Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

LDAPディレクトリサーバを追加する

共同作成者
PDF

アクセス管理用の認証を設定するには、ストレージアレイとLDAPサーバの間の通信を確立し、LDAPユーザグループをアレイの事前定義されたロールにマッピングします。

開始する前に

  • Security Adminの権限を含むユーザプロファイルでログインする必要があります。そうしないと、アクセス管理機能は表示されません。

  • ユーザグループがディレクトリサービスに定義されている必要があります。

  • LDAPサーバのクレデンシャルを確認しておく必要があります。ドメイン名とサーバのURLのほか、必要に応じてバインドアカウントのユーザ名とパスワードも指定できます。

  • セキュアなプロトコルを使用するLDAPSサーバの場合は、LDAPサーバの証明書チェーンをローカルマシンにインストールする必要があります。

タスクの内容

ディレクトリサーバの追加は、2つの手順で行います。最初にドメイン名とURLを入力します。サーバでセキュアなプロトコルを使用している場合は、認証用のCA証明書もアップロードする必要があります(標準の署名機関によって署名されている場合)。バインドアカウントのクレデンシャルがある場合は、ユーザアカウント名とパスワードも入力できます。次に、LDAPサーバのユーザグループをストレージアレイの事前定義されたロールにマッピングします。

メモ

LDAPサーバを追加すると、従来の管理インターフェイスが無効になります。従来の管理インターフェイス(SYMbol)は、ストレージアレイと管理クライアントの間の通信方法です。無効にすると、ストレージアレイと管理クライアントはよりセキュアな通信方法(HTTPS経由のREST API)を使用します。
手順

  1. メニューを選択します。Settings [Access Management]。

  2. [ディレクトリサービス]タブで、[ディレクトリサーバーの追加]を選択します。

    [ディレクトリサーバーの追加]ダイアログボックスが開きます。

  3. [Server Settings]タブで、LDAPサーバのクレデンシャルを入力します。

    フィールドの詳細
    設定 製品説明

    構成設定

    ドメイン

    LDAPサーバのドメイン名を入力します。ドメインを複数入力する場合は、カンマで区切って入力します。ドメイン名は、ログイン(username@domain)で、認証するディレクトリサーバを指定するために使用されます。

    サーバURL

    LDAPサーバにアクセスするためのURLをの形式で入力し `ldap[s]://host:*port*`ます。

    証明書のアップロード(オプション)
    メモ このフィールドは、上記の[Server URL]フィールドでLDAPSプロトコルが指定されている場合にのみ表示されます。

    [Browse]をクリックして、アップロードするCA証明書を選択します。これは、LDAPサーバの認証に使用される信頼された証明書または証明書チェーンです。

    バインドアカウント(オプション)

    LDAPサーバに対する検索クエリおよびグループ内の検索に使用する読み取り専用ユーザアカウントを入力します。アカウント名はLDAPタイプの形式で入力します。たとえば、バインドユーザの名前が「bindacct」の場合は、「CN=bindacct、CN=Users、DC=cpoc、DC=local」のように入力します。

    バインドパスワード(オプション)
    メモ このフィールドは、上記のバインドアカウントを入力すると表示されます。

    バインドアカウントのパスワードを入力します。

    追加する前にサーバ接続をテストする

    入力したLDAPサーバの設定でストレージアレイが通信できるようにするには、このチェックボックスをオンにします。このテストは、ダイアログボックスの下部にある*追加*(* Add *)をクリックした後に実行されます。このチェックボックスを選択してテストに失敗した場合、設定は追加されません。設定を追加するには、エラーを解決するか、チェックボックスを選択解除してテストをスキップする必要があります。

    権限の設定

    検索ベースDN

    ユーザを検索するLDAPコンテキストを入力します。通常はの形式で入力します CN=Users, DC=cpoc, DC=local

    ユーザ名属性

    認証用のユーザIDにバインドされた属性を入力します。例: sAMAccountName

    グループ属性

    グループとロールのマッピングに使用される、ユーザの一連のグループ属性を入力します。例: memberOf, managedObjects

  4. [ロールマッピング]タブをクリックします。

  5. 事前定義されたロールにLDAPグループを割り当てます。1つのグループに複数のロールを割り当てることができます。

    フィールドの詳細
    設定 製品説明

    マッピング

    グループDN

    マッピングするLDAPユーザグループの識別名(DN)を指定します。正規表現がサポートされています。(`\`正規表現パターンに含まれていない特殊な正規表現文字は、バックスラッシュでエスケープする必要があります。\.[]{}()<>*+-=!?^$

    役割

    フィールド内をクリックし、グループDNにマッピングするストレージアレイのロールを1つ選択します。このグループに含めるロールをそれぞれ個別に選択する必要があります。MonitorロールはSANtricity System Managerにログインするため必要なロールであり、他のロールと一緒に指定する必要があります。各ロールの権限は次のとおりです。

    • * Storage admin *--ストレージ・オブジェクト(ボリュームやディスク・プールなど)への読み取り/書き込みのフル・アクセス。セキュリティ構成へのアクセスはありません。

    • * Security admin *--アクセス管理、証明書管理、監査ログ管理のセキュリティ構成へのアクセス、および従来の管理インターフェイス(SYMbol)のオン/オフの切り替え機能。

    • * Support admin *--ストレージアレイのすべてのハードウェアリソース、障害データ、MELイベント、およびコントローラファームウェアアップグレードへのアクセス。ストレージオブジェクトやセキュリティ設定にはアクセスできません。

    • *Monitor *--すべてのストレージオブジェクトへの読み取り専用アクセスが可能ですが、セキュリティ設定へのアクセスはありません。
    メモ

    Monitorロールは、管理者を含むすべてのユーザに必要です。Monitorロールがないユーザの場合、System Managerは正常に動作しません。

  6. 必要に応じて、*別のマッピングを追加*をクリックして、グループとロールのマッピングをさらに入力します。

  7. マッピングが終了したら、*追加*をクリックします。

    システムによって検証が実行され、ストレージアレイとLDAPサーバが通信できるかどうかが確認されます。エラーメッセージが表示された場合は、ダイアログボックスで入力したクレデンシャルを確認し、必要に応じて情報を再入力します。