クラウドインテグレーション部の峰松優太です。
本シリーズ記事では、PassLogic を利用して以下の 2 つを実現します。
PassLogic とは デバイスレス・ワンタイムパスワード を用いた認証プラットホームであり、パスロジ株式会社より提供されてます。
PassLogic 公式より、以下 2 つの記事が公開されています。
これらのシステムを実際に構築し、詰まった点や考慮すべきだと感じた点について紹介します。
なお、今回の全構築作業を以下 3 フェーズに分割しています。
本記事では、フェーズ 1 について記載します。
フェーズ 1 で実装するのはこちらです。
インストールガイドに従い、PassLogic 認証サーバを立ち上げます。
インストールガイドは PassLogic を購入すると入手できます。
立ち上げ後、管理ユーザで PassLogic の管理ツールにアクセスしログインします。
以上で PassLogic 認証サーバの立ち上げが完了しました。
Microsoft 公式ドキュメント に従って Active Directory (AD) を構築します。
ドメインコントローラへ昇格後、PassLogic 連携用に以下のユーザを作成しました。
ユーザ | 詳細 |
---|---|
yuta minematsu | OU "PassLogic" に所属 |
test001 | OU "PassLogic" に所属 |
plmanager | 連携用バインドユーザ AD の読み取り権限を付与 |
PassLogic 認証を利用したい AD ユーザを PassLogic へ連携します。
以下の 2 つの連携方法があり、今回は「LDAP 認証連携」を使用しました。
PassLogic 内のすべてのユーザはドメインを適用して管理されます。
(デフォルトでは local というドメインが用意されています。)
後のフェーズで登場する PassLogic for Windows Desktop を AD ユーザで利用するためには、PassLogic ドメインを AD ドメインの NetBIOS 名に設定する必要があります。
したがって、今回は「PLTEST」という PassLogic ドメインを新規作成してユーザ連携を行います。
PassLogic の管理画面にて、PLTEST ドメインの LDAP 認証連携設定を行います。
項目 | 値/説明 |
---|---|
LDAP | Active Directory |
サーバ 1 | AD サーバの IP アドレス |
ポート番号 | 389 |
バインド DN | LDAP Search 権限をもつ AD ユーザの DN (= plmanager) |
バインドパスワード | バインド DN で指定したユーザの AD パスワード |
ツリートップの DN | 同期対象の DN (= OU "PassLogic") |
検索フィルタ | 「ツリートップの DN」内の同期対象ユーザをフィルタリング |
Active Directory ドメイン名 | pltest.*** |
デフォルトポリシー | 同期対象ユーザにデフォルトで適用されるポリシー |
※ LDAP 連携認証設定後、ユーザの初回ログイン時に LDAP 属性値マッピング定義にて、デフォルト値に指定したポリシーが適用されます。以降のログインでは、このデフォルト値のポリシーを変更しても、既に作成済みのユーザには反映されないためご注意ください。
PassLogic ユーザに連携する AD の属性 を定義します。
※ Microsoft Entra ID との連携においては objectGUID を指定する必要があります。
参考: 【属性エディタ】Active DirectoryのDNやSID等の属性を一覧表示,取得する方法
以上で AD と PassLogic の同期設定が完了しました。
確認画面の末尾に同期対象ユーザが表示されます。今回は検索フィルタにて ym (yuta minematsu) を指定したため、このユーザのみ同期されます。
連携後、ユーザログイン画面では AD パスワードが要求されます。
AD 認証が成功したユーザは PassLogic に同期されます。
続いて PassLogic ワンタイムパスワードのシークレットパターンを変更するよう要求されます。
以後のログインでは変更したシークレットパターンに従ってパスワードを入力します。
ログを確認すると、AD 認証成功後にユーザが作成されていることが分かります。
※ LDAP ID 同期を使用する場合、指定したタイミングで対象の AD ユーザが一括同期されます。(AD 認証は必要ありません)
以上で、AD と PassLogic の連携が完了しました。
本記事では、PassLogic 認証サーバ および AD サーバの構築と、両サーバ間でのユーザ連携を実施しました。
フェーズ 1 の要点は以下です。
最後までお読みいただきありがとうございました。 次回の記事をお待ちください。
PassLogic Enterprise Edition Ver.5.0.0 インストールガイド (PassLogic 製品に同梱)
Office 365 と PassLogic を SAML 連携
【属性エディタ】Active DirectoryのDNやSID等の属性を一覧表示,取得する方法