ディレクトリサーバを追加します
アクセス管理用の認証を設定するには、LDAPサーバとUnified ManagerのWebサービスプロキシを実行するホストの間の通信を確立します。その後、LDAPユーザグループをローカルユーザロールにマッピングします。
-
Security Adminの権限を含むユーザプロファイルでログインする必要があります。そうしないと、アクセス管理機能は表示されません。
-
ユーザグループがディレクトリサービスに定義されている必要があります。
-
LDAPサーバのクレデンシャルを確認しておく必要があります。ドメイン名とサーバのURLのほか、必要に応じてバインドアカウントのユーザ名とパスワードも指定できます。
-
セキュアなプロトコルを使用するLDAPSサーバの場合は、LDAPサーバの証明書チェーンがローカルマシンにインストールされている必要があります。
ディレクトリサーバの追加は、2つのステップで行います。まず、ドメイン名とURLを入力します。サーバでセキュアなプロトコルを使用している場合、認証に使用するCA証明書が標準の署名機関によって署名されていない場合、その証明書もアップロードする必要があります。バインドアカウントのクレデンシャルがある場合は、そのアカウント名とパスワードも入力できます。次に、LDAPサーバのユーザグループをローカルユーザロールにマッピングします。
-
アクセス管理*を選択します。
-
[ディレクトリサービス]タブで、[ディレクトリサーバーの追加]を選択します。
[ディレクトリサーバーの追加]ダイアログボックスが開きます。
-
[サーバー設定]タブで、LDAPサーバーの資格情報を入力します。
フィールドの詳細
設定 説明 構成設定
ドメイン
LDAPサーバのドメイン名を入力します。ドメインを複数入力する場合は、カンマで区切って入力します。ドメイン名は、ログイン(username@domain)で、認証するディレクトリサーバを指定するために使用されます。
サーバURL
LDAPサーバにアクセスするためのURLを次の形式で入力します。
ldap[s]://host:*port*
。証明書のアップロード(オプション)
このフィールドは、上記のサーバURLフィールドにLDAPSプロトコルが指定されている場合にのみ表示されます。 [Browse]をクリックして、アップロードするCA証明書を選択します。これは、LDAPサーバの認証に使用される信頼された証明書または証明書チェーンです。
バインドアカウント(オプション)
LDAPサーバに対する検索クエリやグループ内の検索で使用する読み取り専用のユーザアカウントを入力します。アカウント名はLDAPタイプの形式で入力します。たとえば、バインドユーザの名前が「bindacct」の場合は、次のような値を入力します。
CN=bindacct,CN=Users,DC=cpoc,DC=local
。バインドパスワード(オプション)
このフィールドは、バインドアカウントを入力した場合に表示されます。 バインドアカウントのパスワードを入力します。
追加する前にサーバ接続をテストします
入力したLDAPサーバの設定でシステムと通信できるかどうかを確認するには、このチェックボックスを選択します。このテストは、ダイアログボックスの下部にある*追加*(* Add *)をクリックした後に実行されます。
このチェックボックスをオンにした場合、テストに失敗すると設定は追加されません。設定を追加するには、エラーを解決するか、チェックボックスを選択解除してテストをスキップする必要があります。
権限の設定
検索ベースDN
ユーザを検索するLDAPコンテキストを入力します。通常は、の形式で入力します
CN=Users, DC=cpoc, DC=local
。ユーザー名属性
認証用のユーザIDにバインドされた属性を入力します。例:
sAMAccountName
。グループ属性
グループとロールのマッピングに使用される、ユーザの一連のグループ属性を入力します。例:
memberOf, managedObjects
。 -
[役割マッピング(Role Mapping *)]タブをクリックします。
-
事前定義されたロールにLDAPグループを割り当てます。1つのグループに複数のロールを割り当てることができます。
フィールドの詳細
設定 説明 マッピング
グループDN
マッピングするLDAPユーザグループの識別名(DN)を指定します。正規表現がサポートされます。正規表現パターンに含まれていない特殊な正規表現文字は、バックスラッシュ(\)でエスケープする必要があります。 \.[]{}()<>*+-=!?^$
ロール
フィールド内をクリックし、グループDNにマッピングするローカルユーザロールを選択します。このグループに含めるロールを個別に選択する必要があります。MonitorロールはSANtricity Unified Managerにログインするため必要なロールであり、他のロールと一緒に指定する必要があります。各ロールの権限は次のとおりです。
-
* Storage admin *--アレイ上のストレージ・オブジェクトへの読み取り/書き込みのフル・アクセスを提供しますが'セキュリティ構成へのアクセスはありません
-
* Security admin *--アクセス管理と証明書管理のセキュリティ設定へのアクセス。
-
* Support admin *--ストレージアレイ上のすべてのハードウェアリソース、障害データ、およびMELイベントへのアクセス。ストレージオブジェクトやセキュリティ設定にはアクセスできません。
-
*Monitor *--すべてのストレージオブジェクトへの読み取り専用アクセスが可能ですが、セキュリティ設定へのアクセスはありません。
Monitorロールは、管理者を含むすべてのユーザに必要です。 -
-
必要に応じて、*別のマッピングを追加*をクリックして、グループとロールのマッピングをさらに入力します。
-
マッピングが終了したら、*追加*をクリックします。
ストレージアレイとLDAPサーバが通信できるかどうかの検証がシステムによって実行されます。エラーメッセージが表示された場合は、ダイアログボックスで入力したクレデンシャルを確認し、必要に応じて情報を再入力します。