Skip to main content
11.9
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

SANtricity Unified Managerでディレクトリサーバを追加

PDF

アクセス管理の認証を設定するには、LDAPサーバと、SANtricity Unified Manager用のWeb Services Proxyを実行しているホストとの間の通信を確立します。次に、LDAPユーザ グループをローカル ユーザ ロールにマッピングします。

開始する前に

  • Security Adminの権限を含むユーザ プロファイルでログインする必要があります。そうしないと、アクセス管理の機能は表示されません。

  • ユーザグループはディレクトリサービス内で定義する必要があります。

  • LDAPサーバの認証情報(ドメイン名、サーバURL、および必要に応じてバインドアカウントのユーザ名とパスワードを含む)が必要です。

  • セキュアなプロトコルを使用するLDAPSサーバの場合は、LDAPサーバの証明書チェーンがローカル マシンにインストールされている必要があります。

タスク概要

ディレクトリ サーバの追加は2段階のプロセスです。最初に、ドメイン名とURLを入力します。サーバでセキュアなプロトコルを使用していて、認証に使用するCA証明書が標準の署名機関によって署名されていない場合、その証明書もアップロードする必要があります。バインド アカウントのクレデンシャルがある場合は、そのアカウント名とパスワードも入力できます。その後、LDAPサーバのユーザ グループをローカル ユーザ ロールにマッピングします。

手順

  1. *アクセス管理*を選択します。

  2. Directory Services タブから Add Directory Server を選択します。

    「ディレクトリサーバの追加」ダイアログボックスが開きます。

  3. * Server Settings *タブで、LDAPサーバのクレデンシャルを入力します。

    フィールドの詳細
    設定 概要

    設定

    ドメイン

    LDAPサーバのドメイン名を入力します。複数のドメインを指定する場合は、ドメインをカンマ区切りのリストで入力します。ドメイン名は、ログイン(username@domain)で使用され、認証先のディレクトリサーバを指定します。

    サーバ URL

    LDAPサーバにアクセスするためのURLを `ldap[s]://host:*port*`の形式で入力します。

    証明書のアップロード(オプション)
    メモ このフィールドは、上記の[サーバ URL]フィールドでLDAPSプロトコルを指定した場合にのみ表示されます。

    • Browse * をクリックして、アップロードするCA証明書を選択します。これは、LDAPサーバの認証に使用される信頼できる証明書または証明書チェーンです。

    バインド アカウント(オプション)

    LDAPサーバに対する検索クエリおよびグループ内の検索用の読み取り専用ユーザアカウントを入力します。アカウント名はLDAP形式で入力してください。たとえば、バインドユーザが「bindacct」という名前の場合、 `CN=bindacct,CN=Users,DC=cpoc,DC=local`のような値を入力します。

    バインド パスワード(オプション)
    メモ このフィールドは、バインド アカウントを入力した場合に表示されます。

    バインド アカウントのパスワードを入力します。

    追加する前にサーバ接続をテストする

    システムが入力したLDAPサーバ設定と通信できることを確認する場合は、このチェックボックスを選択します。テストは、ダイアログボックスの下部にある*追加*をクリックした後に実行されます。

    このチェックボックスを選択した場合、テストに失敗すると設定は追加されません。設定を追加するには、エラーを解決するか、チェックボックスを選択解除してテストをスキップする必要があります。

    権限設定

    検索ベース DN

    ユーザを検索するLDAPコンテキストを入力します。通常は `CN=Users, DC=cpoc, DC=local`の形式です。

    ユーザ名属性

    認証用のユーザIDにバインドされた属性を入力します。例えば: sAMAccountName

    グループ属性

    グループとロールのマッピングに使用される、ユーザの一連のグループ属性を入力します。例えば: memberOf, managedObjects

  4. * ロール マッピング * タブをクリックします。

  5. 事前定義されたロールにLDAPグループを割り当てます。1つのグループに複数のロールを割り当てることができます。

    フィールドの詳細
    設定 概要

    マッピング

    グループDN

    マッピングするLDAPユーザーグループのグループ識別名(DN)を指定します。正規表現がサポートされています。これらの特殊な正規表現文字は、正規表現パターンの一部でない場合はバックスラッシュ(\)でエスケープする必要があります:\.[]{}()<>*+-=!?^$

    ロール

    フィールドをクリックし、グループDNにマッピングするローカルユーザーロールのいずれかを選択します。このグループに含める各ロールは個別に選択する必要があります。SANtricity Unified Managerにログインするには、Monitorロールを他のロールと組み合わせて使用する必要があります。マッピングされたロールには、次の権限が含まれます:

    • * Storage admin * — アレイ上のストレージオブジェクトへの完全な読み取り / 書き込みアクセスが可能ですが、セキュリティ設定へのアクセスはできません。

    • セキュリティ管理者 — アクセス管理および証明書管理のセキュリティ設定へのアクセス。

    • サポート管理者 — ストレージアレイ上のすべてのハードウェアリソース、障害データ、およびMELイベントへのアクセス。ストレージオブジェクトやセキュリティ設定へのアクセス権はありません。

    • Monitor — すべてのストレージオブジェクトへの読み取り専用アクセスが可能ですが、セキュリティ構成へのアクセスはできません。
    メモ Monitorロールは、管理者を含むすべてのユーザに必要です。

  6. 必要に応じて、*別のマッピングを追加*をクリックして、グループと役割のマッピングをさらに入力してください。

  7. マッピングが完了したら、*Add*をクリックします。

    ストレージ アレイとLDAPサーバが通信できるかどうかの検証がシステムによって実行されます。エラー メッセージが表示された場合は、ダイアログ ボックスで入力したクレデンシャルを確認し、必要に応じて情報を再入力します。