背景
JamfProをちゃんと導入検討&勉強しようということで。
GoogleWorkSpaceのアカウント情報をJamfProに連携させるよ。
ハマる落とし穴があるのでメモを残します。
参照先:
・Google のセキュア LDAP 統合
・Generating a PKCS12 (.p12) Keystore File from a Google Cloud LDAP Client
やること
- GoogleWorkSpace側にLDAPサーバを作る
- JamfProに連携させる
手順
- Jamf Pro にログイン。
- "システム設定" > "クラウドアイデンティティプロバイダ"
- "新規"をクリック
- Google を選択
- 表示名は適当に入力(e.g. GoogleWorkSpace)
- LDAPSが選択されているはずなのでそのまま(次のポート番号も勝手に入力済みになってるはず e.g. ldap.google.com:636)
- ドメイン名はGoogleWorkSpaceで利用してるドメイン名入れる(e.g. favy.co.jp)
- keystoreには GoogleWorkSpace側で作ったcrtとkeyを使ってp12ファイルを生成する必要がありますので、ここで一旦保留
次にGoogle側にログインします。
- GoogleWorkSpaceの管理者画面にログイン(https://admin.google.com/)。
- "アプリ" > "LDAP"
- "クライアントを追加"
- LDAPクライアント名は適当に入力(e.g. JamfPro)
- 説明も適当に入力。省略可能。
- "続行"を押して次の画面へ
- アクセス権限を適した内容に設定(大体はドメイン全体を選択することになりそう)
- "クライアントを追加"を押す
- その後の画面で「証明書のダウンロード」が出てくるのでダウンロードする(e.g. Google_2025_03_10_17409.zip)
- 元の画面に戻って "アプリ" > "LDAP"
- 今作った設定の 「サービスのステータス」を"オン"に変更
今度は手元でコンソールを開きます。
- ダウンロードしてきてたzipを解凍してcrtとkeyを取り出す。
-
openssl pkcs12 -export -out /path/to/generated/keystore.p12 -inkey /path/to/saved/privatekey.key -in /path/to/saved/certificate.crtでp12ファイルを生成する - コンソール上でパスワードを入力(e.g. p8WkXm6fのようなランダム文字で。2回入力)
参考: ・Generating a PKCS12 (.p12) Keystore File from a Google Cloud LDAP Client
元のJamfProに戻ります。
- keystoreに作ったp12ファイルをドラッグ
- Keystore パスワード に上記コンソールで2回入力したパスワードを入力
- 右下の保存
これで完了です。
罠1は、LDAPのサービスを作った後の「オン」にする作業。
罠2は、p12ファイルの生成(パスワードの打ち間違えなどに注意)
以上です。