JAWS-UG CLI #33 LT - AWS Directory ServiceをLDAP Serverとして利用してみた
-
Upload
nobuhiro-nakayama -
Category
Technology
-
view
167 -
download
6
Transcript of JAWS-UG CLI #33 LT - AWS Directory ServiceをLDAP Serverとして利用してみた
{
"name":"Nobuhiro Nakayama",
"company":"UCHIDAYOKO CO., LTD.",
"favorite aws services":[
"Storage Gateway",
"Directory Service",
"IAM",
"AWS CLI"
],
"certifications":[
"AWS Certified Solutions Architect-Professional",
"AWS Certified SysOps Administrator-Associate",
"Microsoft Certified Solutions Expert Server Infrastructure",
"Microsoft Certified Solutions Expert SharePoint",
"IPA Network Specialist", "IPA Information Security Specialist"
]
}
ID管理の実態
• システム毎に独自DBでID管理?
• 工数∝ユーザ数×システム数
• THE 刺身タンポポ!
• メンテナンスされず、放置されるユーザ
• 退職したユーザによる不正なアクセスなど、リスクが増加
• ユーザも大変・・・
• 覚えきれないパスワード・・・
• パスワードの使い回しが横行・・・
• パスワードポリシーを厳しくするとユーザの負担が増大・・
2015/11/23 4
ID管理および認証機能の一元化
• Directory ServiceのディレクトリはLDAPをしゃべれる!
• ユーザと認証を集約できる
• 管理工数∝ユーザ数
• 単一のIDで各システムを利用できる
• ユーザが覚える必要のあるパスワードが削減できる
2015/11/23 5
GitLabのインストール
• 手っ取り早くインストールしたい場合
• Install a GitLab CE Omnibus package
• https://about.gitlab.com/downloads/#centos6
• Amazon Linuxの場合、lokkitによる設定は省略
• 詳細はこちら
• Installation from source
• http://doc.gitlab.com/ce/install/installation.html
2015/11/23 7
設定ファイル
• 以下の設定ファイルを編集
• sudo vi /opt/gitlab/embedded/service/gitlab-rails/config/gitlab.yml
• GitLab CE Omnibus packageでインストールした環境であることが前提
2015/11/23 8
編集前
#
# 3. Auth settings
# ==========================
## LDAP settings
# You can inspect a sample of the LDAP users with login access by running:
# bundle exec rake gitlab:ldap:check RAILS_ENV=production
ldap:
enabled: false
host:
port:
uid:
method: # "tls" or "ssl" or "plain"
bind_dn:
password:
active_directory:
allow_username_or_email_login:
base:
user_filter:
2015/11/23 9
編集後
#
# 3. Auth settings
# ==========================
## LDAP settings
# You can inspect a sample of the LDAP users with login access by running:
# bundle exec rake gitlab:ldap:check RAILS_ENV=production
ldap:
enabled: true
host: ***.***.***.***
port: 389
uid: sAMAccountName
method: plain # "tls" or "ssl" or "plain"
bind_dn: CN=Administrator,CN=Users,DC=gitlab,DC=local
password: ********
active_directory: true
allow_username_or_email_login: false
base: DC=gitlab,DC=local
user_filter:
2015/11/23 10