メインコンテンツまでスキップ

ディレクトリ サーバの追加

アクセス管理用に認証を設定するために、ストレージ アレイとLDAPサーバの間の通信を確立し、LDAPユーザ グループをアレイの事前定義されたロールにマッピングすることができます。

始める前に

  • Security Adminの権限を含むユーザ プロファイルでログインする必要があります。そうしないと、アクセス管理の機能は表示されません。
  • ユーザー・グループがディレクトリー・サービスに定義されている必要があります。
  • LDAP サーバーのクレデンシャルを確認しておく必要があります。ドメイン名とサーバーの URL のほか、場合によってはバインド・アカウントのユーザー名とパスワードも必要になります。
  • セキュア・プロトコルを使用する LDAPS サーバーの場合、LDAP サーバーの証明書チェーンをローカル・マシンにインストールする必要があります。

このタスクについて

ディレクトリ サーバの追加は2段階のプロセスです。最初に、ドメイン名とURLを入力します。サーバでセキュアなプロトコルを使用していて、認証に使用するCA証明書が標準の署名機関によって署名されていない場合、その証明書もアップロードする必要があります。バインド アカウントのクレデンシャルがある場合は、そのアカウント名とパスワードも入力できます。その後、LDAPサーバのユーザ グループをストレージ アレイの事前定義されたロールにマッピングします。
LDAPサーバを追加すると、従来の管理インターフェイスは無効になります。従来の管理インターフェイス(SYMbol)は、ストレージ アレイと管理クライアントの間の通信に使用される方法です。無効になると、ストレージ アレイと管理クライアントはより安全な通信方法(HTTPS経由のREST API)を使用します。
  1. 設定 > アクセスの管理の順に選択します。
  2. [ディレクトリ サービス]タブで、[ディレクトリ サーバの追加]を選択します。
    [ディレクトリ サーバの追加]ダイアログ ボックスが開きます。
  3. [サーバの設定]タブで、LDAPサーバのクレデンシャルを入力します。
    表 1. フィールドの詳細
    設定説明
    構成設定
    ドメインLDAPサーバのドメイン名を入力します。ドメインを複数入力する場合は、カンマで区切って入力します。ドメイン名は、ログイン情報(username@domain)において、認証するディレクトリ サーバを指定するために使用されます。
    サーバ URLLDAP サーバーにアクセスするための URLを入力します。形式は ldap[s]:// host : port です。
    証明書のアップロード(オプション)
    このフィールドは、上記の[サーバ URL]フィールドでLDAPSプロトコルを指定した場合にのみ表示されます。

    [参照]をクリックし、アップロードするCA証明書を選択します。これは、LDAPサーバの認証に使用される信頼された証明書または証明書チェーンです。

    バインド アカウント(オプション)LDAPサーバに対する検索クエリやグループ内の検索で使用する読み取り専用のユーザ アカウントを入力します。アカウント名はLDAPタイプの形式で入力します。たとえば、バインド ユーザの名前が「bindacct」であれば、「CN=bindacct,CN=Users,DC=cpoc,DC=local」などと入力します。
    バインド パスワード(オプション)
    このフィールドは、上記のバインド アカウントを入力した場合に表示されます。
    バインド アカウントのパスワードを入力します。
    追加する前にサーバ接続をテストするストレージ・アレイが、入力された LDAP サーバー構成と通信できることを確認する場合は、このチェック・ボックスを選択します。テストは、ダイアログ ボックスの一番下の[追加]をクリックしたあとに実行されます。

    このチェックボックスを選択した場合、テストに失敗すると設定は追加されません。設定を追加するには、エラーを解決するか、チェックボックスを選択解除してテストをスキップする必要があります。

    権限設定
    検索ベース DNユーザーを検索する LDAP コンテキストを入力します。通常、形式は CN=Users, DC=copc, DC=local です。
    ユーザ名属性認証用のユーザIDにバインドされた属性を入力します。たとえば、 sAMAccountName です。
    グループ属性グループとロールのマッピングに使用される、ユーザの一連のグループ属性を入力します。たとえば、 memberOf, managedObjects です。
  4. [ロールのマッピング]タブをクリックします。
  5. 事前定義されたロールにLDAPグループを割り当てます。1つのグループに複数のロールを割り当てることができます。
    表 2. フィールドの詳細
    設定説明
    マッピング
    グループDNマッピングするLDAPユーザ グループの識別名(DN)を指定します。
    ロールフィールド内をクリックし、属性にマッピングするストレージ・アレイのロールのいずれかを選択します。グループにマッピングするロールを1つずつ選択する必要があります。MonitorロールはThinkSystem System Managerにログインするため必要なロールであり、他のロールと一緒に指定する必要があります。
    各ロールの権限は次のとおりです。
    • Storage Admin – ストレージ オブジェクト(ボリュームやディスク プールなど)に対する読み取り / 書き込みのフル アクセスが付与されます。セキュリティ設定にはアクセスできません。
    • Security Admin – アクセス管理、証明書管理、および監査ログ管理のセキュリティ設定へのアクセスが付与されます。また、従来の管理インターフェイス(SYMbol)のオンとオフを切り替えることができます。
    • Support Admin – ストレージ アレイのすべてのハードウェア リソース、障害データ、MELイベント、およびコントローラ ファームウェア アップグレードへのアクセスが付与されます。ストレージ・オブジェクトやセキュリティー構成にはアクセスできません。
    • Monitor – すべてのストレージ オブジェクトに対する読み取り専用のアクセスが付与されます。セキュリティ設定にはアクセスできません。
    Monitorロールは、管理者を含むすべてのユーザに必要です。—System Manager は、モニター役割が存在しないユーザーについては正常に動作しません。
  6. 必要な場合は、[別のマッピングを追加]をクリックしてグループとロールのマッピングをさらに指定します。
  7. マッピングが終了したら、[追加]をクリックします。
    ストレージ アレイとLDAPサーバが通信できるかどうかの検証がシステムによって実行されます。エラー メッセージが表示された場合は、ダイアログ ボックスで入力したクレデンシャルを確認し、必要に応じて情報を再入力します。