4.LDAP クライアントをセキュア LDAP サービスに接続せつぞくする

手順てじゅんは次つぎのとおりです。

1. ldp.exe（Windows）の手順てじゅん 1～11 を行おこなってクライアント証明しょうめい書しょをインストールします。
2. [操作そうさ] > [接続せつぞく先さき] に移動いどうします。
3. 次つぎの接続せつぞく設定せっていを入力にゅうりょくします。
   
   名前なまえ: 接続せつぞくの名前なまえを入力にゅうりょくします（例れい: Google LDAP）。
   接続せつぞくポイント: [識別しきべつ名めいまたは名前なまえ付づけコンテキストを選択せんたくまたは入力にゅうりょくする] を選択せんたくします。
   ドメイン名めいを DN 形式けいしきで入力にゅうりょくします（例れい: example.com の場合ばあいは dc=example,dc=com）。
   
   コンピュータ: [ドメインまたはサーバーを選択せんたくまたは入力にゅうりょくする] を選択せんたくし、次つぎのように入力にゅうりょくします。
   ldap.google.com
   
   SSL ベースの暗号あんごう化かを使用しようする: オン
    
4. [詳細しょうさい設定せってい] をクリックし、次つぎの情報じょうほうを入力にゅうりょくします。
   
   資格しかく情報じょうほうを指定していする: オン
   ユーザー名めい: 管理かんりコンソールで生成せいせいしたアクセス認証にんしょう情報じょうほうのユーザー名めい
   パスワード: 管理かんりコンソールで生成せいせいしたアクセス認証にんしょう情報じょうほうのパスワード
   ポート番号ばんごう: 636
   プロトコル: LDAP
   簡易かんい結合けつごう認証にんしょう: オン
    
5. [OK] をクリックし、再度さいど [OK] をクリックします。
6. 接続せつぞくに成功せいこうすると、ベース DN の Active Directory の内容ないようが右側みぎがわのパネルに表示ひょうじされます。

Apache Directory Studio を使用しようするには、stunnel 経由けいゆで接続せつぞくし、Google 管理かんりコンソールで生成せいせいしたアクセス認証にんしょう情報じょうほう（ユーザー名めいとパスワード）を使用しようします。認証にんしょう情報じょうほうが生成せいせい済ずみで、stunnel が localhost のポート 1389 でリッスンしていることを前提ぜんていに、次つぎの手順てじゅんを実施じっししてください。

1. [File] > [New…] をクリックします。
2. [LDAP Browser] > [LDAP Connection] を選択せんたくします。
3. [Next] をクリックします。
4. 接続せつぞくパラメータを次つぎのように入力にゅうりょくします。
   
   Connection name: 名前なまえを選択せんたくします（例れい: Google LDAP）
   Hostname: localhost
   Port: 1389（または stunnel の待まち受うけポート）
   Encryption method: No encryption（注ちゅう: stunnel がリモートで実行じっこうされている場合ばあいは、stunnel とクライアントとの間あいだで暗号あんごう化かを実施じっしすることをおすすめします）
    
5. [Next] をクリックします。
6. 認証にんしょうパラメータを次つぎのように入力にゅうりょくします。
   
   Authentication Method: Simple Authentication
   Bind DN or user: 管理かんりコンソールで生成せいせいしたアクセス認証にんしょう情報じょうほうのユーザー名めい
   Bind password: 管理かんりコンソールで生成せいせいしたアクセス認証にんしょう情報じょうほうのパスワード
    
7. [Next] をクリックします。
8. ベース DN を入力にゅうりょくします。
   これは DN 形式けいしきのドメイン名めいです（example.com の場合ばあいは dc=example,dc=com）。
9. [Finish] をクリックします。

Atlassian Jira は、より詳細しょうさいなユーザー情報じょうほうを取得しゅとくするために、認証にんしょう中ちゅうにユーザーの検索けんさくを行おこないます。この LDAP クライアントでユーザー認証にんしょうが正ただしく機能きのうするようにするには、[ユーザー認証にんしょう情報じょうほうの確認かくにん] が有効ゆうこうになっているすべての組織そしき部門ぶもんで [ユーザー情報じょうほうの読よみ取とり] と [グループ情報じょうほうの読よみ取とり] をオンにする必要ひつようがあります（手順てじゅんについては、アクセス権限けんげんを設定せっていするをご覧らんください）。

重要じゅうよう: 以下いかの手順てじゅんを使用しようすると、keystorePassword がユーザーとログファイルに公開こうかいされる可能かのう性せいがあります。ローカルシェル、ログファイル、Google 管理かんりコンソールへの不正ふせいアクセスを防止ぼうしするための措置そちを講こうじてください。以下いかの手順てじゅんの代かわりとして、stunnel4 を使用しようする方法ほうほうがあります（省略しょうりゃく可か: stunnel をプロキシとして使用しようするをご覧らんください）。

注ちゅう: 以下いかの説明せつめいでは、Jira が /opt/atlassian/jira にインストールされていることを前提ぜんていとします。

Atlassian Jira クライアントをセキュア LDAP サービスに接続せつぞくするには:

1. 証明しょうめい書しょとキーを Jira サーバーにコピーします（LDAP クライアントをセキュア LDAP サービスに追加ついかした際さいに Google 管理かんりコンソールで生成せいせいされる証明しょうめい書しょです）。
   
   例れい:
   $  scp ldap-client.key user@jira-server:
    
2. 証明しょうめい書しょとキーを Java キーストア形式けいしきに変換へんかんします。この操作そうさ中ちゅうに、何なん度どかパスワードを入力にゅうりょくすることになります。作業さぎょうを簡素かんそ化かするためには、安全あんぜんなパスワードを選えらび、入力にゅうりょくを求もとめられたら毎回まいかい同おなじパスワードを使用しようしてください。
   
   $  openssl pkcs12 -export -out jira-ldap.pkcs12 -in ldap-client.crt -inkey ldap-client.key

$  sudo /opt/atlassian/jira/jre/bin/keytool -v -importkeystore -srckeystore jira-ldap.pkcs12 -srcstoretype PKCS12 -destkeystore /opt/atlassian/jira/jira-ldap.jks -deststoretype JKS
    
3. 新あらたに作成さくせいしたキーストアを使用しようするように Jira を設定せっていします。こちらの手順てじゅんに沿そってオプションを追加ついかします。
   
   “-Djavax.net.ssl.keyStore=/opt/atlassian/jira/jira-ldap.jks -Djavax.net.ssl.keyStorePassword=password”
   
   Linux の場合ばあい:
   1. /opt/atlassian/jira/bin/setenv.sh を編集へんしゅうします。
   2. JVM_SUPPORT_RECOMMENDED_ARGS 設定せっていを探さがします。
   3. "-Djavax.net.ssl.keyStore=/opt/atlassian/jira/jira-ldap.jks -Djavax.net.ssl.keyStorePassword=<パスワード>" を追加ついかします。<パスワード> の部分ぶぶんは上記じょうきで選えらんだパスワードに置おき換かえます。
4. Jira を再さい起動きどうします。
   
   $  /opt/atlassian/jira/bin/stop-jira.sh
$  /opt/atlassian/jira/bin/start-jira.sh
    
5. Jira ウェブ インターフェースに管理かんり者しゃとしてログインします。
   1. [Settings] > [User management] に移動いどうします（設定せっていには、右みぎ上じょうの歯車はぐるまアイコンからアクセスします）。
   2. [User Directories] をクリックします。
   3. [Add Directory] をクリックします。
   4. タイプは [LDAP] を選択せんたくします。
   5. [Next] をクリックします。
6. 次つぎのように入力にゅうりょくします。

   Name	Google Secure LDAP
   Directory type	OpenLDAP
   Hostname	ldap.google.com
   Port	636
   Use SSL	オン
   Username	Google 管理かんりコンソールでユーザー名めいとパスワードを生成せいせいします。手順てじゅんについては、アクセス認証にんしょう情報じょうほうを生成せいせいするをご覧らんください。
   Password	Google 管理かんりコンソールでユーザー名めいとパスワードを生成せいせいします。手順てじゅんについては、アクセス認証にんしょう情報じょうほうを生成せいせいするをご覧らんください。
   Base DN	DN 形式けいしきのドメイン名めい（例れい: example.com の場合ばあいは dc=example,dc=com）
   Additional User DN	省略しょうりゃく可か。"ou=Users"
   Additional Group DN	省略しょうりゃく可か。"ou=Groups"
   LDAP Permissions	Read only
   Advanced Settings	変更へんこうなし
   User Schema Settings > User Name Attribute	googleUid
   User Schema Settings > User Name RDN Attribute	uid
   Group Schema Settings > Group Object Class	groupOfNames
   Group Schema Settings > Group Object Filter	（objectClass=groupOfNames）
   Membership Schema Settings > Group Members Attribute	member
   Membership Schema Settings > Use the User Membership Attribute	オン

    

7. グループに役割やくわりを割わり当あてます。
   
   ユーザーが Atlassian Jira にログインするには、Jira へのアクセスを許可きょかされたグループのメンバーである必要ひつようがあります。
   
   グループに役割やくわりを付与ふよするには:
   1. [Settings] > [Applications] > [Application access] に移動いどうします。
   2. [Select group] テキスト ボックスに、Jira へのアクセスを許可きょかする Google グループの名前なまえを入力にゅうりょくします。

CloudBees Core をセキュア LDAP サービスに接続せつぞくする手順てじゅんについては、Configure CloudBees Core with Google's Cloud Identity Secure LDAP をご覧らんください。

手順てじゅんは次つぎのとおりです。

1. /etc/freeradius/3.0/ に FreeRADIUS をインストールして設定せっていします。
   
   FreeRADIUS をインストールしたら、freeradius-ldap プラグインをインストールして LDAP 設定せっていを追加ついかできます。
   
   $  sudo apt-get install freeradius freeradius-ldap
    
2. LDAP クライアント キーのファイルを /etc/freeradius/3.0/certs/ldap-client.key に、証明しょうめい書しょのファイルを /etc/freeradius/3.0/certs/ldap-client.crt にそれぞれコピーします。
   
   $  chown freeradius:freeradius
     /etc/freeradius/3.0/certs/ldap-client.*
$  chmod 640 /etc/freeradius/3.0/certs/ldap-client.*
    
3. LDAP モジュールを有効ゆうこうにします。
   
   $  cd /etc/freeradius/3.0/mods-enabled/
$  ln -s ../mods-available/ldap ldap
    
4. /etc/freeradius/3.0/mods-available/ldap を編集へんしゅうします。
   1. ldap->server = 'ldaps://ldap.google.com:636'
   2. identity = アプリケーション認証にんしょう情報じょうほうのユーザー名めい
   3. password = アプリケーション認証にんしょう情報じょうほうのパスワード
   4. base_dn = ‘dc=domain,dc=com’
   5. tls->start_tls = no
   6. tls->certificate_file = /etc/freeradius/3.0/certs/ldap-client.cer
   7. tls->private_key_file = /etc/freeradius/3.0/certs/ldap-client.key
   8. tls->require_cert = ‘allow’
   9. セクション 'ldap -> post-auth -> update' を表あらわすパンくずリスト内ないのすべてのフィールドをコメントアウトする
5. ​/etc/freeradius/3.0/sites-available/default を編集へんしゅうします。
   この編集へんしゅうにより FreeRadius クライアント接続せつぞくが変更へんこうされます。デフォルトのクライアントを使用しようしていない場合ばあいは、設定せっていしたクライアント（inner-tunnel またはカスタム クライアント）を必かならず更新こうしんしてください。
    
   1. authorize セクションで、パスワード認証にんしょうプロトコル（PAP）ステートメントの後のちに次つぎのブロックを追加ついかします。
      
      if (User-Password) {
    update control {
        Auth-Type := ldap
    }
}
       
   2. authorize セクションで、LDAP の前まえにある「-」記号きごうを削除さくじょして LDAP を有効ゆうこうにします。
      
          #
          #  The ldap module reads passwords from the LDAP database.
          ldap
       
   3. authenticate セクションで、Auth-Type LDAP ブロックを次つぎのように編集へんしゅうします。
      
      # Auth-Type LDAP {
    ldap
# }
       
   4. authenticate セクションで、Auth-Type PAP ブロックを次つぎのように編集へんしゅうします。
      
      Auth-Type PAP {
    #  pap
    ldap
}

GitLab をセキュア LDAP サービスに接続せつぞくする手順てじゅんについては、Configure Google Secure LDAP for GitLab をご覧らんください。

Itopia または Ubuntu をセキュア LDAP サービスに接続せつぞくする手順てじゅんについては、Configuring Google Cloud Identity LDAP on Ubuntu 16.04 for user logins をご覧らんください。

手順てじゅんは次つぎのとおりです。

1. Ivanti ウェブサーバーで、テキスト エディタを使用しようして OpenLDAPAuthenticationConfiguration.xml または OpenLDAPSSLAuthenticationConfiguration.xml を開ひらきます。次つぎの両方りょうほうのフォルダでこれを行おこないます。
   
   C:\ProgramData\LANDesk\ServiceDesk\servicedesk.Framework、C:\ProgramData\LANDesk\ServiceDesk\servicedesk.WebAccess（servicedesk はインスタンス名めいです）
2. <Server> の値ねを ldap.google.com に更新こうしんします。
3. <Port> の値ねをポート 3268（StartTLS を有効ゆうこうにしたクリアテキスト）と 3269（SSL / TLS ポート）に更新こうしんします（デフォルトでは、クリアテキスト ポートが 389、SSL / TLS ポートが 636 です）。
4. <TestDN> の値ねを DN 形式けいしきのドメイン名めいに設定せっていします（例れい: example.com の場合ばあいは dc=example,dc=com）。
5. ..ProgramData\LANDesk\ServiceDesk\ServiceDesk.Framework\tps.config と ..ProgramData\LANDesk\ServiceDesk\WebAccess\tps.config の両方りょうほうに、次つぎのいずれかの行くだりを追加ついかします。
   
   <add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPLogon.OpenLDAPAuthenticationProvider" />
   
   または
   
   <add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPSSLLogon.OpenLDAPSSLAuthenticationProvider" />
    
6. Ivanti の Configuration Center で、必要ひつようなインスタンスを開ひらきます。
7. Service Desk Framework アプリケーションの横よこにある [Edit] をクリックします。
   Service Desk Framework の [Edit Application] ダイアログが表示ひょうじされます。
8. [Configuration parameters] グループの [Logon policy] リストで [Explicit only] を選択せんたくし、[OK] をクリックします。
9. Web Access アプリケーションの横よこにある [Edit] をクリックします。
   Web Access の [Edit Application] ダイアログが表示ひょうじされます。
10. [Configuration parameters] グループの [Logon policy] リストで [Explicit only] を選択せんたくし、[OK] をクリックします。

ログイン時じには、対応たいおうするドメイン ユーザーのネットワーク パスワードを使用しようします。

LDAP サーバー認証にんしょうの例外れいがいログ

LDAP サーバー認証にんしょうの設定せっていで問題もんだいが発生はっせいした場合ばあいは、例外れいがいログを有効ゆうこうにして問題もんだいの特定とくていに利用りようできます。例外れいがいログはデフォルトで無効むこうになっており、調査ちょうさが終了しゅうりょうしたら再ふたたび無効むこうにすることをおすすめします。

LDAP サーバー認証にんしょうの例外れいがいログを有効ゆうこうにするには:

1. 該当がいとうする認証にんしょう設定せってい XML ファイルをテキスト エディタで開ひらきます。
   
   DirectoryServiceAuthenticationConfiguration.xml、OpenLDAPAuthenticationConfiguration.xml、または OpenLDAPSSLAuthenticationConfiguration.xml
2. 以下いかの行くだりを探さがします。
   
   <ShowExceptions>false</ShowExceptions>
   次つぎのように変更へんこうします。
   <ShowExceptions>true</ShowExceptions>
    
3. 変更へんこうを保存ほぞんします。

手順てじゅんは次つぎのとおりです。

1. 証明しょうめい書しょファイルとキーファイルを 1 つの PKCS12 形式けいしきのファイルに変換へんかんします。コマンド プロンプトで次つぎのように入力にゅうりょくします。
   
   macOS または Linux の場合ばあいは、次つぎのコマンドを使用しようします。
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   出力しゅつりょくファイルを暗号あんごう化かするためのパスワードを入力にゅうりょくします。
    

   Windows の場合ばあいは、次つぎのコマンドを使用しようします。

   $  certutil -mergepfx ldap-client.crt ldap-client.p12
   
   重要じゅうよう: 2 つのファイル（<証明しょうめい書しょファイル>.crt と <証明しょうめい書しょファイル>.key）を同おなじディレクトリに配置はいちする必要ひつようがあります。また、key と crt の両方りょうほうが同おなじ名前なまえを持もっていることを確認かくにんしてください（拡張子かくちょうしのみが異ことなる）。この例れいでは、ldap-client.crt と ldap-client.key という名前なまえを使用しようします。

2. [コントロール パネル] に移動いどうします。
3. 検索けんさくボックスで「証明しょうめい書しょ」を検索けんさくして [ユーザー証明しょうめい書しょの管理かんり] をクリックします。
4. [操作そうさ] > [すべてのタスク] > [インポート] に移動いどうします。
5. [現在げんざいのユーザー] を選択せんたくし、[次つぎへ] をクリックします。
6. [参照さんしょう] をクリックします。
7. ダイアログ ボックスの右みぎ下かにあるファイル形式けいしきのプルダウン メニューから、[Personal Information Exchange (*.pfx;*.p12)] を選択せんたくします。
8. 手順てじゅん 2 の ldap-client.p12 ファイルを選択せんたくして [開ひらく] をクリックし、[次つぎへ] をクリックします。
9. 手順てじゅん 2 で入力にゅうりょくしたパスワードを入力にゅうりょくし、[次つぎへ] をクリックします。
10. [個人こじん] 証明しょうめい書しょストアを選択せんたくし、[次つぎへ] をクリックしてから [完了かんりょう] をクリックします。
11. Ldp.exe を実行じっこうします。
12. [接続せつぞく] > [接続せつぞく] をクリックします。
13. 次つぎの接続せつぞく情報じょうほうを入力にゅうりょくします。
    
    サーバー: ldap.google.com
    ポート: 636
    コネクションレス: オフ
    SSL: オン
     
14. [OK] をクリックします。
15. [表示ひょうじ]> [ツリー] を選択せんたくします。
16. ベース DN を入力にゅうりょくします。これは DN 形式けいしきのドメイン名めいです（例れい: example.com の場合ばあいは dc=example,dc=com）。
17. [OK] をクリックします。
18. 接続せつぞくに成功せいこうすると、LDP.exe の右みぎパネルに Active Directory の内容ないよう（ベース DN に存在そんざいするすべての属性ぞくせいなど）が表示ひょうじされます。

Netgate または pfSense をセキュア LDAP サービスに接続せつぞくする手順てじゅんについては、Configuring Google Cloud Identity as an Authentication Source をご覧らんください。

コマンドラインから LDAP ディレクトリにアクセスするには、OpenLDAP の ldapsearch コマンドを使用しようします。

クライアント証明しょうめい書しょのファイルは ldap-client.crt、キーファイルは ldap-client.key、ドメインは example.com、ユーザー名めいは jsmith であると仮定かていします。

$   LDAPTLS_CERT=ldap-client.crt LDAPTLS_KEY=ldap-client.key ldapsearch -H ldaps://ldap.google.com -b dc=example,dc=com '(uid=jsmith)'

このコマンドを実行じっこうすると、関連かんれんする環境かんきょう変数へんすうがクライアント キーを参照さんしょうするようになります。ldapsearch の他ほかのオプションを、必要ひつようなフィルタや属性ぞくせいなどで置おき換かえることができます。その他たの詳細しょうさいについては、ldapsearch のマニュアル ページ（「man ldapsearch」）を参照さんしょうしてください。

手順てじゅんは次つぎのとおりです。

1. 証明しょうめい書しょファイルとキーファイルを 1 つの PKCS12 形式けいしきのファイルに変換へんかんします。コマンド プロンプトで次つぎのように入力にゅうりょくします。
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   出力しゅつりょくファイルを暗号あんごう化かするためのパスワードを入力にゅうりょくします。
    
2. メニューバーの右みぎ上じょうにある をクリックし、「Keychain Access」と入力にゅうりょくします。
3. Keychain Access アプリケーションを開ひらき、左側ひだりがわの一覧いちらんで [System] をクリックします。
4. 左上ひだりうえのメニューバーで [File] オプションをクリックし、[Import Items] を選択せんたくします。
5. 生成せいせいされた ldap-client.p12 がある場所ばしょを参照さんしょうし、ldap-client.p12 を選択せんたくして [Open] をクリックします。
   要求ようきゅうされた場合ばあいは、パスワードを入力にゅうりょくします。
   「LDAP Client」という名前なまえの証明しょうめい書しょが System Keychain 証明しょうめい書しょ一覧いちらんに表示ひょうじされます。
6. LDAP Client 証明しょうめい書しょの横よこにある矢印やじるしをクリックします。その下したに秘密ひみつ鍵かぎが表示ひょうじされます。 
   1. 秘密ひみつ鍵かぎをダブルクリックします。
   2. ダイアログ ボックスで [Access Control] タブを選択せんたくし、左下ひだりしたの + をクリックします。

   3. 開ひらいたウィンドウで Command+Shift+G キーを押おして新あたらしいウィンドウを開ひらき、既存きそんのテキストを /usr/bin/ldapsearch に置おき換かえます。

   4. [Go] をクリックします。
      
      ウィンドウが開ひらき、ldapsearch がハイライト表示ひょうじされています。

   5. [Add] をクリックします。

   6. [Save Changes] をクリックし、パスワードを求もとめられたら入力にゅうりょくします。
      
      これで、コマンドラインから OpenLDAP ldapsearch コマンドを使用しようして LDAP ディレクトリにアクセスできるようになりました。

7. 仮かりに、以前いぜんキーチェーンに読よみ込こんだ ldap-client.p12 ファイルの名前なまえが LDAP Client、ドメインが example.com、ユーザー名めいが jsmith だとすると、次つぎのように入力にゅうりょくします。
   
   $   LDAPTLS_IDENTITY="LDAP Client" ldapsearch -H ldaps://ldap.google.com:636 -b dc=example,dc=com '(uid=jsmith)'

このコマンドを実行じっこうすると、関連かんれんする環境かんきょう変数へんすうが、読よみ込こまれたクライアント証明しょうめい書しょを参照さんしょうするようになります。ldapsearch の他ほかのオプションを、必要ひつようなフィルタや属性ぞくせいなどで置おき換かえることができます。その他たの詳細しょうさいについては、ldapsearch のマニュアル ページ（「man ldapsearch」）を参照さんしょうしてください。

手順てじゅんは次つぎのとおりです。

1. 必要ひつように応おうじて、OpenVPN をインストールして設定せっていします。インストール済ずみの場合ばあいは、OpenVPN の設定せっていページを開ひらきます。
   
   VPN の一般いっぱん的てきな設定せっていについては、このヘルプ記事きじには記載きさいしていません。VPN の設定せっていが済すむと、LDAP 経由けいゆでユーザー認証にんしょうと承認しょうにんを追加ついかできます。具体ぐたい的てきには、openvpn-auth-ldap プラグインをインストールします。
   
   $  sudo apt-get install openvpn openvpn-auth-ldap
    
2. LDAP クライアント キーのファイルを /etc/openvpn/ldap-client.key、証明しょうめい書しょのファイルを /etc/openvpn/ldap-client.crt にそれぞれコピーします。
3. ファイル /etc/openvpn/auth-ldap.conf を作成さくせいし、次つぎの内容ないようを記述きじゅつします（ドメイン名めいを example.com と仮定かていします）。
   
   <LDAP>
  URL ldaps://ldap.google.com:636 #
  Timeout 15
  TLSEnable false
  TLSCACertDir /etc/ssl/certs
  TLSCertFile /etc/openvpn/ldap-client.crt
  TLSKeyFile /etc/openvpn/ldap-client.key
</LDAP>
<Authorization>
  BaseDN "dc=example,dc=com"
  SearchFilter "(uid=%u)" #（またはユーザー向むけの独自どくじの LDAP フィルタを選択せんたく）
  RequireGroup false
</Authorization>
    
4. OpenVPN 構成こうせいファイルを編集へんしゅうします。ほとんどは /etc/openvpn/server.conf のようなファイル名めいです。ファイルの一番いちばん下かに、次つぎの記述きじゅつを追加ついかします。
   
   plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf
verify-client-cert optional
    
5. OpenVPN サーバーを再さい起動きどうします。
   
   $  sudo systemctl restart openvpn@server
    
6. ユーザーのユーザー名めいとパスワードを使用しようするように VPN クライアントを設定せっていします。たとえば、OpenVPN クライアントの設定せっていで、OpenVPN クライアント構成こうせいファイルの末尾まつびに auth-user-pass を追加ついかし、OpenVPN クライアントを起動きどうします。
   
   $  openvpn --config /path/to/client.conf
    
7. stunnel をプロキシとして使用しようする手順てじゅんを実施じっしします。

OpenVPN Access Server をセキュア LDAP サービスに接続せつぞくする手順てじゅんについては、Configuring Google Secure LDAP with OpenVPN Access Server をご覧らんください。

PaperCut をセキュア LDAP サービスに接続せつぞくする手順てじゅんについては、How to sync and authenticate Google Workspace and Google Cloud Identity users in PaperCutをご覧らんください。

Puppet Enterprise をセキュア LDAP サービスに接続せつぞくする手順てじゅんについては、Google Cloud Directory for PE をご覧らんください。

重要じゅうよう: 開始かいしする前まえに、Softerra LDAP Browser バージョン 4.5（4.5.19808.0）以降いこうがインストールされていることを確認かくにんしてください。LDAP Browser 4.5 をご覧らんください。

手順てじゅんは次つぎのとおりです。

1. 証明しょうめい書しょファイルとキーファイルを 1 つの PKCS12 形式けいしきのファイルに変換へんかんします。コマンド プロンプトで次つぎのように入力にゅうりょくします。
   
   macOS または Linux の場合ばあいは、次つぎのコマンドを使用しようします。
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   出力しゅつりょくファイルを暗号あんごう化かするためのパスワードを入力にゅうりょくします。
    

   Windows の場合ばあいは、次つぎのコマンドを使用しようします。

   $  certutil -mergepfx ldap-client.crt ldap-client.p12
   
   重要じゅうよう: 2 つのファイル（<証明しょうめい書しょファイル>.crt と <証明しょうめい書しょファイル>.key）を同おなじディレクトリに配置はいちする必要ひつようがあります。また、key と crt の両方りょうほうが同おなじ名前なまえを持もっていることを確認かくにんしてください（拡張子かくちょうしのみが異ことなる）。この例れいでは、ldap-client.crt と ldap-client.key という名前なまえを使用しようします。

2. Softerra LDAP Browser で、キーペアをインストールします。
   1. [Tools] > [Certificate Manager] に移動いどうします。
   2. [Import] をクリックします。
   3. [Next] をクリックします。
   4. [Browse] をクリックします。
   5. ダイアログ ボックスの右みぎ下かにあるファイル形式けいしきのプルダウン リストから、[Personal Information Exchange (*.pfx;*.p12)] を選択せんたくします。
   6. 上述じょうじゅつの手順てじゅん 2 で生成せいせいした ldap-client.p12 ファイルを選択せんたくします。
   7. [Open]、[Next] の順じゅんにクリックします。
   8. 上述じょうじゅつの手順てじゅん 2 のパスワードを入力にゅうりょくし、[Next] をクリックします。
   9. 証明しょうめい書しょストアとして [Personal] を選択せんたくします。
   10. [Next] をクリックします。
   11. [Finish] をクリックします。
3. サーバー プロファイルを追加ついかします。
   1. [File] > [New] > [New Profile] に移動いどうします。
   2. プロファイルの名前なまえを入力にゅうりょくします（例れい: Google LDAP）。
   3. [Next] をクリックします。
      
      次つぎのように入力にゅうりょくします。
      
      Host: ldap.google.com
      Port: 636
      Base DN: DN 形式けいしきのドメイン名めい（例れい: example.com の場合ばあいは dc=example,dc=com）
      Use secure connection (SSL): オン
       
   4. [Next] をクリックします。
   5. [External (SSL Certificate)] を選択せんたくします。
   6. [Next] をクリックします。
   7. [Finish] をクリックします。

Sophos Mobile をセキュア LDAP サービスに接続せつぞくする手順てじゅんについては、Connecting Sophos Mobile to Google Cloud Identity / Google Cloud Directory using Secure LDAP をご覧らんください。

Splunk をセキュア LDAP サービスに接続せつぞくする際さいは、Splunk のバージョン 8.1.4 以降いこうを使用しようしてください。8.1.3 などの古ふるいバージョンの Splunk を使用しようしている場合ばあい、LDAP サーバーに大量たいりょうの LDAP クエリが発行はっこうされ、LDAP の割わり当あてがすぐに消費しょうひされてしまう可能かのう性せいがあります。Splunk バージョン 8.1.3 に関かんする事象じしょうについて詳くわしくは、Splunk の既知きちの問題もんだいに関かんするページをご確認かくにんください。

手順てじゅんは次つぎのとおりです。

1. LDAP クライアント キーのファイルを /home/splunk/splunkadmin/etc/openldap/certs/ldap-client.key、証明しょうめい書しょのファイルを /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.crt にそれぞれコピーします。
   
   $  cat /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.crt /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.key > /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem

$  sudo chown $(splunkuser):$(splunkuser) /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.*

$  sudo chmod 644 /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.*
    
2. ldap.conf ファイルを編集へんしゅうして、次つぎの設定せっていを追加ついかします。

   ssl start_tls
TLS_REQCERT never
TLS_CERT /home/splunkadmin/splunk/etc/openldap/certs/ldap.pem
TLS_KEY /home/splunkadmin/splunk/etc/openldap/certs/ldap.pem

3. ユーザーの /home/splunkadmin/.ldaprc ファイルに次つぎの設定せっていを追加ついかします。
   
   TLS_CERT /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
TLS_KEY /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
    
4. Splunk ウェブ UI を使用しようして LDAP ストラテジーを追加ついかします。次つぎの情報じょうほうを入力にゅうりょくして [保存ほぞん] をクリックします。
    

名前なまえ	Google Secure LDAP
ホスト	ldap.google.com
ポート	636
SSL 有効ゆうこう	オン
接続せつぞく順序じゅんじょ	1
バインド DN	Google 管理かんりコンソールで生成せいせいしたアクセス認証にんしょう情報じょうほうを入力にゅうりょくします。
バインド DN パスワード	Google 管理かんりコンソールで生成せいせいしたアクセス認証にんしょう情報じょうほうを入力にゅうりょくします。
ベース DN	DN 形式けいしきのドメイン名めい（例れい: ドメインが example.com の場合ばあいは dc=example,dc=com）
ユーザーベース フィルタ	ユーザーをフィルタリングする、オブジェクト クラスのユーザーベース フィルタを入力にゅうりょくします。
ユーザー名めい属性ぞくせい	uid
実名じつめい属性ぞくせい	displayname
メール属性ぞくせい	mail
グループ マッピング属性ぞくせい	dn
グループベース DN	ドメイン名めいを DN 形式けいしきで入力にゅうりょくします（例れい: ou=Groups,dc=example,dc=com、ドメイン名めいを example.com とした場合ばあい）
静的せいてきグループサーチ フィルタ	静的せいてきグループをフィルタする、オブジェクト クラスの静的せいてきグループ検索けんさくフィルタを入力にゅうりょくします。
グループ名めい属性ぞくせい	cn
静的せいてきメンバー名めい属性ぞくせい	member

 

SSSD は、より詳細しょうさいなユーザー情報じょうほうを取得しゅとくするために、認証にんしょう中ちゅうにユーザーの検索けんさくを行おこないます。この LDAP クライアントでユーザー認証にんしょうが正ただしく機能きのうするようにするには、[ユーザー認証にんしょう情報じょうほうの確認かくにん] が有効ゆうこうになっているすべての組織そしき部門ぶもんで [ユーザー情報じょうほうの読よみ取とり] と [グループ情報じょうほうの読よみ取とり] をオンにする必要ひつようがあります（手順てじゅんについては、アクセス権限けんげんを設定せっていするをご覧らんください）。

Red Hat 8 または CentOS 8 の SSSD クライアントをセキュア LDAP サービスに接続せつぞくするには:

1. SSSD クライアントをセキュア LDAP サービスに追加ついかします。
   1. Google 管理かんりコンソールから、[アプリ] > [LDAP] > [クライアントを追加ついか] に移動いどうします。
      個人こじん用ようの Gmail アカウントではなく、企業きぎょうアカウントでログインしてください。
   2. クライアントの詳細しょうさいを入力にゅうりょくし、[続行ぞっこう] をクリックします。
   3. アクセス権限けんげんを設定せっていします。
      ユーザー認証にんしょう情報じょうほうの確認かくにん - ドメイン全体ぜんたい
      ユーザー情報じょうほうの読よみ取とり - ドメイン全体ぜんたい
      グループ情報じょうほうの読よみ取とり - 有効ゆうこう
   4. [LDAP クライアントの追加ついか] をクリックします。
   5. 生成せいせいされた証明しょうめい書しょをダウンロードします。
   6. [クライアントの詳細しょうさいに進すすむ] をクリックします。
   7. サービスのステータスを [オン] に変更へんこうします。
2. 依存いぞん関係かんけいをインストールします。
   
   dnf install openldap-clients sssd-ldap
install -d --mode=700 --owner=sssd --group=root /etc/sssd/ldap
   
   証明しょうめい書しょの .zip ファイルを解凍かいとうし、.crt ファイルと .key ファイルを /etc/sssd/ldap にコピーします。
    
3. （省略しょうりゃく可か）ldapsearch を使用しようしてテストします。

   LDAPTLS_REQCERT=never \
LDAPTLS_KEY=Google.key \
LDAPTLS_CERT=Google.crt \
ldapsearch -H ldaps://ldap.google.com:636/ \
-b dc=example,dc=com \
-D usertoverify@example.com \
-W \
'(mail=usertoverify@example.com)' \
mail dn
   
   プロンプトが表示ひょうじされたら、ユーザーの Google パスワードを入力にゅうりょくします。
   
   注ちゅう: ユーザーには、Google Workspace Enterprise または Cloud Identity Premium のライセンスが割わり当あてられている必要ひつようがあります。

4. /etc/sssd/sssd.conf ファイルを作成さくせいし、次つぎの内容ないようを記述きじゅつします。
   

   [sssd]
services = nss, pam
domains = example.com

   [domain/example.com]
ldap_tls_cert = /etc/sssd/ldap/Google.crt
ldap_tls_key = /etc/sssd/ldap/Google.key
ldap_tls_reqcert = never
ldap_uri = ldaps://ldap.google.com
ldap_search_base = dc=example,dc=com
id_provider = ldap
auth_provider = ldap
ldap_schema = rfc2307bis
ldap_user_uuid = entryUUID

5. 権限けんげんと SELinux のラベルを更新こうしんします。
   
   chown 0:0 /etc/sssd/sssd.conf /etc/sssd/ldap/*
chmod 600 /etc/sssd/sssd.conf /etc/sssd/ldap/*
restorecon -FRv /etc/sssd
    
6. SSSD を再さい起動きどうします。
   
   systemctl restart sssd
    
7. 次つぎをテストします。
   
   ssh でサーバーに接続せつぞく:

   ssh -l user@example.com {ホスト名めい}

トラブルシューティング

1. SSSD のバージョンを確認かくにんします（1.15.2 以降いこうである必要ひつようがあります）。
   
   # sssd --version
2.2.3
    

2. RHEL / CentOS（または SELinux が適用てきようされた任意にんいのディストリビューション）では、SSSD 構成こうせいファイルおよび証明しょうめい書しょファイルとキーが ssd_conf_t ロールからアクセスできるディレクトリ内ないに置おかれている必要ひつようがあります。

   # egrep "object_r:sssd_conf_t" /etc/selinux/targeted/contexts/files/file_contexts

   /var/log/audit/audit.log に AVC 拒否きょひメッセージがないか確認かくにんします。
    

3. /etc/nsswitch.conf で passwd、shadow、group、netgroup の各かくエンティティに「sss」が追加ついかされていることを確認かくにんします。
   
   passwd:  files sss
shadow:  files sss
group:   files sss
netgroup:  files sss
   
   ここで、LDAP ユーザーはローカル ファイルによってオーバーライドされます。
    
4. /var/log/sssd.conf に構成こうせいエラーがないか確認かくにんします。
    

   例れい:
   [sssd] [sss_ini_add_snippets] (0x0020): Config merge error: File /etc/sssd/sssd.conf did not pass access check. Skipping.

   アクション: .conf ファイルに対たいして chmod 600 を実行じっこうする必要ひつようがあります。

   例れい:
   [sssd] [sss_ini_call_validators] (0x0020): [rule/allowed_domain_options]: Attribute 'ldap_groups_use_matching_rule_in_chain' is not allowed in section 'domain/{ドメイン}'. Check for typos.

   [sssd] [sss_ini_call_validators] (0x0020): [rule/allowed_domain_options]: Attribute 'ldap_initgroups_use_matching_rule_in_chain' is not allowed in section 'domain/{ドメイン}'. Check for typos.

   アクション: サポートされていない LDAP グループ照合しょうごう拡張かくちょう機能きのうを sssd.conf から削除さくじょします。

5. /var/log/sssd_{ドメイン}.log に LDAP/network/auth エラーがないか確認かくにんします。
   
   例れい:

   [sssd[be[example.com]]] [sss_ldap_init_sys_connect_done] (0x0020): ldap_install_tls failed: [Connect error] [error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed (self signed certificate)]

   アクション: sssd.conf に「ldap_tls_reqcert = never」の記述きじゅつを追加ついかする必要ひつようがあります。

   エラーの詳細しょうさい度どを高たかめるには、ssd.conf のドメイン セクションに「debug_level = 9」の記述きじゅつを追加ついかして、sssd を再さい起動きどうします。

SSSD は、より詳細しょうさいなユーザー情報じょうほうを取得しゅとくするために、認証にんしょう中ちゅうにユーザーの検索けんさくを行おこないます。この LDAP クライアントでユーザー認証にんしょうが正ただしく機能きのうするようにするには、[ユーザー認証にんしょう情報じょうほうの確認かくにん] が有効ゆうこうになっているすべての組織そしき部門ぶもんで [ユーザー情報じょうほうの読よみ取とり] と [グループ情報じょうほうの読よみ取とり] をオンにする必要ひつようがあります（手順てじゅんについては、アクセス権限けんげんを設定せっていするをご覧らんください）。

SSSD クライアントをセキュア LDAP サーバーに接続せつぞくするには:

1. SSSD バージョン 1.15.2 以降いこうをインストールします。
   
   $  sudo apt-get install sssd
    
2. クライアント証明しょうめい書しょファイルの名前なまえは /var/ldap-client.crt、クライアント キーファイルの名前なまえは /var/ldap-client.key、ドメインは example.com であると仮定かていし、/etc/sssd/sssd.conf で設定せっていを次つぎのように編集へんしゅうします。

   
   [sssd]
   services = nss, pam
   domains = example.com

   [domain/example.com]
   ldap_tls_cert = /var/ldap-client.crt
   ldap_tls_key = /var/ldap-client.key
   ldap_uri = ldaps://ldap.google.com
   ldap_search_base = dc=example,dc=com
   id_provider = ldap
   auth_provider = ldap
   ldap_schema = rfc2307bis
   ldap_user_uuid = entryUUID
   ldap_groups_use_matching_rule_in_chain = true
   ldap_initgroups_use_matching_rule_in_chain = true
    

3. 構成こうせいファイルのオーナーと権限けんげんを変更へんこうします。
   
   $  sudo chown root:root /etc/sssd/sssd.conf
$  sudo chmod 600 /etc/sssd/sssd.conf

4. SSSD を再さい起動きどうします。
   
   $  sudo service sssd restart

ヒント: 外部がいぶ IP アドレスのない Linux パソコンから Google Compute Engine で SSSD モジュールを使用しようしている場合ばあい、Google サービスへの内部ないぶアクセスを有効ゆうこうにしている限かぎり、セキュア LDAP サービスに接続せつぞくできます。詳くわしくは、限定げんてい公開こうかいの Google アクセスの構成こうせいをご覧らんください。

以下いかの手順てじゅんに沿そって、セキュア LDAP サービスを使用しようしてユーザー アカウント認証にんしょう用ように macOS クライアントを接続せつぞくします。

システム要件ようけん

• macOS は Catalina バージョン 10.15.4 以降いこうである必要ひつようがあります。
• 準備じゅんびフェーズの手順てじゅん 1 を完了かんりょうするには、Google 特権とっけん管理かんり者しゃのユーザー ID が必要ひつようです。
• この構成こうせいを実行じっこうするには、ローカルの管理かんり者しゃ権限けんげんが必要ひつようです。

目次もくじ:

• 準備じゅんびフェーズ
• 導入どうにゅうフェーズ
• 制限せいげん事項じこうとガイドライン
• トラブルシューティング

準備じゅんびフェーズ

このセクションでは、セキュア LDAP サービスを使用しようして macOS 認証にんしょうを手動しゅどうで設定せってい、テストする方法ほうほうについて説明せつめいします。

手順てじゅん 1: Google 管理かんりコンソールで macOS を LDAP クライアントとして追加ついかする

手順てじゅんについては、LDAP クライアントを追加ついかするまたはセキュア LDAP のデモをご覧らんください。この手順てじゅんで自動じどう生成せいせいされる TLS クライアント証明しょうめい書しょもダウンロードします。

手順てじゅん 2: 証明しょうめい書しょをシステム キーチェーンに読よみ込こむ

1. 証明しょうめい書しょとキーのファイル（手順てじゅん 1 でダウンロードした ZIP ファイル）を macOS パソコンにコピーします。
   ヒント: ZIP ファイルを解凍かいとうして、証明しょうめい書しょとキーのファイルを探さがします。
2. キーペアをシステム キーチェーンに読よみ込こみます。

   1. キーと証明しょうめい書しょを PKCS 12（.p12）ファイルに変換へんかんします。ターミナルで次つぎのコマンドを実行じっこうします。
      
      openssl pkcs12 -export -out ldap-client.p12 -in ldap-client.crt -inkey ldap-client.key
      
      ヒント: .p12 ファイルの名前なまえを書かき留とめます。
      
      パスワードを入力にゅうりょくするよう求もとめられます。.p12 ファイルを暗号あんごう化かするためのパスワードを入力にゅうりょくします。

   2. キーチェーン アクセス アプリケーションを開ひらきます。

   3. [システム] キーチェーンをクリックします。

   4. [ファイル] > [読よみ込こむ] をクリックします。

   5. 上うえの手順てじゅんで作成さくせいした ldap-client.p12 ファイルを選択せんたくします。

   6. システム キーチェーンの変更へんこうを許可きょかするための管理かんり者しゃパスワードの入力にゅうりょくを求もとめられた場合ばあいは、パスワードを入力にゅうりょくします。

   7. 上うえの手順てじゅんで作成さくせいしたパスワードを入力にゅうりょくして、.p12 ファイルを復号ふくごう化かします。

      注ちゅう: 新あたらしい証明しょうめい書しょと、それに関連かんれん付づけのある秘密ひみつ鍵かぎが、キーのリストに表示ひょうじされます。「LDAP Client」という名前なまえが付ついている場合ばあいがあります。次つぎの手順てじゅんで使用しようするので、証明しょうめい書しょの名前なまえをメモします。
       
   8. この記事きじの「ldapsearch（macOS）」の項こうの手順てじゅん 6 に沿そって、以下いかで指定していするアプリを追加ついかするための秘密ひみつ鍵かぎのアクセス制御せいぎょを設定せっていします。秘密ひみつ鍵かぎが [すべての項目こうもく] カテゴリに表示ひょうじされない場合ばあいは、[自分じぶんの証明しょうめい書しょ] カテゴリに切きり替かえ、対応たいおうする証明しょうめい書しょを展開てんかいして、正ただしい秘密ひみつ鍵かぎエントリを探さがします。
      
      手順てじゅんで指定していされている ldapsearch アプリは、トラブルシューティングが必要ひつような場合ばあいにのみ使用しようするもので、その他たの目的もくてきで使用しようすることはありません。通常つうじょうは、macOS へのアクセス権けんをユーザーに与あたえる前まえに削除さくじょします。
      
      次つぎの 3 つのアプリをアクセス制御せいぎょリストに追加ついかする必要ひつようがあります。
      
      /System/Library/CoreServices/Applications/Directory Utility
/usr/libexec/opendirectoryd
/usr/bin/dscl

3. /etc/openldap/ldap.conf ファイルに行くだりを追加ついかします。このとき、「LDAP Client」が .p12 ファイルをインポートした後のちの macOS Keychain Access に表示ひょうじされる証明しょうめい書名しょめいと完全かんぜんに一致いっちする必要ひつようがあります。この名前なまえは生成せいせいされた証明しょうめい書しょの X.509 Subject Common Name からつけられます。
   
   sudo bash -c 'echo -e "TLS_IDENTITY\tLDAP Client" >> /etc/openldap/ldap.conf'

手順てじゅん 3: 認証にんしょうのためデバイスの参照さんしょう先さきに Google ディレクトリを指定していする

ディレクトリ ユーティリティ アプリケーションを開ひらいて、新あたらしい LDAP ディレクトリ ノードを作成さくせいします。

1. カギをクリックして変更へんこうを行おこない、パスワードを入力にゅうりょくします。
2. [LDAPv3] を選択せんたくし、鉛筆えんぴつアイコンをクリックして設定せっていを編集へんしゅうします。
3. [新規しんき] をクリックします。
4. サーバー名めいに「ldap.google.com」と入力にゅうりょくし、[SSL を使つかって暗号あんごう化か] をオンにして、[手動しゅどう] をクリックします。
5. 新あたらしいサーバー名めいを選択せんたくし、[編集へんしゅう] をクリックします。
6. 設定せってい名めいとして、「Google Secure LDAP」などのわかりやすい名前なまえを入力にゅうりょくします。
7. [SSL を使つかって暗号あんごう化か] をオンにし、ポートが 636 に設定せっていされていることを確認かくにんします。
8. [検索けんさくとマッピング] タブに移動いどうします。
   1. [この LDAPv3 サーバーにアクセスするときに使用しよう] プルダウン リストから [RFC2307] を選択せんたくします。
   2. 表示ひょうじされたウィンドウの [検索けんさくベースのサフィックス] に、ドメイン関連かんれんの情報じょうほうを入力にゅうりょくします（ドメイン名めいが zomato.com の場合ばあいは「dc=zomato,dc=com」など）。
   3. [OK] をクリックします。
   4. [Users] レコードタイプで属性ぞくせいを設定せっていします。
      1. [レコードのタイプと属性ぞくせい] セクションで [Users] を選択せんたくし、「+」ボタンをクリックします。
      2. ポップアップ ウィンドウで [属性ぞくせいのタイプ] を選択せんたくし、[GeneratedUID] を選択せんたくします。次つぎに、[OK] をクリックしてポップアップ ウィンドウを閉とじます。
         
         [Users] を展開てんかいすると、[GeneratedUID] が表示ひょうじされます。
          
      3. [GeneratedUID] をクリックし、右側みぎがわのボックスで「+」アイコンをクリックします。
      4. テキスト ボックスに「apple-generateduid」と入力にゅうりょくし、Enter キーを押おします。
      5. [Users] ノードの下したにある [NFSSDirectory] 属性ぞくせいをクリックします。
      6. 右側みぎがわの画面がめんで、この属性ぞくせいの値ねを #/Users/$uid$ に更新こうしんします。
      7. [OK] をクリックし、パスワードを入力にゅうりょくして、変更へんこうを保存ほぞんします。
9. [ディレクトリ ユーティリティ] ウィンドウで、新あたらしい LDAP 設定せっていを構成こうせいします。
   1. [検索けんさくポリシー] タブに移動いどうします。
   2. カギをクリックして変更へんこうを行おこない、画面がめんが表示ひょうじされたら現在げんざいのユーザーのパスワードを入力にゅうりょくします。
   3. [検索けんさく] プルダウン リストのオプションを [カスタムパス] に変更へんこうします。
   4. [認証にんしょう] タブを開ひらき、「+」アイコンをクリックします。
   5. [ディレクトリ ドメイン] リストから [/LDAPv3/ldap.google.com] を選択せんたくし、[追加ついか] をクリックします。
   6. [適用てきよう] ボタンをクリックし、画面がめんが表示ひょうじされたら管理かんり者しゃパスワードを入力にゅうりょくします。
10. 以下いかの 4 つのコマンドを実行じっこうして、DIGEST-MD5、CRAM-MD5、NTLM、GSSAPI SASL の各かく認証にんしょうメカニズムを無効むこうにします。macOS では、Google セキュア LDAP サービスを使用しようして認証にんしょうを行おこなう際さいに簡易かんい結合けつごうが使用しようされます。
    
    sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string DIGEST-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist 

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string CRAM-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string NTLM" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string GSSAPI" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist
     
11. 再さい起動きどうして OpenDirectory 設定せっていを再さい読よみ込こみします。

手順てじゅん 4: モバイル アカウントを作成さくせいする（オフライン ログインを許可きょかする）

すべての Google Workspace ユーザーまたは Cloud Identity ユーザーは、自分じぶんのユーザー名めいとパスワードを使用しようしたネットワーク アカウント（Google アカウント）でログインできます。このログイン プロセスにはネットワーク接続せつぞくが必要ひつようです。ネットワーク接続せつぞくのあるなしにかかわらずユーザーがログインする必要ひつようがある場合ばあいは、モバイル アカウントを作成さくせいできます。モバイル アカウントを使用しようすると、ネットワークに接続せつぞくしているかどうかに関係かんけいなく、ネットワーク アカウント（Google アカウント）のユーザー名めいとパスワードでログインできます。詳くわしくは、Mac でモバイルアカウントを作成さくせいする / 設定せっていするをご覧らんください。

セキュア LDAP ユーザーのモバイル アカウントを作成さくせいするには:

1. 次つぎのコマンドを実行じっこうして、セキュア LDAP サーバーに接続せつぞくし、ホームパスとモバイル アカウントを設定せっていします。
   
   sudo /System/Library/CoreServices/ManagedClient.app/Contents/Resources/createmobileaccount -n $uid -v 
   
   ヒント: $uid の部分ぶぶんを、ユーザーの Google アカウントに関連付かんれんづけられているメールアドレスのユーザー名めい部分ぶぶんに置おき換かえます。たとえば、jsmith@solarmora.com のユーザー名めい部分ぶぶんは jsmith です。

2. SecureToken 管理かんりユーザー名めいの入力にゅうりょくを求もとめられたら管理かんりユーザー名めいを入力にゅうりょくし、次つぎのプロンプトでパスワードを入力にゅうりょくします。これにより、$uid が FileVault に追加ついかされます。この処理しょりは、macOS ディスクが暗号あんごう化かされている場合ばあいに必要ひつようです。

手順てじゅん 5: （省略しょうりゃく可か）ログイン画面がめんを設定せっていする

1. [システム環境かんきょう設定せってい] > [ユーザーとグループ] > [ログイン オプション]（画面がめん左下ひだりした）に移動いどうします。
2. 管理かんり者しゃの認証にんしょう情報じょうほうを入力にゅうりょくしてカギを解除かいじょします。
3. [ログイン時じの表示ひょうじ] を [名前なまえとパスワード] に変更へんこうします。

手順てじゅん 6: デバイスを再さい起動きどうしてログインする

1. デバイスがインターネットに接続せつぞくされていることを確認かくにんします。インターネットに接続せつぞくしていないと、セキュア LDAP ユーザーのログインは機能きのうしません。
   注ちゅう: インターネット接続せつぞくは初回しょかいログイン時じにのみ必要ひつようです。それ以降いこうのログインはインターネット アクセスがなくても可能かのうです。
2. 認証にんしょうにセキュア LDAP を使用しようするよう設定せっていされているユーザー アカウントを使用しようしてデバイスにログインします。

導入どうにゅうフェーズ

このセクションの手順てじゅんでは、ユーザー向むけにデバイス設定せっていを自動じどう化かする方法ほうほうについて説明せつめいします。準備じゅんびフェーズで手動しゅどう設定せっていを行おこなった同おなじ macOS デバイスで、以下いかの手順てじゅん 1 と手順てじゅん 2 を実施じっしします。

手順てじゅん 1: Apple Configurator 2 を使用しようして、証明しょうめい書しょを含ふくむ Mac プロファイルを作成さくせいする

1. セキュア LDAP による macOS 認証にんしょうを手動しゅどうで設定せっていしたパソコンに、Apple Configurator 2 をインストールします。
2. Apple Configurator 2 を開ひらき、新あたらしいプロファイルを作成さくせいします。次つぎに、[証明しょうめい書しょ] セクションの [構成こうせい] をクリックして、以前いぜんに生成せいせいした .p12 ファイルを読よみ込こみます。

   注ちゅう: この .p12 にパスワードが設定せっていされていることを確認かくにんしてください。このパスワードを証明しょうめい書しょの [パスワード] セクションに入力にゅうりょくします。

3. このプロファイルを保存ほぞんします。
4. （M1プロセッサ または M2 プロセッサを使用しようしているデバイスの場合ばあいは、この手順てじゅんをスキップしてステップ 5 に進すすみます。）任意にんいのテキスト エディタでこのプロファイルを開ひらき、最初さいしょの <dict> タグ内ないに次つぎの行くだりを追加ついかします。
   
   <key>PayloadScope</key>
<string>System</string>
   
   これは Apple Configurator が macOS のプロファイルにまだ対応たいおうしていないため、必要ひつようとなります。
    
5. 2 番目ばんめの <dict> タグ内ないで、証明しょうめい書しょのデータと並行へいこうして次つぎの行くだりを追加ついかします。
   
   <key>AllowAllAppsAccess</key>
<true/>
   
   これにより、この証明しょうめい書しょにすべてのアプリケーションからアクセスできるようになります。

手順てじゅん 2: ディレクトリ構成こうせいファイル（plist）を xml に変換へんかんする

この手順てじゅんでは、準備じゅんびフェーズの手順てじゅん 3 で行おこなったすべての手動しゅどう設定せっていを XML ファイルに抽出ちゅうしゅつします。このファイルと、上述じょうじゅつの手順てじゅん 1 で作成さくせいした Mac プロファイルを使用しようすることで、他たの macOS デバイスを自動的じどうてきに設定せっていできるようになります。

1. /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist をデスクトップなどにコピーします。
2. このファイルを XML に変換へんかんして、任意にんいのテキスト エディタで確認かくにんできるようにします。ターミナルで次つぎのコマンドを実行じっこうします。
   
   sudo plutil -convert xml1 <パス>/ldap.google.com.plist
   
   ファイルへのアクセスは <パス>/ldap.google.com.plist のように記述きじゅつします。
    
3. XML ファイルを開あけるように、上述じょうじゅつのファイルの権限けんげんを変更へんこうします。空そらのファイルでないことを確認かくにんしてください。

手順てじゅん 3: エンドユーザーのデバイスでの設定せっていを自動じどう化かする Python スクリプトを作成さくせいする

以下いかの Python スクリプトをコピーして、Python ファイル（.py ファイル）として保存ほぞんします。

注ちゅう: このサンプル スクリプトは、Python バージョン 3.10.x と互換ごかん性せいがあるように設計せっけいされています。このスクリプトは現状げんじょう有ゆう姿すがたで提供ていきょうされています。Google サポートでは、サンプル スクリプトのサポートは提供ていきょうしていません。

Ldap_python_config.py

#!/usr/bin/python
from OpenDirectory import ODNode, ODSession, kODNodeTypeConfigure
from Foundation import NSMutableData, NSData

import os
import sys

# Reading plist
GOOGLELDAPCONFIGFILE = open(sys.argv[1], "r")
CONFIG = GOOGLELDAPCONFIGFILE.read()
GOOGLELDAPCONFIGFILE.close()

# Write the plist
od_session = ODSession.defaultSession()
od_conf_node, err = ODNode.nodeWithSession_type_error_(od_session, kODNodeTypeConfigure, None)
request = NSMutableData.dataWithBytes_length_(b'\x00'*32, 32)
request.appendData_(NSData.dataWithBytes_length_(str.encode(CONFIG), len(CONFIG)))
response, err = od_conf_node.customCall_sendData_error_(99991, request, None)

# Edit the default search path and append the new node to allow for login
os.system("dscl -q localhost -append /Search CSPSearchPath /LDAPv3/ldap.google.com")
os.system("bash -c 'echo -e \"TLS_IDENTITY\tLDAP Client\" >> /etc/openldap/ldap.conf' ")

手順てじゅん 4: エンドユーザーのデバイスを自動じどう設定せっていする

設定せってい対象たいしょうとなる他ほかの macOS デバイスに移動いどうして、次つぎの手順てじゅんを行おこないます。

1. 手順てじゅん 1 で作成さくせいした Mac プロファイル ファイル、手順てじゅん 2 で作成さくせいした XML 構成こうせいファイル、および手順てじゅん 3 の Python スクリプトをコピーします。
2. 次つぎのコマンドを実行じっこうします。:
   
   sudo python <保存ほぞんした Python スクリプトのパス> <手順てじゅん 2 で作成さくせいした ldap.google.com.plist のパス>
    
3. 証明しょうめい書しょを macOS のシステム キーチェーンに読よみ込こむには、手順てじゅん 1 で作成さくせいした Mac プロファイル ファイルをダブルクリックし、画面がめんが表示ひょうじされたら macOS のローカルの管理かんり者しゃ認証にんしょう情報じょうほうを入力にゅうりょくします。準備じゅんびフェーズで設定せっていした .p12 パスワードの入力にゅうりょくを求もとめられます。
4. macOS パソコンを再さい起動きどうします。
5. 準備じゅんびフェーズの手順てじゅん 4 に沿そってモバイル アカウントを作成さくせいし、必要ひつように応おうじて準備じゅんびフェーズの手順てじゅん 5 に示しめされている追加ついか設定せっていを行おこないます。

制限せいげん事項じこうとガイドライン

• Google の認証にんしょう情報じょうほうを使用しようして macOS にログインするユーザーの場合ばあい、Workspace アカウントのユーザー名めいは macOS ユーザー プロフィールのユーザー ID と異ことなる必要ひつようがあります。同おなじ場合ばあい、ログインはブロックされます。
• ユーザーが Google 認証にんしょう情報じょうほうを使用しようして macOS へのログインを開始かいししたら、Google のウェブサイト（myaccount.google.com や Google 管理かんりコンソールなど）でユーザー パスワードの管理かんり（再さい設定せっていまたは復元ふくげん）を行おこなう必要ひつようがあります。サードパーティのソリューションを使用しようしてパスワード管理かんりを行おこなう場合ばあいは、最新さいしんのパスワードが Google に同期どうきされるようにしてください。
• 管理かんり者しゃが [次回じかいログイン時じにパスワードの変更へんこうを要求ようきゅうする] の設定せっていを有効ゆうこうにして新規しんきユーザーの作成さくせいまたは既存きそんのユーザー パスワードの再さい設定せっていを行おこなった場合ばあい、ユーザーは管理かんり者しゃによって設定せっていされた仮かりのパスワードを使つかって Mac にログインすることができなくなります。
  回避かいひ策さく: ユーザーは別べつのデバイス（自分じぶんのモバイル デバイスや他たのデスクトップ デバイスなど）を使用しようして Google にログインし、永続えいぞく的てきなパスワードを設定せっていしてから、新あたらしいパスワードで macOS にログインする必要ひつようがあります。
• 上記じょうきの設定せっていを行おこなった後のちの最初さいしょのログイン時じに ldap.google.com にアクセスできるようにするため、Mac をインターネットに接続せつぞくする必要ひつようがあります。モバイル アカウントを設定せっていしたのであれば、以降いこうのログインでインターネット アクセスは必要ひつようありません。
• Google セキュア LDAP と macOS の統合とうごうは、macOS Catalina、Big Sur、Monterey でテストされています。

トラブルシューティング

セキュア LDAP サービスへの接続せつぞくに問題もんだいがある場合ばあいは、以下いかの手順てじゅんを実施じっししてください。

手順てじゅん 1: 接続せつぞくを確認かくにんする

odutil を使用しようして接続せつぞくを確認かくにんする
ターミナルで odutil show nodenames コマンドを実行じっこうします。
/LDAPv3/ldap.google.com のステータスが online になっていることを確認かくにんします。オンラインでない場合ばあいは、telnet オプションを試ためしてみてください。

nc を使用しようして接続せつぞくを確認かくにんする
ターミナルで、次つぎのコマンドを実行じっこうします: nc -zv  ldap.google.com 636
この方法ほうほうで Google に接続せつぞくできない場合ばあいは、IPv4 を使つかって接続せつぞくを試こころみてください。

IPv4 を使用しようして接続せつぞくを確認かくにんする
デバイスで IPv4 を使用しようするように設定せっていを変更へんこうする手順てじゅんは次つぎのとおりです。

1. [システム環境かんきょう設定せってい] > [ネットワーク] > [Wi-Fi] > [詳細しょうさい] に移動いどうします。
2. [詳細しょうさい] メニューの [TCP/IP] タブに移動いどうします。
3. [IPv6 の設定せってい] プルダウン リストでの選択せんたくを [リンクローカルのみ] に変更へんこうします。
4. [OK] をクリックし、[適用てきよう] をクリックして、変更へんこうを保存ほぞんします。
5. ldapsearch 接続せつぞくと有効ゆうこうな検索けんさくを介かいしてサービス認証にんしょうを確認かくにんします。

手順てじゅん 2: ディレクトリ オブジェクトを表示ひょうじできるかどうかを確認かくにんする

1. ディレクトリ ユーティリティを開ひらき、[ディレクトリ エディタ] タブを開ひらきます。
2. プルダウン リストから [/LDAPv3/ldap.google.com] ノードを選択せんたくします。
3. Google ドメインのユーザーとグループを表示ひょうじできるかどうかを確認かくにんします。