LDAPを使用したユーザ定義の設定

OnCommand Insight(OCI)でLDAPサーバによるユーザの認証と承認を使用するには、LDAPサーバでOnCommand Insight Server管理者として定義されている必要があります。

タスク概要

OnCommand Insightは、Microsoft Active DirectoryサーバでのLDAP、LDAPSをサポートしています。他のLDAP実装でも機能するかもしれませんが、Insightでは正式に確認されていません。この手順は、Microsoft Active Directoryバージョン2または3のLDAP(Lightweight Directory Access Protocol)を使用していることを前提としています。

LDAPユーザは、ローカルで定義されたユーザとともにユーザのリストに表示されます。

手順

  1. Insightツールバーで、[Admin]をクリックします。
  2. [Setup]をクリックします。
  3. [Users]タブをクリックします。
  4. ページの一番下までスクロールして、次に示すLDAPのセットアップを表示します。

    LDAPのセットアップの最初のページ
  5. [Enable LDAP]をクリックして、LDAPによるユーザの認証と承認を許可します。
  6. 次のフィールドに、ディレクトリ検索クエリで使用する許可されているユーザのクレデンシャルを入力します。
    • LDAP servers(このフィールドにInsightの証明書をインポートするには、[Certificates]をクリックします)
    • User name
    • Password(このパスワードをLDAPサーバで確認するには、[Validate]をクリックします)
    注:LDAPサーバを識別するIPアドレスまたはDNS名は、通常は次の形式で入力します。
    LDAP://<ldap-server-address>:port

    デフォルトのポートを使用する場合は次のようになります。

     ldap://<ldap-server-address>
    Insightでは、カンマで区切ったLDAP URLのリストを使用でき、LDAPプロトコルを検証せずに、それらのURLに接続しようとします。
  7. このLDAPユーザをさらに細かく定義する場合は、[Show more]をクリックし、次の属性の情報を入力します。
    デフォルトの設定はActive Directoryに対して有効です。
    Admins group
    管理者権限を持つユーザを識別するロール属性の値(デフォルトはSANscreen.admin)。
    Users group
    ユーザ権限を持つユーザを識別するロール属性の値(デフォルトはsanscreen.users)。
    Guests group
    ゲスト権限を持つユーザを識別するロール属性の値(デフォルトはsanscreen.guests)。
    Server admins group
    サーバ管理者権限を持つユーザを識別するロール属性の値(デフォルトはsanscreen.server.admin)。
    Timeout
    LDAPサーバからの応答がない場合にタイムアウトするまでの時間(ミリ秒)(デフォルトは2,000、いずれの場合もこれで十分なので変更しない)。
    Domain
    OnCommand InsightでLDAPユーザの検索を開始するLDAPノード(通常は組織の最上位ドメイン)。次に例を示します。
    DC=<enterprise>,DC=com
    User principal name attribute
    LDAPサーバで各ユーザを識別する属性(デフォルトはuserPrincipalName、グローバルに一意)。OnCommand Insightでは、この属性の内容を指定されたユーザ名と照合します。
    Role attribute
    ユーザのロールを識別するLDAPの属性(デフォルトはmemberOf)。
    Mail attribute
    ユーザのEメール アドレスを識別するLDAPの属性(デフォルトはmail)。これは、OnCommand Insightから配信されるOnCommand Insightレポートを受け取る場合に利用できます。OnCommand Insightでは、各ユーザが初めてログインしたときにEメール アドレスを収集し、それ以降アドレスを探すことはありません。
    注:LDAPサーバでEメール アドレスが変更された場合は、OnCommand Insightでアドレスを手動で変更してください。
    Distinguished name attribute
    ユーザの識別名を識別するLDAPの属性(デフォルトはdistinguishedName)。
  8. [Save]をクリックします。