メインコンテンツまでスキップ

ディレクトリ サーバの追加

アクセス管理用の認証を設定するには、LDAPサーバと ThinkSystem SAN Manager の Web Services Proxy を実行するホストの間の通信を確立します。そのあと、LDAPユーザ グループをローカル ユーザ ロールにマッピングします。

始める前に

  • Security Adminの権限を含むユーザ プロファイルでログインする必要があります。そうしないと、アクセス管理の機能は表示されません。
  • ユーザー・グループがディレクトリー・サービスに定義されている必要があります。
  • LDAP サーバーのクレデンシャルを確認しておく必要があります。ドメイン名とサーバーの URL のほか、場合によってはバインド・アカウントのユーザー名とパスワードも必要になります。
  • セキュア・プロトコルを使用する LDAPS サーバーの場合、LDAP サーバーの証明書チェーンをローカル・マシンにインストールする必要があります。

このタスクについて

ディレクトリ サーバの追加は2段階のプロセスです。最初に、ドメイン名とURLを入力します。サーバでセキュアなプロトコルを使用していて、認証に使用するCA証明書が標準の署名機関によって署名されていない場合、その証明書もアップロードする必要があります。バインド アカウントのクレデンシャルがある場合は、そのアカウント名とパスワードも入力できます。その後、LDAPサーバのユーザ グループをローカル ユーザ ロールにマッピングします。

  1. アクセスの管理」を選択します。
  2. [ディレクトリ サービス]タブで、[ディレクトリ サーバの追加]を選択します。
    [ディレクトリ サーバの追加]ダイアログ ボックスが開きます。
  3. [サーバの設定]タブで、LDAPサーバのクレデンシャルを入力します。

    フィールドの詳細

    設定説明
    構成設定
    ドメインLDAPサーバのドメイン名を入力します。ドメインを複数入力する場合は、カンマで区切って入力します。ドメイン名は、ログイン情報(username@domain)において、認証するディレクトリ サーバを指定するために使用されます。
    サーバ URLLDAP サーバーにアクセスするための URLを入力します。形式は ldap[s]:// host : port です。
    証明書のアップロード(オプション)
    このフィールドは、上記の[サーバ URL]フィールドでLDAPSプロトコルを指定した場合にのみ表示されます。

    [参照]をクリックし、アップロードするCA証明書を選択します。これは、LDAPサーバの認証に使用される信頼された証明書または証明書チェーンです。

    バインド アカウント(オプション)LDAPサーバに対する検索クエリやグループ内の検索で使用する読み取り専用のユーザ アカウントを入力します。アカウント名はLDAPタイプの形式で入力します。たとえば、バインド ユーザの名前が「bindacct」であれば、「CN=bindacct,CN=Users,DC=cpoc,DC=local」と入力します。
    バインド パスワード(オプション)
    このフィールドは、バインド アカウントを入力した場合に表示されます。
    バインド アカウントのパスワードを入力します。
    追加する前にサーバ接続をテストする入力したLDAPサーバの設定でシステムと通信できるかどうかを確認するには、このチェックボックスを選択します。テストは、ダイアログ ボックスの一番下の[追加]をクリックしたあとに実行されます。

    このチェックボックスを選択した場合、テストに失敗すると設定は追加されません。設定を追加するには、エラーを解決するか、チェックボックスを選択解除してテストをスキップする必要があります。

    権限設定
    検索ベース DNユーザーを検索する LDAP コンテキストを入力します。通常、形式は CN=Users, DC=copc, DC=local です。
    ユーザ名属性認証用のユーザIDにバインドされた属性を入力します。たとえば、 sAMAccountName です。
    グループ属性グループとロールのマッピングに使用される、ユーザの一連のグループ属性を入力します。たとえば、 memberOf, managedObjects です。
  4. [ロールのマッピング]タブをクリックします。
  5. 事前定義されたロールにLDAPグループを割り当てます。1つのグループに複数のロールを割り当てることができます。

    フィールドの詳細

    設定説明
    マッピング
    グループDNマッピングするLDAPユーザ グループの識別名(DN)を指定します。
    ロールフィールド内をクリックし、グループDNにマッピングするローカル ユーザ ロールを選択します。グループにマッピングするロールを1つずつ選択する必要があります。Monitorロールは ThinkSystem SAN Manager にログインするために必要なロールであり、他のロールと一緒に指定する必要があります。
    各ロールの権限は次のとおりです。
    • Storage Admin – アレイ上のストレージ・オブジェクトに対する完全な読み取り/書き込みアクセス。ただし、セキュリティー構成にアクセスできません。
    • Security Admin– 「アクセスの管理」と「証明書の管理」でのセキュリティー構成へのアクセス。
    • Support Admin – ストレージ・アレイ上にあるすべてのハードウェア・リソース、障害に関するデータ、MEL イベントへのアクセス。ストレージ オブジェクトやセキュリティ設定にはアクセスできません。
    • Monitor – すべてのストレージ・オブジェクトへの読み取り専用アクセス。ただし、セキュリティー構成にはアクセスできません。
    Monitorロールは、管理者を含むすべてのユーザに必要です。
  6. 必要な場合は、[別のマッピングを追加]をクリックしてグループとロールのマッピングをさらに指定します。
  7. マッピングが終了したら、[追加]をクリックします。
    ストレージ アレイとLDAPサーバが通信できるかどうかの検証がシステムによって実行されます。エラー メッセージが表示された場合は、ダイアログ ボックスで入力したクレデンシャルを確認し、必要に応じて情報を再入力します。