MENU
  1. ホーム
  2. Apache
  3. ApacheとActive Directory連携で認証を設定する方法【手順解説】

ApacheとActive Directory連携で認証を設定する方法【手順解説】

Apache

ApacheをActive Directoryと連携させてユーザー認証を行うことは、社内システムのセキュリティを強化し、ユーザー管理を一元化するのに役立ちます。
Active Directoryは、多くの企業や組織で利用されているディレクトリサービスで、ユーザー情報やアクセス権限を一括で管理できます。Apacheとの連携により、Windowsドメイン環境のアカウント情報を利用してWebサーバーへのアクセスを制御することが可能になります。

本記事では、ApacheとActive Directoryを連携させる手順をわかりやすく解説します。必要なソフトウェアの導入から、設定ファイルの編集、認証テストまでの流れを詳しく説明し、連携がうまくいかない場合のトラブルシューティング方法も紹介します。

これにより、管理者は既存のActive Directoryを活用して、ユーザーごとに異なるアクセス制御を行い、安全なWebサービスを提供できるようになります。

目次

ApacheとActive Directory連携の概要


ApacheとActive Directoryを連携させることで、Webサーバーへのアクセス管理をActive Directoryのユーザー情報に基づいて行うことができます。これにより、社内ネットワークで使用しているアカウント情報をそのままWebアプリケーションの認証に利用でき、管理負担の軽減やセキュリティの向上が期待できます。

連携の仕組み


ApacheはLDAP(Lightweight Directory Access Protocol)を介してActive Directoryと通信します。LDAPはディレクトリサービスへのアクセスに使われるプロトコルで、Active Directory内のユーザー情報やグループ情報を取得する際に使用されます。
ApacheのLDAPモジュールを導入し、Active Directoryサーバーを参照することで、認証要求をActive Directoryに転送し、ユーザーの資格情報を照合します。

主なメリット

  • 一元管理:ユーザー管理をActive Directoryに集約でき、Webサーバーごとの個別ユーザー管理が不要になります。
  • セキュリティ強化:Active Directoryのポリシー(パスワード強度やアカウントロック機能など)が適用されます。
  • 利便性:ユーザーはWindowsアカウントでそのままWebサービスにアクセス可能になります。

活用例

  • 社内ポータルサイトや管理ツールへのログイン認証
  • 社内専用のWebサービスでのアクセス制限
  • グループごとのリソースへのアクセス制御

ApacheとActive Directoryの連携は、セキュリティと利便性を兼ね備えたアクセス管理を実現する有効な手段です。

事前準備と必要なソフトウェア


ApacheとActive Directoryを連携させるためには、いくつかの事前準備と必要なソフトウェアの導入が必要です。ここでは、環境構築のための要件と基本的なセットアップ手順を解説します。

必要な環境

  • サーバーOS:Linux(CentOS、Ubuntu、RHELなど)またはWindows Server
  • Apache Webサーバー:2.4系以上を推奨
  • Active Directoryサーバー:Windows Server 2016以降
  • LDAPモジュールmod_ldapおよびmod_authnz_ldap

事前準備

  1. Active Directoryのセットアップ
  • Active Directoryがすでに構築されていることが前提です。ドメインコントローラーが稼働し、ユーザーやグループが登録されている必要があります。
  • サーバーのFQDN(例:dc.example.local)を確認しておきます。
  1. Apacheのインストール
   sudo apt update
   sudo apt install apache2

CentOS/RHELの場合:

   sudo yum install httpd
  1. LDAPモジュールのインストール
  • Ubuntu/Debian系:
    bash sudo apt install libapache2-mod-ldap libapache2-mod-authnz-ldap
  • CentOS/RHEL系:
    bash sudo yum install mod_ldap mod_authnz_ldap
  1. モジュールの有効化
   sudo a2enmod ldap authnz_ldap
   sudo systemctl restart apache2

確認ポイント

  • インストール後、Apacheが正常に起動しているかを確認します。
   sudo systemctl status apache2
  • active (running)と表示されていれば問題ありません。

これでActive Directoryとの連携に必要な基本環境が整います。次のステップでは、Active Directory側の設定を行います。

Active Directoryの設定


ApacheとActive Directoryを連携させるためには、Active Directory側でLDAP認証のための適切な設定を行う必要があります。このセクションでは、Active Directoryで必要な設定手順を解説します。

1. サービスアカウントの作成


ApacheがActive Directoryにアクセスするための専用アカウント(サービスアカウント)を作成します。このアカウントはLDAP検索を実行する際に使用されます。

  1. Active Directory ユーザーとコンピュータを開きます。
  2. 適切な組織単位(OU)を選択し、右クリックして「新規作成 → ユーザー」を選択します。
  3. 以下の情報を入力します。
  • ユーザー名:apache_ldap
  • フルネーム:Apache LDAP User
  • ログオン名:apache_ldap@example.local
  1. 次へ進み、パスワードを設定します。
  • パスワードの無期限」をチェックし、パスワードが期限切れにならないように設定します。
  1. ユーザー作成後、「ユーザーはこのアカウントでスクリプトを実行できる」を有効にします。

2. LDAP検索の権限付与


作成したサービスアカウントが、Active Directoryのユーザー情報を検索できるようにします。

  1. Active Directory ユーザーとコンピュータでドメインコントローラを右クリックし、「委任の制御」を選択します。
  2. 次へ」をクリックし、「特定のユーザーまたはグループ」を選択して、先ほど作成したapache_ldapを追加します。
  3. 次へ」をクリックし、「ディレクトリの読み取り」の権限を付与します。

3. ユーザーグループの作成(オプション)


アクセス制限をグループ単位で行う場合は、Active Directory内にWebアクセス専用のグループを作成しておきます。

  1. Active Directory ユーザーとコンピュータを開き、「新規作成 → グループ」を選択します。
  2. グループ名をWebAccessUsersとし、グループスコープを「グローバル」、グループの種類を「セキュリティ」に設定します。
  3. アクセスを許可するユーザーをグループに追加します。

4. FQDNの確認


ApacheがActive Directoryに接続する際には、ドメインコントローラーのFQDNを使用します。以下の方法でFQDNを確認します。

echo %userdnsdomain%

例:example.local

5. Active Directoryのポート確認


LDAPは通常ポート389、LDAPS(SSL/TLS)はポート636を使用します。セキュリティ強化のために、可能であればLDAPSを使用します。

netstat -an | findstr 636

これでActive Directory側の設定は完了です。次のステップではApache側のLDAPモジュールの設定を行います。

ApacheのLDAPモジュール導入と設定


ApacheがActive Directoryと連携するためには、LDAPモジュールを導入し、適切な設定を行う必要があります。このセクションでは、LDAPモジュールのインストール方法と基本的な設定手順について解説します。

1. LDAPモジュールのインストール


LDAP認証を行うには、Apacheにmod_ldapおよびmod_authnz_ldapを導入します。

Ubuntu/Debian系:

sudo apt update
sudo apt install libapache2-mod-ldap libapache2-mod-authnz-ldap


CentOS/RHEL系:

sudo yum install mod_ldap mod_authnz_ldap

2. モジュールの有効化


インストール後、LDAP関連のモジュールを有効化します。

sudo a2enmod ldap authnz_ldap
sudo systemctl restart apache2


モジュールの有効化を確認するには以下のコマンドを使用します。

apachectl -M | grep ldap


authnz_ldap_moduleldap_moduleが表示されていれば、LDAPモジュールは正常にロードされています。

3. Apache設定ファイルの編集


LDAPモジュールが正しく動作するように、Apacheの設定ファイル/etc/apache2/apache2.conf(またはhttpd.conf)を編集します。

sudo nano /etc/apache2/apache2.conf

以下の設定を追加します。

<Directory /var/www/html/secure>
    AuthType Basic
    AuthName "LDAP Authentication"
    AuthBasicProvider ldap
    AuthLDAPURL "ldap://dc.example.local:389/DC=example,DC=local?sAMAccountName?sub?(objectClass=*)"
    AuthLDAPBindDN "CN=apache_ldap,CN=Users,DC=example,DC=local"
    AuthLDAPBindPassword "password123"
    Require valid-user
</Directory>

設定項目の説明

  • AuthType Basic:基本認証を行います。
  • AuthName:認証ダイアログに表示されるメッセージです。
  • AuthBasicProvider ldap:LDAPを使用した基本認証を行います。
  • AuthLDAPURL:Active DirectoryサーバーのURLと検索範囲を指定します。
  • AuthLDAPBindDN:Active Directoryに接続するサービスアカウントです。
  • AuthLDAPBindPassword:サービスアカウントのパスワードを指定します。
  • Require valid-user:認証されたユーザーのみアクセスを許可します。

4. 設定のテスト


Apacheの設定ファイルが正しく記述されているか確認します。

sudo apachectl configtest


Syntax OKと表示されれば設定に問題はありません。

5. Apacheの再起動


設定を反映するためにApacheを再起動します。

sudo systemctl restart apache2

これでApache側のLDAPモジュール導入と設定は完了です。次のステップでは、.htaccessやhttpd.confを用いた認証設定の記述方法について解説します。

認証設定の記述方法(.htaccessやhttpd.conf)


ApacheでActive DirectoryとLDAP連携による認証を行うためには、.htaccessまたはhttpd.confに認証設定を記述します。このセクションでは、両方の方法について詳しく解説します。

1. httpd.confに直接記述する方法


Apacheのメイン設定ファイルhttpd.confに認証設定を記述することで、特定のディレクトリへのアクセスを制限します。

sudo nano /etc/apache2/sites-available/000-default.conf

以下のようにLDAP認証を行うディレクトリブロックを追加します。

<VirtualHost *:80>
    ServerAdmin admin@example.com
    DocumentRoot /var/www/html

    <Directory /var/www/html/secure>
        AuthType Basic
        AuthName "Restricted Area"
        AuthBasicProvider ldap
        AuthLDAPURL "ldap://dc.example.local:389/DC=example,DC=local?sAMAccountName?sub?(objectClass=*)"
        AuthLDAPBindDN "CN=apache_ldap,CN=Users,DC=example,DC=local"
        AuthLDAPBindPassword "password123"
        Require valid-user
    </Directory>

    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>

設定項目の説明

  • DocumentRoot:ドキュメントルートのディレクトリです。
  • Directory:LDAP認証を行うディレクトリ(例:/var/www/html/secure)を指定します。
  • AuthType:Basic認証を使用します。
  • AuthName:認証ダイアログに表示されるメッセージです。
  • AuthLDAPURL:LDAPサーバーのURLと検索範囲を指定します。
  • AuthLDAPBindDN:Active Directoryに接続するためのサービスアカウントです。
  • AuthLDAPBindPassword:サービスアカウントのパスワードを指定します。
  • Require valid-user:認証が成功したユーザーのみアクセスを許可します。

2. .htaccessを使用する方法


.htaccessファイルを使用してディレクトリ単位でLDAP認証を設定する方法です。
まず、Apacheの設定で.htaccessの利用を許可する必要があります。

httpd.confに以下を追加

<Directory /var/www/html/secure>
    AllowOverride All
</Directory>

次に、対象ディレクトリに.htaccessファイルを作成します。

sudo nano /var/www/html/secure/.htaccess

.htaccessに以下のように記述します。

AuthType Basic
AuthName "Restricted Area"
AuthBasicProvider ldap
AuthLDAPURL "ldap://dc.example.local:389/DC=example,DC=local?sAMAccountName?sub?(objectClass=*)"
AuthLDAPBindDN "CN=apache_ldap,CN=Users,DC=example,DC=local"
AuthLDAPBindPassword "password123"
Require valid-user

3. 認証設定の確認


Apacheの設定をテストします。

sudo apachectl configtest


Syntax OKと表示されれば設定は問題ありません。

次に、Apacheを再起動します。

sudo systemctl restart apache2

4. 認証の動作確認


ブラウザでhttp://サーバーアドレス/secureにアクセスすると、ユーザー名とパスワードを求められます。
Active Directoryに登録されているユーザーでログインできれば設定は成功です。

注意点

  • パスワードの平文送信防止:LDAPの通信は通常平文で行われます。セキュリティを強化するためにはLDAPS(LDAP over SSL/TLS)を使用し、ポート636を指定します。
  • AuthLDAPURLの変更例(LDAPS使用時)
AuthLDAPURL "ldaps://dc.example.local:636/DC=example,DC=local?sAMAccountName?sub?(objectClass=*)"

次のステップでは、認証テストと動作確認の手順を詳しく解説します。

認証テストと動作確認


ApacheとActive Directoryの連携設定が完了したら、認証が正しく動作しているかを確認します。このセクションでは、認証テストの手順と動作確認のポイントを解説します。

1. Apacheの設定テスト


まず、Apacheの設定ファイルが正しく記述されているかを確認します。

sudo apachectl configtest


Syntax OKと表示されれば、設定ファイルに問題はありません。

もしエラーが表示された場合は、以下の点を確認してください。

  • httpd.confまたは.htaccessの構文ミスがないか
  • モジュールが正しく有効化されているか(authnz_ldap_moduleldap_module
  • 設定ファイル内のパスやディレクトリの指定が正しいか

2. Apacheの再起動


設定に問題がなければ、Apacheを再起動して変更を反映させます。

sudo systemctl restart apache2


再起動後、Apacheのステータスを確認します。

sudo systemctl status apache2


active (running)と表示されていれば正常に動作しています。

3. ブラウザからアクセスして認証確認


設定した保護ディレクトリにブラウザでアクセスし、認証が求められるか確認します。

例:

http://your-server-address/secure


認証ダイアログが表示されるはずです。

ログインテスト

  • Active Directoryに登録されているユーザー名とパスワードを入力します。
  • ログイン成功後、secureディレクトリのコンテンツが表示されます。

ログイン失敗時の確認ポイント

  • 401 Unauthorizedエラーが表示される場合
  • Active Directoryのユーザー名やパスワードが間違っていないか確認します。
  • サービスアカウントAuthLDAPBindDNのパスワードが正しいかを再確認します。
  • LDAP URLやポート番号が正しく設定されているか(LDAP:389、LDAPS:636)
  • ファイアウォールがLDAPポートをブロックしていないか確認します。
  • 500 Internal Server Errorが表示される場合
  • mod_ldapmod_authnz_ldapモジュールが正しくインストール・有効化されているか確認します。
  • AuthLDAPURLの記述に誤りがないか再チェックしてください。

4. ログの確認


エラーの原因を特定するためにApacheのエラーログを確認します。

sudo tail -f /var/log/apache2/error.log


よく見られるエラーメッセージの例:

  • Invalid credentials(認証情報が無効)
  • Can’t contact LDAP server(LDAPサーバーに接続できない)

5. LDAP認証のコマンドラインテスト


ブラウザ以外でもLDAP認証が正しく機能するか確認する方法があります。

ldapsearch -x -H ldap://dc.example.local -D "CN=apache_ldap,CN=Users,DC=example,DC=local" -w password123 -b "DC=example,DC=local" sAMAccountName=username


成功すると、ユーザーの情報が返されます。失敗する場合はldapsearchコマンドのエラーメッセージを参考にしてください。

6. グループ制限の確認(オプション)


特定のグループのみアクセスを許可する場合は、設定ファイルに以下を追加します。

Require ldap-group CN=WebAccessUsers,CN=Users,DC=example,DC=local


該当グループのユーザーでログインし、アクセスが制限されているか確認します。

次のステップでは、トラブルシューティングと問題解決の方法について解説します。

トラブルシューティングと解決方法


ApacheとActive Directoryの連携でLDAP認証を設定する際に発生しやすいエラーとその解決方法を解説します。設定ミスや環境の違いによるトラブルを迅速に特定し、適切に対処できるようになります。

1. 認証エラー:401 Unauthorized


問題:
正しいユーザー名とパスワードを入力しても「401 Unauthorized」が表示される場合、認証が失敗しています。

解決方法:

  • パスワードとユーザー名の確認
    Active Directoryで対象ユーザーのパスワードが期限切れ、無効化、ロックされていないか確認します。
  • LDAPクエリの見直し
    AuthLDAPURLで指定しているLDAPクエリが正しいか確認します。例:
  AuthLDAPURL "ldap://dc.example.local:389/DC=example,DC=local?sAMAccountName?sub?(objectClass=*)"
  • sAMAccountNamecnuidなど、環境に合わせて適切に変更してください。
  • BindDNの再確認
    サービスアカウント(AuthLDAPBindDN)のパスワードが正しいか、以下のコマンドで検証します。
  ldapwhoami -x -D "CN=apache_ldap,CN=Users,DC=example,DC=local" -w password123 -H ldap://dc.example.local


認証に成功すればdn: CN=apache_ldapが返されます。

2. 接続エラー:500 Internal Server Error


問題:
LDAP認証設定後、ページにアクセスすると「500 Internal Server Error」が発生する。

解決方法:

  • モジュールが有効化されているか確認
  apachectl -M | grep ldap


authnz_ldap_moduleldap_moduleがリストにない場合は、モジュールが読み込まれていません。以下で有効化します。

  sudo a2enmod ldap authnz_ldap
  sudo systemctl restart apache2
  • ログの確認
    Apacheのエラーログを確認し、原因を特定します。
  sudo tail -f /var/log/apache2/error.log


よくあるエラー例:

  • Invalid DN syntax:AuthLDAPURLの構文エラー
  • No such object:検索範囲が誤っている

3. LDAPサーバー接続エラー


問題:
LDAPサーバーに接続できず、Can't contact LDAP serverと表示される。

解決方法:

  • LDAPサーバーの稼働確認
    Active Directoryが動作しているか確認します。
  ping dc.example.local
  • LDAPポートの確認
    LDAPポートがファイアウォールでブロックされていないか確認します。
  telnet dc.example.local 389


ポート389(LDAP)または636(LDAPS)で接続できるかテストします。

  • ファイアウォール設定
    Apacheサーバー側のファイアウォールでLDAPポートが許可されていることを確認します。
  sudo ufw allow 389/tcp
  sudo ufw allow 636/tcp

4. グループ制限が反映されない


問題:
グループ制限をかけても、対象外のユーザーがアクセスできる。

解決方法:

  • グループ名の確認
    グループ名が正しいか、LDAP検索で確認します。
  ldapsearch -x -LLL -H ldap://dc.example.local -D "CN=apache_ldap,CN=Users,DC=example,DC=local" -w password123 -b "DC=example,DC=local" "(&(objectClass=group)(cn=WebAccessUsers))"
  • Require ldap-group の記述
    httpd.conf.htaccessに記述しているグループ制限が正しいか確認します。
  Require ldap-group CN=WebAccessUsers,CN=Users,DC=example,DC=local

5. SSL/TLSエラー(LDAPS)


問題:
LDAPS接続時にCan't contact LDAP serverや証明書エラーが発生する。

解決方法:

  • 証明書のインポート
    Active DirectoryサーバーのSSL証明書をApacheサーバーにインポートします。
  sudo cp ad-cert.pem /usr/local/share/ca-certificates/
  sudo update-ca-certificates
  • TLS設定の追加
    httpd.confに以下を追加します。
  LDAPTrustedGlobalCert CA_BASE64 /path/to/ad-cert.pem
  • LDAPSのポート指定
    LDAPSを使用する場合はポート636を指定します。
  AuthLDAPURL "ldaps://dc.example.local:636/DC=example,DC=local?sAMAccountName?sub?(objectClass=*)"

トラブルシューティングが完了したら、再度ブラウザからアクセスし、認証が適切に行われているか確認してください。

応用例:グループごとのアクセス制御


Active DirectoryとApacheの連携では、ユーザー単位だけでなく、グループ単位でのアクセス制御を行うことが可能です。これにより、異なる部署や役職に応じて、Webサービスや特定のリソースへのアクセスを柔軟に制限できます。ここでは、グループごとにアクセスを制限する具体的な設定方法を解説します。

1. Active Directoryでグループを作成


まず、Active Directoryでアクセス制御に使用するグループを作成します。

  1. Active Directory ユーザーとコンピュータを開きます。
  2. 適切なOU(組織単位)を右クリックし、「新規作成 → グループ」を選択します。
  3. グループ名をWebAccessUsersとして作成し、グループの種類を「セキュリティ」、グループスコープを「グローバル」に設定します。
  4. アクセスを許可するユーザーをこのグループに追加します。

2. Apacheの設定にグループ制御を追加


Apacheの設定ファイルhttpd.confまたは.htaccessに、特定のグループだけがアクセス可能になるよう記述します。

sudo nano /etc/apache2/sites-available/000-default.conf

以下の設定をDirectoryディレクティブ内に追加します。

<Directory /var/www/html/secure>
    AuthType Basic
    AuthName "Restricted Area"
    AuthBasicProvider ldap
    AuthLDAPURL "ldap://dc.example.local:389/DC=example,DC=local?sAMAccountName?sub?(objectClass=*)"
    AuthLDAPBindDN "CN=apache_ldap,CN=Users,DC=example,DC=local"
    AuthLDAPBindPassword "password123"
    Require ldap-group CN=WebAccessUsers,CN=Users,DC=example,DC=local
</Directory>

設定のポイント

  • Require ldap-group:このディレクティブを使って、指定したActive Directoryグループだけがアクセス可能になります。
  • AuthLDAPURL:グループメンバーシップを検索するLDAPクエリを含みます。

3. グループ検索の動作確認


Apacheがグループメンバーシップを正しく参照できているか確認するために、以下のコマンドを実行します。

ldapsearch -x -LLL -H ldap://dc.example.local -D "CN=apache_ldap,CN=Users,DC=example,DC=local" -w password123 -b "DC=example,DC=local" "(memberOf=CN=WebAccessUsers,CN=Users,DC=example,DC=local)"


出力結果:
対象グループに所属しているユーザーが一覧表示されます。

4. テストアクセス

  1. http://your-server-address/secureにアクセスします。
  2. 認証ダイアログが表示されるので、グループに所属しているユーザーの資格情報を入力します。
  3. アクセスが許可されるか確認します。

動作例:

  • WebAccessUsersに所属しているユーザーはアクセス可能。
  • 所属していないユーザーは403 Forbiddenが表示され、アクセスが拒否されます。

5. グループ単位のアクセス制限の応用


さらに細かい制御として、複数のグループに対して異なるディレクトリへのアクセスを設定できます。

<Directory /var/www/html/admin>
    AuthType Basic
    AuthName "Admin Only"
    AuthBasicProvider ldap
    AuthLDAPURL "ldap://dc.example.local:389/DC=example,DC=local?sAMAccountName?sub?(objectClass=*)"
    AuthLDAPBindDN "CN=apache_ldap,CN=Users,DC=example,DC=local"
    AuthLDAPBindPassword "password123"
    Require ldap-group CN=AdminUsers,CN=Users,DC=example,DC=local
</Directory>

<Directory /var/www/html/staff>
    AuthType Basic
    AuthName "Staff Only"
    AuthBasicProvider ldap
    AuthLDAPURL "ldap://dc.example.local:389/DC=example,DC=local?sAMAccountName?sub?(objectClass=*)"
    AuthLDAPBindDN "CN=apache_ldap,CN=Users,DC=example,DC=local"
    AuthLDAPBindPassword "password123"
    Require ldap-group CN=StaffUsers,CN=Users,DC=example,DC=local
</Directory>

6. エラー時の対処法

  • 403 Forbiddenが表示される場合
  • LDAP検索で該当ユーザーがグループに含まれているか確認します。
  • AuthLDAPURLで検索範囲が適切かを再確認します。
  • グループが見つからない場合
  • ldapsearchでグループが正しく作成されているか確認します。
  • Active Directory内のグループ名が一致しているかチェックします。

これにより、部署や役職ごとに異なるWebページやリソースへのアクセス制御を簡単に実装できます。次のステップでは、記事全体のまとめを行います。

まとめ


本記事では、ApacheとActive Directoryを連携させてユーザー認証を行う方法について、導入から設定、トラブルシューティング、応用例までを詳しく解説しました。

Active DirectoryとApacheを連携させることで、ユーザー管理を一元化し、セキュリティを強化することが可能になります。LDAPモジュールを使用することで、Active Directoryのユーザー情報をそのままWebサーバーの認証に利用でき、企業内のWebシステムの安全性と利便性を向上させることができます。

また、グループ単位でのアクセス制御を実装することで、部署や役職ごとに異なるリソースへのアクセスを細かく管理できるようになります。これは、セキュリティレベルの高いシステムを構築する際に非常に有効です。

設定後は、必ず動作確認を行い、ログを確認しながらトラブルシューティングを行うことで、スムーズな運用が可能となります。これらの手順を参考に、ApacheとActive Directoryを連携させた強固な認証システムを構築してください。

Apache
Active Directory Apache 認証設定

コメント

コメントする

目次