Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ディレクトリサーバの追加

共同作成者
PDF

アクセス管理用の認証を設定するには、LDAPサーバとUnified ManagerのWebサービスプロキシを実行するホストの間の通信を確立します。次に、LDAPユーザグループをローカルユーザロールにマッピングします。

開始する前に

  • Security Adminの権限を含むユーザプロファイルでログインする必要があります。そうしないと、アクセス管理機能は表示されません。

  • ユーザグループがディレクトリサービスに定義されている必要があります。

  • LDAPサーバのクレデンシャルを確認しておく必要があります。ドメイン名とサーバのURLのほか、必要に応じてバインドアカウントのユーザ名とパスワードも指定できます。

  • セキュアなプロトコルを使用するLDAPSサーバの場合は、LDAPサーバの証明書チェーンをローカルマシンにインストールする必要があります。

タスクの内容

ディレクトリサーバの追加は、2つの手順で行います。最初にドメイン名とURLを入力します。サーバでセキュアなプロトコルを使用している場合は、認証用のCA証明書もアップロードする必要があります(標準の署名機関によって署名されている場合)。バインドアカウントのクレデンシャルがある場合は、ユーザアカウント名とパスワードも入力できます。次に、LDAPサーバのユーザグループをローカルユーザロールにマッピングします。

手順

  1. アクセス管理*を選択します。

  2. [ディレクトリサービス]タブで、[ディレクトリサーバーの追加]を選択します。

    [ディレクトリサーバーの追加]ダイアログボックスが開きます。

  3. [サーバー設定]タブで、LDAPサーバーの資格情報を入力します。

    フィールドの詳細
    設定 製品説明

    構成設定

    ドメイン

    LDAPサーバのドメイン名を入力します。ドメインを複数入力する場合は、カンマで区切って入力します。ドメイン名は、ログイン(username@domain)で、認証するディレクトリサーバを指定するために使用されます。

    サーバURL

    LDAPサーバにアクセスするためのURLをの形式で入力し `ldap[s]://host:*port*`ます。

    証明書のアップロード(オプション)
    メモ このフィールドは、上記の[Server URL]フィールドでLDAPSプロトコルが指定されている場合にのみ表示されます。

    [Browse]をクリックして、アップロードするCA証明書を選択します。これは、LDAPサーバの認証に使用される信頼された証明書または証明書チェーンです。

    バインドアカウント(オプション)

    LDAPサーバに対する検索クエリおよびグループ内の検索に使用する読み取り専用ユーザアカウントを入力します。アカウント名はLDAPタイプの形式で入力します。たとえば、バインドユーザの名前が「bindacct」の場合は、などの値を入力します CN=bindacct,CN=Users,DC=cpoc,DC=local

    バインドパスワード(オプション)
    メモ このフィールドは、バインドアカウントを入力すると表示されます。

    バインドアカウントのパスワードを入力します。

    追加する前にサーバ接続をテストする

    入力したLDAPサーバの設定でシステムと通信できるかどうかを確認するには、このチェックボックスを選択します。このテストは、ダイアログボックスの下部にある*追加*(* Add *)をクリックした後に実行されます。

    このチェックボックスを選択してテストに失敗した場合、設定は追加されません。設定を追加するには、エラーを解決するか、チェックボックスを選択解除してテストをスキップする必要があります。

    権限の設定

    検索ベースDN

    ユーザを検索するLDAPコンテキストを入力します。通常はの形式で入力します CN=Users, DC=cpoc, DC=local

    ユーザ名属性

    認証用のユーザIDにバインドされた属性を入力します。例: sAMAccountName

    グループ属性

    グループとロールのマッピングに使用される、ユーザの一連のグループ属性を入力します。例: memberOf, managedObjects

  4. [役割マッピング(Role Mapping *)]タブをクリックします。

  5. 事前定義されたロールにLDAPグループを割り当てます。1つのグループに複数のロールを割り当てることができます。

    フィールドの詳細
    設定 製品説明

    マッピング

    グループDN

    マッピングするLDAPユーザグループの識別名(DN)を指定します。正規表現がサポートされています。正規表現パターンに含まれていない場合は、これらの特殊な正規表現文字をバックスラッシュ(\)でエスケープする必要があります。\.[]{}()<>*+-=!?^$

    役割

    フィールド内をクリックし、グループDNにマッピングするローカルユーザロールを1つ選択します。このグループに含めるロールをそれぞれ個別に選択する必要があります。MonitorロールはSANtricity Unified Managerにログインするため必要なロールであり、他のロールと一緒に指定する必要があります。各ロールの権限は次のとおりです。

    • * Storage admin *--アレイ上のストレージ・オブジェクトへの読み取り/書き込みのフル・アクセスを提供しますが'セキュリティ構成へのアクセスはありません

    • * Security admin *--アクセス管理と証明書管理のセキュリティ設定へのアクセス。

    • * Support admin *--ストレージアレイ上のすべてのハードウェアリソース、障害データ、およびMELイベントへのアクセス。ストレージオブジェクトやセキュリティ設定にはアクセスできません。

    • *Monitor *--すべてのストレージオブジェクトへの読み取り専用アクセスが可能ですが、セキュリティ設定へのアクセスはありません。
    メモ Monitorロールは、管理者を含むすべてのユーザに必要です。

  6. 必要に応じて、*別のマッピングを追加*をクリックして、グループとロールのマッピングをさらに入力します。

  7. マッピングが終了したら、*追加*をクリックします。

    システムによって検証が実行され、ストレージアレイとLDAPサーバが通信できるかどうかが確認されます。エラーメッセージが表示された場合は、ダイアログボックスで入力したクレデンシャルを確認し、必要に応じて情報を再入力します。