すべてのプロダクト
Search

このプロダクト

    Bastionhost:AD 認証または LDAP 認証の構成

    ドキュメントセンター

    Bastionhost:AD 認証または LDAP 認証の構成

    最終更新日:Apr 19, 2025

    Bastionhost は、Active Directory (AD) 認証サーバーまたは Lightweight Directory Access Protocol (LDAP) 認証サーバーに接続できます。AD 認証サーバーまたは LDAP 認証サーバー上のユーザーは、Bastionhost ユーザーとして Bastionhost に同期できます。このトピックでは、AD 認証と LDAP 認証を構成する方法について説明します。

    前提条件

    AD 環境または LDAP 環境がデプロイされており、Bastionhost は AD 認証サーバーまたは LDAP 認証サーバーにアクセスできます。

    AD 認証サーバーの構成

    堡塁ホストに対して複数の AD 認証サーバーを構成できます。複数のドメインの複数の AD 認証サーバー上のユーザー、または AD 認証サーバー上の複数のベース識別名 (DN) の下のユーザーを堡塁ホストにインポートする場合は、複数の AD 認証サーバーを構成し、各サーバーからユーザーをインポートする必要があります。その後、ユーザーは、管理が承認されているアセットで O&M 操作を実行できます。

    1. [Bastionhost コンソール] にログインします。上部のナビゲーションバーで、堡塁ホストが存在するリージョンを選択します。

    2. 堡塁ホストリストで、管理する堡塁ホストを見つけ、管理 をクリックします。

    3. 左側のナビゲーションウィンドウで、System Settings をクリックします。

    4. AD Authentication タブで、[認証済みサーバーの追加] をクリックします。

    5. [認証済みサーバーの追加] パネルで、パラメーターを構成し、[接続テスト] をクリックします。

      パラメーター

      説明

      サーバー名

      AD 認証サーバーの名前。サーバーを識別するのに役立つ一意の名前を指定できます。

      AD server

      デフォルトサーバーとして設定

      このオプションを選択すると、構成した認証サーバーがデフォルトサーバーとして使用されます。

      説明

      API 操作を呼び出して、デフォルトサーバーのみを変更できます。Enterprise エディションの堡塁ホストには最大 10 台の AD 認証サーバーを構成できます。Basic エディションの堡塁ホストには、1 台の AD 認証サーバーのみを構成できます。

      該当なし

      サーバーアドレス

      認証サーバーのエンドポイント。

      139.129.X.X

      スタンバイサーバーアドレス

      オプション。セカンダリサーバーのエンドポイント。セカンダリサーバーを使用しない場合は、このパラメーターを空のままにします。

      該当なし

      ポート

      サーバーのポート。

      389

      SSL

      AD 認証サーバーに SSL 証明書がインストールされている場合は、このオプションを選択する必要があります。

      該当なし

      ベース DN

      サーバーに構成されているユーザーディレクトリノード。

      説明

      ベース DN の下のユーザー数が多すぎる場合、ユーザーのインポートに時間がかかります。ユーザーのインポートを開始する前に、ベース DN の下のユーザーの最大数を 100,000 に設定することをお勧めします。

      cn=Users,dc=alitest,dc=com

      ドメイン

      必要なユーザーが存在するドメイン。

      alitest.com

      アカウント

      認証サーバーへのログインに使用するアカウントのユーザー名。

      administrator

      パスワード

      認証サーバーへのログインに使用するアカウントのパスワード。

      該当なし

      フィルター

      サーバー上のユーザーをクエリするために指定するフィルター条件。

      (&(objectClass=person))

      ユーザー スナップショットの自動作成の間隔

      システムが認証サーバーからユーザーデータを同期するときに、コンピューターでユーザー スナップショットが自動的に同期される間隔。有効な値: 0 および 4 ~ 168 時間。このパラメーターを 0 に設定すると、ユーザー スナップショットは自動的に同期されません。

      12

      [表示名] [同期対象]

      ユーザーの名前を同期するかどうかを指定します。リモートサーバー上のユーザーの名前を示すパラメーター (fullName など) を入力します。このオプションを選択しても値を入力しない場合は、デフォルト値 cn が使用されます。このオプションをオフにすると、ユーザーの名前は同期されません。

      説明

      ユーザーが堡塁ホストにログインすると、ユーザーの名前ではなくユーザー名に基づいて検証が実行されます。デフォルトでは、リモートサーバー上の sAMAccountName の値がログイン名として同期されます。

      該当なし

      同期されるメールアドレス

      ユーザーのメールアドレスを同期するかどうかを指定します。リモートサーバー上のユーザーのメールアドレスを示すパラメーターを入力します。例: mail。このオプションを選択しても値を入力しない場合は、デフォルト値 mail が使用されます。このオプションをオフにすると、ユーザーのメールアドレスは同期されません。

      該当なし

      同期される携帯電話番号

      ユーザーの携帯電話番号を同期するかどうかを指定します。リモートサーバー上のユーザーの携帯電話番号を示すパラメーター (mobile など) を入力します。このオプションを選択しても値を入力しない場合は、デフォルト値 mobile が使用されます。このオプションをオフにすると、ユーザーの携帯電話番号は同期されません。

      該当なし

      ユーザーが所属する組織をユーザー グループとして同期

      このオプションを選択すると、AD 認証済みユーザーを堡塁ホストにインポートするときに、ユーザーが所属する組織がユーザー グループとして堡塁ホストに自動的に同期され、ユーザーがユーザー グループに自動的に追加されます。

      • 堡塁ホストは最大 500 のユーザー グループをサポートします。上限に達すると、ユーザーが所属する組織はユーザー グループとして堡塁ホストに同期されません。

      • 組織がユーザー グループとして堡塁ホストに同期された後、組織で実行される追加、削除、および変更操作は堡塁ホストに同期されません。

      該当なし

    6. 接続テストに合格したら、Save をクリックします。

      AD 認証済みユーザーのスナップショットを自動的に同期するには、ユーザースナップショットを今すぐ同期する をクリックするか、ユーザースナップショット間隔の自動同期 を構成します。AD 認証済みユーザーを堡塁ホストにインポートすると、堡塁ホストはローカル スナップショットからユーザーデータを読み取ります。これにより、インポート中のリソース消費が削減されます。

    LDAP 認証サーバーの構成

    1. [Bastionhost コンソール] にログインします。上部のナビゲーションバーで、堡塁ホストが存在するリージョンを選択します。

    2. 堡塁ホストリストで、管理する堡塁ホストを見つけ、管理 をクリックします。

    3. 左側のナビゲーションウィンドウで、System Settings をクリックします。

    4. [LDAP 認証] タブで、パラメーターを構成し、[接続テスト] をクリックします。次の表でパラメーターについて説明します。

      パラメーター

      説明

      サーバーアドレス

      認証サーバーのエンドポイント。

      139.129.X.X

      スタンバイサーバーアドレス

      オプション。セカンダリサーバーのエンドポイント。セカンダリサーバーを使用しない場合は、このパラメーターを空のままにします。

      該当なし

      ポート

      サーバーのポート。

      389

      SSL

      LDAP 認証サーバーに SSL 証明書がインストールされている場合は、このオプションを選択する必要があります。

      該当なし

      ベース DN

      サーバーに構成されているユーザーディレクトリノード。

      説明

      ベース DN の下のユーザー数が多すぎる場合、ユーザーのインポートに時間がかかります。ユーザーのインポートを開始する前に、ベース DN の下のユーザーの最大数を 100,000 に設定することをお勧めします。

      ou=saasdun,ou=testgroup,dc=alitest,dc=com

      アカウント

      認証サーバーへのログインに使用するアカウントのユーザー名。

      cn=admin,dc=alitest,dc=com

      パスワード

      認証サーバーへのログインに使用するアカウントのパスワード。

      該当なし

      フィルター

      サーバー上のユーザーをクエリするために指定するフィルター条件。

      (&(objectClass=person))

      ログイン名属性

      LDAP 認証サーバー上のユーザーのログイン名。ログイン名は、ユーザーが堡塁ホストにログインしたときに検証する必要がある名前に対応します。デフォルト値: uid。

      該当なし

      ユーザー スナップショットの自動作成の間隔

      システムが認証サーバーからユーザーデータを同期するときに、コンピューターでユーザー スナップショットが自動的に同期される間隔。有効な値: 0 および 4 ~ 168 時間。このパラメーターを 0 に設定すると、ユーザー スナップショットは自動的に同期されません。

      12

      [表示名] [同期対象]

      ユーザーの名前を同期するかどうかを指定します。リモートサーバー上のユーザーの名前を示すパラメーター (fullName など) を入力します。このオプションを選択しても値を入力しない場合は、デフォルト値 cn が使用されます。このオプションをオフにすると、ユーザーの名前は同期されません。

      説明

      ユーザーが堡塁ホストにログインすると、ユーザーの名前ではなくユーザー名に基づいて検証が実行されます。デフォルトでは、リモートサーバー上の uid の値がログイン名として同期されます。

      該当なし

      同期されるメールアドレス

      ユーザーのメールアドレスを同期するかどうかを指定します。リモートサーバー上のユーザーのメールアドレスを示すパラメーターを入力します。例: mail。このオプションを選択しても値を入力しない場合は、デフォルト値 mail が使用されます。このオプションをオフにすると、ユーザーのメールアドレスは同期されません。

      該当なし

      同期される携帯電話番号

      ユーザーの携帯電話番号を同期するかどうかを指定します。リモートサーバー上のユーザーの携帯電話番号を示すパラメーター (mobile など) を入力します。このオプションを選択しても値を入力しない場合は、デフォルト値 mobile が使用されます。このオプションをオフにすると、ユーザーの携帯電話番号は同期されません。

      該当なし

    5. 接続テストに合格したら、Save をクリックします。

      • LDAP 認証が不要になった場合は、設定のクリア をクリックして、LDAP 認証構成をクリアします。

        警告

        LDAP 認証構成をクリアすると、LDAP 認証済みユーザーは堡塁ホストから削除されます。注意して進めてください。

      • LDAP 認証済みユーザーのスナップショットを自動的に同期するには、ユーザースナップショットを今すぐ同期する をクリックするか、ユーザースナップショット間隔の自動同期 を構成します。LDAP 認証済みユーザーを堡塁ホストにインポートすると、堡塁ホストはローカル スナップショットからユーザーデータを読み取ります。これにより、インポート中のリソース消費が削減されます。