🌽 🤟🏻 💪🏿 LMS MoodleとMicrosoft Active Directoryの統合。パート1 🥟 💆 🏳️

まあ、これはHabrコミュニティでの私の最初の投稿です。将来、この記事は、 Moodle 、 BigBlueButton 、 Microsoft Active Directory 、 Kaspersky Security Centerに基づいた教育機関の情報インフラストラクチャの構築に関する一連の記事の1つになるはずです。

知らない人のために、Moodleは教育に焦点を当てたCMSなどの遠隔学習システムであり、ハブについてはすでに多くのことが書かれています。この記事では、Microsoft Active Directoryで作成されたユーザーデータベースに完全に関連付ける方法を説明します。

これは何のためですか？

まず、管理者の作業を簡素化するために、ユーザーを2つのデータベースではなく1つのデータベースに保持する方が簡単です。
第二に、ユーザーのリストを管理する機能を他の従業員に委任する可能性のため。事実、Moodleではすべてのユーザーが構造に分割せずに単一のリストに「嘘をつく」ため、このリストの一部を編集する許可を誰かに与えることはできません。 Active Directoryレベルでは、編集権限をこの学部の学生の特定の学部長のオフィスの従業員に委任したり、クラスの教師をクラスの学生に委任したりすることができます。
第三に、このようなバンドルを使用すると、SSOを整理できます。ユーザーがWindowsにログインしたときと同じユーザー名とパスワードでサイトにアクセスできます。些細なことですが、素晴らしい-あなたは再びパスワードを入力する必要はありません。

どこから始めますか？

さて、次のことがすでに行われていると仮定します。

サーバーバージョンのMicrosoft Windowsを搭載したコンピューターが構成されています。どのバージョンでも、2003年、2008年のいずれでも可能です（スクリーンショットでは2012年になります）。ドメインコントローラーの役割は、このサーバーで既に発生しています。複数のマシンがすでにドメインに入力されています。ドメインの名前をad.liceum.ru 、NetBIOS名をad_liceum_ru 、ドメインコントローラーをpdc.ad.liceum.ruとします。
Moodleで設定されたウェブサーバー。 Ubuntu 12.04に基づいています。もちろん、IISとMoodleをドメインコントローラーと同じマシンにインストールできますが、それは別の話です。サーバーをmoodle.liceum.ruと呼びます。スクリーンショットはMoodle 2.5になりますが、バージョン1.9以降、ロジックは根本的に変更されていません。 Moodleはすでにメールを送信するように設定されています
ドメインに含まれるドメインコントローラー、Webサーバー、およびマシンには、相互に対話する機能があります。最も単純なケースでは、単純に同じネットワークに配置できますが、複雑な構成を使用して、トリッキーなルーティングを行い、不要なポートをすべて閉じることができます。

Active Directoryでユーザーを管理する

まず、ドメインに含まれるすべてのマシンで、Active DirectoryユーザーとコンピューターMMCスナップインを実行する必要があります。もちろん、多くの管理者が好むように、RDP経由でサーバーに移動してそこで実行できます。ただし、作業をさらに簡素化して、ユーザーベースを維持する責任を他のユーザーに移す予定がある場合は、このスナップインをクライアントマシンにインストールする方法を学ぶことをお勧めします。これは、Windowsのバージョンによって異なります。開始するには、 XP 用、7 SP1 用、8 用にダウンロードしてください。 XPでは、 コントロールパネル>管理ツールのすぐ下にスナップインが表示されます。 7および8では、ダウンロードした更新プログラムをインストールした後、 [コントロールパネル]> [プログラム]> [Windowsコンポーネントの有効化または無効化]に移動する必要があります。そこで、[ リモートサーバー管理ツール]> [役割管理ツール]> [Active Directoryドメインサービスツール]および[...]> [Active Directoryドメインサービスツール]> [スナップインツールとコマンドラインツール]を選択します。

前述のスナップインを使用して、ユーザー用に別のユニットを作成します。その中に、すべてのユーザーのアカウントを保存し、私たちにとって便利な方法で構造を設定します。控えめですが、このユニットを「ユーザー」と呼びます。

MoodleシステムがActive Directoryからユーザーに関する情報をリクエストできるようにするために、コミュニケーション用の特別なユーザーを作成します。それをmoodle_liceum_ruと呼びましょう。作成した「ユーザー」コンテナではなく、最初の既存の「ユーザー」コンテナで作成します。これにより、実際のユーザーのアカウントとシステム間の通信用に作成されたサービスアカウントが混同されません。

作成したアカウントをDomain Adminsグループに追加します。

もちろん、管理者グループにサービスアカウントを追加することはお勧めできません。Moodle管理者パスワードを盗んだり、Moodleデータベースにアクセスしたりすると、Moodleでは通信用のユーザーパスワードがクリアテキストで保存されるため、ドメインにもアクセスできます。実際、このアカウントに[ユーザー]セクションでユーザーを編集する権限のみを付与すれば十分です。これを行う方法については、後で説明します。しかし、彼らが言うように、 1つの警告があります。この場合、ユーザーがDomain Adminグループのメンバーである場合、ユーザーはMoodleから変更できません。ユーザーが所属するユニットの編集権限に関係なく、別のドメイン管理者のみがドメイン管理者のパスワードを変更できます。これがWindowsの神秘的な魂です。

Active Directoryで実際のユーザーを作成します。

ミドルネームを表示する場合は、名前と同じフィールドにすぐに入力することをお勧めします。実際、Active DirectoryもMoodleもデフォルトではインターフェースにミドルネームフィールドを提供していません。すぐに、[氏名]フィールドの名前と姓の順序を変更する価値があります。これにより、リスト内のユーザーを通常の方法で名前順に並べ替えることができます。

ユーザーを作成し、パスワードを設定した後、プロパティを呼び出します。フィールドに電子メール、国、都市を入力します。これは何のためですか？実際、細心の注意を払ったMoodleシステムは、すべてのユーザーが例外なくメール、国、都市のフィールドに入力する必要があると考えています。また、Active Directoryから取得できない場合、ユーザーはこのデータを入力するまで作業を続行できません。まあ、都市と国については明らかですが、ユーザーが電子メールを持っていない場合、または管理者がそれを知らない場合はどうでしょうか？この場合、架空のメールを作成できます。必要に応じて、ユーザーはそれを変更できますが、確認レターは新しいアドレスに送信されます。つまり、ユーザーが発明したメールにアクセスできなくても制限はありません。

Moodleをカスタマイズする

管理>プラグイン>認証>認証設定でMoodleに移動し、「LDAPサーバー」プラグインを有効にします

LDAPを使用する理由 LDAPは、階層型データベースを操作するためのプロトコルです。したがって、このプロトコルを使用してActive Directoryに接続できます。

さて、認証プラグインのセットアップを始めましょう。「サーバーURL」フィールドにサーバーの名前を示し、 ldap：//プレフィックスを追加します。 Webサーバーは、LDAPサーバー名をIPアドレスに正しく解決できる必要があります。これを行うには、ドメインコントローラーをDNSサーバーとして指定し、DNSをより巧みに構成し、Webサーバーを備えたマシンのホストファイルに正しいIPを入力するだけです。もちろん、Moodle設定で名前の代わりにIPを指定することもできます。ところで、誰が知らないかは、pingコマンドとnslookupコマンドを使用して解決される名前を確認できます。

もちろん、将来について考えているのであれば、バックアップドメインコントローラーがあります。この場合、ここで言及する価値もあります。このセクションの他のパラメーターはデフォルトのままにしておく必要があります。

次に、サーバーに接続するデータを指定する必要があります。ただし、これは単なるユーザー名とパスワードではなく、何らかの種類の識別名が必要なログインではなく、DistinguishedNameまたは定数DNでもあります。これは何？事実、階層データベースでは、ファイルシステムのように、同じ名前のオブジェクトが多数存在する可能性があります。そのため、ファイルシステムでファイル名と呼ばれるものは一般にLDAPで共通名またはCNと呼ばれ、フルファイル名と呼ばれるもの、つまりファイル名とそのパスは識別名またはDNと呼ばれます。さて、このDNを見つける方法について少し話しましょう。

LDAPで必要な情報を探します

Active Directoryユーザーとコンピュータースナップインに戻りましょう。 [表示 ]メニューで、[ 追加コンポーネント ]オプションを有効にします。

ここで、異なるオブジェクトのプロパティを呼び出すと、タブの間に属性エディターがあります

属性エディターでは、オブジェクトのすべてのプロパティを確認できます。そこにあり、必要なdistinguishedNameになります。

ところで、いろんな種類のユーザーデータを格納するフィールドの名前を見てみましょう。ユーザーのカードに入力した内容と属性エディターに表示される内容を比較することで、タブレットを作成します。

価値	属性
姓	sn
名	givenName
Windowsログイン	sAMAccountName
メール	メール
市区町村	l
国	と

オブザーバーは、国が2回保存されていることに気付くでしょう-co属性のフルネームとc属性のコード。 Moodleでは、正確に2文字のコードが必要です。

Moodleのカスタマイズを続けます

Moodleで、Active Directoryに表示される識別されたユーザー名とパスワードを入力します。私の例では、識別名はCN = moodle_liceum_ru、CN = Users、DC = ad、DC = liceum、DC = ruです。「ユーザータイプ」フィールドで、「MS ActiveDirectory」を指定します。

デフォルトでは、Moodleはパスワードハッシュをデータベースに保存します。うまく保存されます-最近のバージョンでは、bcryptアルゴリズムが使用されているため、md5データベースを検索してそのようなパスワードを復号化することはできません。確かに、これはあまり役に立ちません。なぜなら、Active Directoryとの接続が突然失われると、ユーザーはシステムで利用可能なパスワード情報にもかかわらず、システムにログインできなくなるからです。保存されたパスワードを使用する唯一の方法は、管理者がユーザーアカウントの認証タイプを手動登録に手動で切り替える場合です。ただし、[ パスワードを保存しない]モードをアクティブにすることで、この機能をオフにすることができます。

[ コンテナ]フィールドで、ユーザーが保存されている部門の識別名を指定します。上記の方法で認識できます。この例では、 OU = Users、DC = ad、DC = liceum、DC = ruです。ユーザーは子会社に保存されているため、[ 子コンテナで検索 ]オプションを有効にします。

[ユーザー属性]フィールドで、 sAMAccountNameを指定します。もちろん、このパラメーターを試すことができます。ここでメールを指定する場合は、システムに入るときにログインとして電子メールアドレスを指定する必要があり、telephoneNumberを指定する場合は電話番号を指定する必要があります。ただし、すべての選択肢があるため、後でドメインのアカウントで自動ログインを設定することはできません。

他のパラメータはデフォルトで残されます。

データの更新を確認する

また、データの照合時にローカルアカウントの 更新、外部アカウントの更新、および値のロックを使用する方法は？

たとえば、姓や名などのデータは、Active Directoryから排他的に管理することが望ましいでしょう。これは、たとえば、学生が名前と姓の代わりにあらゆる種類のナンセンスを書かないようにするために必要です。そして、ADでデータを変更するとき、Moodleでできるだけ早くそれらを更新したいと思います。これらのオプションでは、 各エントリで 、 Never 、 Blockedの組み合わせが適切です。

私の例では、ユーザーのメールアドレスは不明なので、代わりに架空のアドレスが発明されました。このアプローチにより、ユーザーはシステムですぐに作業を開始し、必要に応じて、電子メールアドレスを実際のアドレスに置き換えて、たとえば通知の受信を開始できます。ユーザーが最初のログイン時に必ず電子メールを入力するようにする場合は、Active Directoryにこのフィールドを入力しないでください。メールの場合、[ ログインするたびに]、[ 更新時 ]、[ ロック解除 ]オプションを使用します。これにより、Moodleでデータを更新するときにADでデータを更新できます。

それでは、データが更新されているかどうかを確認しましょう。 Moodleを終了し、Active Directoryでユーザーのメールを修正し、Moodleに戻ります。ユーザーは、プロファイルに新しいメールを表示する必要があります。

次に、Moodleからのメールを変更します。確認メールが送信されます。 MoodleとActive Directoryのアドレスは、新しいアドレスの確認後すぐに変更する必要があります。

さて、MoodleからActive Directoryでパスワードの有効期限を設定する方法、ユーザーが自分でアカウントを作成できるようにする方法、そしてもちろん、パスワードを入力せずにMoodleにログインする方法について-これについては次のパートで説明したいと思います。もちろん、誰かが招待を送らない限り。

LMS MoodleとMicrosoft Active Directoryの統合。 パート1