概要

LDAP連携は、TimeTracker NXにWindowsのパスワードでログインできるようになる便利な仕組みです。TimeTracker NX用に独自にパスワードを管理する手間が省け、セキュリティ面での運用の煩雑さを低減することができます。
ここでは、LDAP連携のためにTimeTracker NXで設定すべき内容について紹介します。
 

設定に必要な情報

LDAP連携をするにあたり、Active Directoryの設定を事前に確認しておく必要があります。これらの情報を確認しておくことで、TimeTracker NXのLDAP連携の設定をスムーズに行うことができます。
 
  • LDAPパス
    TimeTracker NXのサーバーマシンがActive Directoryのドメインコントローラーに接続するために必要なLDAPパスを確認します。LDAPパスの形式は、以下のコマンドを入力して表示されるLDAPパスが参考になります。
    whoami /FQDN
  • TimeTracker NXのメンバーに対応するActive Directoryのログイン名
    TimeTracker NXのメンバーのActive Directoryのログイン名(Windowsのログイン名)を確認しておきます。
 

設定項目と設定値の例

LDAP連携を有効にするために、[システム動作]の[LDAP連携]画面で各項目を設定します。その内容と具体的な入力例を紹介します。
 

LDAPパス

TimeTracker NXの認証に使用するユーザーに対して、そのユーザーが所属するActive Directoryのパスを指定します。[設定に必要な情報]で確認したLDAPパスが該当し、一般的には以下の具体例で示すような文字列になります。
 

具体例

whoami /FQDN にて出力された文字列が以下になる場合、指定する範囲によって設定するパスが変わります。
CN=Okamoto Naoya,OU=開発2課,OU=開発部,OU=第2事業部,DC=mydomain,DC=local
 
【ケース1:社内の一部(第2事業部の範囲)のユーザーを対象とする場合】
  OU=第2事業部,DC=mydomain,DC=local
 
【ケース2:会社全体を対象とする場合】
  DC=mydomain,DC=local
 

設定における注意事項

LDAP連携を有効にする際は、以下の3点にご注意ください。
 

1. 連携するActive Directoryは一つのドメインツリー内に収まること

TimeTracker NXのLDAP連携は信頼関係で結ばれた別のドメインツリーを参照することができません。LDAPパスで接続したドメインコントローラーを含むドメインツリーに所属するメンバーのみがLDAP連携を利用できます。
 

2. 連携対象のActive DirectoryにTimeTracker NXのサーバーマシンが所属すること

TimeTracker NXは自身のサーバーマシンがActive Directoryに所属していることを前提にしています。Active Directoryに所属していない状態での設定については、サポートすることができません。あらかじめご承知おきください。
 

3. LDAP連携を利用しない管理者ユーザーを1名残す

LDAP連携を正常に利用できるようになる前に、TimeTracker NXの全メンバーをActive Directoryのユーザーと対応付けてしまうと、LDAP連携の設定が間違っていた場合にだれもログインすることができなくなります。このような状況を防ぐために、LDAP連携を設定する際にはActive Directoryのユーザーと対応付けていない管理者ユーザーを1名残しておいてください。
 
このユーザーについては、LDAP連携に問題がないことを確認した後にActive Directoryのユーザーと対応付けることで、全員LDAP連携を利用したパスワード管理ができるようになります。