こんにちは。YCです。
前回の記事でSimpleADにユーザーを作成できました。
今回はそのユーザーをG Suiteに連携したいと思います。
連携の為、使用するツールはGoogleの出しているAD連携ツール
「Google Cloud Directory Sync (以下GCDS)」を使用します。
GCDSの仕組み
1,LDAP サーバーまたは Active Directory のリストからデータが書き出されます。ユーザーが、リストの生成方法を指定するルールを設定します。
2.GCDS は Google ドメインに接続し、ユーザーが指定した Google ユーザー、グループ、共有の連絡先のリストを生成します。
3,GCDS はこのリストを比較し、そのデータに合わせて Google ドメインを更新します。
4,同期が完了すると、ユーザーが指定したアドレスにレポートがメールで送信されます。
環境準備
まずはGoogleの管理コンソールにログインし、
セキュリティ → API リファレンス →API アクセスを有効にする にチェックを付けます。
これでとりあえずAPIが通るようになりました。
環境構築
Google公式の出しているGCDSのダウンロード手順書を見ながら
GCDSをダウンロードします。
ダウンロードしたら、GCDSを開き以下の手順で作業を進めます。
最初に出てくるのはGoogleとの連携です。
Primary Domain NameにGoogleのドメイン名を入力し、
Authrize Nowをクリックします。
(検証後にスクリーンショットを撮ったので既にAuthrizedになってますが気にしないでください。)
そうすると、このようなポップアップが出てくるので、
Sign inをクリックし、Googleドメインにサインインしてください。
出てくるものを全て承認すると、Verification Codeが発行されるので、
Step2に貼り付けてください。
次のLDAP認証が鬼門です。
実際のSimpleADへLDAPで接続します。
設定はこのように致しました。
注意して欲しいのが赤い下線部分です。
まず、ホスト名ですが、AWSのリソースであるSimpleADは自分の指定したドメインの前に
AWSのホスト名が付くので注意しましょう。
コマンドプロンプトから nslookup コマンドで確認して入力します。
次に、ユーザー名です。
ユーザーには事前に全てのユーザー情報の読み取り権限を委任してあげる必要があります。
鬼門なのでユーザーの権限委任から手順を載せていきます。
①グループを作成
②制御の委任をクリック
③委任ウィザードの開始で次へをクリック
④追加をクリック
⑤先ほど作ったグループを追加
⑥権限を追加
⑦ユーザーを作成し、
⑧先ほどのグループをユーザーに割り当てる
これでようやくLdapが通るユーザーが作成できました。
このユーザーを使用して、「ドメイン名¥ユーザー名」で設定します。
最後にベースDNがわからない場合はLdapブラウザなどで確認してください。
基本的には上記画像のように「DC=xxxxxx,DC=xx」で良いと思います。
では、次の設定に参りましょう。
次のGeneral Settingsはとりあえず下記画像だけで問題ありません。
Org Unitsはチェックをつけてください。
Googleの組織を使用するというチェックです。
ユーザーアカウントの設定はこれと同じように設定するだけで構いません。
User ruleは以下のように設定しました。
ここでのOrg Unit NameはGoogle側の組織名です。
Googleで先に組織を作っておいてください。
今回のルールはメールアドレスの最後に.tkが入っているユーザーを見つけるというルールにしています。
次にNotificationsはこのように設定しています。
SMTPホストはGoogleから引っ張っております。
そして、ログの吐き出し先を指定し、
Syncで全項目にチェックが付いていることを確認してsimulate syncをクリックします。
無事、シミュレーションが出来ると、
Google上のユーザ、AD上の検索で出たユーザそれぞれの数が出てきます。
問題がなければSync & apply changesをクリックし、
Googleにユーザーが追加された事を確認してください。
これにてGoogleとADの同期は完了です。
散々詰まりましたが、こちらのサイト様のおかげで
なんとか同期の確認は取れました。
次回はGoogle Password Syncでパスワードの同期を試します。
ブログに載せられる機会があれば載せます。
以上です。では。
