miniOrange LDAP ゲートウェイ

miniOrange LDAP Gateway を使用すると、LDAP サーバーがパブリックにアクセスできない場合でも、Active Directory、OpenLDAP、その他の LDAP サーバーに保存されている資格情報を使用して、miniOrange やその他のいくつかのアプリケーションにログインできます。LDAP Gateway は、イントラネットの DMZ ゾーンにインストールされます。このモジュールは同期エージェントとしても機能し、アイデンティティプロバイダーを LDAP サーバーオブジェクトと同期させます。さらに、Gateway モジュールを使用すると、多数の LDAP サーバーを設定できるため、認証に必要な各固有の LDAP サーバーを指定できます。

LDAP ゲートウェイを使用する理由

非パブリック IP を使用した LDAP - シングルサインオンを目的としているが、LDAP が非パブリック IP を使用してイントラネット内に存在する場合、これは非常に便利です。サイト (ネットワーク外のどこにあってもかまいません) を認証することはできます。この 2 つの部分から成るプラグイン (プラグイン + ゲートウェイ) を使用すると、LDAP に対して認証し、シングルサインオンを実現できます。
HTTPS を使用した安全な通話 - すべてのリモート通話は暗号化されたチャネルを介して行われます。
LDAP 構成を一度設定して複数のサイトからアクセス - LDAP 構成を一度設定するだけで複数のサイトからアクセスできるため、使いやすさが向上します。
LDAP はファイアウォールの背後にあるため、安全に保たれます。

注意：

購入手続きへ進む miniOrange LDAP Gateway のリリースと機能の更新.

前提条件

LDAP ゲートウェイサーバーのハードウェアおよびソフトウェア要件

miniOrange LDAP ゲートウェイサーバー - これは miniOrange LDAP ゲートウェイがインストールされるサーバーです。

技術仕様	miniOrange ゲートウェイサーバー (最小要件)
CPUコア	2コア
RAM	4 GB
HDD	30 GB
OS	Windows Server 2008+ または Linux Server
Java環境	Java SE 開発キット v17

JAVAのセットアップ（JAVA 17）

『Brooklyn Galaxy』のために、倪氏はブルックリン美術館のコレクションからXNUMX点の名品を選び、そのイメージを極めて詳細に描き込みました。これらの作品は、彼の作品とともに中国ギャラリーに展示されています。彼はXNUMX年にこの作品の制作を開始しましたが、最初の硬貨には、当館が所蔵する Windows マシン: JAVA 17をダウンロード
『Brooklyn Galaxy』のために、倪氏はブルックリン美術館のコレクションからXNUMX点の名品を選び、そのイメージを極めて詳細に描き込みました。これらの作品は、彼の作品とともに中国ギャラリーに展示されています。彼はXNUMX年にこの作品の制作を開始しましたが、最初の硬貨には、当館が所蔵する Linux マシン: OpenJDK 17をダウンロード
Debian、Ubuntuなどでは sudo apt-get installopenjdk-17-jre
Fedora、Oracle Linux、Red Hat Enterprise Linuxなどの場合 su -c "yum インストール java-17-openjdk

環境変数の設定

JAVA_HOME: JDK ディレクトリを指すように設定します。例: C:\Program Files\Java\jdk-17

ポート構成

miniOrange LDAP ゲートウェイサーバー

TCP ポート 8080/443 - HTTP/S - は、miniOrange Cloud (52.55.147.107、52.86.38.163、54.165.245.227) からアクセスできる必要があります。
アウトバウンドアクセス ログイン.xecurify.com TCP 443は許可されるべきである

Active Directory ドメインコントローラ (TCP ポート 389/636) は、miniOrange LDAP ゲートウェイサーバーからアクセスできる必要があります。

miniOrange LDAP Gatewayを設定するには、以下のステップバイステップガイドに従ってください。

1. miniOrange Gatewayをダウンロードする

以下の表を参照して、お使いのオペレーティングシステムに miniOrange Gateway をダウンロードしてください。

販売	ダウンロードリンク	最新バージョン	チェックサム(SHA256)
〒	ダウンロード	1.5.0	bf188bfc9c2e4bf2c4617e903ad7c309c2017245d0dde4bb11aa927cd913022b
Windowsインストーラ	ダウンロード	1.5.0	eb9ec401e0908d1ac13a57c9ea94e759ca63c7ff8bdbc0450399b4c9adfebf68

2. miniOrange Gatewayを実行するためのポートを構成する（オプション）

miniOrange LDAP Gatewayを8080以外のポートで実行するには、 /conf 編集する サーバー.xml
検索する " コネクタポート="8080" プロトコル="HTTP/1.1" "

ポートを変更する 必要なポートに8080例: 80
ブラウザからURL「 /miniorangegateway" を置き換えます。" " をホスト名またはサーバー IP に置き換えます。

3. LDAP ゲートウェイの SSL を設定する (オプション)

注意: この手順は Chrome ブラウザでは必須です。Chrome は HTTP 上で Web アプリケーションを実行しません。他のすべてのブラウザでは、これはオプションです。

こちらをクリックしてください CA 証明書をお持ちの場合は、手順に従ってください。
CA 証明書がない場合は、以下の手順に従ってください。
1. キーストアを生成:
  - に移動します %JAVA_HOME%\bin ファイルエクスプローラーのディレクトリ。そこに certs ディレクトリを作成します。
  - に移動します %JAVA_HOME%\bin コマンドラインのディレクトリ（ 管理者モード ) を開き、次のコマンドを実行します。
    キーツール -genkey -alias -keyalg RSA -キーストア\bin\certs\keystore.jks
  - これにより、(a) で作成された certs フォルダーにキーストアが作成されます。
2. コネクタを構成する:
  これは、Tomcat をポート 443 (SSL ポート) で実行するように構成するために必要です。
  - に移動します \confを編集して サーバー.xml ファイルにソフトウェアを指定する必要があります。
  - 加える コネクタ 要素の下にある以下の設定を コネクタ 素子：
```
     TLSv1.2、TLSv1.3PATH_TO_KEYSTORE>.jks" certificateKeystorePassword="キーストアパスワード" certificateKeyAlias="証明書エイリアス>" type="RSA" />
     
```
3. Tomcat にサーバー名を割り当てます:
  - %windows%\system32\drivers\etc\hosts ファイルを編集し、次の行を追加します。
    127.0.0.1
  - に移動します \confを編集して サーバー.xml ファイルにソフトウェアを指定する必要があります。
  - 検索 localhost をサーバーの新しいホスト名に置き換えます。
  - 検索要素と置換 名前=ローカルホスト 　 名前= サーバーの。
  - 次のコマンドを実行してTomcatを再起動します。 スタートアップ.bat 下 \置き場次のアドレスに移動します。
    https://<newhostname:port>/miniorangegateway.

4. miniOrange Gatewayの起動

MFAデバイスに移動する /置き場 ターミナルで次のコマンドを使用してサーバーを起動します。
1. 『Brooklyn Galaxy』のために、倪氏はブルックリン美術館のコレクションからXNUMX点の名品を選び、そのイメージを極めて詳細に描き込みました。これらの作品は、彼の作品とともに中国ギャラリーに展示されています。彼はXNUMX年にこの作品の制作を開始しましたが、最初の硬貨には、当館が所蔵する Windows 機械の使用： catalina.bat 起動
2. 『Brooklyn Galaxy』のために、倪氏はブルックリン美術館のコレクションからXNUMX点の名品を選び、そのイメージを極めて詳細に描き込みました。これらの作品は、彼の作品とともに中国ギャラリーに展示されています。彼はXNUMX年にこの作品の制作を開始しましたが、最初の硬貨には、当館が所蔵する Linux 機械： sh catalina.sh スタート
ブラウザからURL「 /miniorangegateway" を置き換えます。" " をホスト名またはサーバー IP に置き換えます。
例:localhost:8080/miniorangegateway。

注意: ステップ 2 で別のポートを設定した場合は、8080 の代わりにそのカスタムポートを使用できます。例: Tomcat を 8081 で実行するように設定した場合、URL は localhost:8081/miniorangegateway などになります。

5. miniOrange Gatewayにログインする

ブラウザでゲートウェイアプリケーションにアクセスすると、管理者ログインページにリダイレクトされます。

miniOrange Cloud 管理者アカウントのログイン資格情報を入力します。[login.xecurify.com へのログインに使用するもの]
ログインに成功すると、次のページにリダイレクトされます。 LDAP 構成の表示 ページで見やすくするために変数を解析したりすることができます。

6. LDAPゲートウェイをディレクトリに接続する

以下を行うには、 LDAP接続タブ.
これは次のリストに表示されます LDAP 構成.
まず LDAP設定の追加 LDAP 情報の設定を開始します。

設定する ミニオレンジゲートウェイ 以下を追加することで LDAP構成 詳細。

フィールド	説明。
構成識別子	この構成セットを指定する任意の名前。
LDAPサーバーのURL	LDAPサーバーのホスト名を指定します例: ldap://myldapserver.domain:389
アカウントDNのバインド	これは、LDAP サーバーとの接続を確立するために使用されます。次の方法で指定します。ユーザー名@ドメイン名または識別名(DN)形式
アカウントのパスワードをバインドする	LDAP サーバーのバインドアカウントのパスワード
検索ベース	識別名を入力してください検索ベースオブジェクト例:cn=ユーザー、dc=ドメイン、dc=com
検索フィルター	検索フィルターを使用すると、検索条件を定義して、より効率的で効果的な検索を行うことができます。あなたが使用している場合単一グループフィルターのユーザー or 複数グループフィルターのユーザーを置き換えますグループDN> 検索フィルターに、ユーザーが所属するグループの識別名を入力します。
ドメイン名	セミコロンで区切られたドメインのリスト。例: miniorange.com
名属性	名の LDAP 属性。例: givenName
姓属性	姓の LDAP 属性。例: sn
電子メールの属性	名の LDAP 属性。例: メール
ユーザー名の属性	名の LDAP 属性。例: sAMAccountName
電話属性	名の LDAP 属性。例: 電話番号
ユーザーグループ属性	グループ名の LDAP 属性。例: メンバー
グループの検索ベース	識別名を入力してください検索ベースグループのオブジェクト例:cn=ユーザー、dc=ドメイン、dc=com
グループ名属性	miniOrangeでグループを作成するためのセキュリティグループの属性例: samaccountname
LDAP 属性リスト	セミコロンで区切られた属性のリスト。例: cn;mail;givenName
IdP ユーザープロファイルフィールドのマッピング	同期中に使用される Idp ユーザープロファイルフィールド
同期の設定を有効にする	このオプションは、現在の接続の登録をスケジューラで有効/無効にします。

クリック Save
現在のLDAP接続をテストするには、 LDAP 接続

7. 接続と属性マッピングのテスト

属性マッピングをテストするには、 選択する をクリックします。入力したコードが正しければ、MFAの設定は正常に完了します テスト属性マッピング をドロップダウンから選択します。

miniorange ldap sync ゲートウェイユーザーストアをクラウドに追加

入力するをクリックし ホイール試乗.

テストが成功すると、ユーザーの属性が表示されます。
LDAP設定をテストするには、 選択する をクリックします。入力したコードが正しければ、MFAの設定は正常に完了します 試験用接続 ドロップダウンから選択します。

入力するの三脚と パスワード をクリックします。入力したコードが正しければ、MFAの設定は正常に完了します ホイール試乗.

LDAP 接続の LDAP バインド資格情報を確認するには、「バインドアカウント資格情報のテスト」ボタンをクリックします。
LDAP サーバーとの接続が成功すると、成功メッセージが表示されます。

8. miniOrange Cloudをゲートウェイに接続する

から miniOrange ダッシュボードにログインします。管理コンソール.
左側のメニューから、をクリックします ID プロバイダー >> ID プロバイダーの追加.

まず LDAP 構成をオンプレミスに保存 オプションを選択します。
クリック miniOrange Gatewayをダウンロード 右上隅のリンクをクリックします。
LDAPを入力してください 表示名 の三脚と 識別する 名前。
選択する ディレクトリの種類 as Active Directory.
設定する LDAPサーバーのURL （ゲートウェイURLとも呼ばれます）。適切なプロトコルを選択してください。 HTTPまたはHTTPS ドロップダウンから選択し、デプロイされたゲートウェイのパブリック URL を構成します。
たとえば、localhost:8080/miniorangegateway などです。

miniorange ldap sync クラウド内の AD/LDAP ゲートウェイユーザーストアを構成する

以下を行うには、 Save ボタン、またはに移動します ログインオプション タブには何も表示されないことに注意してください。
ADの設定時に以下のオプションを設定することもできます。有効化 LDAPをアクティブ化する AD/LDAPからユーザーを認証するには、「次へ」ボタンをクリックしてユーザーストアを追加してください。

以下に属性のリストと、有効にした場合の動作を示します。これに応じて有効/無効にすることができます。

属性	詳細説明
LDAPをアクティブ化する	有効にすると、すべてのユーザー認証はLDAP認証情報を使用して行われます。
フォールバック認証	LDAP認証に失敗した場合、ユーザーはminiOrangeを通じて認証されます。
管理者ログインを有効にする	これを有効にすると、miniOrange管理者ログインはLDAPサーバーを使用して認証されます。
ユーザーにIdPを表示する	このオプションを有効にすると、このIdPはユーザーに表示されます
miniOrangeでユーザーを同期する	LDAP認証後、miniOrangeにユーザーが作成されます。

以下を行うには、次へボタン、またはに移動します Attributes タブには何も表示されないことに注意してください。
miniOrange Cloudでディレクトリを設定する方法の詳細については、こちら.

ADからの属性マッピング

デフォルトではuserName、firstName、lastName、emailが設定されています。下にスクロールしてクリックしてください。 設定を保存Active Directoryから追加の属性を取得するには、 構成された属性を送信する左側に、アプリケーションに公開する名前を入力します。右側に、Active Directoryの属性名を入力します。例えば、Active Directoryから会社属性を取得し、それを組織名として設定済みアプリケーションに送信する場合は、次のように入力します。
SP に送信される属性名 = 組織
IDPからの属性名 = 会社

ADからのユーザーのインポートとプロビジョニング

プロビジョニングを設定する場合は、こちらをクリックしてください。詳細については、こちらをご覧ください。この手順はここでは省略します。

9. クラウドからADへの接続をテストする

から miniOrange ダッシュボードにログインします。管理コンソール.
左側のメニューから、をクリックします ユーザーストア.
設定されたすべてのユーザーストアのリストが表示されます。設定済みの「選択」リンクをクリックします。ステップ 7.
ドロップダウンからテスト接続を選択します

miniOrange LDAP ゲートウェイテストクラウド IDP からゲートウェイ経由の広告接続

ポップアップが表示されます。有効なユーザー名とパスワードを入力し、「テスト」をクリックします。

LDAP サーバーとの接続が成功すると、成功メッセージが表示されます。

10. ディレクトリと miniOrange 間のワンタイム/スケジュール同期の設定

注: この手順はオプションです。LDAP Gateway 経由でディレクトリと miniOrange Cloud サービス間のユーザー同期を設定する場合は、以下の手順に従ってください。スケジュールされた同期とワンタイム同期の両方をサポートしています。

たとえば、サーバーの時間が 13:00 の場合、13:00 より前のいつでも即時同期を開始する必要があります。

左側のペインから「スケジュール」をクリックします。
次の詳細を設定します。

フィールド	説明。
グループ同期を有効にする	グループ同期を有効/無効にします。
ユーザー同期を有効にする	ユーザー同期を有効/無効にする
ユーザーグループメンバーシップの同期を有効にする	ユーザーグループメンバーシップの同期を有効/無効にする
削除ユーザー同期を有効にする	ユーザー同期の削除を有効/無効にします。
除外リストの設定	ソフトウェアの制限をクリックユーザーを選択削除から除外するユーザーを選択します。
miniOrange にユーザーを登録済みとしてマークする	miniOrange に登録済みのユーザーをマークする機能を有効/無効にします。
開始時間(hh:mm)	スケジュール同期の開始時刻。例: 時間は 01、分は 01。
同期間隔（時間単位）	定期的な同期間の時間間隔。

ソフトウェアの制限をクリック Save
さまざまなLDAP構成のユーザーは、「同期の設定を有効にする" 有効になっています
有効にした場合 削除ユーザー同期を有効にする ユーザーを選択 削除から除外するユーザーを選択します。

今すぐ LDAP同期を有効にする タブには何も表示されないことに注意してください。

選択する ワンタイム同期を実行する すぐに同期を実行します。
選択する スケジュール同期を有効にする スケジュールされた時間に同期を開始します。
同期を開始した後で無効にするには、 スケジュール同期を無効にする.

11. LDAP ディレクトリとのセキュア LDAP (LDAPS) 接続を設定する手順。

注意: Tomcat が管理者権限で実行されていることを確認してください。

に移動します LDAPSオプションの設定 左ペインから。
必要な詳細を入力します。

主催者: LDAP ドメインコントローラーのホスト名。
ポート: セキュアLDAPポート。例: 636
エイリアス: 受信した証明書を Java TrustStore に保存するエイリアス。
パスワード : changeit (Java TrustStore のパスワード)。

ソフトウェアの制限をクリック 証明書を取得証明書の取得が成功すると、成功メッセージが表示されます。

Tomcat サーバーを再起動します。

Windows インストーラーを使用して Tomcat を Windows サービスとしてインストールします。
弊社が提供した Tomcat パッケージに移動し、webapps ディレクトリの下の miniorangegateway フォルダーを、新しくインストールされた Tomcat as a service webapps フォルダーにコピーします。

これで、Windows サービスパネルに移動して Tomcat サービスを開始できます。

次のコマンドを実行して、ユニットファイルを作成して開きます。

sudo vi /etc/systemd/system/tomcat.service

次のスクリプトを貼り付けます。また、指定されているメモリ割り当て設定を変更することもできます。 CATALINA_OPTS:

# Systemd unit file for tomcat
    [Unit]
    Description=Apache Tomcat Web Application Container
    After=syslog.target network.target

    [Service]
    Type=forking

    Environment=JAVA_HOME= <Location of your JRE> eg: /usr/lib/jvm/jre
    Environment=CATALINA_PID=<Location of your PID file> eg:/opt/miniorangegateway-1.x.x/temp/tomcat.pid
    Environment=CATALINA_HOME=<Location of your miniOrange Tomcat Directory> eg: /opt/miniorangegateway-1.x.x
    Environment=CATALINA_BASE=<Location of your miniOrange Tomcat Directory> eg: /opt/miniorangegateway-1.x.x
    Environment='CATALINA_OPTS=-Xms512M -Xmx1024M -server -XX:+UseParallelGC'
    Environment='JAVA_OPTS=-Djava.awt.headless=true -Djava.security.egd=file:/dev/./urandom'

    ExecStart=/opt/tomcat/bin/startup.sh
    ExecStop=/bin/kill -15 $MAINPID

    User=tomcat
    Group=tomcat
    UMask=0007
    RestartSec=10
    Restart=always

    [Install]
    WantedBy=multi-user.target

Save そして終了します。このスクリプトは、指定された設定で Tomcat ユーザーとして Tomcat サービスを実行するようにサーバーに指示します。
次に、Systemd をリロードして Tomcat ユニットファイルをロードします。

sudo systemctl daemon-reload

これでTomcatサービスを開始できます systemctl コマンド：

sudo systemctl start tomcat

次のように入力して、サービスが正常に開始されたことを確認します。

sudo systemctl status tomcat

Tomcatサービスを有効にして、サーバーの起動時に開始する場合は、次のコマンドを実行します。

sudo systemctl enable tomcat

13. miniOrange Gateway のアップグレード手順

miniOrange Gateway の最新バージョンをダウンロードしてください。
Force Stop miniOrange ゲートウェイサーバー。
現在のTomcatインストールディレクトリに移動し、現在のバックアップを取得します。 ミニオレンジゲートウェイ ディレクトリが存在する \ウェブアプリ.

今度は miniorangegateway フォルダ に選出しました。 Tomcat ルートディレクトリ miniorangegateway フォルダ ダウンロードしたパッケージに含まれています。
コピーして \miniorangegateway\WEB-INF\classes\application.properties バックアップ miniorangegateway から同じパスに新しくデプロイされた miniorangegateway にファイルをコピーします。 \miniorangegateway\WEB-INF\クラス\.
お気軽にご連絡ください Tomcat サーバー。

よくある質問 - v1.4.0

アプリケーションを実行するには、Java 17 以上が必須ですか?

はい。アプリケーションにはJava 17以降のバージョンが必要です。それ以前のバージョンはサポートされていません。

Tomcat 11 以降のバージョンは必須ですか?

はい。アプリケーションを適切に展開して機能させるには、Tomcat 11 以上が必要です。

IDP 側で DELETE SYNC に時間がかかりすぎる場合はどうすればいいですか?

DELETE SYNCプロセスに時間がかかる場合は、次のプロパティを更新してください。 アプリケーション.プロパティ ファイル：

パス：/apache-tomcat-11/webapps/miniorangegateway/WEB-INF/classes/application.properties

更新するプロパティ:wait.after.delete.req=180

要件に応じて、値を 180 秒から 240 秒または 300 秒に増やします。

miniOrange のユーザーは AD 属性が変更された場合にのみ更新されるのはなぜですか。また、すべてのユーザーを強制的に更新するにはどうすればよいですか。

デフォルトでは、ゲートウェイはAD属性が ゲートウェイで設定された変更.

完全な更新を強制したい場合（更新されていない場合でもすべてのユーザーをminiOrangeに送信する場合）、このプロパティを変更します。 アプリケーション.プロパティ:

デフォルト：send.force.updates=false

すべてのユーザーを強制的に更新するには、次のように変更します。send.force.updates=true

「グループ同期を有効にする」を無効にして、「ユーザー同期を有効にする」と「ユーザーグループメンバーシップ同期を有効にする」を有効にするとどうなりますか?

「グループ同期の有効化」が無効になっているが、「ユーザー同期の有効化」と「ユーザーグループメンバーシップの同期の有効化」が有効になっている場合、ゲートウェイは miniOrange でユーザーに割り当てられているすべてのグループを削除 (割り当て解除) します。

miniOrange 内のユーザーグループを更新したくない場合は、「ユーザーグループメンバーシップの同期を有効にする」もオフにする必要があります。

Contents