Skip to main content
11.9
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

SANtricity System ManagerでLDAPディレクトリサーバを追加する

PDF

アクセス管理用に認証を設定するために、ストレージ アレイとLDAPサーバの間の通信を確立し、LDAPユーザ グループをアレイの事前定義されたロールにマッピングすることができます。

開始する前に

  • Security Adminの権限を含むユーザ プロファイルでログインする必要があります。そうしないと、アクセス管理の機能は表示されません。

  • ユーザグループはディレクトリサービス内で定義する必要があります。

  • LDAPサーバの認証情報(ドメイン名、サーバURL、および必要に応じてバインドアカウントのユーザ名とパスワードを含む)が必要です。

  • セキュアなプロトコルを使用するLDAPSサーバの場合は、LDAPサーバの証明書チェーンがローカル マシンにインストールされている必要があります。

タスク概要

ディレクトリ サーバの追加は2段階のプロセスです。最初に、ドメイン名とURLを入力します。サーバでセキュアなプロトコルを使用していて、認証に使用するCA証明書が標準の署名機関によって署名されていない場合、その証明書もアップロードする必要があります。バインド アカウントのクレデンシャルがある場合は、そのアカウント名とパスワードも入力できます。その後、LDAPサーバのユーザ グループをストレージ アレイの事前定義されたロールにマッピングします。

メモ

LDAPサーバを追加すると、従来の管理インターフェイスは無効になります。従来の管理インターフェイス(SYMbol)は、ストレージ アレイと管理クライアントの間の通信に使用される方法です。無効になると、ストレージ アレイと管理クライアントはより安全な通信方法(HTTPS経由のREST API)を使用します。
手順

  1. メニューの「設定」→「アクセス管理」を選択します。

  2. ディレクトリサービス タブから、*ディレクトリ サーバーの追加*を選択します。

    「ディレクトリサーバの追加」ダイアログボックスが開きます。

  3. サーバー設定タブで、LDAPサーバの資格情報を入力します。

    フィールドの詳細
    設定 概要

    設定

    ドメイン

    LDAPサーバのドメイン名を入力します。複数のドメインを指定する場合は、ドメインをカンマ区切りのリストで入力します。ドメイン名は、ログイン(username@domain)で使用され、認証先のディレクトリサーバを指定します。

    サーバ URL

    LDAPサーバにアクセスするためのURLを `ldap[s]://host:*port*`の形式で入力します。

    証明書のアップロード(オプション)
    メモ このフィールドは、上記の[サーバ URL]フィールドでLDAPSプロトコルを指定した場合にのみ表示されます。

    • Browse * をクリックして、アップロードするCA証明書を選択します。これは、LDAPサーバの認証に使用される信頼できる証明書または証明書チェーンです。

    バインド アカウント(オプション)

    LDAPサーバに対する検索クエリやグループ内の検索で使用する読み取り専用のユーザ アカウントを入力します。アカウント名はLDAPタイプの形式で入力します。たとえば、バインド ユーザの名前が「bindacct」であれば、「CN=bindacct,CN=Users,DC=cpoc,DC=local」などと入力します。

    バインド パスワード(オプション)
    メモ このフィールドは、上記のバインド アカウントを入力した場合に表示されます。

    バインド アカウントのパスワードを入力します。

    追加する前にサーバ接続をテストする

    ストレージアレイが入力したLDAPサーバ設定と通信できることを確認する場合は、このチェックボックスを選択します。テストは、ダイアログボックスの下部にある*追加*をクリックした後に実行されます。このチェックボックスが選択されていて、テストが失敗した場合、設定は追加されません。エラーを解決するか、チェックボックスの選択を解除してテストをスキップし、設定を追加する必要があります。

    権限設定

    検索ベース DN

    ユーザを検索するLDAPコンテキストを入力します。通常は `CN=Users, DC=cpoc, DC=local`の形式です。

    ユーザ名属性

    認証用のユーザIDにバインドされた属性を入力します。例えば: sAMAccountName

    グループ属性

    グループとロールのマッピングに使用される、ユーザの一連のグループ属性を入力します。例えば: memberOf, managedObjects

  4. Role Mappingタブをクリックします。

  5. 事前定義されたロールにLDAPグループを割り当てます。1つのグループに複数のロールを割り当てることができます。

    フィールドの詳細
    設定 概要

    マッピング

    グループDN

    マッピングするLDAPユーザーグループのグループ識別名(DN)を指定します。正規表現がサポートされています。次の特殊な正規表現文字が正規表現パターンの一部でない場合は、バックスラッシュ(`\`でエスケープする必要があります:\.[]{}()<>*+-=!?^$

    ロール

    フィールドをクリックして、グループDNにマッピングするストレージアレイのロールを1つ選択します。このグループに含めるロールは、それぞれ個別に選択する必要があります。Monitorロールは、他のロールと組み合わせてSANtricity System Managerにログインするために必要です。マッピングされたロールには、以下の権限が含まれます:

    • * Storage admin * — ストレージオブジェクト(ボリュームやディスクプールなど)へのフル読み取り / 書き込みアクセスは可能ですが、セキュリティ構成へのアクセスはできません。

    • Security admin — Access Managementのセキュリティ設定、証明書管理、監査ログ管理へのアクセス、およびレガシー管理インターフェイス(SYMbol)のオン/オフを切り替える機能。

    • サポート管理者 — ストレージアレイ上のすべてのハードウェアリソース、障害データ、MELイベント、およびコントローラファームウェアのアップグレードへのアクセス。ストレージオブジェクトやセキュリティ設定へのアクセス権はありません。

    • Monitor — すべてのストレージオブジェクトへの読み取り専用アクセスが可能ですが、セキュリティ構成へのアクセスはできません。
    メモ

    Monitorロールは、管理者を含むすべてのユーザに必要です。Monitorロールがないユーザの場合、System Managerは正常に動作しません。

  6. 必要に応じて、*別のマッピングを追加*をクリックして、グループと役割のマッピングをさらに入力してください。

  7. マッピングが完了したら、*Add*をクリックします。

    ストレージ アレイとLDAPサーバが通信できるかどうかの検証がシステムによって実行されます。エラー メッセージが表示された場合は、ダイアログ ボックスで入力したクレデンシャルを確認し、必要に応じて情報を再入力します。