概要
FileBlogVersion 3.4.1.1から、統合Windows認証に対応しました。
この機能をActive Directoryドメイン環境内で利用すると、Internet Explorerブラウザを使用してFileBlogにアクセスした場合、FileBlogへのログイン認証が自動的に行われ、ID/パスワードの入力なしにFileBlogを利用することができるようになります。
※Ver3.7.0.12では使用できません。Ver3.8.0以上にアップグレードしてください
※Ver3.9.0以降、Internet Explorer以外のブラウザでも統合Windows認証機能を利用できるになりました。詳しくはこちらをご覧ください。
要件
•Version 3.4.1.1 以降を使用していること。
•Active Directoryドメイン環境を使用していること。
•Active Directoryがケルベロス認証をサポートしていること。
•ファイルサーバーがケルベロス認証および委任をサポートしていること。
•対象のクライアントとサーバーがActive Directoryドメインに参加していること。
•ログインするユーザーがActive Directoryユーザーであること。
•サーバーとクライアントの時刻が同期されていること。
認証Ticketには使用期限が設定されており、クライアント時刻とサーバー時刻に大きなずれがあると認証に失敗する可能性があります。
•Windows Server(2008 R2 / 2012 / 2012 R2 / 2016)を使用していること。
•Internet Explorer 11を使用すること。(Windows版 Google Chrome, Firefox, Microsoft Edge, 古いInterne Explorerも統合認証可能ですがサポート対象外となります)
•HTTPプロキシサーバーを経由しないこと。
•長時間のバックグランド処理(コピー、移動、削除、圧縮、解凍、プロパティ更新)を行う必要がある場合、統合認証は利用しないでください。バックグラウンド処理中に統合認証チケットが無効になり処理が中断される可能性があるためです。
システム構成
以下では下記のようなシステム構成を例に、ご説明しています。
サーバー種類 |
説明 |
マシン名 |
FileBlogサーバー |
FileBlogをインストールしたマシン |
CARROT |
ActiveDirectoryサーバー |
ActiveDirectoryサービスが稼働しているマシン |
BROCCOLI |
ファイルサーバー |
ドキュメントルートフォルダが置いてあるサーバー |
KIWI |
※ BROCCOLI、KIWI、CARROT の全てが、同一ドメインに所属しています。
サーバー設定
FileBlogサーバーの設定
FileBlogをインストールしたマシン(CARROT)で次の設定が必要です。
1.Fb3Web(Webサーバー)サービスの実行アカウントは、LocalSystemアカウントにします。
•標準の設定で、LocalSystemアカウントになっています。
•LocalSystemアカウントには統合認証を行うための権限が与えられています。
2.管理ツールでドメインの設定を行います(設定はこちらをご覧ください)。
•画面下部のシステム設定 > セキュリティパラメーター > windows_domain を開きます。
•ドメイン名は必ず NetBios 形式で指定してください。アクセスログなどで FQDN 形式と混在してしまいます。
3.システム設定で統合認証の設定を行います。
•画面下部のシステム設定 > 統合Windows認証 を開きます。
•「統合Windows認証を利用する」
oチェックを入れます
•統合認証するブラウザのユーザーエージェントを正規表現で指定します。
o通常は変更する必要はありません。統合認証の対象となるブラウザ種別(ユーザーエージェント)を限定・拡張したい場合に変更します。
•Kerberosの制限付き委任におけるネガティブキャッシュの保存期限
o通常は変更する必要はありません。こちらの症状が発生した場合に設定を検討します。
•統合Windows認証を許可するクライアントの「IPアドレス範囲(ネットワークIPアドレス/マスクビット数)」
oお客様のネットワーク構成に合わせて変更して下さい。
•設定完了後に、「保存する」ボタンを選択して「今すぐ再起動する」をクリックし、サービスを再起動すると反映されます。
ActiveDirectoryサーバーの設定
ドキュメントルートが、FileBlogサーバー(CARROT)ではなく、リモートのファイルサーバー(KIWI)にある場合、ログインユーザーの代理で CIFS サービスを利用するための委任設定が必要になります。
ドキュメントルートが CARROT のローカルドライブにある場合は、委任設定は不要のためスキップしてください。
1.Active Directory サーバー(BROCCOLI)に、Windowsログインします。
2.サーバーマネージャー > Active Directoryユーザーとコンピューター > ドメイン > Computers > CARROT のプロパティを表示します。
3.委任タブの「指定されたサービスへの委任でのみこのコンピューターを信頼する」と「Kerberosのみを使う」にチェックを入れて、追加ボタンを選択します。
4.「ユーザーまたはコンピューター」でファイルサーバー( KIWI )を選択します。
5.列挙されるサービスの、「cifs」を指定しOKボタンを選択します。
6.FileBlogサーバーのOSを再起動します。
※ 注意点
•ドキュメントルートが複数あり接続先ホストが異なる場合、それぞれのホストに設定が必要です
•ドキュメントルートの設定では、「\\ホスト名\共有名」の形式で指定します。
•Kerberos の委任設定で使用するコンピュータ名とホスト名を一致させてください。
•ホスト名はIPアドレスやFQDNではなくコンピュータ名(NetBIOS名)で指定してください。
oドキュメントルートフォルダのパスの入力形式の例示
× \\192.168.0.100\share
○ \\KIWI\share
oKerberos委任設定で入力するFileBlogサーバーを信頼するコンピュータ名の入力形式
× 192.168.0.100
× KIWI.teppi.net
○ KIWI
クライアント設定
対象ブラウザ
Internet Explorer 11 のみに対応しています。
統合認証の設定を行っても、Internet Explorerとは別のブラウザでも使用できます。その場合、通常のログイン操作が必要です。
Internet Explorerの設定
1.Internet Explorerの「統合Windows認証を利用する」を有効にします。
•インターネットオプション > 詳細設定 > 統合Windows認証を利用する を確認してください。
2.FileBlogサーバー(CARROT)のURLをローカルイントラネットのサイトに追加します。
•コンピュータ名(NetBIOS名)でURLを指定している場合、標準(イントラネットのネットワークを自動で検出するがONの場合)でローカルイントラネットに含まれるため設定は不要です。
例)http://CARROT/
•コンピュータ名(NetBIOS名)ではなくドメイン含む形式(FQDN名)でURLを指定している場合、標準ではローカルイントラネットには含まれていないため、設定が必要です。
例)http://CARROT.domain.net/
•インターネットオプション > セキュリティ > ローカルイントラネット > サイト > 詳細設定
3.ローカルイントラネットのセキュリティレベルにおいてユーザー認証を設定します。
•インターネットオプション > セキュリティ > ローカルイントラネット > レベルのカスタマイズ > ユーザー認証
•ログオン設定において、「イントラネットゾーンでのみ自動的にログオンする」(イントラネットで利用している場合)、または「現在のユーザー名とパスワードで自動的にログオンする」にチェックを入れます。
※ 注意点
•FileBlogサーバーへアクセスするときに、HTTPプロキシサーバーを経由させないようにしてください。
•ショートカットやブックマークに使用するURLは、http://CARROT/fileblog/ としてください。
ohttp://CARROT/fileblog/login.php の場合は、必ずログイン画面が表示されてしまいます。
o/index.php、/adminindex.php、/index.php?path=*** などであれば自動的に統合認証されます。
Internet Explorer以外のブラウザについて
Ver3.9.0以降、弊社サポート対象外とはなりますが、Internet Explorer以外のブラウザからも統合Windows認証機能が使用可能となりました。
弊社で動作の確認が取れたブラウザは以下のようになります(いずれもWindowsOSで稼働することが条件になります)
•Microsoft Internet Explorer 9, 10
•Microsoft Edge
•Google Chrome
•Mozilla Firefox
Internet Explorer以外のブラウザで統合Windows認証するには、ブラウザエージェントを指定する必要があります。
例えば、Internet Explorer, Microsoft Edgeと、Windows版 Google Chrome, Firefoxを対象としたい場合は以下のように設定します。
msie|trident|(?=Windows).*Chrome|(?=Windows).*Firefox
※Mozilla Firefoxはデフォルトでは統合Windows認証機能が無効に設定されています。有効にするには以下の設定を行ってください。
Firefox のアドレスバーに "about:config" と入力し、警告を受け入れて詳細設定編集モードにして次の2つの設定を行います。
network.automatic-negotiate-auth.trusted-uris に、FileBlogサーバーのURIを設定します。
network.automatic-negotiate-auth.allow-non-fqdn は、
・FileBlogサーバーのURIがFQDN形式なら false でよいが、
・FileBlogサーバーのURIがピリオドを含まない形式なら true にします。
※統合Windows認証の方式として「NTLM」と「Kerberos」の2つの方式がありますが、FileBlogは「Kerberos」方式を採用しています。
Firefoxの設定画面には「ntml」関連のエントリもありますが無視してかまいません。
・network.automatic-ntlm-auth.trusted-uris
・network.automatic-ntlm-auth.allow-non-fqdn
トラブルシューティング
統合認証できない、ログイン画面が表示されてしまう
•システム設定において、「統合Windows認証を利用する」にチェックが入っていますか?
•FileBlogサーバーは再起動しましたか?
•ブラウザは Internet Explorer11 ですか?
•HTTPプロキシサーバーを使用していませんか?
ドキュメントルートが表示されない・ドキュメントルートが1つもありません
•ドキュメントルートにリモートフォルダを登録している場合
o「ActiveDirectoryサーバーの設定」の通り、委任設定は正しく設定されていますか?ドキュメントルートのホスト名と委任設定のコンピューター名がそろっていることも必要です。
o委任設定後にFileBlogサーバーのOSを再起動しましたか?
o委任設定が正しく設定されていても、リモートフォルダを参照できなくなることがあります。詳しくはこちらを参照下さい。
Kerberos の制限付き委任におけるネガティブ キャッシュの影響で、ドキュメントルートを表示できない
▪再現条件
•参照できないドキュメントルートがリモートフォルダ(FileBlogサーバーのローカルフォルダでない)である
•FileBlogサーバーがWindows2012以上である
•クライアントからhttp://192.168.0.10/のようなホスト名やFQDN名ではないIPアドレス形式のURLでアクセスし統合認証した
▪症状
•再現すると、一時的に全てのクライアントからリモートフォルダにアクセスできなくなります。ただし一定時間(デフォルトでは15分)経過すると、参照できるようになります。
▪原因
•Kerberos の制限付き委任におけるネガティブ キャッシュが効いています。
•https://blogs.technet.microsoft.com/jpntsblog/2017/06/22/cross-forest-kcd/
▪解消方法
•システム設定 > 統合Windows認証 を開きます。
•「Kerberosの制限付き委任におけるネガティブ キャッシュの保存期限(単位:分)」 を 「0」 に設定して保存します。
•ブラウザを再起動し現象をご確認下さい。
ファイルの書き込み系の操作だけができない
FileBlogサーバーのユーザーアカウント制御(UAC)がONの場合に、ドキュメントルートがローカルドライブにあると、FileBlogサーバーのInternet Explorerからアクセスすると、アップロードやファイル更新などの書き込み系の操作が行えません。