Presented by 非武装エリア
最終更新日:2012年7月9日
ADでは、デフォルトで匿名(Anonymous)アクセスを許可していません。 そのままで状態でもLDAPとしては利用できますが、メールクライアントなどでADを使ったアドレス帳利用をするような場合には匿名アクセスを許可しておいた方が利用しやすいでしょう。そこで ADSI Edit を使って匿名アクセスを利用できるようにADを設定していきます。 まず ドメインサーバで [スタート]-[ファイル名を指定して実行] を選び "mmc" を実行します。
MMCのコンソール画面が表示されたなら、メニューから [ファイル]-[スナッップインの追加と削除] を選びます。 そして、スナップインの追加画面から [追加] ボタンを押して、追加できるスナップインの一覧から ”ADSI Edit” をクリックして [追加] - [閉じる] を選択します。
スナップインの追加と削除画面に ”ADSI Edit” が追加されたら [OK] をクリックしてます。
すると、MMCコンソール画面の [コンソールルート] に [ADSI Edit] が追加されます。
このコンソール画面から、ADのLDAPに対する各種の操作を行っていきます。
最初にコンソールの 「ADSI Edit」 にマウスを合わせ 右クリックし 「Connect to...」を選択します。
すると接続するADのドメインのコンテキストが選べるので 「Domain」 を選び [OK] とします。
すると、コンソールにADドメインの階層が追加されて、各オブジェクトを操作できるようになります。 続いて、再度 「ADSI Edit」 を右クリックして 「Connect to...」を選択します。
今度はコンテキストとして ”Configuration” を選び 「OK」とします。
コントロールに Configuration が追加されます。
そしてコントロールの [\ADSI Edit\Configuration\CN=Configuration,DC=ドメインベース\CN=Services\CN=Windows NT\CN=Directory Service] にマウスを合わせ右クリックして [プロパティ] を選択します。
プロパティ画面から ”dSHeuristics” クリックしてから [Edit]ボタンを押し、編集画面で値を設定します。
ここで設定する値は、まだ何も値が設定されていな(<Not Set>だった)時は ”0000002” を設定します。
既に何らかの値が設定されている場合には左から7番目だけを”2”にして他の値は変更しないようにしてください。
値を修正したらプロパティ画面で [OK] を選択して内容を反映させます。
続いて、LDAPオブジェクトのアクセスを匿名(Anonymous)ユーザに許可します。
ADのドメインサーバで [スタート]-[管理ツール]-[Active Directoryユーザとコンピュータ] を選びます。 ユーザ管理画面のメニューから [表示]-[拡張機能]を選択し拡張機能を有効にします。
ドメインのコンテナの中から、”Users” を右クリックして [プロパティ] を選択し、Usersプロパティ画面の”セキュリティ”タブを開きます。
[追加]ボタンを押して、ユーザの追加を行います。 ”コンピュータまたはグループの登録”画面の [詳細設定]ボタンを選び [今すぐ検索] を選択すると検索結果画面に”ANONYMOUS LOGON”というユーザが表示されるのでこれを選択して [OK] ボタンを押します。
同じ操作で、”Everyone”ユーザも追加します。 追加画面に2つのユーザが追加されている事を確認したら [OK]を選択します。
Usersのプロパティ画面に”ANONYMOUS LOGON”と”Everyone”が追加されているので、これを選びそれぞれ「読み込み」に許可を与えます
”ANONYMOUS LOGON”と”Everyone”に読み込みの許可を与えたら、[詳細設定]ボタンを選択します。 "Users"に関するセキュリティの詳細設定画面が表示されます。 「アクセス可能なエントリ」の中から”ANONYMOUS LOGON”を選択し[編集]ボタンを選択します。
ANONYMOUS LOGONの適用先を「このオブジェクトとすべての子オブジェクト」を選び「OK」ボタンを選択します。 セキュリティの詳細設定画面に戻ったらこれも「OK」とします。
Usersのプロパティ設定画面に戻ったならこれも「OK」とすれば、以上で匿名ユーザによるLDAPアクセスが可能になった筈です。
実際に匿名ユーザによるアクセスが可能になったかコマンドプロンプトから ”ldp” を起動して確認してみます。 ldp を起動してメニューからから [Connection] を選択して接続画面を開き、”Server”に自分自身(ADサーバ)のIPアドレスを指定して [OK]とします。
接続できたら、メニューから [Browse]-[Search] で検索画面を出して、 ”Base Dn”に検索するLDAPのドメインベースを指定(多分、自動的にデフォルトがセットされていると思います。デフォルトでOKです)して、”Filter”に「(objectclass=*)」を設定して、”Scope”を Subtree か One Level で [Run] を実行します。
正常にアクセスできれば、”>>DN”で始まる行にADに登録してあるユーザの情報が取り出せていることが判ると思います。
以上までの作業で、AD上のLDAP情報に匿名ユーザでアクセスできるようになりました。 ここまでの設定が完了すれば、例えばLDAP対応のメールクライアントなどからAD上のユーザ情報にアクセスする事が可能になります。 続いてADのスキーマの表示や操作を可能にするスナップインをMMCに登録します。
Copyright© 1998-2012 ROBATA.ORG