GSync オプションをご契約の場合、Active Directory (または LDAP ) と Gluegent Gate を同期させており、同時に AD / LDAP のユーザー情報で認証を行います。(設定により異なる場合もあります)
サーバーのリプレースにおいては、新サーバーで Gluegent Gate / GSync の以下の動作要件が満たされている必要があります。
ーーーーーーーーーーーーーーーーーー
●ネットワーク通信
Gluegent Gate (認証サーバー) 並びに GSync (SYNCサーバー) から AD / LDAP サーバーに対し、LDAPS プロトコルによるネットワーク通信が発生します。
ファイアウォール等で通信を規制している場合には以下の通信を許可してください。
- SYNCサーバー01: 54.249.238.88 > AD / LDAP サーバー: 636
- SYNCサーバー02: 52.199.155.55 > AD / LDAP サーバー: 636
- 認証サーバー01: 175.41.253.63 > AD / LDAP サーバー: 636
- 認証サーバー02: 52.197.103.105 > AD / LDAP サーバー: 636
● LDAPS 通信の証明書
弊社システム(SYNCサーバー並びに認証サーバー)と AD / LDAP は、LDAPS プロトコルによる暗号化通信を行います。
その為、AD / LDAP サーバー上にはサーバー証明書がインストールされている必要があります。
ーーーーーーーーーーーーーーーーーー
Gluegent Gate (認証サーバー) は、AD / LDAP に対して、LDAPS (636) の通信をユーザー認証毎に行っています。こちらが失敗しますと、Gluegent Gate を介したサービスへのログインができなくなります。
Gsync (SYNCサーバー) は、AD / LDAP に対して、LDAPS (636) の通信を同期実行時に行っています。こちらが失敗しますと、Gsync による同期ができなくなります。(同期開始前にエラーになる)
Gsync の同期は差分同期です。前回の同期結果と今回取得できたデータを比較して、作成 / 更新 / 削除を判断しています。こちらの異常で想定される事態は、「ユーザーが大量に削除された(無効化された)」状態です。これは新旧の AD / LDAP でユーザーやグループが一致していないために発生します。
予防策としては、切り替え前の最後に同期を実行し、その後 GSync の同期モードを「テストモード」にする方法です。新旧 AD / LDAP を切り替えた後「テストモード」で再び同期を実行し、意図しない差分が発生していないようであれば、GSync の同期モードを「テストモード」から「本番同期モード」に戻します。
※テストモード ⇔ 本番同期モードの切り替えは、ご依頼ベースで弊社にて実施いたします。
上記の点を考慮いただき、AD / LDAP のリプレース計画や手順をご検討ください。
変更方法はこちらをご参照ください。
Gluegent Gate / GSync で使用している AD サーバーの置き換え方法を教えてください。