ActiveDirectory認証について
platinum68
ActiveDirectory認証に関してご教示ください。
Windows2003Server上のruby1.8.6(patch111)でRedmineを動かそうとしています。
adminユーザでログインし、LDAP設定ページで、接続情報(*1)を設定し、「保存」押下
→一覧画面の「テスト」機能を使用すると、ステータスは、「接続しました」となり、認証設定が
正常に完了したようにみえますが、ログアウトして一般ユーザ(AD登録済みでRedmine未登録のもの)
でログイン&ユーザ自動作成を試みると、「ユーザ名もしくはパスワードが無効」とメッセージされ、
ログイン失敗します。
production.logにも情報がなく、なぜ認証できないのか分からず困っています。
確認すべき点はどんなところでしょうか?
*1:
http://www.redmine.org/wiki/1/RedmineLDAP
を参考に設定。(on-the-fly register=true)
よろしくお願いいたします。
株本 毅
最近Redmineをいじり始めて、先ほどやっとLDAP認証まで辿り着いたところです。
僕の場合はActiveDirectoryではなくLinuxのOpenLDAPなのですが、同様の問題を経験しました。
「認証モード (LDAP)」のページ、「属性」欄の
・名前
・苗字
・メールアドレス
が空欄になっていませんか?僕はこれでハマりました。見た目では「ログイン」のみが必須項目のように見えますが、
実際には全ての欄が埋まっていないとうまくいかないようです。
↓この辺が参考になるのではないでしょうか。
<a href="http://passing.breeze.cc/mt/archives/2007/09/
ldapadredmine.html">LDAP認証でADユーザを使ったredMineへのログイン - あぁ そうだった</a>
platinum68
ご案内いただいた情報も参考にしていたのですが、解決できていません。。
属性欄もすべて設定しているのですが。。
皆様の環境で同様の事例がないということは、わたしの環境のAD側の
権限設定の仕方などの可能性も考え始めています。。
引き続き検証します・・
何か情報をお持ちのかた、居られましたら、よろしくお願いいたします。
platinum68
エラーになっていました。
LdapErr: DSID=0C090334, AcceptSecuritycontext error, data 525
というわけで、ユーザ名がうまく渡せていないようです。
AD側の設定を詳しく確認することにします。
米山幸希
私も株本さんご紹介の記事を参考に、下記内容で一般ユーザ(AD登録済みでRedmine未登録のもの)
でのログイン&ユーザ自動作成に成功しています。
----------------------------------------------------------------
[認証モード (LDAP) の設定]
名前:example.local
ホスト:dc.example.local
ポート:389
アカウント:CN=仮名 太郎,OU=Group,OU=Section,OU=Division,DC=example,DC=local
パスワード:xxxx1234
Base DN :OU=Group,OU=Section,OU=Division,DC=example,DC=local
あわせてユーザを作成:チェック
ログイン :sAMAccountName
名前:givenName
苗字:sn
メールアドレス:mail
----------------------------------------------------------------
[環境]
OS : Windows Server 2003 R2
ruby : 1.8.6
Rails : 2.0.2
Redmine : 0.6.3 (SQLite)
----------------------------------------------------------------
さて、
LDAP Authentication
http://www.redmine.org/wiki/1/RedmineLDAP
と
LDAP認証でADユーザを使ったredMineへのログイン - あぁ そうだった
http://passing.breeze.cc/mt/archives/2007/09/ldapadredmine.html
を見比べてみると、Account(アカウント)の項目の記述が大きく違います。
前者では「Account = MyDomain\UserName」(Windowsドメイン表記)
後者では「アカウント:cn=表示名, cn=Users, dc=ad, dc=example, dc=com」(LDAP表記)
となっています。私は後者に従って設定しました。
このあたりを調べてみてはいかがでしょうか?
個人的には、RedmineがWindowsドメイン表記を解するとは思えないのですが...
--
--------------------------------
米山 幸希
kira...@gmail.com
--------------------------------
M Toyoda
投稿の時刻が重なってしまったようですね。失礼しました。
ご指摘のとおり、ユーザ名がうまく引き渡せていないようです(1/15 19:33の投稿のとおり)
ここを調べます。
有難うございました。
platinum68
2003Serverのサポートツール ldp.exe で発したパケットをWireSharkで調べると
後者ではバインドの際にケルベロス認証を使用していました。
AD側でケルベロス認証を使用する設定になっていたようです。
これを変更することはできませんので、Redmine側でケルベロス認証を使って
バインドできるようにしたいのですが、auth_source_ldap.rb の initialize_ldap_con
あたりを書き換えることで対応できるでしょうか?それに伴って、なにか追加のライブラリが必要に
なるでしょうか?プログラミングからは長く遠ざかっていることもあり、感覚がつかめません。
SSOが実現できないとRedmineの採用自体を見送ることになるのでなんとか解決したいです。
情報をお持ちのかた、申し訳ありませんが、お寄せください。
ピンとはずれのことを言っているようでしたら、合わせてご指摘頂けますと幸甚です。
恐れ入りますがよろしくお願いします。
On 1月16日, 午前9:22, "M Toyoda" <platin...@gmail.com> wrote:
> 米山様、はじめまして。
>
> 投稿の時刻が重なってしまったようですね。失礼しました。
> ご指摘のとおり、ユーザ名がうまく引き渡せていないようです(1/15 19:33の投稿のとおり)
> ここを調べます。
> 有難うございました。
>
> > --------------------------------
>
> --
> M Toyoda
米山幸希
難しく考えすぎて、話が別の方向に転がりだしたような...?
platinum68さんの当初の希望は
・一般ユーザ(AD登録済みでRedmine未登録のもの)でログイン&ユーザ自動作成したい
であったはずが
・Redmine側でケルベロス認証を使ってバインドできるようにしたい
に変わったのでしょうか?
前回書いたように、私も貴方とほぼ同じ環境で、前者を達成しています。
Redmine側のコードにも全く手を入れていません。
RedmineではWindows統合認証が行われているわけではありませんが、
Cookieを利用したセッション管理により、擬似的なSSO(シングルサインオン)
は実現できていると考えています。
まずは一度、現在の「認証モード (LDAP) 」の設定をここに書いてみてはいかがでしょうか?
2008/1/17 platinum68 <plat...@gmail.com>:
--
platinum68
ご返信、有難うございます。
ご指摘いただきましたが、希望が変わってしまったわけでも別の方向に行きたいわけでもありません。
単純に、いま社内で動いているADの認証をそのまま使って動くRedmineのサイトを構築したいのです。
そのADサーバの認証がkerberosであることを当初は理解していなかったので、後発の要件として
kerberosが出てきた。というわけです。
ですので、
> ・一般ユーザ(AD登録済みでRedmine未登録のもの)でログイン&ユーザ自動作成したい
> であったはずが
> ・Redmine側でケルベロス認証を使ってバインドできるようにしたい
> に変わったのでしょうか?
が必要と分かったので、そこを調べたい ということです。
うまく伝わりましたでしょうか?
現在の「認証モード (LDAP) 」の設定内容は下記のとおりです。
名前:rmtest
ホスト:(ADが動いているサーバ名)
ポート:389
LDAPS:false
アカウント:"CN=仮名 一郎,OU=社員,OU=ユーザー,OU=会社名,DC=kaisha,DC=com"
パスワード:(仮名一郎のパスワード)
BaseDN:"OU=社員,OU=ユーザー,OU=会社名,DC=kaisha,DC=com"
あわせてユーザを作成:true
名前:givenName
苗字:sn
メールアドレス:mail
このようにしています。
おそらく、米山様の環境では、ADはkerberos認証をお使いではないのですね。
認証に関してもう少し情報を集めることにします。
有難うございます。
#セッション管理の話が出ましたが、実際に検証環境のwebクライアントの
Cookieを確認すると、セッションIDを保持しているだけのように見えましたので、
認証cookieを使用したSSOとは別物のように思いますが。。
On 1月17日, 午後12:52, "米山幸希" <kirara...@gmail.com> wrote:
> platinum68さん
>
> 難しく考えすぎて、話が別の方向に転がりだしたような...?
> platinum68さんの当初の希望は
> ・一般ユーザ(AD登録済みでRedmine未登録のもの)でログイン&ユーザ自動作成したい
> であったはずが
> ・Redmine側でケルベロス認証を使ってバインドできるようにしたい
> に変わったのでしょうか?
>
> 前回書いたように、私も貴方とほぼ同じ環境で、前者を達成しています。
> Redmine側のコードにも全く手を入れていません。
> RedmineではWindows統合認証が行われているわけではありませんが、
> Cookieを利用したセッション管理により、擬似的なSSO(シングルサインオン)
> は実現できていると考えています。
>
> まずは一度、現在の「認証モード (LDAP) 」の設定をここに書いてみてはいかがでしょうか?
>
> --------------------------------
米山幸希
弊社内のADでもKerberos認証を採用しております。
ですので、Kerberos認証に関わるグループポリシー設定によって、
Redmineとの通信の成否が分かれてしまっているのではないかと愚考します。
ネットワークの根幹に関わる事なので安易に弄るわけにはいきませんが、
怪しそうな項目をチェックしてみようと思います。
2008/1/17 platinum68 <plat...@gmail.com>:
--
米山幸希
LDAP Authentication
http://www.redmine.org/wiki/1/RedmineLDAP
のTroubleshootingで、
> If you want to use on-the-fly user creation, make sure you don't have any user custom field marked as required.
とありますが、これに抵触しているという事はありませんか?
platinum68
この点は大丈夫なようです。
On 1月17日, 午後6:56, "米山幸希" <kirara...@gmail.com> wrote:
> それと、
>
> LDAP Authenticationhttp://www.redmine.org/wiki/1/RedmineLDAP
>
> とありますが、これに抵触しているという事はありませんか?
>
> --
>
> --------------------------------
> 米山 幸希
> --------------------------------
platinum68
色々とお知恵を貸していただき、有難うございます。
検証用に別環境(ネットワーク+サーバ)を用意することにしました。
頂いた情報を元に、APサーバ、認証サーバ、クライアントの
環境を再度構築しなおして、AD環境、設定を含め、最初から
検証することにします。
結果は別途ここでお知らせいたします。
取り急ぎ御礼申し上げます。
有難うございます。