Active Directory(LDAP)で管理しているアカウントをメールサーバに使う場合

既に設定されたActive Directory(アクティブディレクトリ)で管理されているアカウントを E-Post Mail Server V / E-Post SMTP Server V シリーズのメールサーバ側に反映させ、メールの送受信を可能にする、いわゆる「Active Directory(LDAP)連携」を行うには、Active Directoryドメインコントローラ側およびメールサーバ側で次のように設定します。

[メール用グループを"IMSUsers"として利用する]
Active Directoryドメインコントローラ側では、事前に"ドメインローカル" の"セキュリティグループ"としてグループ "IMSUsers"があることを確認し、なければ作成しておきます。

1.Active Directoryドメインコントローラ側での事前設定

(1) ドメインコントローラの「Active Directory ユーザーとコンピュータ」を開き、"ドメインローカル" の "セキュリティグループ" としてグループ "IMSUsers" があるか確認します。もしないようなら "ドメインローカル" の "セキュリティグループ" としてグループ名 "IMSUsers" を作成します。
  [Active Directory ユーザーとコンピュータ]
   →[Users](コンテナー)
    →[IMSUsers]
     "ドメインローカル" の "セキュリティグループ" としてグループ名 "IMSUsers" を作成。

(2) ドメインコントローラの「ローカルセキュリティポリシー」を開き、メール用グループとして利用する "IMSUsers" が「バッチジョブとしてのログオン」権限を許可する設定になっているか確認します。もし設定されていないようなら、「バッチジョブとしてのログオン」権限を許可する設定にしておきます。
  [ローカルセキュリティポリシー]
   →[セキュリティの設定]
    →[ローカルポリシー]
     →[ユーザー権利の割り当て]
      →[バッチジョブとしてのログオン]
      メール用グループとして利用する "IMSUsers" を追加。

(3) ドメインコントローラの「Active Directory ユーザーとコンピュータ」を開き、メールサーバと連携したいユーザーアカウントが既に登録済みのときは、連携したいユーザーアカウントについて "IMSUsers" と "Domain Users" とを「所属するグループ」に追加しておきます。まだユーザーアカウントを作成していない場合は、ユーザーアカウントを作成したら、連携したいユーザーアカウントについて同じように "IMSUsers" と "Domain Users" とを「所属するグループ」に追加します。
  [Active Directory ユーザーとコンピュータ]
   →[Users](コンテナー)
    →連携するユーザーアカウント
    メールサーバと連携するユーザーアカウントについてそれぞれ、"IMSUsers"と "Domain Users"を「所属するグループ」に追加。

(注意)
Active Directoryドメインコントローラ側には、ドメインローカルのセキュリティグループとして IMSUsers と Users が用意されていることが前提です。[Users]コンテナーの下に IMSUsers がない場合は、IMSUsers をドメインローカルのセキュリティグループとして作成してください。ドメインコントローラに登録されているユーザーのうち、 IMSUsers グループに所属するユーザーのみが Active Directory(LDAP)連携される形となります。

2.メールサーバ側での設定

(1) E-POSTコントロールセンターのメールサーバ管理から[システム管理メニュー]をクリック、[サービス制御]をクリックして表示される「サービス制御」画面からいったん各サービスを[停止]します。

(2) メールサーバ管理から[システム管理メニュー]をクリック、[基本設定]を選択して[開始する]をクリック、表示された基本設定の「アカウント管理環境」から「LDAP管理」を選択、最後に[設定する]ボタンをクリック。

(3) メールサーバ管理から[システム管理メニュー]をクリック、[ドメイン管理]でメールドメインを共通ボックス方式で作成します。既にメールドメインを作成しているときはメールサーバ側のドメイン管理でメールドメインが作成済みかどうか共通ボックス方式になっているかどうかを確認します。
運用するメールドメインが共通ボックス方式になっているかどうかを確認するには、「既存ドメインの設定変更」からドメインを選択、[詳細設定を開く]ボタンをクリックして、「共通ボックス(区別しない)」オプションボタンが選択されている状態を確認します。確認したら[詳細設定する]ボタンをクリックします。

(4) メールサーバ管理から[システム管理メニュー]をクリック、[LDAP設定]を選び、[Set AD default value]ボタンをクリック。表示されたLDAP設定に基づき下記のように変更します。
[Set AD default value]ボタンクリック後に dc=<domain>,dc=jp と表示されている部分について、Active Directoryドメイン名を入力します。メールドメイン名ではありませんので注意してください。たとえばActive Directoryドメイン名が test.local ならば、 dc=test,dc=local と変更するようにしてください。
[Server]   Active DirectoryドメインコントローラのIPアドレスを指定。
[Username] dc=<domain>,dc=jp の部分をActive Directoryドメイン名を指定するようにし、ドット区切り単位で dc=xxxx,dc=yyyy のように設定。
[Password] Active Directory側のAdministratorのパスワードを指定。
[Base DN]  dc=<domain>,dc=jp の部分をActive Directoryドメイン名を指定するようにし、ドット区切り単位で dc=xxxx,dc=yyyy のように設定。
[Scope]   dc=<domain>,dc=jp の部分をActive Directoryドメイン名を指定するようにし、ドット区切り単位で dc=xxxx,dc=yyyy のように設定。
最後にいちばん下の[設定する]ボタンをクリック。
(設定例)
Active DirectoryドメインコントローラのIPアドレスが192.168.0.10、Active Directoryドメイン名が sample.co.jp 、ドメインコントローラの Administratorパスワードが **** のときの設定例。この例の[Scope]項では、デフォルト設定の memberof=cn=imsusers,cn=users の指定部分は変更しないで dc=<domain>,dc=jp の部分のみを修正しています。
(&(objectCategory=person)(objectClass=user)(memberof=cn=imsusers,cn=users,dc=sample,dc=co,dc=jp))

ちなみに、Active Directoryドメインコントローラ側に参加するセキュリティグループとして IMSUsers を指定しない場合は、[Scope]項から cn=imsusers 部分を削除する必要があります。その場合は、ドメインコントローラに登録されている全ユーザーが Active Directory(LDAP)連携される形となりますので注意してください。
(&(objectCategory=person)(objectClass=user)(memberof=cn=users,dc=sample,dc=co,dc=jp))
(5) メールサーバ管理から[システム管理メニュー]をクリック、[サービス制御]をクリックして表示される「サービス制御」画面からいったん各サービスを[開始]します。

3.メールサーバ側およびドメインコントローラ側の確認作業

(1) Active Directoryドメインコントローラ側でユーザーアカウントを作成していないときには、 ドメインコントローラの「Active Directory ユーザーとコンピュータ」を開き、メールサーバと連携したいユーザーアカウントを作成したら、作成されたユーザーアカウントに対して、「所属するグループ」として "IMSUsers" と "Domain Users" を追加します。

(2) メールサーバのユーザー管理で表示されるようになっていることを確認します。ユーザーが表示されるか確認するには、E-POSTコントロールセンターのメールサーバ管理から[システム管理メニュー]をクリック、[ユーザー管理]を選択して「ドメインの選択」から対象ドメインを選択して[ユーザー管理へ]をクリックします。
なお、BSD版のE-Post V シリーズでは、Active Directory(LDAP)連携の設定をしたとき、メールサーバ側のユーザー管理にてユーザーアカウントを追加しても、Active Directoryドメインコントローラ内に該当するユーザーアカウントがうまく作成できずパスワードも通らないことがわかっておりますので、十分注意してください。

確認作業が終わったら、メールサーバのサービスを開始させ、実際にメール送受信ができるか、テストを行います。

(注意)
Active Directory(LDAP)連携を利用したアカウント管理の場合、マルチドメイン仕様でドメイン名を区別したメールサーバ運用はできません。これは、ドメインコントローラ側で管理されているメールグループ "IMSUsers" に所属するアカウントを利用するため、アカウントが一意のものになるためです。具体的に言うと、メールサーバ側で複数のメールドメイン "a_domain" と "b_domain" を作っても、"taro" アカウントはどちらにも登場する共通アカウントとなってしまいます。異なるドメイン名で区別したメールサーバ運用することはできません。
また、ドメインコントローラ側で作成済みユーザーアカウントについて、設定しているパスワードについては、メールサーバ側のPOP3認証パスワードならびにIMAP4認証パスワードと連携されるようになり、さらにSMTP認証を有効にしたときはSMTP認証パスワードと連携されます。パスワード変更の際はActive Directoryのドメインコントローラ側で行う操作のみ有効となりますので注意してください。E-POSTコントロールセンターのメールサーバ管理からのパスワード変更操作は無効です。またE-POSTコントロールセンターのメールサーバ管理からインポートしたときもパスワードは変更されません。