるご質問

 

 

 

1.Active Directory連携機能の概要

 

お客様のActive Directory(以降AD)のユーザーデータを活用し、トラスト・ログインユーザーの管理(作成、更新、無効化、トラスト・ログイングループへの所属制御)が簡単に行える機能です。

また、ADのメールアドレスとパスワードでトラスト・ログインにログインできる機能をあわせてご提供しています。

AD に新規ユーザーが登録された際、または無効となった際に、トラスト・ログインにこの情報が自動的に同期されますので、トラスト・ログイン運用、ID管理の手間を大きく削減できます。

 

2.AD連携機能のメイン機能について

 

2-1)トラスト・ログインユーザーの管理

①自動登録・自動無効化(仮削除)

AD側のユーザーが同期条件に該当したときに、トラスト・ログイン側にこのユーザーが自動的に登録されます。

同期条件を柔軟に指定が可能で、段階的にユーザー登録することが可能です。詳しくは、「ユーザー同期条件について」をご参照ください。

  • 同期条件に該当していたAD側のユーザーが、この条件に該当しなくなったとき、また、AD上で無効になると、トラスト・ログイン上で対象ユーザーのトラスト・ログイン利用ステータスが自動で「停止」になり、直ちにトラスト・ログインの利用ができなくなります。
  • AD側でユーザーオブジェクトが無効にされずに物理的に削除されると、この処理の検知が行えず、トラスト・ログイン上でユーザーのステータスが「停止」になりませんので、トラスト・ログイン上でユーザーのステータスを「停止」とするためには、まずAD上でユーザーを無効にしていただく必要があります。
  • AD連携をしているメンバーが同期対象外になった場合、トラスト・ログイン上のユーザーのステータスが「停止」となりますが、ユーザー情報の編集をすることで引き続きトラスト・ログインの利用が可能となります。パスワード認証、外部IDP連携やSCIMオプションなどいずれかのログイン方法を割り当てる必要があります。

 

既存のトラスト・ログインユーザーとADユーザーの紐づけについて

AD連携機能を導入する前に手動やCSVアップロードによって登録されたユーザーとAD側のユーザーの紐づけも可能です。既存のトラスト・ログインユーザーと同期対象のADユーザーのメールアドレスが一致していれば、自動的に紐づけが行われます。既存のユーザーが同期対象のADユーザーに含まれていない場合、ADと紐づけされず今までのままの扱いが可能です。

  • AD連携機能が導入されていても、手動またCSVアップロードによりADと紐づけのないのユーザーの作成が可能です。
  • ADとの初回同期時にAD内にあるメールアドレスのユーザーがすでにトラスト・ログインにいた場合、ADのパスワード、または、もともと設定されていたトラスト・ログインのパスワード両方でログインできる状態となります。トラスト・ログインのパスワードを外したい場合には、パスワード認証のリストから対象ユーザーを外してください。

  

②トラスト・ログイングループの所属の制御

同期条件でADのセキュリティグループとトラスト・ログイングループの紐づけを行うことで、ユーザーのトラスト・ログイングループへの所属の制御ができます。AD側でユーザーがセキュリティグループに所属すると、自動的に紐づけ先のトラスト・ログイングループ内に登録されます。また、AD側のセキュリティグループから外されたとき、トラスト・ログイン上でも紐づけ先のグループを外れます。

この際、トラスト・ログイングループに割り当てられていたアプリのご利用ができなくなり、このアプリに設定していたクレデンシャルの情報が削除されますので、ご注意ください。

 

③ユーザー属性更新

AD側でユーザーオブジェクトの属性が変わった場合、トラスト・ログイン上にも該当する属性が更新されます。更新対象の項目は以下の通りになります。

姓、名、部署、電話番号、郵便番号、都道府県、市区町村、番地


※また、デスクトップSSO に必要なUPN(samAccountName+ADドメイン名)の更新も可能です。
ご希望の方は設定を行いますので、こちらよりご連絡ください。
 

④同期タイミングについて

自動登録・自動無効化(仮削除)、トラスト・ログイングループの所属制御、ユーザー属性更新の処理は、リアルタイムではありません。数十分から数時間程度かかりますのであらかじめご承知おきください(時間は設定によって異なります)。

 

⑤ユーザーの情報源について

AD連携機能によって登録されたユーザー、またADと紐づけされたユーザーについて、AD側の情報がマスタになり、トラスト・ログインでこのユーザーの以下の制御が不可になります。

  • 属性変更
  • 無効化・削除
  • トラスト・ログイングループへの所属制御

上記の制御が必要な場合、AD側の情報の更新、グループへの所属制御の場合には同期設定の更新をお願いします。

 

2-2)トラスト・ログインへのログイン

AD連携がしているユーザーは、ADのメールアドレスとADのパスワードを利用して、トラスト・ログインにログインができます。

ADのパスワードはトラスト・ログインで一切保存されません。毎回ログイン時にADに認証の問い合わせを行いますので、常に現行のADパスワードでのログインとなります。

トラスト・ログインパスワードの設定について

ADパスワードによるログイン以外、別途トラスト・ログインパスワードの設定も可能です。お客様の ADに接続ができなくなったときに、トラスト・ログインにログインができないことを防ぐためです。通常、管理者だけがトラスト・ログインパスワードとADパスワード両方の認証を可能にし、一般のユーザーはADパスワードの認証だけを許可し、運用するのがおすすめのやり方ですが、ADのパスワードでログインができなくなった場合などには、すべてのユーザーにトラスト・ログインパスワードの設定を許可することができます。

ユーザーにトラスト・ログインパスワードを許可した際、ユーザーのメールアドレス宛にトラスト・ログインパスワード登録メールが送信されます。

「設定 > パスワード認証」の「メンバー登録時に自動でパスワード認証を割り当てる」の設定はデフォルトでオンになっています。トラスト・ログインのパスワードではログインしない運用とする場合は、こちらをオフに変更ください。

2-2.png

 

2-3)AD連携機能を利用する場合のAD環境について

AD連携機能はお客様のAD環境の情報に依存しています。以下の条件が揃っているとAD連携機能の設定や利用がもっともスムーズになります。

  • 同期対象のユーザーにファストネーム、ラストネーム、メールアドレスが設定されている(必須)
  • 同期対象のユーザーには一意のメールアドレスが設定されている(必須)
  • 同期対象がセキュリティグループ単位で選択できるように設定されている
  • コネクターからADに対して安定した接続ができること
    (DNSの名前解決やファイアーウォールの設定などに問題がなく、ネットワークの通信が安定している)

※ 現在はセキュリティグループ単位で同期条件の設定が可能ですが、OU単位で同期する機能もリリース予定です。

また、トラスト・ログインは複数ドメインとの連携に対応しています。ただし、以下の点にご注意ください。

  1. ADコネクターから対象すべてのドメインコントローラーにLDAPクエリが可能である必要があります。FirewallでADコネクターからの通信がブロックされていたり、DNSでドメインやドメインコントローラーの名前解決ができないと同期に失敗します。
  2. 複数ドメインと連携する場合、全てのドメインから連携結果が正常に返されないと同期に成功しません。1つのドメインからでも連携結果が返されなかった場合は、全体の同期が失敗します。

 

.システムの仕組みについて

 

お客様にとって、最も手間がかからない導入と運用の方法を目的とし、AD連携機能の設計・実装をしています。トラスト・ログインのAD連携機能の特徴は以下の通りです。

  • お客様の環境に外部から接続をしない。
  • AD に対して読み込みだけを行い、書き込みは一切行わない。管理者の権限も不要。
  • 導入するのに、特殊な知識やソフトウェアは不要(ADの管理者が数時間以内に導入できる前提)

 

3-1)インストールするソフトウェアについて

AD連携機能を実現するために、お客様の環境に弊社開発のコネクターをインストールし、弊社への環境に接続を許可する必要があります。

mceclip2.png

 

インストールする環境についての注意事項

  • 対象のOSは、Windows Server 2012 R2 / 2016 / 2019(日本語版、英語版とも)。
  • お客様の環境から以下2つのアウトバウンドの接続を可能にする必要があります。
  • 現在、プロキシ経由の接続は対応しておりませんので、直接接続が可能な環境でなければなりません。
  • インストール先のPCは、常に稼働しているドメインに参加しているWindowsマシンでなければなりません。ドメインコントローラーのマシンにインストールするのが一般的です。(消費するメモリは256MB未満です。)
  • 設定ブラウザはGoogle Chromeにて進めてください。

 

3-2)インストール方法

①インストール前の確認・準備

セキュリティグループの所属

同期対象のユーザーはセキュリティグループの単位で決まりますので、ユーザーが対象のセキュリティグループに所属していることをご確認ください。同期条件に指定されたセキュリティグループ、またその配下のグループのすべてのユーザーが同期対象になります。

メールアドレスが重複していないこと

同期対象のユーザーの中に同じメールアドレスが設定されているユーザーオブジェクトは2つ以上存在していないことをご確認ください。二つの同じメールアドレスが存在している場合、同期時にエラーとなります。

必須項目

以下の項目は、トラスト・ログインでは必須になっているため、同期対象のユーザーオブジェクトに存在しなければなりません。

姓、名、メールアドレス

LDAPクエリーを実施するADユーザーの作成

コネクターがお客様の環境でLDAPクエリーを実行するときに、ADユーザー(システムアカウント)としてクエリーを実行します。ユーザー権限に「読み込み権限」があるユーザーを作成してください。

※ ユーザー作成の注意事項

  1. 初期パスワードの変更が不要のオプションにする必要があります。
  2. このADユーザーは専用のユーザー(システムアカウント)を作成してください。既存のユーザーを再利用した場合、検索対象のグループに入っていると検索に失敗します。
  3. 定期的パスワードの変更が有効にされると、パスワードが変更される都度にトラスト・ログイン上で同期設定の変更も必要になります。
  4. 対象ユーザーが同期対象に含まれていると同期が行えません。同期対象から外していただくようお願いいたします。

 

②インストール手順

1.AD連携機能のお申し込み完了後、AD設定が行えるようになります。

管理者画面(設定 > Active Directory連携 > 「設定」ボタン)から

1)コネクター設定ファイル

2)コネクター自体のファイル

をダウンロードします。

mceclip3.png

 

2.コネクターのファイルはZIPファイルになっていますので、インストール先のマシンの空白や日本語の文字が入っていないパスに展開します。展開先のディレクトリは以下となります。

 

3.コネクター設定ファイルを展開されたファイルと同じディレクトリにコピーします。

※ コネクター設定ファイルにはトラスト・ログインコネクターが利用するクレデンシャルが含まれています。誰もがアクセスできる場所には置かないなど、お取り扱いには十分ご注意ください。

 

4.install.batファイルをダブルクリックして、コネクターをインストールします。

※ *.bat系ファイルがダブルクリックで起動しない場合、インストール先のフォルダーをCMDで開き、対象の*.batファイルを実行してください。

 

5.コネクターはWindows サービスとしてインストールされるので、Services 管理ツールを開いて、「Skuid AD Connector」サービスを開始させます。

 

6.トラスト・ログインの管理画面からコネクターが正常に接続できたことを確認します。

mceclip9.png

※ 数分経っても、コネクター一覧にコネクターの記録が現れない場合、インストール先のPCからプロキシ経由なしで、[b-mq-ad.services.sku.id]に[TCPポート5671]で接続が可能なことをご確認ください。そのうえでコネクター一覧にコネクターの情報が表示されない場合、コネクターのインストール先のディレクトリの[logsディレクトリ]を圧縮して、弊社サポート窓口までお問い合わせください。

※ コネクターが10分毎に、ハートビートメッセージを送信しています。10分以上経っても、ハートビートが来ない場合、コネクターのステータスが異常です。

※コネクターの冗長化について

1つのマシンに対し1つのコネクターをインストールできます。冗長構成にする場合は、複数マシンにコネクターを同じ手順でインストールしてください。

 

コネクターをインストールする際のエラーについて:

事象
操作とエラー情報
原因
解決方法

AD Connectorインストールする際にエラーが表示され、

インストールできない

操作:

install.batをダブルクリックで実行

 

エラー情報:

2021-01-13 21:23:49,200 INFO  - Installing the service with id

'skuidadconnector'

2021-01-13 21:23:49,247 FATAL - WMI Operation failure: AccessDenied

WMI.WmiException: AccessDenied

    場所 WMI.WmiRoot.BaseHandler.CheckError(ManagementBaseObject result)

    場所 WMI.WmiRoot.ClassHandler.Invoke(Object proxy, MethodInfo method,

Object[] args)

   .....

操作者の権限不足

管理権限のユーザーでインストールする

 

 

 

③アンインストール手順

1.Services 管理ツールを開いて、「Skuid AD Connector」サービスを停止させます。

 

2.インストール先のディレクトリにあるuninstall.batを実行すると、Windows サービスがアンインストールされます。そのあと、インストール先のディレクトリを削除してください。

 

3-3)ユーザー同期設定

コネクターをインストールして、接続が確認できた後、ユーザー同期設定が行えます。ユーザー同期設定では、同期対象のADセキュリティグループに加えて、お客様のドメイン、LDAP接続情報、セキュリティグループとトラスト・ログイングループの紐づけの設定が行えます。

※ こちらの作業はGoogle Chromeでご対応ください。その他のブラウザはサポート対象外となります。

 

  1. AD 連携画面を開きます。


  2. ユーザー同期設定を開きます。
    mceclip14.png

  3. 初期状態でユーザー同期設定画面は以下のように表示されます。

 

4.「ドメイン追加」をクリックして、同期設定を行います。

※登録メンバーがトラスト・ログインの独自パスワードは使わず、Active DirectoryのID、パスワードでのみログインする場合、同期を始める前に、「設定 > オプション機能 >パスワード認証 >設定」で「メンバー登録時に自動でパスワード認証を割り当てる」をあらかじめオフにしてください。

※ドメインの追加は1件のみ可能です。

mceclip16.png

 

項目名

必須

説明

同期間隔

差分同期が行われる間隔。デフォルトで30分。

ドメイン(お客様のドメインについての基本情報

ドメイン

お客様のドメイン名。例:globalsign.com

ドメインコントローラー

×

お客様の環境にインストールするコネクターがDNSからドメインコントローラーを自動的に選択していますが、具体的にドメインコントローラーを設定したい場合、こちらにご入力ください。

例:dc1.example.com

プロトコル

お客様の環境で利用可能なプロトコル。なお、自己署名証明書を使うLDAPSは利用不可です。

ポート

プロトコルに応じて、ポートを設定します。大抵の場合、デフォルトの389の値で結構です。

読み取り権限のあるADユーザー

このセクションでは、LDAPの接続用のクレデンシャルを設定します

userBase

LDAPクエリーを実施するADユーザーのベース。

例:DC=globalsign,DC=com

userDn

LDAPクエリーを実施するADユーザーの識別名、又はuserPrincipalName。基本的に識別名を指定すれば稼働可能ですが、お客様の環境によって識別名ではなく、userPrincipalNameを指定する必要があります。詳しくは、「コネクターのログの確認」セクションをご覧ください。

・識別名の例:

CN=TrustLogin,DC=globalsign,DC=com

・userPrincipalNameの例:

trustlogin@globalsign.com

userPassword

LDAPクエリーを実施するADユーザーのADパスワード

同期条件

このセクションではAD のセキュリティグループとトラスト・ログイングループの紐づけを行います。

名前

同期条件のラベル。適当なわかりやすい値で構いません。

同期元のADドメインユーザーグループ

×

このトグルをONにすると、ドメインすべてのユーザーが同期対象になります。

同期元のADセキュリティグループ

同期対象のADのセキュリティグループの識別名です。このグループに所属しているすべてのユーザー、およびこのグループにネストされているグループのすべてのユーザーが同期対象となります。

複数のセキュリティグループの指定が可能です。

例:

CN=営業,OU=Employees,DC=trustlogin,DC=com

同期先のトラスト・ログイングループ

この同期条件で同期対象となったユーザーを所属させるトラスト・ログイン内のグループを指定します。複数のトラスト・ログイングループの指定が可能です。既存のトラスト・ログイン内グループからの選択になりますので、事前にトラスト・ログインでグループを設定しておいてください。

同期するAD属性

ADのユーザーオブジェクトの属性とトラスト・ログインのユーザーの属性のマッピングを行います。各項目に対して、複数の属性の設定が可能です。最初の空白ではない値が利用されます。

ユーザーの名に該当するユーザーオブジェクトの属性。例:givenName

ユーザーの姓に該当するユーザーオブジェクトの属性。例:sn

メールアドレス

ユーザーのメールアドレスに該当するユーザーオブジェクトの属性。例:mail

部署

×

ユーザーの部署に該当するユーザーオブジェクトの属性。

電話番号

×

ユーザーの電話番号に該当するユーザーオブジェクトの属性。

郵便番号

×

ユーザーの郵便番号に該当するユーザーオブジェクトの属性。

都道府県

×

ユーザーの都道府県に該当するユーザーオブジェクトの属性。

市区町村

×

ユーザーの市区町村に該当するユーザーオブジェクトの属性。

番地

×

ユーザーの番地に該当するユーザーオブジェクトの属性。

すべての項目を正しく入力した後、保存ボタンをクリックします。そこからユーザーの同期が始まります。同期対象のユーザー数によりますが、同期にはしばらく時間かかります(500ユーザーの場合、1時間ぐらいで完了いたします)。

※注意 同期中に保存ボタンを繰り返し押すと同期に失敗する場合あります。

 

3-4)コネクターのログの確認

ユーザー同期が想定通りに行えていない場合、まずはコネクターのログを確認する必要があります。ログはコネクターのインストール先ディレクトリにあるlogsというディレクトリに保存されています。プログラムのログとなりますので、お客様側で分析が行えない場合には、弊社へお問い合わせください。その際にはログのご提供をお願いしております。

 

※既知のエラーと対応方法

エラー内容:

「ユーザー同期設定」画面で設定を保存し、時間がたってもユーザーの同期が開始されず、かつログに「AcceptSecurityContext error, data 52e」エラーが出力されます。

修正方法:

「ユーザー同期設定」画面の「読み取り権限のあるADユーザー」セクションのuserDn入力欄に、識別名ではなくuserPrincipalName を指定してください。

 

4.お客様のご利用方法に合わせた設定

ログインボタンの表示変更

 ① ログインボタンのラベルを変更する

「管理ページ > 設定」メニューからActive Directory連携の設定画面を開き、「ログインボタン名」に変更したい名称を入力し保存します。

mceclip16.png

変更した内容に表示が変更されます。
mceclip17.png

 

 ②ログインボタンを非表示にする

AD連携オプションが有効な状況でもログイン時の「Active Directory」ボタンを非表示にすることができます。 これにより、AD連携をユーザー同期に使用し、ログインの認証は外部IDPを使用してADFSで行うなどの利用が可能となります。

「管理ページ > 設定」メニューからActive Directory連携の設定画面を開き、「ADパスワードを無効にする」をチェックし保存します。

mceclip18.png

 

 

5.最後に

 AD連携機能の設定につきましてご不明点等ございましたら、弊社サポートセンターまでお問い合わせください。無料トライアルによる検証の場合には新規ご相談窓口(03-6370-6601)までお問い合わせください。

よくあるご質問

Q 1)AD連携利用中のユーザーがトラスト・ログインにログインしたところ、「外部認証システムから応答がありません」とのメッセージが表示され、トラスト・ログインにログインできません。
A )以下の条件にすべて当てはまる場合にはADコネクタのリスタートをお願いします。

  1. ハートビートは来ている
  2. ログにエラーがない

Q2 )ADのユーザがトラスト・ログイン側に同期できません。
A )以下の各項目をご確認ください。

  1. ADサーバ側
    所属メンバーをダブルクリックし、first name、last name、emailなどの属性が全て入っているかご確認ください。

    mceclip18.png

トラスト・ログイン側
「ユーザー同期設定」を開き、以下の各項目を設定してください。

①読み取り権限のあるADユーザーのDNを「userDN」に入力する(図1参照)
②読み取り権限のあるADユーザーのパスワードを「userPassword」に入力する
③「同期元のADドメインユーザーグループ」のトグルをONに設定すると、AD側の全ユーザーが同期対象になってしまうので、一つのADグループのみ同期の場合OFFにする
④同期のADグループのDNを「同期元のADセキュリティグループ」に入力する(図2参照)

mceclip19.png

(図1)
mceclip20.png

(図2)
mceclip21.png

「同期するAD属性」にてAD側ユーザーの属性とトラログ側の情報のマッピングを設定します。
各項目に以下の通り入力し、設定を保存します。

givenName
sn
メールアドレス mail
部署 department



mceclip22.png

Q3 )上記の確認をしましたが、同期ができません。

A3)ログにエラーがある場合、エラー情報を参照しご対応お願いいたします。

 

AD コネクターのエラーログファイル

logsフォルダ直下のskuidadconnector_yyyymmdd.out.log / skuidadconnector_yyyymmdd.err.log

 

ログで記録されたエラー情報
原因
解決方法
ERROR c.g.i.adconnector.beans.AmqpReceiver - Caught exception when processing SearchOperationRequestMessage message {}
org.springframework.ldap.PartialResultException: nested exception is javax.naming.PartialResultException [Root exception is javax.naming.CommunicationException: host.test.com:389 [Root exception is java.net.ConnectException: Connection timed out: connect]]
.....................
Caused by: javax.naming.PartialResultException: null
at com.sun.jndi.ldap.AbstractLdapNamingEnumeration.hasMoreImpl(Unknown Source)
at com.sun.jndi.ldap.AbstractLdapNamingEnumeration.hasMoreReferrals(Unknown Source)
ADコネクターから指定したADドメインコントローラーに接続できない

ADコネクターを設定したPCからADドメインコントローラーへのアクセスできるかを確認してください。

通常はDNSの設定問題、またはFirewallに問題があり、お客様のITシステム部門から解決のサポートが必要です。

 

・通信Portのアクセス許可されているかを確認してください。

 

・FireWallなど通信を阻止する要素の取り除き試してみてください。

 

・DNSサーバで登録したドメインコントローラーを確認して頂き、無効のコントローラー情報が残っていないかご確認ください。

 

Caused by: javax.naming.CommunicationException: host.test.com:389
at com.sun.jndi.ldap.Connection.<init>(Unknown Source)
at com.sun.jndi.ldap.LdapClient.<init>(Unknown Source)
... 25 common frames omitted
Caused byjava.net.ConnectException: Connection refused: connect
at java.net.DualStackPlainSocketImpl.connect0(Native Method)

.....

ADコネクターから指定したADドメインコントローラーに接続できない
Caused by: javax.naming.CommunicationException: simple bind failed: host.test.com:389
at com.sun.jndi.ldap.LdapClient.authenticate(Unknown Source)
at com.sun.jndi.ldap.LdapCtx.connect(Unknown Source)
... 25 common frames omitted
Caused by: java.net.SocketException: Connection reset
at java.net.SocketInputStream.read(Unknown Source)
at java.net.SocketInputStream.read(Unknown Source)
at sun.security.ssl.InputRecord.readFully(Unknown Source)
HTTPS接続できない

HTTPS関連の設定を確認し、正しい情報をトラスト・ログインAD管理画面でのプロトコル・ポートに設置してください。

Consumer@108918ab: tags=[{amq.ctag-UrtoGbbFdFfu0c96a-MDVw=connector.inbound}],

channel=Cached Rabbit Channel: AMQChannel(amqp://user_vRu3hYJ5KEcXB2lblJyv_being-group@18.179.80.15:5671/vhost_auuUOeavP1gSAN6Z9VyT_being-group,1),

conn: Proxy@7dc90857 Shared Rabbit Connection: SimpleConnection@4e92d9b7 [delegate=amqp://user_vRu3hYJ5KEcXB2lblJyv_being-group@18.179.80.15:5671/vhost_auuUOeavP1gSAN6Z9VyT_being-group, localPort= 64559],

acknowledgeMode=AUTO local queue size=0

ADコネクターはトラスト・ログインのADサーバへアクセスできない

ADコネクターインストールしたPCから、上記2台サーバへのアクセスができるようにネットワークの設定してください。

WARN c.g.i.a.s.LdapFunctionalityService - Group SearchTerm(dn="CN=SSS,DC=aaa,DC=co,DC=jp",

matchCriteriaIdList=[3ddcf0cb-753a-424b-9349-d893d9bfcff1], staticUserSearchQuery=null) was not found

...

UserDN設定不正

UserBase, UserDNを正しく設定してください。

※下記「ADトラブルシューティングの際に役立つコマンド」の「dsquery user "UserDN"」コマンド実施でUserDnの正確性を確認してください。

 

org.springframework.ldap.AuthenticationException:

[LDAP: error code 49 - 80090308: LdapErr: DSID-0C090453, comment: AcceptSecurityContext error, data 52e, v3839 ];

nested exception is javax.naming.AuthenticationException:

[LDAP: error code 49 - 80090308: LdapErr: DSID-0C090453, comment: AcceptSecurityContext error, data 52e, v3839 ]

UserDN設定不正

WARN c.g.i.a.s.LdapFunctionalityService - Group SearchTerm(dn=CN=aaaaGroupName,OU=OUName,DC=test,DC=com, matchCriteriaIdList=[d125d0db-304b-4e76-a44f-8cebbe912802], staticUserSearchQuery=null) was not found

.....

同期元のADセキュリティグループ設定不正

同期元のADセキュリティグループを正しく設定してください。

※下記「ADトラブルシューティングの際に役立つコマンド」の「dsquery group "GroupDN"」コマンド実施でグループのDnの正確性を確認してください。

エラーメッセージなし

同期するAD属性設定不正

 

同期するAD属性を正しく入力してください。

通常は下記で入力する。

名:givenName

姓:sn

メールアドレス:mail

 

正しく設定されている場合には、AD側ユーザーの設定済属性が入力されていることをご確認ください。

 

ADトラブルシューティングの際に役立つコマンド:

分類
コマンド
 
CMD dsquery user "UserDN"

トラストログインAD設定画面上に入力された"読み取り権限のあるADユーザー"UserDNの正確性を検証

入力したUserDNが正しい場合、入力したUserDNがそのまま表示される。

CMD1.png

 

入力したUserDNが間違っている場合、エラーが表示される。

CMD2.png

CMD dsquery group "GroupDN"

トラストログインAD設定画面上に入力された"同期元のADセキュリティグループ"の正確性を検証

入力したGroupDNが正しい場合、入力したGroupDNの表示になる。

CMD3.png

 

入力したGroupDNが間違っている場合、エラーが表示される。

CMD4.png

 

Q4 )ADサーバーへ連携できているか確認したい。

A4 )Windowsのコマンドラインで、telnetを利用して2台のADサーバへのアクセス開放情報を確認できます。

telnet b-mq-ad.services.sku.id 5671

※telnet利用できない場合、こちらのページをご参照の上、telnetを有効にしてください。 

接続できない場合は、接続失敗のエラーメッセージが表示されます。
対象サーバのIPまたはポートへの開放状況について、ファイアウォール設定などをご確認ください。

Q401.png

ADサーバ及びポートへの接続ができた場合は、ブランク スクリーンが表示されます。
確認完了後telnetのウィンドウを閉じてください。

Q402.png

 

Active Directory連携

 

目次:

1.Active Directory連携機能の概要

2.AD連携機能のメイン機能について

2-1)トラスト・ログインユーザーの管理

①自動登録・自動無効化(仮削除)

②トラスト・ログイングループの所属の制御

③ユーザー属性更新

④同期タイミングについて

⑤ユーザーの情報源について

2-2)トラスト・ログインへのログイン

2-3)AD連携機能が一番発揮できる環境について

3.システムの仕組みについて

3-1)インストールするソフトウェアについて

3-2)インストール方法

①インストール前の確認・準備

②インストール手順

③アンインストール手順

3-3)ユーザー同期設定

3-4)コネクターのログの確認

4.お客様のご利用方法に合わせた設定

  ログインボタンの表示変更

5.  最後に

  よくあるご質問

 

 

 

1.Active Directory連携機能の概要

 

お客様のActive Directory(以降AD)のユーザーデータを活用し、トラスト・ログインユーザーの管理(作成、更新、無効化、トラスト・ログイングループへの所属制御)が簡単に行える機能です。

また、ADのメールアドレスとパスワードでトラスト・ログインにログインできる機能をあわせてご提供しています。

AD に新規ユーザーが登録された際、または無効となった際に、トラスト・ログインにこの情報が自動的に同期されますので、トラスト・ログイン運用、ID管理の手間を大きく削減できます。

 

2.AD連携機能のメイン機能について

 

2-1)トラスト・ログインユーザーの管理

①自動登録・自動無効化(仮削除)

AD側のユーザーが同期条件に該当したときに、トラスト・ログイン側にこのユーザーが自動的に登録されます。

同期条件を柔軟に指定が可能で、段階的にユーザー登録することが可能です。詳しくは、「ユーザー同期条件について」をご参照ください。

  • 同期条件に該当していたAD側のユーザーが、この条件に該当しなくなったとき、また、AD上で無効になると、トラスト・ログイン上で対象ユーザーのトラスト・ログイン利用ステータスが自動で「停止」になり、直ちにトラスト・ログインの利用ができなくなります。
  • AD側でユーザーオブジェクトが無効にされずに物理的に削除されると、この処理の検知が行えず、トラスト・ログイン上でユーザーのステータスが「停止」になりませんので、トラスト・ログイン上でユーザーのステータスを「停止」とするためには、まずAD上でユーザーを無効にしていただく必要があります。
  • AD連携をしているメンバーが同期対象外になった場合、トラスト・ログイン上のユーザーのステータスが「停止」となりますが、ユーザー情報の編集をすることで引き続きトラスト・ログインの利用が可能となります。パスワード認証、外部IDP連携やSCIMオプションなどいずれかのログイン方法を割り当てる必要があります。

 

既存のトラスト・ログインユーザーとADユーザーの紐づけについて

AD連携機能を導入する前に手動やCSVアップロードによって登録されたユーザーとAD側のユーザーの紐づけも可能です。既存のトラスト・ログインユーザーと同期対象のADユーザーのメールアドレスが一致していれば、自動的に紐づけが行われます。既存のユーザーが同期対象のADユーザーに含まれていない場合、ADと紐づけされず今までのままの扱いが可能です。

  • AD連携機能が導入されていても、手動またCSVアップロードによりADと紐づけのないのユーザーの作成が可能です。
  • ADとの初回同期時にAD内にあるメールアドレスのユーザーがすでにトラスト・ログインにいた場合、ADのパスワード、または、もともと設定されていたトラスト・ログインのパスワード両方でログインできる状態となります。トラスト・ログインのパスワードを外したい場合には、パスワード認証のリストから対象ユーザーを外してください。

  

②トラスト・ログイングループの所属の制御

同期条件でADのセキュリティグループとトラスト・ログイングループの紐づけを行うことで、ユーザーのトラスト・ログイングループへの所属の制御ができます。AD側でユーザーがセキュリティグループに所属すると、自動的に紐づけ先のトラスト・ログイングループ内に登録されます。また、AD側のセキュリティグループから外されたとき、トラスト・ログイン上でも紐づけ先のグループを外れます。

この際、トラスト・ログイングループに割り当てられていたアプリのご利用ができなくなり、このアプリに設定していたクレデンシャルの情報が削除されますので、ご注意ください。

 

③ユーザー属性更新

AD側でユーザーオブジェクトの属性が変わった場合、トラスト・ログイン上にも該当する属性が更新されます。更新対象の項目は以下の通りになります。

姓、名、部署、電話番号、郵便番号、都道府県、市区町村、番地


※また、デスクトップSSO に必要なUPN(samAccountName+ADドメイン名)の更新も可能です。
ご希望の方は設定を行いますので、こちらよりご連絡ください。
 

④同期タイミングについて

自動登録・自動無効化(仮削除)、トラスト・ログイングループの所属制御、ユーザー属性更新の処理は、リアルタイムではありません。数十分から数時間程度かかりますのであらかじめご承知おきください(時間は設定によって異なります)。

 

⑤ユーザーの情報源について

AD連携機能によって登録されたユーザー、またADと紐づけされたユーザーについて、AD側の情報がマスタになり、トラスト・ログインでこのユーザーの以下の制御が不可になります。

  • 属性変更
  • 無効化・削除
  • トラスト・ログイングループへの所属制御

上記の制御が必要な場合、AD側の情報の更新、グループへの所属制御の場合には同期設定の更新をお願いします。

 

2-2)トラスト・ログインへのログイン

AD連携がしているユーザーは、ADのメールアドレスとADのパスワードを利用して、トラスト・ログインにログインができます。

ADのパスワードはトラスト・ログインで一切保存されません。毎回ログイン時にADに認証の問い合わせを行いますので、常に現行のADパスワードでのログインとなります。

トラスト・ログインパスワードの設定について

ADパスワードによるログイン以外、別途トラスト・ログインパスワードの設定も可能です。お客様の ADに接続ができなくなったときに、トラスト・ログインにログインができないことを防ぐためです。通常、管理者だけがトラスト・ログインパスワードとADパスワード両方の認証を可能にし、一般のユーザーはADパスワードの認証だけを許可し、運用するのがおすすめのやり方ですが、ADのパスワードでログインができなくなった場合などには、すべてのユーザーにトラスト・ログインパスワードの設定を許可することができます。

ユーザーにトラスト・ログインパスワードを許可した際、ユーザーのメールアドレス宛にトラスト・ログインパスワード登録メールが送信されます。

「設定 > パスワード認証」の「メンバー登録時に自動でパスワード認証を割り当てる」の設定はデフォルトでオンになっています。トラスト・ログインのパスワードではログインしない運用とする場合は、こちらをオフに変更ください。

2-2.png

 

2-3)AD連携機能を利用する場合のAD環境について

AD連携機能はお客様のAD環境の情報に依存しています。以下の条件が揃っているとAD連携機能の設定や利用がもっともスムーズになります。

  • 同期対象のユーザーにファストネーム、ラストネーム、メールアドレスが設定されている(必須)
  • 同期対象のユーザーには一意のメールアドレスが設定されている(必須)
  • 同期対象がセキュリティグループ単位で選択できるように設定されている
  • コネクターからADに対して安定した接続ができること
    (DNSの名前解決やファイアーウォールの設定などに問題がなく、ネットワークの通信が安定している)

※ 現在はセキュリティグループ単位で同期条件の設定が可能ですが、OU単位で同期する機能もリリース予定です。

また、トラスト・ログインは複数ドメインとの連携に対応しています。ただし、以下の点にご注意ください。

  1. ADコネクターから対象すべてのドメインコントローラーにLDAPクエリが可能である必要があります。FirewallでADコネクターからの通信がブロックされていたり、DNSでドメインやドメインコントローラーの名前解決ができないと同期に失敗します。
  2. 複数ドメインと連携する場合、全てのドメインから連携結果が正常に返されないと同期に成功しません。1つのドメインからでも連携結果が返されなかった場合は、全体の同期が失敗します。

 

.システムの仕組みについて

 

お客様にとって、最も手間がかからない導入と運用の方法を目的とし、AD連携機能の設計・実装をしています。トラスト・ログインのAD連携機能の特徴は以下の通りです。

  • お客様の環境に外部から接続をしない。
  • AD に対して読み込みだけを行い、書き込みは一切行わない。管理者の権限も不要。
  • 導入するのに、特殊な知識やソフトウェアは不要(ADの管理者が数時間以内に導入できる前提)

 

3-1)インストールするソフトウェアについて

AD連携機能を実現するために、お客様の環境に弊社開発のコネクターをインストールし、弊社への環境に接続を許可する必要があります。

mceclip2.png

 

インストールする環境についての注意事項

  • 対象のOSは、Windows Server 2012 R2 / 2016 / 2019(日本語版、英語版とも)。
  • お客様の環境から以下2つのアウトバウンドの接続を可能にする必要があります。
  • 現在、プロキシ経由の接続は対応しておりませんので、直接接続が可能な環境でなければなりません。
  • インストール先のPCは、常に稼働しているドメインに参加しているWindowsマシンでなければなりません。ドメインコントローラーのマシンにインストールするのが一般的です。(消費するメモリは256MB未満です。)
  • 設定ブラウザはGoogle Chromeにて進めてください。

 

3-2)インストール方法

①インストール前の確認・準備

セキュリティグループの所属

同期対象のユーザーはセキュリティグループの単位で決まりますので、ユーザーが対象のセキュリティグループに所属していることをご確認ください。同期条件に指定されたセキュリティグループ、またその配下のグループのすべてのユーザーが同期対象になります。

メールアドレスが重複していないこと

同期対象のユーザーの中に同じメールアドレスが設定されているユーザーオブジェクトは2つ以上存在していないことをご確認ください。二つの同じメールアドレスが存在している場合、同期時にエラーとなります。

必須項目

以下の項目は、トラスト・ログインでは必須になっているため、同期対象のユーザーオブジェクトに存在しなければなりません。

姓、名、メールアドレス

LDAPクエリーを実施するADユーザーの作成

コネクターがお客様の環境でLDAPクエリーを実行するときに、ADユーザー(システムアカウント)としてクエリーを実行します。ユーザー権限に「読み込み権限」があるユーザーを作成してください。

※ ユーザー作成の注意事項

  1. 初期パスワードの変更が不要のオプションにする必要があります。
  2. このADユーザーは専用のユーザー(システムアカウント)を作成してください。既存のユーザーを再利用した場合、検索対象のグループに入っていると検索に失敗します。
  3. 定期的パスワードの変更が有効にされると、パスワードが変更される都度にトラスト・ログイン上で同期設定の変更も必要になります。
  4. 対象ユーザーが同期対象に含まれていると同期が行えません。同期対象から外していただくようお願いいたします。

 

②インストール手順

1.AD連携機能のお申し込み完了後、AD設定が行えるようになります。

管理者画面(設定 > Active Directory連携 > 「設定」ボタン)から

1)コネクター設定ファイル

2)コネクター自体のファイル

をダウンロードします。

mceclip3.png

 

2.コネクターのファイルはZIPファイルになっていますので、インストール先のマシンの空白や日本語の文字が入っていないパスに展開します。展開先のディレクトリは以下となります。

 

3.コネクター設定ファイルを展開されたファイルと同じディレクトリにコピーします。

※ コネクター設定ファイルにはトラスト・ログインコネクターが利用するクレデンシャルが含まれています。誰もがアクセスできる場所には置かないなど、お取り扱いには十分ご注意ください。

 

4.install.batファイルをダブルクリックして、コネクターをインストールします。

※ *.bat系ファイルがダブルクリックで起動しない場合、インストール先のフォルダーをCMDで開き、対象の*.batファイルを実行してください。

 

5.コネクターはWindows サービスとしてインストールされるので、Services 管理ツールを開いて、「Skuid AD Connector」サービスを開始させます。

 

6.トラスト・ログインの管理画面からコネクターが正常に接続できたことを確認します。

mceclip9.png

※ 数分経っても、コネクター一覧にコネクターの記録が現れない場合、インストール先のPCからプロキシ経由なしで、[b-mq-ad.services.sku.id]に[TCPポート5671]で接続が可能なことをご確認ください。そのうえでコネクター一覧にコネクターの情報が表示されない場合、コネクターのインストール先のディレクトリの[logsディレクトリ]を圧縮して、弊社サポート窓口までお問い合わせください。

※ コネクターが10分毎に、ハートビートメッセージを送信しています。10分以上経っても、ハートビートが来ない場合、コネクターのステータスが異常です。

※コネクターの冗長化について

1つのマシンに対し1つのコネクターをインストールできます。冗長構成にする場合は、複数マシンにコネクターを同じ手順でインストールしてください。

 

コネクターをインストールする際のエラーについて:

事象
操作とエラー情報
原因
解決方法

AD Connectorインストールする際にエラーが表示され、

インストールできない

操作:

install.batをダブルクリックで実行

 

エラー情報:

2021-01-13 21:23:49,200 INFO  - Installing the service with id

'skuidadconnector'

2021-01-13 21:23:49,247 FATAL - WMI Operation failure: AccessDenied

WMI.WmiException: AccessDenied

    場所 WMI.WmiRoot.BaseHandler.CheckError(ManagementBaseObject result)

    場所 WMI.WmiRoot.ClassHandler.Invoke(Object proxy, MethodInfo method,

Object[] args)

   .....

操作者の権限不足

管理権限のユーザーでインストールする

 

 

 

③アンインストール手順

1.Services 管理ツールを開いて、「Skuid AD Connector」サービスを停止させます。

 

2.インストール先のディレクトリにあるuninstall.batを実行すると、Windows サービスがアンインストールされます。そのあと、インストール先のディレクトリを削除してください。

 

3-3)ユーザー同期設定

コネクターをインストールして、接続が確認できた後、ユーザー同期設定が行えます。ユーザー同期設定では、同期対象のADセキュリティグループに加えて、お客様のドメイン、LDAP接続情報、セキュリティグループとトラスト・ログイングループの紐づけの設定が行えます。

※ こちらの作業はGoogle Chromeでご対応ください。その他のブラウザはサポート対象外となります。

 

  1. AD 連携画面を開きます。


  2. ユーザー同期設定を開きます。
    mceclip14.png

  3. 初期状態でユーザー同期設定画面は以下のように表示されます。

 

4.「ドメイン追加」をクリックして、同期設定を行います。

※登録メンバーがトラスト・ログインの独自パスワードは使わず、Active DirectoryのID、パスワードでのみログインする場合、同期を始める前に、「設定 > オプション機能 >パスワード認証 >設定」で「メンバー登録時に自動でパスワード認証を割り当てる」をあらかじめオフにしてください。

※ドメインの追加は1件のみ可能です。

mceclip16.png

 

項目名

必須

説明

同期間隔

差分同期が行われる間隔。デフォルトで30分。

ドメイン(お客様のドメインについての基本情報

ドメイン

お客様のドメイン名。例:globalsign.com

ドメインコントローラー

×

お客様の環境にインストールするコネクターがDNSからドメインコントローラーを自動的に選択していますが、具体的にドメインコントローラーを設定したい場合、こちらにご入力ください。

例:dc1.example.com

プロトコル

お客様の環境で利用可能なプロトコル。なお、自己署名証明書を使うLDAPSは利用不可です。

ポート

プロトコルに応じて、ポートを設定します。大抵の場合、デフォルトの389の値で結構です。

読み取り権限のあるADユーザー

このセクションでは、LDAPの接続用のクレデンシャルを設定します

userBase

LDAPクエリーを実施するADユーザーのベース。

例:DC=globalsign,DC=com

userDn

LDAPクエリーを実施するADユーザーの識別名、又はuserPrincipalName。基本的に識別名を指定すれば稼働可能ですが、お客様の環境によって識別名ではなく、userPrincipalNameを指定する必要があります。詳しくは、「コネクターのログの確認」セクションをご覧ください。

・識別名の例:

CN=TrustLogin,DC=globalsign,DC=com

・userPrincipalNameの例:

trustlogin@globalsign.com

userPassword

LDAPクエリーを実施するADユーザーのADパスワード

同期条件

このセクションではAD のセキュリティグループとトラスト・ログイングループの紐づけを行います。

名前

同期条件のラベル。適当なわかりやすい値で構いません。

同期元のADドメインユーザーグループ

×

このトグルをONにすると、ドメインすべてのユーザーが同期対象になります。

同期元のADセキュリティグループ

同期対象のADのセキュリティグループの識別名です。このグループに所属しているすべてのユーザー、およびこのグループにネストされているグループのすべてのユーザーが同期対象となります。

複数のセキュリティグループの指定が可能です。

例:

CN=営業,OU=Employees,DC=trustlogin,DC=com

同期先のトラスト・ログイングループ

この同期条件で同期対象となったユーザーを所属させるトラスト・ログイン内のグループを指定します。複数のトラスト・ログイングループの指定が可能です。既存のトラスト・ログイン内グループからの選択になりますので、事前にトラスト・ログインでグループを設定しておいてください。

同期するAD属性

ADのユーザーオブジェクトの属性とトラスト・ログインのユーザーの属性のマッピングを行います。各項目に対して、複数の属性の設定が可能です。最初の空白ではない値が利用されます。

ユーザーの名に該当するユーザーオブジェクトの属性。例:givenName

ユーザーの姓に該当するユーザーオブジェクトの属性。例:sn

メールアドレス

ユーザーのメールアドレスに該当するユーザーオブジェクトの属性。例:mail

部署

×

ユーザーの部署に該当するユーザーオブジェクトの属性。

電話番号

×

ユーザーの電話番号に該当するユーザーオブジェクトの属性。

郵便番号

×

ユーザーの郵便番号に該当するユーザーオブジェクトの属性。

都道府県

×

ユーザーの都道府県に該当するユーザーオブジェクトの属性。

市区町村

×

ユーザーの市区町村に該当するユーザーオブジェクトの属性。

番地

×

ユーザーの番地に該当するユーザーオブジェクトの属性。

すべての項目を正しく入力した後、保存ボタンをクリックします。そこからユーザーの同期が始まります。同期対象のユーザー数によりますが、同期にはしばらく時間かかります(500ユーザーの場合、1時間ぐらいで完了いたします)。

※注意 同期中に保存ボタンを繰り返し押すと同期に失敗する場合あります。

 

3-4)コネクターのログの確認

ユーザー同期が想定通りに行えていない場合、まずはコネクターのログを確認する必要があります。ログはコネクターのインストール先ディレクトリにあるlogsというディレクトリに保存されています。プログラムのログとなりますので、お客様側で分析が行えない場合には、弊社へお問い合わせください。その際にはログのご提供をお願いしております。

 

※既知のエラーと対応方法

エラー内容:

「ユーザー同期設定」画面で設定を保存し、時間がたってもユーザーの同期が開始されず、かつログに「AcceptSecurityContext error, data 52e」エラーが出力されます。

修正方法:

「ユーザー同期設定」画面の「読み取り権限のあるADユーザー」セクションのuserDn入力欄に、識別名ではなくuserPrincipalName を指定してください。

 

4.お客様のご利用方法に合わせた設定

ログインボタンの表示変更

 ① ログインボタンのラベルを変更する

「管理ページ > 設定」メニューからActive Directory連携の設定画面を開き、「ログインボタン名」に変更したい名称を入力し保存します。

mceclip16.png

変更した内容に表示が変更されます。
mceclip17.png

 

 ②ログインボタンを非表示にする

AD連携オプションが有効な状況でもログイン時の「Active Directory」ボタンを非表示にすることができます。 これにより、AD連携をユーザー同期に使用し、ログインの認証は外部IDPを使用してADFSで行うなどの利用が可能となります。

「管理ページ > 設定」メニューからActive Directory連携の設定画面を開き、「ADパスワードを無効にする」をチェックし保存します。

mceclip18.png

 

 

5.最後に

 AD連携機能の設定につきましてご不明点等ございましたら、弊社サポートセンターまでお問い合わせください。無料トライアルによる検証の場合には新規ご相談窓口(03-6370-6601)までお問い合わせください。

よくあるご質問

Q 1)AD連携利用中のユーザーがトラスト・ログインにログインしたところ、「外部認証システムから応答がありません」とのメッセージが表示され、トラスト・ログインにログインできません。
A )以下の条件にすべて当てはまる場合にはADコネクタのリスタートをお願いします。

  1. ハートビートは来ている
  2. ログにエラーがない

Q2 )ADのユーザがトラスト・ログイン側に同期できません。
A )以下の各項目をご確認ください。

  1. ADサーバ側
    所属メンバーをダブルクリックし、first name、last name、emailなどの属性が全て入っているかご確認ください。

    mceclip18.png

トラスト・ログイン側
「ユーザー同期設定」を開き、以下の各項目を設定してください。

①読み取り権限のあるADユーザーのDNを「userDN」に入力する(図1参照)
②読み取り権限のあるADユーザーのパスワードを「userPassword」に入力する
③「同期元のADドメインユーザーグループ」のトグルをONに設定すると、AD側の全ユーザーが同期対象になってしまうので、一つのADグループのみ同期の場合OFFにする
④同期のADグループのDNを「同期元のADセキュリティグループ」に入力する(図2参照)

mceclip19.png

(図1)
mceclip20.png

(図2)
mceclip21.png

「同期するAD属性」にてAD側ユーザーの属性とトラログ側の情報のマッピングを設定します。
各項目に以下の通り入力し、設定を保存します。

givenName
sn
メールアドレス mail
部署 department



mceclip22.png

Q3 )上記の確認をしましたが、同期ができません。

A3)ログにエラーがある場合、エラー情報を参照しご対応お願いいたします。

 

AD コネクターのエラーログファイル

logsフォルダ直下のskuidadconnector_yyyymmdd.out.log / skuidadconnector_yyyymmdd.err.log

 

ログで記録されたエラー情報
原因
解決方法
ERROR c.g.i.adconnector.beans.AmqpReceiver - Caught exception when processing SearchOperationRequestMessage message {}
org.springframework.ldap.PartialResultException: nested exception is javax.naming.PartialResultException [Root exception is javax.naming.CommunicationException: host.test.com:389 [Root exception is java.net.ConnectException: Connection timed out: connect]]
.....................
Caused by: javax.naming.PartialResultException: null
at com.sun.jndi.ldap.AbstractLdapNamingEnumeration.hasMoreImpl(Unknown Source)
at com.sun.jndi.ldap.AbstractLdapNamingEnumeration.hasMoreReferrals(Unknown Source)
ADコネクターから指定したADドメインコントローラーに接続できない

ADコネクターを設定したPCからADドメインコントローラーへのアクセスできるかを確認してください。

通常はDNSの設定問題、またはFirewallに問題があり、お客様のITシステム部門から解決のサポートが必要です。

 

・通信Portのアクセス許可されているかを確認してください。

 

・FireWallなど通信を阻止する要素の取り除き試してみてください。

 

・DNSサーバで登録したドメインコントローラーを確認して頂き、無効のコントローラー情報が残っていないかご確認ください。

 

Caused by: javax.naming.CommunicationException: host.test.com:389
at com.sun.jndi.ldap.Connection.<init>(Unknown Source)
at com.sun.jndi.ldap.LdapClient.<init>(Unknown Source)
... 25 common frames omitted
Caused byjava.net.ConnectException: Connection refused: connect
at java.net.DualStackPlainSocketImpl.connect0(Native Method)

.....

ADコネクターから指定したADドメインコントローラーに接続できない
Caused by: javax.naming.CommunicationException: simple bind failed: host.test.com:389
at com.sun.jndi.ldap.LdapClient.authenticate(Unknown Source)
at com.sun.jndi.ldap.LdapCtx.connect(Unknown Source)
... 25 common frames omitted
Caused by: java.net.SocketException: Connection reset
at java.net.SocketInputStream.read(Unknown Source)
at java.net.SocketInputStream.read(Unknown Source)
at sun.security.ssl.InputRecord.readFully(Unknown Source)
HTTPS接続できない

HTTPS関連の設定を確認し、正しい情報をトラスト・ログインAD管理画面でのプロトコル・ポートに設置してください。

Consumer@108918ab: tags=[{amq.ctag-UrtoGbbFdFfu0c96a-MDVw=connector.inbound}],

channel=Cached Rabbit Channel: AMQChannel(amqp://user_vRu3hYJ5KEcXB2lblJyv_being-group@18.179.80.15:5671/vhost_auuUOeavP1gSAN6Z9VyT_being-group,1),

conn: Proxy@7dc90857 Shared Rabbit Connection: SimpleConnection@4e92d9b7 [delegate=amqp://user_vRu3hYJ5KEcXB2lblJyv_being-group@18.179.80.15:5671/vhost_auuUOeavP1gSAN6Z9VyT_being-group, localPort= 64559],

acknowledgeMode=AUTO local queue size=0

ADコネクターはトラスト・ログインのADサーバへアクセスできない

ADコネクターインストールしたPCから、上記2台サーバへのアクセスができるようにネットワークの設定してください。

WARN c.g.i.a.s.LdapFunctionalityService - Group SearchTerm(dn="CN=SSS,DC=aaa,DC=co,DC=jp",

matchCriteriaIdList=[3ddcf0cb-753a-424b-9349-d893d9bfcff1], staticUserSearchQuery=null) was not found

...

UserDN設定不正

UserBase, UserDNを正しく設定してください。

※下記「ADトラブルシューティングの際に役立つコマンド」の「dsquery user "UserDN"」コマンド実施でUserDnの正確性を確認してください。

 

org.springframework.ldap.AuthenticationException:

[LDAP: error code 49 - 80090308: LdapErr: DSID-0C090453, comment: AcceptSecurityContext error, data 52e, v3839 ];

nested exception is javax.naming.AuthenticationException:

[LDAP: error code 49 - 80090308: LdapErr: DSID-0C090453, comment: AcceptSecurityContext error, data 52e, v3839 ]

UserDN設定不正

WARN c.g.i.a.s.LdapFunctionalityService - Group SearchTerm(dn=CN=aaaaGroupName,OU=OUName,DC=test,DC=com, matchCriteriaIdList=[d125d0db-304b-4e76-a44f-8cebbe912802], staticUserSearchQuery=null) was not found

.....

同期元のADセキュリティグループ設定不正

同期元のADセキュリティグループを正しく設定してください。

※下記「ADトラブルシューティングの際に役立つコマンド」の「dsquery group "GroupDN"」コマンド実施でグループのDnの正確性を確認してください。

エラーメッセージなし

同期するAD属性設定不正

 

同期するAD属性を正しく入力してください。

通常は下記で入力する。

名:givenName

姓:sn

メールアドレス:mail

 

正しく設定されている場合には、AD側ユーザーの設定済属性が入力されていることをご確認ください。

 

ADトラブルシューティングの際に役立つコマンド:

分類
コマンド
 
CMD dsquery user "UserDN"

トラストログインAD設定画面上に入力された"読み取り権限のあるADユーザー"UserDNの正確性を検証

入力したUserDNが正しい場合、入力したUserDNがそのまま表示される。

CMD1.png

 

入力したUserDNが間違っている場合、エラーが表示される。

CMD2.png

CMD dsquery group "GroupDN"

トラストログインAD設定画面上に入力された"同期元のADセキュリティグループ"の正確性を検証

入力したGroupDNが正しい場合、入力したGroupDNの表示になる。

CMD3.png

 

入力したGroupDNが間違っている場合、エラーが表示される。

CMD4.png

 

Q4 )ADサーバーへ連携できているか確認したい。

A4 )Windowsのコマンドラインで、telnetを利用して2台のADサーバへのアクセス開放情報を確認できます。

telnet b-mq-ad.services.sku.id 5671

※telnet利用できない場合、こちらのページをご参照の上、telnetを有効にしてください。 

接続できない場合は、接続失敗のエラーメッセージが表示されます。
対象サーバのIPまたはポートへの開放状況について、ファイアウォール設定などをご確認ください。

Q401.png

ADサーバ及びポートへの接続ができた場合は、ブランク スクリーンが表示されます。
確認完了後telnetのウィンドウを閉じてください。

Q402.png