楽々Web データベース AD-SSO オプション
設定ガイド
- 統合 Windows 認証編 -
Ver.1.0.0.0
住友電工情報システム(株)
目次
1. はじめに ... 3
1.1. 本書の対象者 ... 3
1.2. 本書の説明範囲 ... 3
1.3. 関連文書 ... 3
1.4. 本書での表記 ... 3
2. 前提条件 ... 4
3. Tomcat 起動ユーザーアカウントの設定 ... 5
3.1. Tomcat 起動ユーザーの変更 ... 5
3.2. AD サーバーの設定 ... 7
4. 楽々Web データベースの設定 ... 8
4.1. ライセンスキーの登録 ... 8
4.2. AD-SSO の設定 ... 9
5. クライアント PC の設定 ... 11
5.1. Internet Explorer11、Microsoft Edge、Google Chrome ... 11
5.2. Firefox ... 13
5.3. 注意点 ... 14 改訂履歴 ... 15
※Amazon Correttoは、米国その他の諸国における、Amazon.com, Inc.またはその関連会社の商標です。
※Apache、Apache Tomcat、Tomcatは、Apache Software Foundationの商標または登録商標です。
※LibreOffice は、The Document Foundation の米国及びその他の国における商標または登録商標です。
※Linuxは、Linus Torvalds氏の日本およびその他の国における商標または登録商標です。
※Microsoft OfficeおよびExcelは、米国Microsoft Corporationの米国およびその他の国における商標ま たは登録商標です。
※Oracle、Javaは,Oracle Corporation 及びその子会社,関連会社の米国及びその他の国における登録商 標です。
※PostgreSQLは,PostgreSQL Global Development Groupが提唱する,オープンソースのオブジェクト リレーショナルデータベース管理システムの名称です。
※WindowsおよびMicrosoft Internet Information Server(IIS)は,米国Microsoft Corporationの米国およ びその他の国における商標または登録商標です。
※その他、記載されている会社名・製品名などは、各社の商標または登録商標です。
1. はじめに
楽々Webデータベースで統合Windows認証を使用するための設定方法をご説明します。
統合Windows認証を使用すると、Windowsにログオン済のPCからユーザーID/パスワードを
入力せずに、自動認証できます。
統合Windows認証を使用するには、AD-SSOオプションのライセンスキーが必要です。
詳細は、弊社営業までお問い合わせください。
1.1. 本書の対象者
本書は 楽々Webデータベース のサーバー管理者を対象にします。
Windows Server、Active Directoryの設定方法を熟知していることを前提としています。
1.2. 本書の説明範囲
楽々Webデータベースで統合Windows認証を使用するための設定方法をご説明します。
Windows Server 2019 での操作を記述しています。Windowsのバージョンによって、表示やWindowsの メニューが多少異なる場合があります。
1.3. 関連文書
ユーザーの登録は、「グループ管理スタートアップガイド」をご覧ください。
1.4. 本書での表記
本書では、以下の略称で表記します。
略称 説明
Tomcat Apache Tomcat
Apache Apache HTTP Server
{TOMCAT_HOME} Apache Tomcatインストールディレクトリ
{APACHE_HOME} Apache HTTP Serverインストールディレクトリ
2. 前提条件
(1) 楽々Webデータベース サーバーが、Windows Serverであること。
Linuxでは使用できません。
(2) 楽々Webデータベース サーバーのTomcat起動ユーザーは、ユーザー認証を行うドメインに参加 しており、かつ、ドメイン内のユーザーを参照できること。Tomcat起動ユーザーの設定方法につ いては、3.Tomcat起動ユーザーアカウントの設定 に記載します。
(3) クライアントのユーザーは、Windowsログイン時にドメインに参加していること。
(4) クライアントPCは、Windowsであること。
Windowsでは、ログイン画面を表示せずに自動認証します。
スマートフォンなどWindows以外のクライアントでは、自動認証されません。
ログイン画面が表示されますので、WindowsのユーザーID/パスワードを入力してログインします。
ログイン画面でユーザーID/パスワードを入力してログインする際は、LDAPで認証します。
(5) Windows のユーザーアカウントと同じユーザーID が、楽々Web データベースに登録されているこ
と。
ユーザー情報は自動的に連携されません。あらかじめ、楽々Web データベースにユーザーを登録し てください。
3. Tomcat 起動ユーザーアカウントの設定
3.1. Tomcat 起動ユーザーの変更
楽々Webデータベース サーバーのTomcat起動ユーザーを、ユーザー認証を行うドメインに参加してい るユーザーに変更します。
[1] サービス の 「Apache Tomcat 9.0 Tomcat 9」を右クリックし、プロパティ – ログオン を開きま す。
[2] 「アカウント」の参照ボタンで「ユーザーの選択」を開き、ドメインとユーザーを選択します。
「場所の指定」でドメインを選択します。
「選択するオブジェクト名を入力してください」の入力欄に、ユーザー認証を行うドメインに参加し ているユーザー名を入力します。[名前の確認]をクリックし、「@ドメイン名」を含めた表記に補完 されることを確認します。
[OK]をクリックすると、プロパティ – ログオン に戻ります。
[3] パスワードを入力して、[適用]をクリックします。「サービス」のTomcatの「ログオン」に指定し たアカウントが表示されていることを確認します。
[4] Tomcatを再起動します。
3.2. AD サーバーの設定
ADサーバー(ドメインコントローラ)にて、コマンドプロンプトで下記の2つのコマンドを実行し、
楽々Webデータベース サーバーのサービスプリンシパル名を登録します。
> setspn /A HTTP/<FQDN> <実行ユーザー名>
> setspn /A HTTP/<コンピュータ名> <実行ユーザー名>
(注) <FQDN>, <コンピュータ名> は楽々Web データベース サーバーの情報です。
(注) <実行ユーザー名>は 3.1.Tomcat起動ユーザーの変更 で設定した、楽々Web データベース サー バーの Tomcat 起動ユーザーです。
登録済みのサービスプリンシパル名は下記のコマンドで確認できます。
上記のsetspnコマンドで登録した内容を確認します。
> setspn -L <実行ユーザー名>
次の項目に登録されている CN=<実行ユーザー名>, CN=XXX,DC=AAA,DC=BBB:
HTTP/<FQDN>
HTTP/<コンピュータ名>
実行ユーザーの UserDN(「CN=<実行ユーザー名>, CN=XXX,DC=AAA,DC=BBB:」の部分)、<FQDN>、
<コンピュータ名> が正しいか、確認します。
4. 楽々Web データベースの設定
4.1. ライセンスキーの登録
歯車のアイコンをクリックし、管理モードを表示します。システム設定 > サーバー設定 > ログイン をクリックし、設定画面を表示します。
「ライセンスキー」に、AD-SSO オプションのライセンス証書に記載されているライセンスキーを入力 します。
ライセンスキーの照合に成功すると、設定項目が表示されます。
4.2. AD-SSO の設定
表示された「AD-SSO」の各設定項目に入力します。
No. パラメータ名 説明
1 AD-SSO 「有効」を選択します。
2 ドメイン AD(LDAP)サーバーのドメインを指定します。
設定例) test.fw.local 3 認証サーバー
の URL
AD(LDAP)サーバーのURLを指定します。
ldap://<ホスト名 or IPアドレス>
4 ベースDN AD(LDAP)でユーザー検索の開始位置を示す識別名(DN)を指定します。
設定例) DC=test,DC=fw,DC=local
上記の設定例では、検索範囲はドメイン「test.fw.local」のAD(LDAP)サーバー 全体になります。
5 接続ユーザー の DN
接続ユーザーの識別名(DN)を指定します。
設定例) CN=Admin,CN=Users,DC=test,DC=fw,DC=local
CN(Common-Name)は一般的に「ユーザー名」「グループ名」「コンピュータ名」
などを設定します。
上記の設定例では、ドメイン「test.fw.local」の CN=Users(グループ)配下の CN=Admin(ユーザー)で接続するという意味です。
6 接続ユーザー のパスワード
接続ユーザーのパスワードを指定します。
5. クライアント PC の設定
クライアントPCがActive Directoryドメインに参加し、かつPCにActive Directoryドメインユーザー でログインする必要があります。
5.1. Internet Explorer11、Microsoft Edge、Google Chrome
Internet Explorer11 で設定します。
Internet Explorer11で設定すると、Microsoft Edge、Google Chromeでも統合Windows認証を使用でき るようになります。
[1] 「互換表示設定」の「イントラネットサイトを互換表示で表示する」のチェックを外します。
[2] 「インターネットオプション」のローカルイントラネットの設定で、以下を設定します。
・「サイト」で楽々Web データベース サーバーの URL をローカルイントラネットの対象に含めま す。
・「レベルのカスタマイズ」でユーザー認証のログオンを "イントラネットゾーンでのみ自動的にロ グオンする" に設定します。
5.2. Firefox
ブラウザの詳細設定 (アドレスバーに「about:config」と入力する) にて、以下のパラメータを設定しま す。
No Firefoxのパラメータ名 値
1 network.automatic-ntlm-auth.trusted-uris 楽々Webデータベースサーバーを示すURL (例) http://<ホスト名 or IPアドレス>
コンテキスト名以下は不要です。
2 network.negotiate-auth.delegation-uris 同上 3 network.negotiate-auth.trusted-uris 同上
about:config
5.3. 注意点
(1) 楽々Webデータベースにイントラネット・ゾーンとしてアクセスする必要があります。
統合Windows認証はイントラネット・ゾーンのみ使用できます。インターネット・ゾーン
では使用できません。
統合Windows認証ができない場合は、楽々WebデータベースのURLがイントラネット・ゾーン
と判定されているか、ご確認ください。
インターネット・ゾーンと判定されている場合は、楽々Web データベースの URL がイントラネッ ト・ゾーンと判定されるよう、インターネットオプションで設定してください。
(2) 統合Windows認証が使用できず、自動認証ができない場合は、LDAPで認証します。
スマートフォンのブラウザなど、統合 Windows 認証が使用できないブラウザからアクセスすると、
ログイン画面が表示されます。ログイン画面でWindwosのユーザーID/パスワードを入力して、ロ グインします。
改訂履歴
Ver.1.0.0.0 (2020-05-08)
・新規作成
