PaperCutとActiveDirectory

2004年以降にリリースされたすべてのPaperCut 製品はActive Directory が完全にサポートされています。サポートには下記が含まれます:

・ネストされたグループ
・組織ユニット(OU)

PaperCut は古いNT スタイルのドメインのサポートも続行しています。


一般的なADに関する質問

Q: PaperCut はどのようにActive Directory と統合されていますか?

A: PaperCut はActive Directory へユーザ認証と
   既存ユーザのアカウントのメタデータ(メール・アドレス, フルネーム, オフィス, 部署, グループのメンバシップ) の抽出ために
   読み取り専用アクセスします。
   書き込みおよびそれ以上のアクセス権限は必要ありません。
   Windows Server 上でPaperCut が実行されている場合、PaperCut はネイティブのActive Directory API を使用します。
   Linux やMac システム上で実行されている場合、PaperCut はリモートのLDAP インタフェース経由でADへアクセスします。

   PaperCut はユーザ権限の資格情報(例: パスワード) をキャッシュしません。
   セキュリティのベストプラクティスに沿って、ユーザ認証は認証時にリアルタイムに問合せが行われます。
   ユーザ・アカウントのメタデータ(例: フルネームなど) はADサーバ上のロードを最小限にするためにローカルにキャッシュされ、次の場合のみ問合せされます:

　　　・初期アカウントの作成時
　　　・夜間自動同期時
　　　・手動同期時



Q: PaperCut は複数のドメインをサポートしていますか?

A: PaperCut はマルチ・ドメインをサポートしています。一般的には複雑なツリー/フォレスト構造が使用されています。



Q: 「ロックダウンされた」Active Directory 環境のため、PaperCut がADにアクセスする時に問題があります。どのように修正すればよいですか。

A: デフォルトではPaperCut はローカル・システム・アカウントとして実行されています。これは一般的にサービスのベスト・プラクティスとみなされています。
   ローカル・システム・アカウントは、ほとんどのドメイン環境でAD(読み取り専用アクセス) に問合せアクセスできる必要があります。
   しかし、サーバがドメインのメンバでない場合(他のドメインのメンバの場合など)、またはデフォルトでAD環境がロックダウンされている場合は、追加の設定が必要です。

   サービス「PaperCut Application Server」を実行するための権限を付与することで解決します。

1.[コントロール パネル] – [管理ツール] – [サービス] を起動てください。、
2.サービスから「PaperCut Application Server」 を右クリックし、「プロパティ」を選択
3.<ログオン> タブ を選択
4.サービスのアカウントを、ローカル管理者権限とADの読み取りアクセスの両方の権限を持つアカウントに変更してください。
5.ベストプラクティスとして、新規ユーザ・アカウントを作成(例：svcpapercut など)し、アカウントのパスワードを無期限に設定することをお勧めします。




Q: ADのユーザがグループのリストに表示されません。何が問題でしょうか?

A: おそらくADのレガシーのプライマリ・グループ・フィールドを使用していることが原因です。次の章で詳細を説明します。





 Active Directory のプライマリ・グループの制限事項

   Active Directory ドメインは、すべてのユーザが「プライマリ・グループ」を持ちます。これは単にPOSIX準拠のためのレガシーの理由のためだけに使用されています。
   デフォルトでは、すべてのActive Directory ユーザのプライマリ・グループはビルトインのグループ「Domain Users」が設定されます。
   プライマリ・グループとして「Domain Users」は残し(Microsoft社がベストプラクティスとして推奨)、管理のために標準のグループを使用することをお勧めします。




   Active Directory の制限のため、ユーザのプライマリ・グループである理由でユーザがグループのメンバである場合、
   Active Directory のAPIを使用している場合グループのメンバとしてレポートされません。

   例えば、ユーザのプライマリ・グループが「Staff」グループに設定されている時に、選択されたActive Directory のAPIを使用している場合、
   ユーザは「Staff」グループのメンバとして表示されません。

   この制限については、次のMicrosoft社のナレッジベースに記載されています: http://support.microsoft.com/?kbid=275523

   この挙動はPaperCut のグループ・ベースの機能に影響を与える可能性があります。
   (例: クォータの割当て, 新規ユーザの作成ルール など) ユーザの属するグループのメンバシップが正しくレポートされないためです。

   そのため、すべてのユーザのプライマリ・グループとして「Domain Users」を残すことを強く推奨します。

   回避方法:
   プライマリ･グループとして使用されているグループをPaperCut 上で使用する必要がある場合、問題を回避するためにミラー・グループを作成します。
   例えば、「Staff」と呼ばれるグループがありプライマリ・グループの問題のため使用できない場合、
   「StaffStandar」と呼ばれるグループを新規作成し、このグループにスタッフ・メンバを追加します。
   迅速にスタッフ・ユーザを識別し追加するために、ActiveDirectoryのクエリ・システム利用することができます。
   そして新規グループ「StaffStandard」はPaperCut で使用することができます。



Linux/Mac のプライマリ・サーバのネストしたグループのサポート
   同期ソースとして「Windows Active Directory」を使用していない場合、様々なLDAPプロトコル実装の制限により、ネストされたグループの機能は利用できません。
   代わりに「フラット・グループ(Flat Group)」を使用する必要があります。Linux または Mac OS X を使用する場合、検討することをお勧めします。




http://www.papercut.com/kb/Main/ActiveDirectoryConsiderations