AQ Tech Blog

PassLogic を使ってみた(ユーザ連携編) 

作成者: yuta.minematsu|2024年05月27日

 

はじめに

クラウドインテグレーション部の峰松優太です。

本シリーズ記事では、PassLogic を利用して以下の 2 つを実現します。

  • SAML 認証連携による PassLogic 認証を利用した Microsoft 365 へのログイン
  • PassLogic for Windows Desktop による PassLogic 認証を利用した PC へのログオンおよび Microsoft 365 へのシームレスサインオン

PassLogic とは デバイスレス・ワンタイムパスワード を用いた認証プラットホームであり、パスロジ株式会社より提供されてます。

PassLogic 公式より、以下 2 つの記事が公開されています。

これらのシステムを実際に構築し、詰まった点や考慮すべきだと感じた点について紹介します。

なお、今回の全構築作業を以下 3 フェーズに分割しています。

本記事では、フェーズ 1 について記載します。
フェーズ 1 で実装するのはこちらです。

  1. PassLogic 認証サーバ構築
  2. AD サーバ構築
  3. AD ユーザを PassLogic に連携

前提

  • 環境はすべて Azure に構築しています。
  • ネットワーク要件に関しては特に言及しておりません。
  • 本環境にて使用するドメインを Microsoft Entra ID にカスタムドメインとして登録しておく必要があります。
     【カスタムドメイン】 pltest.***

PassLogic 認証サーバ構築

インストールガイドに従い、PassLogic 認証サーバを立ち上げます。
インストールガイドは PassLogic を購入すると入手できます。

環境

  • PassLogic Enterprise Edition Ver.5.0.0
  • OS: Red Hat Enterprise Linux 8.6
  • 認証サーバ1台構成(冗長構成なし)

 

立ち上げ後、管理ユーザで PassLogic の管理ツールにアクセスしログインします。

以上で PassLogic 認証サーバの立ち上げが完了しました。

Active Directory サーバ構築

Microsoft 公式ドキュメント に従って Active Directory (AD) を構築します。

 

環境

  • OS: Windows Server 2022
  • ルートドメイン名: pltest.***
  • NetBIOS 名: PLTEST

 

ドメインコントローラへ昇格後、PassLogic 連携用に以下のユーザを作成しました。

ユーザ 詳細
yuta minematsu OU "PassLogic" に所属
test001 OU "PassLogic" に所属
plmanager 連携用バインドユーザ
AD の読み取り権限を付与

PassLogic と AD の連携

PassLogic 認証を利用したい AD ユーザを PassLogic へ連携します。
以下の 2 つの連携方法があり、今回は「LDAP 認証連携」を使用しました。

  • LDAP 認証連携: AD サーバによる認証を行い、認証が成功した AD ユーザを同期します。
  • LDAP ID 同期: AD サーバによる認証は行わず、対象の AD ユーザを一括で同期します。

 

PassLogic ドメイン設定

PassLogic 内のすべてのユーザはドメインを適用して管理されます。
(デフォルトでは local というドメインが用意されています。)

後のフェーズで登場する PassLogic for Windows Desktop を AD ユーザで利用するためには、PassLogic ドメインを AD ドメインの NetBIOS 名に設定する必要があります。

したがって、今回は「PLTEST」という PassLogic ドメインを新規作成してユーザ連携を行います。

 

LDAP 認証連携

PassLogic の管理画面にて、PLTEST ドメインの LDAP 認証連携設定を行います。

 

AD サーバ接続設定

項目 値/説明
LDAP Active Directory
サーバ 1 AD サーバの IP アドレス
ポート番号   389
バインド DN LDAP Search 権限をもつ AD ユーザの DN (= plmanager)
バインドパスワード バインド DN で指定したユーザの AD パスワード
ツリートップの DN 同期対象の DN (= OU "PassLogic")
検索フィルタ 「ツリートップの DN」内の同期対象ユーザをフィルタリング
Active Directory ドメイン名 pltest.***
デフォルトポリシー 同期対象ユーザにデフォルトで適用されるポリシー

※ LDAP 連携認証設定後、ユーザの初回ログイン時に LDAP 属性値マッピング定義にて、デフォルト値に指定したポリシーが適用されます。以降のログインでは、このデフォルト値のポリシーを変更しても、既に作成済みのユーザには反映されないためご注意ください。

 

LDAP 属性値マッピング定義

PassLogic ユーザに連携する AD の属性 を定義します。

  • ユーザ ID: samaccountname
  • 備考: objectGUID

※ Microsoft Entra ID との連携においては objectGUID を指定する必要があります。

参考: 【属性エディタ】Active DirectoryのDNやSID等の属性を一覧表示,取得する方法

以上で AD と PassLogic の同期設定が完了しました。
確認画面の末尾に同期対象ユーザが表示されます。今回は検索フィルタにて ym (yuta minematsu) を指定したため、このユーザのみ同期されます。

 

同期確認

連携後、ユーザログイン画面では AD パスワードが要求されます。

AD 認証が成功したユーザは PassLogic に同期されます。

 

続いて PassLogic ワンタイムパスワードのシークレットパターンを変更するよう要求されます。
以後のログインでは変更したシークレットパターンに従ってパスワードを入力します。


ログを確認すると、AD 認証成功後にユーザが作成されていることが分かります。

※ LDAP ID 同期を使用する場合、指定したタイミングで対象の AD ユーザが一括同期されます。(AD 認証は必要ありません)

以上で、AD と PassLogic の連携が完了しました。

まとめ

本記事では、PassLogic 認証サーバ および AD サーバの構築と、両サーバ間でのユーザ連携を実施しました。

フェーズ 1 の要点は以下です。

  • PassLogic ドメインを AD ドメインの NetBIOS 名に設定する
  • LDAP 認証連携のマッピング設定にて ObjectGUID 属性を指定する
  • LDAP 認証連携と LDAP ID 同期では ユーザの同期方法が異なる

最後までお読みいただきありがとうございました。 次回の記事をお待ちください。

 

次回

  • Microsoft Entra Connect による AD と Entra ID の同期
  • SAML 認証連携

 

引用・参考

PassLogic Enterprise Edition Ver.5.0.0 インストールガイド (PassLogic 製品に同梱)

PassLogic

デバイスレス・ワンタイムパスワード

Office 365 と PassLogic を SAML 連携

Windows ログオン シームレスサインオン

AD DS をインストールする

AD の属性

【属性エディタ】Active DirectoryのDNやSID等の属性を一覧表示,取得する方法