LDAPよくわからないけどAWXでLDAP連携をやりたい

概要

• AWXでLDAP連携を実現する手順を記載

環境

• Windows Server 2022
  • Active Directory
• AWX
  • 21.12.0

AWXにLDAP連携設定を実装

Active DirectoryにLDAP連携用ユーザー作成

1. LDAP連携用にldapユーザーを作成

2. [サーバーマネージャー]-[ツール]から[Active Direcotory管理センター]を開く 3. LDAP連携用に作成したldapユーザーのプロパティを開く 4. [拡張]項目にある[属性エディター]タブからdistinguishedNameを確認します。

AWXサーバからLDAP接続確認

• AWXサーバでldapsearchコマンドを実行し、Active DirecotoryにLDAP接続できることを確認

  ldapsearch -x -H ldap://192.168.89.144 -D "CN=ldap,CN=Users,DC=hii,DC=com" -b "dc=hii,dc=com" -w ldap

• ldapsearchコマンドのオプション

  オプション	値
  -H	LDAPサーバのURL
  -D	bind DN
  -b	base DN(どのツリーから探すか)
  -w	bind DNで使用するユーザのパスワード

• search result として、0 Success が出力されていれば正しく接続できています。

  # search result
  search: 2
  result: 0 Success

• 接続できているのでAWX管理画面にて設定を実施していきます。

AWXにLDAP設定

1. AWXにログインし、[設定]-[LDAP設定]-[デフォルト]画面にて、各項目に値を入力し[保存]します。

   • LDAPサーバーURI：ldap://192.168.89.144
   • LDAPバインドDN：CN=ldap,CN=Users,DC=hii,DC=com
   • LDAPバインドパスワード：
   • LDAPユーザーDNテンプレート：空欄
   • LDAPグループタイプ：ActiveDirectoryGroupType
   • LDAP要求グループ：空欄
   • LDAP拒否グループ：空欄
   • LDAPStart TLS：オフ

   • LDAPユーザー検索

     [
       "DC=hii,DC=com",
       "SCOPE_SUBTREE",
       "(sAMAccountName=%(user)s)"
     ]
     

   • LDAPグループ検索

     [
       "DC=hii,DC=com",
       "SCOPE_SUBTREE",
       "(objectClass=group)"
     ]
     

   • LDAPユーザー属性マップ

     {
       "email": "mail",
       "first_name": "givenName",
       "last_name": "sn"
     }
     

   • LDAPグループタイプパラメータ

     {
       "name_attr": "cn"
     }
     

   • LDAPユーザーフラグ（グループ別）：デフォルト設定

   • LDAP組織マップ：デフォルト設定
   • LDAPチームマップ：デフォルト設定

Active Directoryでユーザー作成

• AWXにログインするユーザーとしてtanaka taroを作りました。

  

  作成したユーザーでAWXにログイン

• 名・姓ともに正しく表示され、タイプもLDAPとなっております。

  

  参考Link

• 赤帽エンジニアブログ - Ansible TowerでWindows Active Directoryを認証に使ってみよう！

• 【LDAP基礎用語】DCとは？OUとは？バインドDN,ベースDN,サフィックスとは？匿名バインドとは？ldapsearchのオプション