LDAPを使用したユーザ定義の設定

OnCommand Insight（OCI）でLDAPサーバによるユーザの認証と承認を使用するには、LDAPサーバでOnCommand Insight Server管理者として定義されている必要があります。

1. Insightツールバーで、[Admin]をクリックします。
2. [Setup]をクリックします。
3. [Users]タブをクリックします。
4. ページの一番下までスクロールして、次に示すLDAPのセットアップを表示します。
   
   
   
5. [Enable LDAP]をクリックして、LDAPによるユーザの認証と承認を許可します。
6. 次のフィールドに、ディレクトリ検索クエリで使用する許可されているユーザのクレデンシャルを入力します。
   • LDAP servers（このフィールドにInsightの証明書をインポートするには、[Certificates]をクリックします）
   • User name
   • Password（このパスワードをLDAPサーバで確認するには、[Validate]をクリックします）
   注:LDAPサーバを識別するIPアドレスまたはDNS名は、通常は次の形式で入力します。

   LDAP://<ldap-server-address>:port

   デフォルトのポートを使用する場合は次のようになります。

    ldap://<ldap-server-address>

   Insightでは、カンマで区切ったLDAP URLのリストを使用でき、LDAPプロトコルを検証せずに、それらのURLに接続しようとします。
7. このLDAPユーザをさらに細かく定義する場合は、[Show more]をクリックし、次の属性の情報を入力します。
   デフォルトの設定はActive Directoryに対して有効です。

   Admins group

   管理者権限を持つユーザを識別するロール属性の値（デフォルトはSANscreen.admin）。

   Users group

   ユーザ権限を持つユーザを識別するロール属性の値（デフォルトはsanscreen.users）。

   Guests group

   ゲスト権限を持つユーザを識別するロール属性の値（デフォルトはsanscreen.guests）。

   Server admins group

   サーバ管理者権限を持つユーザを識別するロール属性の値（デフォルトはsanscreen.server.admin）。

   Timeout

   LDAPサーバからの応答がない場合にタイムアウトするまでの時間（ミリ秒）（デフォルトは2,000、いずれの場合もこれで十分なので変更しない）。

   Domain

   OnCommand InsightでLDAPユーザの検索を開始するLDAPノード（通常は組織の最上位ドメイン）。次に例を示します。

   DC=<enterprise>,DC=com

   User principal name attribute

   LDAPサーバで各ユーザを識別する属性（デフォルトはuserPrincipalName、グローバルに一意）。OnCommand Insightでは、この属性の内容を指定されたユーザ名と照合します。

   Role attribute

   ユーザのロールを識別するLDAPの属性（デフォルトはmemberOf）。

   Mail attribute

   ユーザのEメール アドレスを識別するLDAPの属性（デフォルトはmail）。これは、OnCommand Insightから配信されるOnCommand Insightレポートを受け取る場合に利用できます。OnCommand Insightでは、各ユーザが初めてログインしたときにEメール アドレスを収集し、それ以降アドレスを探すことはありません。

   注:LDAPサーバでEメール アドレスが変更された場合は、OnCommand Insightでアドレスを手動で変更してください。

   Distinguished name attribute

   ユーザの識別名を識別するLDAPの属性（デフォルトはdistinguishedName）。

8. [Save]をクリックします。