Active Directoryの監査クライアントの設定

開始する前に

タスク概要

StorageGRID Webscale環境内の、監査メッセージの取得先の各管理ノードで次の手順を実行します。
注:CIFS / Sambaを使用した監査エクスポートは、StorageGRID Webscale 11.1で廃止され、StorageGRID Webscaleの将来のリリースで削除される予定です。詳細については、StorageGRID Webscaleのアップグレードに関する情報を参照してください。

手順

  1. サービス ラップトップから、プライマリ管理ノードにログインします。
    1. 次のコマンドを入力します:ssh admin@primary_Admin_Node_IP
    2. Passwords.txtファイルに含まれているパスワードを入力します。
    3. 次のコマンドを入力してrootに切り替えます:su -
    4. Passwords.txtファイルに含まれているパスワードを入力します。
      rootとしてログインすると、プロンプトが$から#に変わります。
  2. すべてのサービスの状態が「Running」または「Verified」であることを確認します。storagegrid-status
    すべてのサービスが「Running」または「Verified」でない場合は、問題を解決してから続行してください。
  3. コマンドラインに戻って、Ctrl+Cキーを押します。
  4. CIFS設定ユーティリティを起動します。config_cifs.rb
    ---------------------------------------------------------------------
    | Shares                 | Authentication         | Config          |
    ---------------------------------------------------------------------
    | add-audit-share        | set-authentication     | validate-config |
    | enable-disable-share   | set-netbios-name       | help            |
    | add-user-to-share      | join-domain            | exit            |
    | remove-user-from-share | add-password-server    |                 |
    | modify-group           | remove-password-server |                 |
    |                        | add-wins-server        |                 |
    |                        | remove-wins-server     |                 |
    ---------------------------------------------------------------------
  5. Active Directoryの認証を設定します。set-authentication
    ほとんどの環境では、監査クライアントを追加する前に認証を設定する必要があります。認証がすでに設定されている場合は、確認のメッセージが表示されます。認証がすでに設定されている場合は、手順6に進みます。
    1. ワークグループまたはActive Directoryのインストールを求めるプロンプトが表示されたら、次のように入力します。ad
    2. プロンプトが表示されたら、ADドメインの名前(短いドメイン名)を入力します。
    3. プロンプトが表示されたら、ドメイン コントローラのIPアドレスまたはDNSホスト名を入力します。
    4. プロンプトが表示されたら、完全なドメイン レルム名を入力します。
      大文字を使用します。
    5. winbindサポートの有効化を求めるプロンプトが表示されたら、「y」と入力します。
      winbindはADサーバのユーザおよびグループ情報を解決するために使用されます。
    6. プロンプトが表示されたら、NetBIOS名を入力します。
    7. プロンプトが表示されたら、Enterキーを押します。
      CIFS設定ユーティリティが表示されます。
  6. ドメインに参加します。
    1. CIFS設定ユーティリティが起動していない場合は、起動します。config_cifs.rb
    2. ドメインに参加します。join-domain
    3. 管理ノードが現在ドメインの有効なメンバーかどうかテストするよう求めるプロンプトが表示されます。この管理ノードがドメインに参加していない場合は、次のように入力します。no
    4. プロンプトが表示されたら、管理者のユーザ名を指定します。administrator_username

      administrator_usernameはCIFS Active Directoryのユーザ名であり、StorageGRID Webscaleのユーザ名ではありません。

    5. プロンプトが表示されたら、管理者のパスワードを指定します。administrator_password

      administrator_passwordは、CIFS Active Directoryのパスワードであり、StorageGRID Webscaleのパスワードではありません。

    6. プロンプトが表示されたら、Enterキーを押します。

      CIFS設定ユーティリティが表示されます。

  7. ドメインに参加したことを確認します。
    1. ドメインに参加します。join-domain
    2. サーバが現在ドメインの有効なメンバーかどうかテストするよう求めるプロンプトが表示されたら、次のように入力します。y

      「Join is OK」というメッセージが表示される場合は、ドメインに参加しています。このメッセージが表示されない場合は、もう一度認証を設定してドメインに参加します。

    3. プロンプトが表示されたら、Enterキーを押します。

      CIFS設定ユーティリティが表示されます。

  8. 監査クライアントを追加します。add-audit-share
    1. ユーザまたはグループの追加を求めるプロンプトが表示されたら、次のように入力します。user
    2. 監査ユーザ名の入力を求めるプロンプトが表示されたら、監査ユーザ名を入力します。
    3. プロンプトが表示されたら、Enterキーを押します。

      CIFS設定ユーティリティが表示されます。

  9. 複数のユーザまたはグループが監査共有へのアクセスを許可されている場合は、ユーザを追加します。add-user-to-share
    有効な共有に番号が振られ、リストに表示されます。
    1. 監査エクスポート共有の数を入力します。
    2. ユーザまたはグループの追加を求めるプロンプトが表示されたら、次のように入力します。group

      監査グループ名の入力を求められます。

    3. 監査グループ名を求めるプロンプトが表示されたら、監査ユーザ グループの名前を入力します。
    4. プロンプトが表示されたら、Enterキーを押します。

      CIFS設定ユーティリティが表示されます。

    5. 監査共有に追加するユーザまたはグループごとに、手順9を繰り返します。
  10. 必要に応じて、設定を確認します。validate-config
    サービスがチェックされて表示されます。次のメッセージは無視してかまいません。
    • Can't find include file /etc/samba/includes/cifs-interfaces.inc
    • Can't find include file /etc/samba/includes/cifs-filesystem.inc
    • Can't find include file /etc/samba/includes/cifs-interfaces.inc
    • Can't find include file /etc/samba/includes/cifs-custom-config.inc
    • Can't find include file /etc/samba/includes/cifs-shares.inc
    • rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
      注意:「security=ads」と「password server」パラメータは同時に指定しないでください (Sambaは接続する正しいDCを自動的に検出します)。
    1. プロンプトが表示されたら、Enterキーを押して監査クライアントの設定を表示します。
    2. プロンプトが表示されたら、Enterキーを押します。

      CIFS設定ユーティリティが表示されます。

  11. CIFS設定ユーティリティを閉じます。exit
  12. StorageGRID Webscale環境が単一サイトの場合は、手順13に進みます。

    または

    StorageGRID Webscale環境の他のサイトに管理ノードが含まれている場合は、必要に応じてこれらの監査共有を有効にします。
    1. サイトの管理ノードにリモートからログインします。
      1. 次のコマンドを入力します:ssh admin@grid_node_IP
      2. Passwords.txtファイルに含まれているパスワードを入力します。
      3. 次のコマンドを入力してrootに切り替えます:su -
      4. Passwords.txtファイルに含まれているパスワードを入力します。
    2. 手順411を繰り返して、管理ノードごとに監査共有を設定します。
    3. 管理ノードへのリモートのSecure Shellログインを終了します。exit
  13. コマンド シェルからログアウトします。exit