LDAPディレクトリサーバを追加します
変更を提案
PDF
アクセス管理用に認証を設定するには、ストレージアレイとLDAPサーバの間の通信を確立し、LDAPユーザグループをアレイの事前定義されたロールにマッピングします。
-
Security Adminの権限を含むユーザプロファイルでログインする必要があります。そうしないと、アクセス管理機能は表示されません。
-
ユーザグループがディレクトリサービスに定義されている必要があります。
-
LDAPサーバのクレデンシャルを確認しておく必要があります。ドメイン名とサーバのURLのほか、必要に応じてバインドアカウントのユーザ名とパスワードも指定できます。
-
セキュアなプロトコルを使用するLDAPSサーバの場合は、LDAPサーバの証明書チェーンがローカルマシンにインストールされている必要があります。
ディレクトリサーバの追加は、2つのステップで行います。まず、ドメイン名とURLを入力します。サーバでセキュアなプロトコルを使用している場合、認証に使用するCA証明書が標準の署名機関によって署名されていない場合、その証明書もアップロードする必要があります。バインドアカウントのクレデンシャルがある場合は、そのアカウント名とパスワードも入力できます。次に、LDAPサーバのユーザグループをストレージアレイの事前定義されたロールにマッピングします。
|
手順 でLDAPサーバを追加すると、従来の管理インターフェイスは無効になります。従来の管理インターフェイス(SYMbol)は、ストレージアレイと管理クライアントの間の通信に使用される方法です。無効にすると、ストレージアレイと管理クライアントはより安全な通信方法(HTTPS経由のREST API)を使用します。 |
-
メニューを選択します。Settings [Access Management]。
-
[ディレクトリサービス]タブで、[ディレクトリサーバーの追加]を選択します。
[ディレクトリサーバーの追加]ダイアログボックスが開きます。
-
[Server Settings]タブで、LDAPサーバのクレデンシャルを入力します。
フィールドの詳細
設定 説明 構成設定
ドメイン
LDAPサーバのドメイン名を入力します。ドメインを複数入力する場合は、カンマで区切って入力します。ドメイン名は、ログイン(username@domain)で、認証するディレクトリサーバを指定するために使用されます。
サーバURL
LDAPサーバにアクセスするためのURLを次の形式で入力します。
ldap[s]://host:*port*。証明書のアップロード(オプション)
このフィールドは、上記のサーバURLフィールドにLDAPSプロトコルが指定されている場合にのみ表示されます。 [Browse]をクリックして、アップロードするCA証明書を選択します。これは、LDAPサーバの認証に使用される信頼された証明書または証明書チェーンです。
バインドアカウント(オプション)
LDAPサーバに対する検索クエリやグループ内の検索で使用する読み取り専用のユーザアカウントを入力します。アカウント名はLDAPタイプの形式で入力します。たとえば、バインドユーザの名前が「bindacct」であれば、「CN=bindacct、CN=Users、DC=cpoc、DC=local」などと入力します。
バインドパスワード(オプション)
このフィールドは、上記のバインドアカウントを入力した場合に表示されます。 バインドアカウントのパスワードを入力します。
追加する前にサーバ接続をテストします
入力したLDAPサーバの設定でストレージアレイと通信できるかどうかを確認するには、このチェックボックスを選択します。このテストは、ダイアログボックスの下部にある*追加*(* Add *)をクリックした後に実行されます。 このチェックボックスをオンにした場合、テストに失敗すると設定は追加されません。設定を追加するには、エラーを解決するか、チェックボックスを選択解除してテストをスキップする必要があります。
権限の設定
検索ベースDN
ユーザを検索するLDAPコンテキストを入力します。通常は、の形式で入力します
CN=Users, DC=cpoc, DC=local。ユーザー名属性
認証用のユーザIDにバインドされた属性を入力します。例:
sAMAccountName。グループ属性\(s \)
グループとロールのマッピングに使用される、ユーザの一連のグループ属性を入力します。例:
memberOf, managedObjects。 -
[ロールマッピング]タブをクリックします。
-
事前定義されたロールにLDAPグループを割り当てます。1つのグループに複数のロールを割り当てることができます。
フィールドの詳細
設定 説明 マッピング
グループDN
マッピングするLDAPユーザグループの識別名(DN)を指定します。正規表現がサポートされます。これらの特殊正規表現文字はバックスラッシュでエスケープする必要があります。 (
\)正規表現パターンに含まれていない場合は、次のようにします。 \.[]{}()<>*+-=!?^$ロール
フィールド内をクリックし、グループDNにマッピングするストレージアレイのロールを選択します。このグループに含めるロールを個別に選択する必要があります。MonitorロールはSANtricity System Managerにログインするため必要なロールであり、他のロールと一緒に指定する必要があります。 各ロールの権限は次のとおりです。
-
* Storage admin *--ストレージ・オブジェクト(ボリュームやディスク・プールなど)への読み取り/書き込みのフル・アクセス。セキュリティ構成へのアクセスはありません。
-
* Security admin *--アクセス管理、証明書管理、監査ログ管理のセキュリティ構成へのアクセス、および従来の管理インターフェイス(SYMbol)のオン/オフの切り替え機能。
-
* Support admin *--ストレージアレイのすべてのハードウェアリソース、障害データ、MELイベント、およびコントローラファームウェアアップグレードへのアクセス。ストレージオブジェクトやセキュリティ設定にはアクセスできません。
-
*Monitor *--すべてのストレージオブジェクトへの読み取り専用アクセスが可能ですが、セキュリティ設定へのアクセスはありません。
Monitorロールは、管理者を含むすべてのユーザに必要です。Monitorロールがないユーザの場合、System Managerは正常に動作しません。
-
-
必要に応じて、*別のマッピングを追加*をクリックして、グループとロールのマッピングをさらに入力します。
-
マッピングが終了したら、*追加*をクリックします。
ストレージアレイとLDAPサーバが通信できるかどうかの検証がシステムによって実行されます。エラーメッセージが表示された場合は、ダイアログボックスで入力したクレデンシャルを確認し、必要に応じて情報を再入力します。