一部のコンピューターは、LDAP を使用してユーザーを認証できます。お使いのオペレーティング システムを選択して、Foxpass と統合するように構成する方法の説明をお読みください。
Foxpass を使用して Apple macOS デバイスでネットワークベースのログインを機能させる方法
注: macOS マシンにログインする各ユーザーは、Foxpass でエンジニアリング ユーザーまたはPosix ユーザーとして有効にする必要があります。
- ダッシュボード ページでベース DN をメモします。コピーしてどこかに貼り付けます。
- LDAP バインダー ページで「macOS」という名前の LDAP バインダー アカウントを作成します。生成されたパスワードをコピーして貼り付けます。一度だけ表示されます。
システム環境設定を
開きます ユーザーとグループを開きます
カギをクリックして変更を行います
ログインオプションを
クリックします ネットワークアカウントサーバーの横にある [参加...] をクリックします
「Open Directory Utility...」
をクリックして変更を加えます カギをクリックして
LDAPv3 を選択
します 小さな鉛筆アイコンを
クリックします 新規をクリックします...
サーバー名または IP アドレス: ldap.foxpass.com
「SSL を使用して暗号化する」
にチェックマークを付けます
「連絡先に使用」にチェックを入れる
手動をクリック
設定名を「Foxpass」に設定
LDAPマッピングは "カスタム "と表示されているはずです。
"Edit... "をクリックします。
MFA をオンにしている場合は、「オープン/クローズのタイムアウト時間」の値を 10 秒から増やしたい場合があります。60 秒あれば、ユーザーは MFA プロンプトに応答するのに十分な時間を確保できます。
[接続] の下:
カスタム ポートを使用: 636
[検索とマッピング] の下:
[レコードの種類と属性] の下の [+]をクリックします [ユーザー] を
選択します [
ユーザー] の矢印をドロップダウンします [
ユーザー] を強調表示します
[+] をクリックして、次の各項目を選択します:
- 生成されたUID
- NFSホームディレクトリ
- プライマリ グループ ID
- 本名
- レコード名
- 一意のID
- ユーザーシェル
それぞれを右側の次のようにマッピングします。
- ユーザー: posixAccount
- GeneratedUID: アップルが生成した uid
- NFSHomeDirectory: #/Users/$uid$
- プライマリ グループ ID: #20
- 本名:cn
- レコード名: uid
- UniqueID: uidNumber
- ユーザーシェル: #/bin/bash
[ユーザー] を強調表示します
。[検索ベース] に「ou=people,dc=example,dc=com」と入力します (ドメインに置き換えてください)。
[レコードの種類と属性] の下の [+] をクリックします [グループ] を
選択します [
グループ] の矢印をドロップダウンします [
グループ] を強調表示します
[+] をクリックして、次の各項目を選択します。
- グループメンバーシップ
- メンバー
- プライマリ グループ ID
- レコード名
それぞれを右側の次のようにマッピングします。
- グループ: posixGroup
- グループメンバーシップ: memberUid
- メンバー: memberUid
- PrimaryGroupID: gidNumber
- レコード名: cn
「グループ」をハイライトします
「検索ベース」に「ou=groups,dc=example,dc=com」と入力します (ドメインに置き換えてください)
「セキュリティ」の下で「
接続時に認証を使用する」にチェックマークを付けます
識別名: 「cn=macOS,dc=example,dc=com」
パスワード:
[OK] を
クリックします[OK] をクリックします
[検索ポリシー] をクリックします [
自動] を [カスタム パス] に切り替えます
[+]をクリックします [
/LDAPv3/ldap.foxpass.com] を選択します
[追加] をクリックします
[適用] をクリックし
ます ウィンドウを閉じます
「ネットワーク ユーザーがログイン ウィンドウでログインできるようにする」にチェックを入れます。
便利なデバッグ コマンドを次に示します。
キャッシュをフラッシュします:
dscacheutil -flushcache
ユーザーの
検索 dscacheutil -q user -a name
ロールアウト手順はさまざまですが、お客様が行ったいくつかの方法を次に示します。
上記の手順 1 ~ 5 の指示に従います。これにより、必要な plist ファイルが作成されます。
次の 2 つの場所から plist ファイルをコピーします。これらのファイルは、他の macOS ワークステーションに展開できます。
/Library/Preferences/OpenDirectory/Configurations/LDAPv3/Foxpass.plist
/Library/Preferences/OpenDirectory/Configurations/Search.plist
「セキュリティ -> 接続時に認証を使用」ステップで設定されたバインド ユーザー名とパスワードは、macOS システム キーチェーンに保存されます。
これを新しいシステムのコマンド ライン経由でシステム キーチェーンに挿入するには、次のコマンドを使用します。
sudo /usr/bin/security add-generic-password -a "cn=yourBindAccount,dc=yourDomainHere,dc=com" -w "yourPassword" -s "/LDAPv3/Foxpass" -l "/LDAPv3/Foxpass" -A /Library/Keychains/System.keychain
必ず opendirectoryd を再起動 (または MacOS を再起動) してください。そうしないと、新しい構成が MacOS ディレクトリ ユーティリティに表示されません。
Foxpass は、ネイティブの Windows ログイン ソリューションを提供するようになりました。ここをクリックしてください。
Windows には、マシンのログインに Foxpass LDAP を使用する機能があります。ただし、この機能を利用するには、 pGinaをインストールして実行する必要があります。
pGina インストーラーをダウンロードして実行します。pGina が正しく機能するには、Visual C++ 再頒布可能パッケージがインストールされている必要があります。インストーラーは、このパッケージをインストールするオプションを提供します。まだインストールしていない場合は、必ずそのオプションを選択してください。
インストール後、pGina は、認証およびゲートウェイ ステージ用に有効化された「LocalMachine」プラグインで構成されます (以下を参照)。これは、pGina を使用して、事前の設定無しで既存のローカル アカウントを使用してマシンにログインできることを意味します。必要に応じて、LocalMachine プラグインは、ログイン後に認証済みユーザーのアカウントを作成します。
インストール後、pGina 構成アプリケーションを開始します。pGina サービスが実行されていること、および Credential Provider/GINA がインストールされて有効になっていることを確認します。pGina が適切に機能するには、これらのコンポーネントを有効にする必要があります。
次に、これらの 6 つのチェックボックスを選択して、LDAP 認証を設定します。
次に、ローカル マシン プラグインの前に LDAP プラグインを注文して、ログイン中に LDAP グループをローカル マシン グループに追加できるようにします。
まず、LDAP 認証を構成します。Foxpass バインダーの DN とパスワードを入力します。Foxpass バインダーをお持ちでない場合は、ここで作成してください。
次に、LDAP 承認設定を変更してアクセスを管理します。デフォルトのルールは「許可」ですが、グループ メンバーシップを使用してアクセスを決定するルールを追加できます。
最後に、[ゲートウェイ] タブを使用して、LDAP グループのメンバーをローカル グループに自動的に追加できます。
次のように LocalMachine プラグインを構成します。
[シミュレーション] タブに移動し、Foxpass 資格情報を使用して構成をテストします。接続に成功すると、下図のように 3 つの緑色のチェックが表示されます。下部の [ローカル グループ] セクションには、ユーザーがログインしたときにメンバーとして認識されるグループが一覧表示されます。
これで、Foxpass LDAP を使用して Windows マシンにログインできるようになりました。