エンタメ系企業の社内もろもろを担当しているakibinです。
作業中はドラムンベースを聴いてる時が一番はかどっているような気がします。DJ Markeyオススメです。
※この記事は石野卓球を聴きながら作業してますが。こちらもはかどる。
今回やってみたこと
前回、G SuiteとActiveDirectoryのアカウントを同期してみたので、そのままパスワードも同期して、G SuiteとADのアカウントを完全に同期しちゃえば、ユーザも2つアカウント覚えなくてすむんじゃい!
ということで、仮想構成は以下です。
| 情報種類 | ドメインやアカウント | メモ |
|---|---|---|
| G Suiteドメイン | gsuitest.co.jp | |
| G Suite認証用アカウント | gsadmin@gsuitest.co.jp | G Suiteへアクセスを許可するアカウント |
| ADサーバ | Windows2019 | |
| ADサーバのホスト名 | ad-host | |
| ADドメイン | adtest.co.jp | |
| 同期したいou | employer |
前回同様、このou=employer配下のアカウントのパスワードをG Suiteに同期します。
同期にはG Suite Password Sync(GSPS)を使用します。
事前準備
以下を用意しておく。
- Windows2019にADを立てておく
- ADがG Suiteドメインにアクセス出来るようにしておおく
- AD認証用アカウント(adadmin)を作成しておく
- 同期したいou(employer)配下に同期したいユーザを作成しておく
- G Suite認証用アカウント(gsadmin@gsuitest.co.jp)を作成しておく
作業スタート
【G Suiteに認証用アカウントにカスタムロールをつける】
※G SuiteとActiveDirectoryのアカウントを同期で作業済みであれば不要
同期にはAPIとユーザ・グループを編集可能な権限を付ける必要あり、一般管理者では弱く、特権管理者では強すぎるため、以下手順でカスタムロールを作成して、認証用アカウントに付ける。
管理コンソール>管理者ロール>新しいロールを作成>名前を入力>続行>管理 API の権限>「ユーザー」と「グループ」にチェックを入れる>続行>ロールを作成
ユーザーに管理者ロールを割り当てる方法は←参照。
【GSPSをサーバにインストールして設定】
- G Suite Password Sync についてからGSPSをダウンロードしてインストールする。GSPSは必ずADと同じサーバにインストールする
- GSPSを起動して[次へ]すすむ
- G Suiteドメインへアクセスするため、gsadmin@gsuitest.co.jpでログイン/認証する
- Admin Email Address : gsadmin@gsuitest.co.jp
- Authentication : 3-legged OAutnにチェック(ブラウザからログインして認証)
これでステータスがAuthorized(緑)に変わるの(上では変わってないですが気にしない)で次へすすむ
- 以下設定を実施
- Appkication's Security Context(Recommended) : チェックを入れる
- Base DN : ou=employee,dc=ad-host,dc=adtest,dc=co,dc=jp
- Mail Attribute : mail
- これで設定完了。同期設定が保存され、常時同期が走ります。
AD側でユーザのパスワードが変更されたタイミングで、G Suite側のパスワードも同期されます。
ちなみに、ADにユーザ作成した時点では同期はされませんでした。
あと、G Suite側でパスワード変更してしまうと、G SuiteとADで違うパスワードになってしまうので、G Suiteでのパスワード変更を停止する必要があります。
手順はG Suite Password Sync を設定するの完了とメンテナンスの内容を参照してください。
これでアカウント運用も楽になるかな!
こちらもぜひとも!
****************************************
◆ Twitterアカウント
@AkibinMusic
◆ Youtubeチャンネル
https://www.youtube.com/channel/UC-JOpwEnJn3gCrUA4NdCYgg