Active Directory 運用ガイド - pfu.fujitsu.com · Active Directory 運用ガイド｜3 はじめに楽2 ライブラリ Document Manager Active Directory® 連携オプションは、

P2WW-2551-03Z0

Active Directory® 運用ガイド

はじめに

楽 2 ライブラリ Document Manager Active Directory® 連携オプションは、

Microsoft® Active Directory® で一元管理されているユーザー／グループ情報を、

楽 2 ライブラリ Document Manager で利用するための製品です。ユーザー／グ

ループ情報を Microsoft® Active Directory® で一元管理できるため、管理作業の軽減

とセキュリティを向上させることができます。

本書は、Windows® および Microsoft® Active Directory® の基本的な知識がある方を対

象に、楽 2 ライブラリ Document Manager Active Directory® 連携オプションの導入

から運用までを説明しています。

なお、 LDAP の SSL 暗号化で保護を行う場合、 Windows® の証明書に関する知識

が必要です。

本書が楽 2 ライブラリ Document Manager を活用していただくために、皆様のお役

に立つことを願っております。

2009 年 6 月　初　版

2009 年 12 月　第 2 版

2010 年 5 月　第 3 版

Microsoft、 Windows、 Windows Server、 Active Directory は、米国 Microsoft Corporation の、米国、日本およびその他の国における登録商標または商標です。

Adobe、 Adobe ロゴ、 Acrobat、 Adobe PDF ロゴ、および Adobe Reader はAdobe Systems Incorporated （アドビシステムズ社）の米国ならびに他の国にお

ける商標または登録商標です。

その他の商品名、会社名は、一般に各社の商標または登録商標です。

Microsoft Corporation のガイドラインに従って画面写真を使用しています。

本製品は当社のビューア技術「EasyFlip」を搭載しています。

All Rights Reserved, Copyright © PFU LIMITED 2009-2010

Active Directory 運用ガイド｜ 3

はじめに

4

本書の読み方

本書の読み方について説明します。

本書の構成本書は、以下の構成になっています。

第 1 章　　Active Directory 連携の概要

Active Directory サーバの動作環境、および Active Directory 連携オプ

ションの機能と運用の概要について説明しています。

第 2 章　　導入

Active Directory 連携を行うための導入手順について説明しています。

第 3 章　　運用

Active Directory 運用でのログイン方法、および運用中の組織変更な

どの対応方法について説明しています。

製品を理解していただくために、第 1 章から順にお読みください。

なお、本書では、 Microsoft® Windows Server® 2008 で操作説明しています。

本書で使用している用語と略記本書では、楽 2 ライブラリ Document Manager 関連製品を以下のように表記しま

す。

• 「楽 2 ライブラリ Document Manager Active Directory® 連携オプション」を

「Active Directory 連携オプション」と表記します。

• 「楽 2 ライブラリ Document Manager」を「楽 2DM」と表記します。

また、楽 2DM をインストールしたサーバを「楽 2DM サーバ」と表記しま

す。

• 「楽 2 ビューア」の画面を「ビューア画面」と表記します。

｜Active Directory 運用ガイド

はじめに

3

本書では、他社の製品を次のように表記しています。

本書で使用している記号本書では、説明に以下の記号を使用しています。

製品名称略記

Microsoft® Windows Server® 2008 R2 Windows Server 2008

Windows

Microsoft® Windows Server® 2008

Microsoft® Windows Server® 2003 R2 Windows Server 2003

Microsoft® Windows Server® 2003

Microsoft® Windows® 2000 Server Windows 2000 Server

Microsoft® Windows® 2000 Advanced Server

Microsoft® Active Directory® Active Directory

Adobe® Acrobat® Adobe Acrobat

Adobe Reader® Adobe Reader

記号説明

特に注意が必要な事項や、必ず守っていただきた

い事項が書かれています。必ずお読みください。

操作に関するワンポイントアドバイスが書かれて

います。


はじめに

6

マニュアルについて

楽 2 ライブラリ Document Manager のマニュアルには、本書以外に以下のものが

あります。

PDF 形式のマニュアルをご覧になるためには、 Adobe Acrobat または

Adobe Reader が必要です。


はじめに

3

それぞれのマニュアルは目的に応じて次のように使い分けてください。

マニュアル記載内容

『インストールガイド（サーバ編）』

楽 2 ライブラリ Document Manager の概要、サーバの動作環境、

およびインストール／アンインストール方法について知りたい

ときにお読みください。また、クライアントのサイレントイン

ストール方法／シンクライアントサーバの留意事項について知

りたいときにもご利用ください。

PDF 形式のマニュアルは、製品 CD-ROM のルートフォルダの

直下の「manual」フォルダに「dminsts.pdf」として提供してい

ます。

『インストールガイド（クライアント編）』

楽 2 ライブラリ Document Manager の概要、クライアントの動

作環境、およびインストール／アンインストール方法について

知りたいときにお読みください。

PDF 形式のマニュアルは、トップメニューの「インストールガ

イド」から閲覧できます。また、製品 CD-ROM のルートフォル

ダの直下の「manual」フォルダに「dminstc.pdf」として提供し

ています。

『基本操作ガイド』はじめて楽 2 ライブラリ Document Manager を利用する場合に、

文書の登録／閲覧などの基本的な操作を知りたいときにお読み

ください。

PDF 形式のマニュアルは、トップメニューの「基本操作ガイド」

から閲覧できます。また、製品 CD-ROM のルートフォルダの直

下の「manual」フォルダに「dmopr.pdf」として提供していま

す。

バインダ形式のマニュアルは、［文書管理］画面の「デフォルト

書庫」にある「デフォルトキャビネット」に格納されています。

『オンラインヘルプ』楽 2 ライブラリ Document Manager のサーバの環境設定操作、

クライアントでの文書管理のための操作など、楽 2 ライブラリ Document Manager の操作全般について知りたいときにお読み

ください。

また、操作中（項目を入力するときなど）にわからないことが

あったときにお読みください。

PDF 形式のヘルプは、トップメニューおよび［文書管理］画面

の［ヘルプ］メニューから閲覧できます。また、製品 CD-ROMのルートフォルダの直下の「manual」フォルダに「dmhelp.pdf」として提供しています。

『Active Directory 運用ガイド』（本書）

Active Directory 連携オプションを利用して、

Active Directory と連携する場合にお読みください。

また、製品 CD-ROM のルートフォルダの直下の「manual」フォルダに「dmadop.pdf」として提供しています。


はじめに

8

高度な安全性が要求される用途への使用について

本製品は、一般事務用、パーソナル用、家庭用、通常の産業等の一般的用途を想

定して開発・設計・製造されているものであり、原子力施設における核反応制御、

航空機自動飛行制御、航空交通管制、大量輸送システムにおける運行制御、生命

維持のための医療用機器、兵器システムにおけるミサイル発射制御など、極めて

高度な安全性が要求され、仮に当該安全性が確保されない場合、直接生命・身体

に対する重大な危険性を伴う用途（以下「ハイセイフティ用途」という）に使用

されるよう開発・設計・製造されたものではありません。

お客様は本製品を必要な安全性を確保する措置を施すことなくハイセイフティ用

途に使用しないでください。また、お客様がハイセイフティ用途に本製品を使用

したことにより発生する、お客様または第三者からのいかなる請求または損害賠

償に対しても株式会社 PFU およびその関連会社は一切責任を負いかねます。


目　次

第 1 章　Active Directory 連携の概要 11

1.1 Active Directory 連携とは ............................................... 12

1.2 動作環境 ......................................................................... 14

1.3 機能概要 ......................................................................... 15Active Directory のユーザー／グループの取り込み（同期） ............................................................ 15ユーザー認証 ................................................................. 17LDAPS（LDAP の SSL 暗号化）対応の連携 ................. 17ドメインサーバの異常時対応 ........................................ 17

1.4 ユーザー／グループについて ........................................ 18ユーザー情報 ................................................................. 18グループ情報 ................................................................. 19同期実行時の留意事項 ................................................... 20

第 2 章　導入 21

2.1 楽 2DM を新規に導入する場合 ...................................... 22

2.2 楽 2DM を導入済みの場合 ............................................. 23Active Directory を新規に導入する場合 ......................... 23Active Directory が導入済みの場合 ................................ 26

2.3 Active Directory との通信で LDAPS を対応する ........... 28Active Directory 側での処理 ........................................... 29楽 2DM サーバでの処理 ................................................. 31

2.4 留意事項 ......................................................................... 34


目　次

1

第 3 章　運用 35

3.1 ログインする ..................................................................36

3.2 運用中の組織（ユーザー／グループ）変更の対応 .........38ユーザーの追加 ...............................................................39ユーザー情報（所属グループ）の変更 ...........................40ユーザーの削除 ...............................................................41グループの追加 ...............................................................42グループ情報（所属するメンバ）の変更 .......................43グループの削除 ...............................................................44

3.3 楽 2DM にログインできなくなった場合 .........................45

索　引 47

0 ｜Active Directory 運用ガイド

第 1 章　

Active Directory 連携の概要

この章では、 Active Directory サーバの動作環境、および Active Directory 連携オプ

ションの機能と運用の概要について説明します。


第 1 章　Active Directory 連携の概要

1

1.1 Active Directory 連携とは

Active Directory 連携とは、 Active Directory 連携オプションによって、

Active Directory で管理しているユーザー／グループを、楽 2DM のユーザー／グ

ループとして利用する運用のことです。この運用を「Active Directory 運用」とい

います。

Active Directory 運用により、楽 2DM を利用するユーザー／グループの管理を

Active Directory で一元管理でき、システム管理者の作業の軽減、およびセキュリ

ティを向上させることができます。

Active Directory では、信頼関係が結ばれている複数のドメイン

のユーザー／グループ情報などを一元管理できます。

なお、楽 2DM と連携できるのは、同一フォレスト内のドメイン

のみです。

tokyo.local

soumu.tokyo.local

oska.local

Active Directory

eigyou.tokyo.local


1.1 Active Directory 連携とは

3

◇ Active Directory 運用の概要

Active Directory 運用では、 Active Directory に登録されているユーザー／グループ

を利用するために、同期処理を行い、楽 2DM サーバに取り込みます。

また、楽 2DM へのログイン時（ログイン画面）のユーザー認証が、

Active Directory で行われます。

以下に Active Directory 運用の運用イメージを示します。

Active Directory 運用では、楽 2DM サーバを利用するユーザー／

グループ情報は Active Directory 側で追加／変更／削除を行い、

同期処理で楽 2DM サーバに取り込みます。楽 2DM で登録した

ユーザー／グループは利用できません。

2DM Active Directory

2DM

ID yamada******

eigyou.tokyo.local

Active Directory



1

1.2 動作環境

楽 2 ライブラリ Document Manager でサポートしている Active Directory サーバの

動作環境は以下のとおりです。

オペレーティングシステム

以下のオペレーティングシステム（日本語）に対応します。･ Windows 2000 Server SP4 （32 ビット版）

･ Windows 2000 Advanced Server SP4 （32 ビット版）

･ Windows Server 2003 R2, Standard Edition（32 ビット版）

･ Windows Server 2003 R2, Enterprise Edition（32 ビット版）

･ Windows Server 2003, Standard Edition（32 ビット版）（SP1/SP2）

･ Windows Server 2003, Enterprise Edition（32 ビット版）（SP1/SP2）

･ Windows Server 2008 R2 Standard （64 ビット版）

･ Windows Server 2008 R2 Enterprise （64 ビット版）･ Windows Server 2008 Standard

（32 ビット版／ 64 ビット版）（SP2 まで）

･ Windows Server 2008 Enterprise（32 ビット版／ 64 ビット版）（SP2 まで）


1.3 機能概要

3

1.3 機能概要

Active Directory 連携オプションでは、どのようなことができるかを説明します。

■ Active Directory のユーザー／グループの

取り込み（同期）

Active Directory で定義されているユーザー／グループを楽 2DM のユーザー／グ

ループとして楽 2DM サーバへ取り込みます。これを「同期」と呼びます。

定期的に同期処理を行い、最新のユーザー／グループ情報を楽 2DM サーバに取り

込みます。

同期処理では、 Active Directory で定義されているユーザー ID／グループ名と、楽 2DM のユーザー ID ／グループ名が一致し

た場合に、楽 2DM 側の情報が Active Directory のユーザー／グ

ループ情報に置き換えられます。また、 DM ユーザー／ DM グ

ループと一致した場合、 AD ユーザー／ AD グループに変更され

ます（分類がとなります）。

このとき、名前以外の情報も変更されますので、同期を行う

ユーザー／グループの情報は、既存の DM ユーザー／ DM グ

ループと Active Directory で定義したユーザー／グループで同一

に設定してください。取り込まれる情報については、「1.4 　

ユーザー／グループについて」（18 ページ）で説明します。



1

◇ 同期範囲

同期対象として、同一フォレスト内のドメインを指定します（5 個まで指定可能）。

指定したドメインごとにドメイン内の特定 OU のユーザー／グループ情報と同期

することもできます。

同一ドメイン内の OU 単位で同期することができます。

ドメイン「tokyo.local」内の「OU1」に定義していたユーザー

「yamada」を、ドメイン「soumu.tokyo.local」内の「OU3」に

移動した場合、楽 2DM サーバ内のユーザーは以下のようになり

ます。

ユーザー「[email protected]」が削除され、ユーザー

「[email protected]」が新たに追加されます。

OU1

Active Directory

OU

tokyo.local oska.local

soumu.tokyo.local eigyou.tokyo.local

OU2

OU3

OU4

OU6

OU3


1.3 機能概要

3

◇ 同期方法（手動同期／スケジュール同期）

同期方法には、手動同期とスケジュール同期があります。

･手動同期

即座に同期（取り込み）を実行することができます。

･スケジュール同期

毎日定時に同期（取り込み）を実行することができます。

■ ユーザー認証

Active Directory 運用では、楽 2DM サーバへログインするためのユーザー認証を

Active Directory のドメインコントローラで行います。

■ LDAPS（LDAP の SSL 暗号化）対応の連携

楽 2DM サーバと Active Directory 間の同期実行／ユーザー認証時には、 LDAPS 対

応でセキュアな通信を行うことができます。

設定方法については、「2.3 　 Active Directory との通信で LDAPS を対応する」（28ページ）を参照してください。

■ ドメインサーバの異常時対応

同期するドメインサーバ（プライマリサーバ）に異常が発生した場合に備え、代

替サーバを設定することができます。

設定方法については、『オンラインヘルプ』を参照してください。

同期対象に複数ドメインを指定している場合は、同期実行によ

り、指定したすべてのドメインとの同期が実行されます。



1

1.4 ユーザー／グループについて

Active Directory と連携しているユーザー／グループと、楽 2DM で定義したユー

ザー／グループは、以下のアイコンで区別されます。

■ ユーザー情報

AD ユーザーは、楽 2DM で作成／更新することができません。 Active Directory で

定義し、 Active Directory との同期実行後、 AD ユーザーとして取り込まれます。

取り込まれたユーザー情報には、以下の値が設定されます。

ここで記載していない項目については、楽 2DM 独自の項目のため、楽 2DM の

［システム設定］画面で設定／変更することができます。

アイコン説明

Active Directory で定義し、楽 2DM に取り込んだユーザー／グ

ループを示します。「AD ユーザー」／「AD グループ」と呼びます。

AD ユーザーは、 Active Directory 運用時のみログインでき、

Active Directory 側でユーザー認証されます。

楽 2DM で定義したユーザー／グループを示します。

「DM ユーザー」／「DM グループ」と呼びます。

DM ユーザーは、 Active Directory 運用を行わない場合にのみロ

グインでき、楽 2DM サーバ側でユーザー認証されます。

AD ユーザー／ DM ユーザーのユーザー種別が「システム管理

者」の場合は、 Active Directory 運用をする／しないにかかわら

ず、ログインすることができます。

楽 2DM サーバでの

ユーザー情報設定値

楽 2DM で

の変更可否

分類AD ユーザー

×


1.4 ユーザー／グループについて

3
○ ：変更可× ：変更不可* ：ユーザー種別を「システム管理者」に変更した場合は、楽 2DM サーバで
のユーザー認証用にパスワードの入力が必要となります。この場合のみ、パスワードの変更が可能です。

■ グループ情報

AD グループは、楽 2DM で作成／更新することができません。 Active Directory で

定義し、 Active Directory との同期実行後、 AD グループとして取り込まれます。

取り込まれたグループ情報には以下の値が設定されます。

ユーザー ID ＜ Active Directory で定義した「ユーザーロ

グオン名（Windows 2000 以前）」＞ @ ＜ド

メイン名＞例： [email protected]

×

パスワードなし（楽 2DM サーバでは管理しない） × (*)

ユーザー名 Active Directory で定義した「名前」 ×

ユーザー種別一般ユーザー ○

メールアドレス Active Directory で定義した「電子メール」 ×

コメント Active Directory で定義した「説明」 ×

所属するグループ Active Directory で定義した「所属するグ

ループ」

×


ユーザー情報設定値

楽 2DM で

の変更可否


グループ情報設定値

楽 2DM で

の変更可否

分類AD グループ

×

グループ名＜ Active Directory で定義した「グループ名

（Windows 2000 以前）」＞ @ ＜ドメイン名

＞例： [email protected]

×



2

■ 同期実行時の留意事項

同期処理によってユーザー／グループ情報を取り込む場合の注意事項について説

明します。

･ Active Directory で定義したユーザー／グループと同名の DM ユーザー／

DM グループがすでに存在していた場合、同期実行時に Active Directory で

定義した情報に置き換えられ、 AD ユーザーに変更されます（分類が

となります）。

･同期実行時に、取り込みできる文字数を超えていると、以下のようになり

ます。

－ユーザー ID およびグループ名の文字数が取り込みできる文字数を超

えている場合、エラーとなります。

－コメントの文字数が取り込みできる文字数を超えている場合、超えた

分が削除されて取り込まれます。

･同期実行時に AD ユーザー／ AD グループに使用できない文字が含まれて

いると、以下のようになります。

－ユーザー ID およびグループ名に使用できない文字が含まれている場

合、エラーとなります。

－ユーザー名およびコメントに使用できない文字が含まれている場合、

全角文字に変換されて取り込まれます。

取り込み可能な文字数、使用できない文字については、『オンラインヘルプ』を参

照してください。

コメント Active Directory で定義した「説明」 ×

所属するユーザー Active Directory で定義した「所属するメン

バ」

×

グループ情報は、楽 2DM 側での変更は行えません。

Active Directory 側で変更し、同期を実行してください。


グループ情報設定値

楽 2DM で

の変更可否


第 2 章　

導入

この章では、 Active Directory 運用を行う場合の導入手順について説明します。

すでに楽 2 ライブラリ Document Manager を運用し、ユーザー／グループを登録

しているかどうかによって、導入手順が異なります。運用状態にあわせて導入し

てください。

また、 Active Directory との通信に LDAPS を対応する方法についても説明します。


第 2 章　導入

2

2.1 楽 2DM を新規に導入する場合

新たに楽 2DM を導入し Active Directory 運用を行う場合、楽 2DM サーバではユー

ザー／グループの登録は行いません。 Active Directory で登録したユーザー／グ

ループ情報を楽 2DM サーバへ取り込み、楽 2DM のユーザー／グループとして運

用します。

ここでは、楽 2DM サーバのインストールが完了していることを前提とします。

楽 2DM サーバのインストールについては、『楽 2 ライブラリ Document Manager インストールガイド（サーバ編）』を参照してください。

2DM Active Directory

作業参照先

1. ユーザー／グループを登録

① Active Directory でユーザー／グルー

プを登録

Windows のヘル

プなど

2. Active Directory との

同期設定

②楽 2DM 側で、 Active Directory 運用の

設定

［システム設定］画面－［Active Directory］タブで以下を設定します。

･連携するドメインの情報

･同期のスケジュール設定

『オンラインヘルプ』

3. 同期の実行 ③楽 2DM 側から同期の実行（即時実行）

［システム設定］画面－［Active Directory］タブで、「同期」ボタンを押して同期を実行します。②で指定したドメインの情報に従って、Active Directory で登録したユーザー／グ

ループ情報が取り込まれます。


2.2 楽 2DM を導入済みの場合

3


楽 2DM を導入済みの場合は、楽 2DM で定義済みのユーザー／グループ情報を、

Active Directory で定義しているユーザー／グループと一致させる必要があります。

一致させるための準備作業は、 Active Directory を導入済みかどうかによって異な

ります。

それぞれの場合について説明します。

■ Active Directory を新規に導入する場合

楽 2DM が導入済みで、 Active Directory を新規に導入する場合、楽 2DM のユー

ザー／グループにあわせて Active Directory にユーザー／グループを登録します。

導入の流れを以下に示します。

Active Directory2DM


第 2 章　導入

2

作業参照先

1. 既存の楽 2DM の

ユーザー／グループにあわせて、ユーザー／グループを登録

①楽 2DM の既存ユーザー／グループの情

報出力

楽 2DM 側で、「ユーザー情報管理コマン

ド」／「グループ情報管理コマンド」を実行し、リストを出力します。⇒ 「ユーザーリスト（CSV ファイル）」

「グループリスト（CSV ファイル）」


② Active Directory でユーザー／グルー

プを登録

①で出力した CSV ファイルを参考に、 DMユーザー／ DM グループと同じ名前のユー

ザー ID ／グループ名を登録します。

以下のいずれかの方法で行います。

･手動で登録

･ Windows の csvde.exe で一括登録 (*)

* ： ①で出力した CSV ファイルを流用し、

編集する必要があります。

Windows のヘル

プなど

2.( 続く )

既存の DM ユーザー

／ DM グループの

ユーザー ID ／グ

ループ名を変更（「@ ＜ドメイン名

＞」を付与）

③ユーザーリストの編集

①で出力した「ユーザーリスト（CSVファイル）」を、エディタなどで編集します。ユーザー ID の後に「@ ＜ドメイン名＞」

を追加します。


④ DM ユーザーの変更


ド」を実行し、ユーザー情報を更新します。⇒③で指定したユーザー ID に変更されま

す。 DM グループに所属ユーザーが設定

されている場合、 DM グループ情報内の

所属ユーザー ID も変更されます。

⑤グループリストの再出力／編集

DM グループ情報の所属ユーザー ID が変

更されるため、楽 2DM 側で「グループ情

報管理コマンド」を実行し、最新のグループリストを出力⇒ 「グループリスト（CSV ファイル）」

出力した「グループリスト（CSV ファイ

ル）」を、エディタなどで編集します。グループ名の後に「@ ＜ドメイン名＞」

を追加します。



3

2.( 続き )

⑥ DM グループの変更

楽 2DM 側で、「グループ情報管理コマン

ド」を実行し、グループ情報を更新します。⇒⑤で指定したグループ名に変更されます。



同期設定

⑦楽 2DM 側で、 Active Directory 運用の

設定





4. 同期の実行 ⑧楽 2DM 側から同期の実行（即時実行）

［システム設定］画面－［Active Directory］タブで、「同期」ボタンを押して同期を実行します。⇒既存の DM ユーザー ID ／ DM グループ

名と Active Directory のユーザー ID ／

ユーザー名が一致するため、　 AD ユー

ザー／ AD グループに変更されます

作業参照先

同期処理では、 Active Directory で定義されているユーザー ID／グループ名と、楽 2DM のユーザー ID ／グループ名が一致し

た場合に、楽 2DM 側の情報が Active Directory のユーザー／グ

ループ情報に置き換えられます。このとき、 DM ユーザー／ DMグループと一致した場合、 AD ユーザー／ AD グループに変更さ

れます（分類がとなります）。

このとき、名前以外の情報も変更されますので、同期を行う

ユーザー／グループの情報は、既存の DM ユーザー／ DM グ

ループと Active Directory で定義したユーザー／グループで同一

に設定してください。


第 2 章　導入

2

■ Active Directory が導入済みの場合

楽 2DM が導入済みで、 Active Directory もすでに導入済みの場合楽 2DM のユー

ザー／グループを Active Directory で定義している情報にあわせる必要がありま

す。導入の流れを以下に示します。

Active Directory2DM

作業参照先

1.( 続く )




ループ名を Active Directory にあわせて

変更（「@ ＜ドメイ

ン名＞」つき）

①楽 2DM の既存ユーザー／グループの情

報出力


ド」／「グループ情報管理コマンド」を実行し、リストを出力します。⇒ 「ユーザーリスト（CSV ファイル）」

「グループリスト（CSV ファイル）」


②ユーザーリストの編集

①で出力した「ユーザーリスト（CSVファイル）」を、エディタなどで、ユーザー ID を以下のように修正します。

＜ Active Directory で定義した「ユーザー

ログオン名（Windows 2000 以前）」＞ @＜ドメイン名＞

③ DM ユーザーの変更


ド」を実行し、ユーザー情報を更新します。⇒②で指定したユーザー ID に変更されま

す。 DM グループに所属ユーザーが設定

されている場合、 DM グループ情報内の

所属ユーザー ID も変更されます。



3

1.( 続き )




ループ名を Active Directory にあわせて

変更（「@ ＜ドメイ

ン名＞」つき）

④グループリストの再出力／編集

DM グループ情報の所属ユーザー ID が変

更されるため、楽 2DM 側で「グループ情

報管理コマンド」を実行し、最新のグループリストを出力⇒ 「グループリスト（CSV ファイル）」

出力した「グループリスト（CSV ファイ

ル）」を、エディタなどで、グループ名を以下のように修正します。＜ Active Directory で定義した「グループ

名（Windows 2000 以前）」＞ @ ＜ドメイ

ン名＞


⑤ DM グループの変更

楽 2DM 側で、「グループ情報管理コマン

ド」を実行し、グループ情報を更新します。⇒④で指定したグループ名に変更されます。


同期設定

⑥楽 2DM 側で、 Active Directory 運用の

設定





3. 同期の実行 ⑦楽 2DM 側から同期の実行（即時実行）

［システム設定］画面－［Active Directory］タブで、「同期」ボタンを押して同期を実行します。⇒既存の DM ユーザー／ DM グループが　

AD ユーザー／ AD グループに置き換え

られます。

作業参照先


第 2 章　導入

2

2.3 Active Directory との通信でLDAPS を対応する

楽 2DM サーバと Active Directory 間の同期処理／ユーザー認証処理の通信を、

LDAPS （LDAP の SSL 暗号化）で保護することができます。

LDAPS の環境を構築するためには、通信を行う Active Directory との間に証明書

による信頼関係を結ぶ必要があります。

Active Directory 側に、証明書を管理するための証明機関（CA）を作成し、楽

2DM と連携するすべてのドメインコントローラの証明書を発行します。

楽 2DM 側で、この証明機関（CA）を信頼できる証明機関として登録することで、

証明書を発行したすべてのドメインコントローラと信頼関係を確立することがで

きます。

以下に、 LDAPS の環境構築に必要な処理について説明します。

Active Directory 側での処理（証明書の発行）

処理 1 Active Directory のフォレスト内のサーバに、証明書を管理するた

めのエンタープライズ証明機関（CA）を作成

⇒ エンタープライズ証明機関（CA）の作成

処理 2 エンタープライズ証明機関（CA）から、楽 2DM と連携するすべて

のドメインコントローラに証明書を発行

⇒ 楽 2DM と連携するドメインコントローラの証明書

の発行要求

処理 3 エンタープライズ証明機関（CA）で、楽 2DM へ登録するルート CA証明書をエクスポート

⇒ CA 自体が発行した証明書（ルート CA）のエクスポート

楽 2DM サーバでの処理（証明書のインポート／環境設定）

処理 4 信頼できる証明機関（CA）とするために、楽 2DM サーバに、ルー

ト CA 証明書をインポート

⇒ エクスポートしたルート CA 証明書を楽 2DM サーバへインポート


2.3 Active Directory との通信で LDAPS を対応する

3

■ Active Directory 側での処理

◇ エンタープライズ証明機関（CA）の作成

Active Directory のフォレスト内のサーバに、証明書サービスをインストールし、

エンタープライズ証明機関（CA）を作成します。

なお、エンタープライズ証明機関（CA）は、フォレスト内に１つだけ作成するこ

とができます。

1. Windows の［管理ツール］－［サーバーマネージャ］を開き、

［役割の追加］を選択します。

2.［サーバーの役割］から「Active Directory 証明書サービス」を

選択し、［役割サービス］の「証明期間」を選択してインストー

ルします。

詳細については、 Windows のヘルプなどを参照してください。

処理 5 楽 2DM で LDAPS を対応するための環境設定

⇒ LDAPS 通信するための楽 2DM サーバの環境設定

Active Directory 側での処理（証明書の発行）

すでにフォレスト内のいずれかのサーバに、エンタープライズ

証明機関（CA）が存在する場合は、作成する必要はありませ

ん。

Windows 2000 Server ／ Windows Server 2003 の場合は、

Windows の［プログラムの追加と削除］から Windows コンポー

ネント［証明書サービス］をインストールします。


第 2 章　導入

3

◇ 楽 2DM と連携するドメインコントローラの証明書の

発行要求

楽 2DM と連携するすべてのドメインコントローラで、エンタープライズ証明機関

（CA）に対して証明書の発行要求を行います。

なお、エンタープライズ証明機関（CA）が存在するドメインコントローラでは、

この処理を行う必要はありません。

1. Windows の mmc コマンドで、［証明書］のスナップインを追加

し、証明書の発行要求を行います。

詳細については、 Windows のヘルプなどを参照してください。

◇ CA 自体が発行した証明書（ルート CA）のエクスポート

エンタープライズ証明機関（CA）が存在するサーバで、ルート CA 証明書をエク

スポートします。

1. Windows の mmc コマンドで、［証明書］のスナップインを追加

し、証明書のエクスポートを行います。

エクスポートの際には、以下を選択してください。

　秘密キーのエクスポート：いいえ、秘密キーをエクスポートしません

　ファイルの形式　　　　： Base 64 encoded X509詳細については、 Windows のヘルプなどを参照してください。



3

■ 楽 2DM サーバでの処理

◇ エクスポートしたルート CA 証明書を楽 2DM サーバへ

インポート

Active Directory のエンタープライズ証明機関（CA）からエクスポートしたルート

CA 証明書を、楽 2DM サーバへインポートします。

1. コマンドプロンプトを起動します。

（Windows の［スタート］メニューから、［すべてのプログラム］－［ア

クセサリ］－［コマンドプロンプト］を順に選択）

2. コマンドプロンプト画面で、以下ディレクトリへ移動します。

楽 2DM のインストールフォルダは、初期値の場合は、「C:¥Program Files¥raku2dm」となります。

3. 以下のコマンドを実行します。

⇒ 「キーストアのパスワードを入力してください：」と表示されます。

4.「changeit」と入力し、［Enter］キーを押します。

⇒ 「この証明を信頼しますか？［no］：」と表示されます。

5.「yes」と入力し、［Enter］キーを押します。

⇒楽 2DM サーバへルート CA が登録されました。

> cd （楽 2DM のインストールフォルダ） ¥java¥bin

> keytool -import -v -keystore "C:¥Program Files¥raku2dm¥java¥jre¥lib¥security¥cacerts" -alias raku2ldmca -file raku2ldm-ca.cer


第 2 章　導入

3

◇ LDAPS 通信するための楽 2DM サーバの環境設定

楽 2DM サーバで、 LDAPS 通信するために必要な環境設定を行います。

● LDAPS 通信状態の設定（dmldapstool コマンド）

同期先のドメインコントローラと LDAPS 通信を行うかどうかを設定します。

また、現在の状態を確認することもできます。

1. コマンドプロンプトを起動します。

（Windows の［スタート］メニューから、［すべてのプログラム］－［ア

クセサリ］－［コマンドプロンプト］を順に選択）

2. コマンドプロンプト画面で、以下ディレクトリへ移動します。

楽 2DM のインストールフォルダは、初期値の場合は、「C:¥Program Files¥raku2dm」となります。

3. 以下のコマンドを実行します。

-s オペランドでは、 LDAPS 通信を行うかどうかを設定します。

　 -s on ： LDAPS 通信を行う

　 -s off ： LDAPS 通信を行わない

4. 楽 2DM サーバを再起動します。

⇒ 再起動後に、設定が有効となります。

> cd （楽 2DM のインストールフォルダ） ¥sysutil

dmldapstool -s on

現在の状態を確認する場合は、以下のコマンドで確認でき

ます。

　「dmldapstool -l 」



3

●ポート番号の設定

LDAPS 通信を行うためのポート番号を設定します。

1. 楽 2DM サーバのトップメニューから、システム管理者で「シス

テム設定」メニューへログインします。

⇒ ［システム設定］画面が表示されます。

2.［Active Directory］タブをクリックし、ポート番号に「636」を

設定し、［適用］ボタンをクリックします。

⇒ 設定が適用されます。


第 2 章　導入

3

2.4 留意事項

Active Directory 運用を行う前に知っておいてほしい留意事項について説明します。

･同期するユーザー／グループ情報数の制限

同期できるユーザー／グループ数は、 Active Directory 側で設定されている

「MaxPageSize」の値（初期値は 1000）以内に限られます。

同期する範囲に指定した OU 内のユーザー数またはグループ数が

「MaxPageSize」の設定値を超える場合は、以下のいずれかの対処を行っ

てください。

－ Active Directory の「MaxPageSize」の設定値を、 OU 内のユーザー

数／グループ数以上の値に変更する。

－ Active Directory の OU 内のユーザー／グループ数が 1000 以内になる

ように構成変更する。

･ユーザーには、必ずパスワードを設定してください。パスワードが設定さ

れていないユーザーはログインすることができません。


第 3 章　

運用

この章では、 Active Directory 運用でのログイン方法、および運用中の組織変更な

どの対応方法について説明します。


第 3 章　運用

3

3.1 ログインする

Active Directory 運用時の楽 2DM へのログイン方法について説明します。

楽 2DM のトップメニューから各機能を選択すると、以下のログイン画面が表示さ

れます。

ユーザー IDユーザー ID を入力します。

ユーザー ID の「＠＜ドメイン名＞」部分を省略して入力する場合は、「ド

メイン」で、ドメイン名を必ず選択してください。

パスワード

パスワードを入力します。

ドメイン

以下の場合に指定します。

･「ユーザー ID」で「＠＜ドメイン名＞」を省略した場合は、ドメイン

を選択します。

ログインできるユーザーは AD ユーザーのみです。

ただし、システム管理者（DM ユーザーも含む）は、楽 2DMサーバでユーザー認証することもできるため、 Active Directory運用をする／しないにかかわらず、ログインすることができま

す。


3.1 ログインする

3

･システム管理者が楽 2DM サーバでユーザー認証する場合は、「（シス

テム管理者用）」を選択します。「ユーザー ID」を「＠＜ドメイン名＞」を含んで入力した場合は、必ず省

略してください。

URL リンク（コピー）で取得した URL を、ブラウザから

実行した場合の認証画面では、「ユーザー名」入力域に、

「ユーザー ID」（「＠＜ドメイン名＞」を含む）を入力し

てください。


第 3 章　運用

3

3.2 運用中の組織（ユーザー／グループ）変更の対応

Active Directory 運用中、以下のような組織変更が起こった場合、 Active Directory側でユーザー／グループの変更を行い、楽 2DM サーバから同期を実行します。

ここでは、以下の組織変更の対応方法について説明します。

･ユーザーの追加

･ユーザー情報（所属グループ）の変更

･ユーザーの削除

･グループの追加

･グループ情報（所属するメンバ）の変更

･グループの削除

組織変更に対応するための、以下のコマンドの詳細については、

『オンラインヘルプ』を参照してください。

･文書一括操作コマンド

登録済み文書の「所有者」情報を一括で変更できます。

･バインダ一括操作コマンド

登録済み書庫の「書庫管理者」、「ユーザー／グループアクセ

ス権」情報、キャビネットの「ユーザー／グループアクセス

権」情報、バインダの「所有者」、「ユーザー／グループアク

セス権」情報を一括で変更できます。



3

■ ユーザーの追加

ユーザーを追加する場合の手順について説明します。

1. Active Directory 側で、新しいユーザーを登録します。

また、グループへの所属が必要な場合は、所属するグループを定

義します。

2. 楽 2DM サーバで、Active Directory との同期を実行します。

［システム設定］画面－［Active Directory］タブの［同期］ボタンをクリック

します。

⇒ 楽 2DM サーバ上に、新しい AD ユーザー（ユーザー種別は「一般ユー

ザー」）が追加されます。

3. 必要に応じて、ユーザー種別を変更します。

［システム設定］画面－［ユーザー管理］タブで変更します。

Active Directory 運用の設定で、同期する範囲として指定し

た箇所（ドメイン／ OU）に定義してください。


第 3 章　運用

4

■ ユーザー情報（所属グループ）の変更

ユーザーの所属するグループが変更になった場合の手順について説明します。

1. Active Directory 側で、ユーザー情報（ユーザーの所属するグルー

プ）を変更するか、または OU を変更します。



します。

⇒ 楽 2DM サーバ上の AD ユーザーの情報が変更されます。

3. 必要に応じて、ユーザー種別を変更します。

［システム設定］画面－［ユーザー管理］タブで変更します。



同期する範囲外に変更した場合は、楽 2DM 内のユーザーが

削除されます。



3

■ ユーザーの削除

ユーザーを削除する場合、楽 2DM サーバの資源（書庫／キャビネット／バイン

ダ）に削除するユーザーのアクセス権が設定されている場合は、他のユーザーま

たはグループに移管します。

また、削除するユーザーが、バインダおよび文書の所有者に設定されている場合

も、他のユーザーに変更します。

1.「バインダ一括操作コマンド」で、楽 2DM サーバのバインダリス

トを出力します。

⇒ 書庫管理者／アクセス権／所有者を確認し、削除するユーザーが設定され

ている場合は、次の操作へ進みます。設定されていなければ、操作「5.」

へ進んでください。

2. バインダリストの、書庫管理者／アクセス権／所有者が該当ユー

ザーの箇所を他のユーザー／グループに変更し、「バインダ一括

操作コマンド」で一括変更を行います。

3.「文書一括操作コマンド」で、文書リストを出力します。

⇒ 文書の所有者に削除するユーザーが設定されている場合は、次の操作へ進

みます。設定されていなければ、操作「5.」へ進んでください。

4. 文書リストの、所有者が該当ユーザーの箇所を他のユーザーに変

更し、「文書一括操作コマンド」で一括変更を行います。

5. Active Directory 側で、ユーザーを削除します。



します。

⇒ 楽 2DM サーバ上の該当する AD ユーザーが削除されます。

バインダリストに、書庫／キャビネット／バインダの情報を

すべて出力する場合は、検索条件ファイル（出力条件）に

「書庫名」のみを指定してください。


第 3 章　運用

4

■ グループの追加

新しくグループが追加になった場合の手順を説明します。

1. Active Directory 側でグループの追加、および所属メンバを定義

します。



します。

⇒ 楽 2DM サーバ上に新しい AD グループが追加されます。





3

■ グループ情報（所属するメンバ）の変更

グループの名前、所属するメンバが変更になった場合の手順を説明します。

1. Active Directory 側で、グループ情報（所属するメンバ）を変更

するか、または OU を変更します。



します。

⇒ 楽 2DM サーバ上の AD グループ情報が変更されます。



同期する範囲外に変更した場合は、楽 2DM 内のグループが

削除されます。


第 3 章　運用

4

■ グループの削除

グループを削除する場合、楽 2DM サーバの資源（書庫／キャビネット／バイン

ダ）に削除するグループのアクセス権が設定されている場合は、他のグループに

移管します。

1.「バインダ一括操作コマンド」で、楽 2DM サーバのバインダリス

トを出力します。

⇒ アクセス権を確認し、削除するグループが設定されている場合は、次の操

作へ進みます。設定されていなければ、操作「3.」へ進んでください。

2. バインダリストの、グループアクセス権が該当グループの箇所を

他のグループに変更し、「バインダ一括操作コマンド」で一括変

更を行います。

3. Active Directory 側で、グループを削除します。



します。

⇒ 楽 2DM サーバ上の該当する AD グループが削除されます。

バインダリストに、書庫／キャビネット／バインダの情報を

すべて出力する場合は、検索条件ファイル（出力条件）に

「書庫名」のみを指定してください。


3.3 楽 2DM にログインできなくなった場合

3

3.3 楽 2DM にログインできなくなった場合

Active Directory 運用時に、楽 2DM にログインできなくなった場合、

Active Directory の異常が考えられます。 Active Directory 側の調査を行ってくださ

い。

楽 2DM で以下の対応を行い、利用を継続することもできます。

◇ Active Directory の連携対象の指定に、代替サーバを指定

していない場合

ログインできないユーザーの同期先ドメインの代替サーバを設定し、代替サーバ

での運用を行うことができます。

代替サーバの設定は、［システム設定］画面－［Active Directory］タブで行いま

す。詳細は、『オンラインヘルプ』を参照してください。

◇ Active Directory の連携対象の指定に、代替サーバを指定

している場合

Active Directory 運用を解除し、 DM ユーザーで仮運用を行うことができます。以

下の手順で Active Directory 運用を解除し、 DM ユーザーで仮運用を行ってくださ

い。

1. システム管理者でログインします。

以下のように指定し、楽 2DM サーバでユーザー認証を行います。

ユーザー IDユーザー ID （ドメインを含む）を入力します。

パスワード

楽 2DM で設定したパスワードを入力します。

ドメイン

「（システム管理者用）」を選択します。

2. ［システム設定］画面－［Active Directory］タブで、

「Active Directory 運用を行う」のチェックをはずし、［適用］ボタン

を押します。

⇒ Active Directory 運用が解除され、 DM ユーザーで運用可能となります。


第 3 章　運用

4

AD ユーザーでは利用できなくなりますので、必要な DMユーザーを登録し、仮運用を行ってください。

Active Directory が復旧した場合は、 Active Directory 運用に

戻してください。


索　引

AActive Directory ..................12

Active Directory 運用 .............12

AD グループ ....................18

AD ユーザー ....................18

DDM グループ ....................18

DM ユーザー ....................18

LLDAPS .....................17, 28

く

グループの削除 ..................44

グループの追加 ..................42

グループの変更 ..................43

し

手動同期 ........................17

所属グループの変更 ..............40

す

スケジュール同期 ................17

と

同期 ............................15

同期処理 ........................13

同期範囲 ........................16

は

バインダ一括操作コマンド 38, 41, 44

パスワード ......................19

ふ

文書一括操作コマンド ........38, 41

ゆ

ユーザー認証 ....................17

ユーザーの削除 ..................41

ユーザーの追加 ..................39

ら

楽 2DM サーバでユーザー認証 .....45


索　引

48
｜ Active Directory 運用ガイド

●本書の内容は、改善のため事前連絡なしに変更することがあります。

●本書に記載されたデータの使用に起因する第三者の特許権およびその他の権利の侵害については、当社はそ

の責任を負いません。

●無断転載を禁じます。

楽 2 ライブラリ Document Manager V5.0L20Active Directory® 運用ガイド

P2WW-2551-03Z0発行日 2010 年 5 月

発行責任　株式会社 PFU

Documents

Active Directory 運用ガイド - pfu.fujitsu.com · Active Directory 運用ガイド ｜3 はじめに 楽2 ライブラリ Document Manager Active Directory® 連携オプションは、

Active Directory 運用ガイド - pfu.fujitsu.com · Active Directory 運用ガイド｜3 はじめに楽2 ライブラリ Document Manager Active Directory® 連携オプションは、