タグ ‘ Active Directory

Windows10のグループポリシーテンプレートを入れたらエラーが出る件

社内にもWindows10マシンがあるんだけど、そういえばグループポリシー設定してないと思って、ADMX展開したら管理ツールでエラーが出る。。

この記事で治せたので、記録に。

タイトルはムッシュのブログから。 管理職となったえろす師匠が Windows 10 を考慮したグループポリシー管理を実施するための方法blog.engineer-memo.com Administrative Templates (.admx) for Windows 10をWindows Server 2012 R2…

情報源: 管理職となったえろす師匠が Windows 10 を考慮したグループポリシー管理を実施した際にエラーでつまづかないための方法 – 素敵なおひげですね

OpenAMを使ってみる(2)

前回の記事に引き続き

今回は、DesktopSSOが出来るところまでやってみる。
スクリーンショット取るよりスクリーンキャプチャの方が楽だったので途中まで作ってみた。

  • 前提条件
    • OpenAMが動いているマシンのDNSサーバはActiveDirectory配下のDNSサーバであること
    • OpenAMのホスト名
      • openam.lan.tatsuya.info
    • ADドメイン名
      • lan.tatsuya.info
    • ドメインコントローラのホスト名
      • dc01.lan.tatsuya.info
    • OpenAMとADを連携させるためのユーザをAD上に作成しておく
      • ユーザ名:openamsso
      • パスワード:Password1234

キータブファイルの作成

以下のコマンドを、ドメインコントローラ上のコマンドプロンプトで実行し、キータブファイルを作成します。
このファイルはあとで、OpenAMが必要とするので、OpenAMが動いているマシンに移動しておきます。

ktpass.exe -out keytab -pass Password1234 -mapuser openamsso \
-princ HTTP/openam.lan.tatsuya.info@LAN.TATSUYA.INFO \
-ptype KRB5_NT_PRINCIPAL -target LAN.TATSUYA.INFO -kvno 0 -crypto RC4-HMAC-NT

OpenAMの設定

  1. OpenAMにamadminとしてログイン
  2. 「アクセス制御」タブを開く
  3. 「/(最上位のレルム)」を開く
  4. 「認証」タブを開く
  5. 「モジュールインスタンス」から「新規」を開く
  6. 「名前」は「DesktopSSO」とし、「タイプ」から「WindowsデスクトップSSO」を選び、「了解」をクリック
  7. 再び「モジュールインスタンス」から先ほど作成した「DesktopSSO」を開く
  8. 以下のパラメータを設定し、「保存」をクリック
    • サービス主体:HTTP/openam.lan.tatsuya.info@LAN.TATSUYA.INFO
    • Keytabファイル名:先ほど生成したキータブファイルを置いた場所をフルパスで
    • Kerberos レルム:LAN.TATSUYA.INFO
    • Kerberos サーバー名:dc01.lan.tatsuya.info
    • ドメイン名を含む主体を返す:認証時に利用するユーザ名を foobar にするか foobar@LAN.TATSUYA.INFO にするか
  9. 「認証連鎖」から「新規」を開く
  10. 「名前」は「SSO」とし、「了解」をクリック
  11. 「追加」をクリックし、以下のパラメータを設定し、「保存」をクリック
  12. 「コア」の「組織認証設定」を「SSO」に変更し、「保存」をクリック
  13. 「対象」タブを開く
  14. ユーザの「新規」をクリックし、以下のパラメタを設定し、「了解」をクリック
    • ID:AD上のユーザ名
      ドメイン名を含む主体を返すにチェックを付けた場合は完全修飾で
    • 性:foobar
    • フルネーム:foobar
    • パスワード・パスワード(確認):password
      デスクトップSSOを利用するだけなら、このパスワードは使いません。

ここまでの設定で、デスクトップSSOが動作するはずです。

ゾーンがイントラネットになるURLでOpenAMにアクセスすると、自動的に認証され、ユーザ情報が編集出来る画面が表示されます。

FreeBSD + ApacheでAD連携 SSO

FreeBSD上のApacheとWindows Server上のADを連携させてSSOをやってみた。
ちなみに手元の環境がFreeBSD 7.1Rとか言う化石的な環境なところだけご注意ください。
(時間が取れれば、9.1Rとかで試したいところですが・・・)

検索してみた感じだと、面倒そうだったけど結構あっさり出来た。

  • ドメイン名:addomain.example.local
  • ドメインコントローラ:dc01.addomain.example.local
  • Webサーバ:webserv.addomain.example.local
  • SSOユーザ名(認証用ダミーユーザ):httpsso
  • SSOユーザパスワード:httpssoPass

Windows Server側で以下のコマンドを実行し、生成された keytab と言うファイルをFreeBSD側に持ってくる。

C:\>ktpass.exe -princ HTTP/webserv.addomain.example.local@ADDOMAIN.EXAMPLE.LOCAL -mapuser httpsso@addomain.example.local -crypto RC4-HMAC-NT -ptype KRB5_NT_PRINCIPAL -pass httpssoPass -out c:\keytab
Targeting domain controller: dc01.addomain.example.local
Successfully mapped HTTP/webserv.addomain.example.local to httpsso.
Password succesfully set!
Key created.
Output keytab to c:\keytab:
Keytab version: xxxx
keysize xx HTTP/webserv.addomain.example.local@ADDOMAIN.EXAMPLE.LOCAL ptype 1 (KRB5_NT_PRINCIPAL) vno 3 etype 0x17 (RC4-HMAC) keylength 16 (xxxxxxxx)

FreeBSD側はportsからmod_auth_kerb2を入れる

# portinstall www/mod_auth_kerb2/

FreeBSD側の設定としては以下の2つ

/etc/krb5.conf

[libdefaults]
default_realm = ADDOMAIN.EXAMPLE.LOCAL

[realms]
ADDOMAIN.EXAMPLE.LOCAL = {
kdc = tcp/dc01.addomain.example.local
}

[domain_realm]
.addomain.example.local = ADDOMAIN.EXAMPLE.LOCAL
addomain.example.local = ADDOMAIN.EXAMPLE.LOCAL

.htaccess

AuthType Kerberos
AuthName "Kerberos Login"
KrbAuthRealms ADDOMAIN.EXAMPLE.LOCAL
KrbServiceName HTTP/webserv.addomain.example.local@ADDOMAIN.EXAMPLE.LOCAL
Krb5Keytab /home/tatsuya/keytab
KrbVerifyKDC Off
Require valid-user

FreeBSD側で確認するには以下のコマンドが使えるらしい。
ticketが取れればOKって感じかな?

# kinit --use-keytab -t /home/tatsuya/keytab HTTP/webserv.addomain.example.local
kinit: NOTICE: ticket renewable lifetime is 1 week

ブラウザで表示するときは、ホスト名で指定しないとダメっぽいですね。
IEなら http://webserv/ と言う感じで、ゾーンがイントラにならないとダメかな。
Chromeだと http://webserv.addomain.example.local/ でも大丈夫そう。

アーカイブ

2017年2月
« 3月    
 12345
6789101112
13141516171819
20212223242526
2728