LDAP の構成
XClarity Controller の LDAP 設定を表示または変更するには、このトピックの情報を使用します。
- LDAP プロトコル・バージョン 3 (RFC 2251) のサポート
- 標準 LDAP クライアント API (RFC 1823) をサポート
- 標準 LDAP 検索フィルター構文 (RFC 2254) のサポート
- Lightweight Directory Access Protocol (v3) Extension for Transport Layer Security (RFC-2830) のサポート
- Microsoft Active Directory (Windows 2003、Windows 2008、Windows 2012、Windows 2016、Windows 2019)
- Microsoft Active Directory Application Mode (Windows 2003、Windows 2008)
- Microsoft ライトウェイト・ディレクトリ・サービス (Windows 2008、Windows 2012、Windows 2016、Windows 2019)
- Novell eDirectory Server、バージョン 8.7 および 8.8
- OpenLDAP サーバー 2.1、2.2、2.3、2.4、2.5 および 2.6
XClarity Controller の LDAP 設定を表示または変更するには、「LDAP」タブをクリックします。
XClarity Controller は、XClarity Controller 自体に保存されたローカル・ユーザー・アカウントの代わりまたはアカウントに追加で、中央 LDAP サーバーを介してユーザーのアクセスをリモートで認証できます。特権は、「ログイン許可属性」の値を使用して、ユーザー・アカウントごとに指定できます。また、LDAP サーバーを使用して、通常のユーザー (パスワード検査) 認証の他に、ユーザーをグループに割り当ててグループ認証を行うこともできます。たとえば、XClarity Controller を 1 つ以上のグループに関連付けることができ、ユーザーはこの XClarity Controller に関連付けられている少なくとも 1 つのグループに属している場合にのみ、グループ認証にパスします。
- 「LDAP サーバー情報」内で、項目リストから以下のオプションを使用できます。
- 認証のみに LDAP サーバーを使用する (ローカル承認): この選択肢は、資格情報を LDAP サーバーへの認証にのみ使用し、グループ・メンバーシップ情報を取得するように XClarity Controller に指示します。グループ名と役割は、「ローカル承認用グループ」セクションで設定できます。
- 認証と承認に LDAP サーバーを使用する: この選択肢は、資格情報を LDAP サーバーへの認証とユーザーのアクセス権限の識別の両方に使用するように XClarity Controller に指示します。
注認証に使用する LDAP サーバーは、手動で構成することも DNS SRV レコード経由で動的に検出することも可能です。- 事前構成済みのサーバーを使用する: 各サーバーの IP アドレスまたはホスト名 (DNS が有効である場合) を入力して、最大 3 つの LDAP サーバーを構成できます。各サーバーのポート番号はオプションです。このフィールドをブランクのまま残した場合、デフォルト値の 389 が、非セキュア LDAP 接続に使用されます。セキュア接続では、デフォルトのポート値は 636 です。少なくとも 1 つの LDAP サーバーが構成されている必要があります。
- DNS を使用してサーバーを探す: LDAP サーバーを動的に検出するように選択できます。RFC2782 (サービスのロケーションを指定する DNS RR) で説明されるメカニズムが LDAP サーバーの検索に使用されます。これは、DNS SRV と呼ばれています。DNS SRV 要求のドメイン名として使用する完全修飾ドメイン名 (FQDN) を指定する必要があります。
- AD フォレスト: クロス・ドメインのユニバーサル・グループがある環境では、フォレスト名 (ドメインのセット) が、要求されたグローバル・カタログ (GC) を検出するように構成されている必要があります。ドメイン間グループ・メンバーシップが適用されない環境では、このフィールドはブランクのままにしておきます。
- AD ドメイン: DNS SRV 要求のドメイン名として使用する完全修飾ドメイン名 (FQDN) を指定する必要があります。
- 「追加のパラメーター」の下に情報を入力します。パラメーターの説明を以下に示します。
- LDAP タイプ
- LDAP ベースの認証に使用する LDAP サーバーのタイプを選択します。以下のサーバー・タイプを使用できます。
OpenLDAP
OpenLDAP
Active Directory
ディレクトリー: Windows Active Directory
その他
ディレクトリー: Apache Directory、eDirectory など
- バインディング方式
- LDAP サーバーの検索または照会を行うには、事前にバインド要求を送信する必要があります。このフィールドにより、この LDAP サーバーへの初期バインドを実行する方法を制御します。以下のバインド方式が選択可能です。
構成済み資格情報を使用
構成済みの DN およびパスワードを使用してバインドするには、この方式を使用します。
ログイン資格情報を使用
ログイン・プロセスで提供された資格情報を使用してバインドするには、この方式を使用します。ユーザー ID は、DN、部分 DN、完全修飾ドメイン名を介して、または XClarity Controller 上で構成された UID 検索属性に一致するユーザー ID を介して提供できます。提示された資格情報が部分 DN (たとえば、cn=joe) と同様の場合、この部分 DN は、ユーザーの記録に一致する DN の作成を試行するときに、構成済みのルート DN の先頭に付けられます。バインド試行が失敗した場合、最後の試行は、ログイン資格情報の先頭に cn= を付けて試行されます。その後、その結果の文字列を構成済みのルート DN の先頭に追加します。
- クライアント識別名
- 初期バインドに使用するクライアント識別名 (DN)。また、最大 300 文字に制限されています。
- クライアント・パスワード
- この識別クライアントのパスワード。
- ルート DN
- LDAP サーバー上のディレクトリー・ツリーのルート・エントリーの識別名 (DN) です (たとえば、dn=mycompany,dc=com)。この DN がすべての検索要求の基本オブジェクトとして使用されます。
- ユーザーのログイン名検索属性
- バインド方式が「構成済み資格情報を使用」に設定されている場合、LDAP サーバーへの最初のバインドの後に、ユーザーの DN、ログイン権限、グループ・メンバーシップなど、ユーザーに関する特定の情報を取得する検索要求が続きます。この検索要求では、そのサーバー上でユーザー ID を表す属性名を指定する必要があります。この属性名は、このフィールドで構成されます。Active Directory サーバーでは、属性名は通常「CN」または「sAMAccountName」です。Novell eDirectory サーバーおよび OpenLDAP サーバーでは、この属性名は「uid」です。このフィールドを空白のままにした場合、デフォルトは「sAMAccountName」です。
- グループ・フィルター
- 「グループ・フィルター」フィールドは、グループ認証に使用されます。グループ認証は、ユーザーの資格情報が正常に確認された後に試行されます。グループ認証が失敗すると、ユーザーのログオン試行は拒否されます。グループ・フィルターが構成されている場合、XClarity Controller がどのグループに属しているかを指定するのに使用されます。つまり、成功するには、グループ認証向けに構成されたグループの少なくとも 1 つにユーザーが属している必要があります。「グループ・フィルター」フィールドがブランクのまま残された場合、グループ認証は自動的に成功します。グループ・フィルターが構成されている場合は、リスト内のグループの少なくとも 1 つがユーザーが属しているグループと一致しているか、マッチングが試行されます。一致するグループがない場合、ユーザーは認証に失敗し、アクセスは拒否されます。少なくとも 1 つのグループが一致する場合は、グループ認証は成功します。
- グループ・メンバーシップ検索属性
- 「グループ検索属性」フィールドは、ユーザーが属するグループを識別するために使用される属性名を指定します。Active Directory サーバーでは、通常、属性名は memberOf です。Novell eDirectory サーバーでは、属性名は groupMembership です。OpenLDAP サーバーでは、ユーザーは通常、objectClass が PosixGroup と等しいグループに割り当てられます。そのコンテキストでは、このフィールドは特定の PosixGroup のメンバーを識別するために使用する属性名を指定します。この属性名は「memberUid」です。このフィールドがブランクのまま残されると、フィルターの属性名はデフォルトの memberOf になります。
- ログイン許可属性
- ユーザーが LDAP サーバーを通じて正常に認証された場合、ユーザーのログイン許可を取り出す必要があります。ログイン許可を検索するには、サーバーに送信される検索フィルターでログイン許可に関連付けられている属性名を指定する必要があります。「ログイン許可属性」フィールドは、その属性名を指定します。認証と承認に LDAP サーバーを使用していて、このフィールドをブランクのまま残した場合、ユーザーはアクセスを拒否されます。
どのビットも設定されていない場合、ユーザーはアクセスを拒否されます表 1. 許可ビット. ビット位置の説明を含む 3 列の表。 ビット位置 機能 説明 0 常に拒否 ユーザーは常に認証に失敗します。この機能は、特定のユーザーまたは特定のグループと関連付けられているユーザーをブロックするために使用されます。 1 スーパーバイザー・アクセス権 ユーザーに管理者特権が付与されます。ユーザーは、すべての機能に対して読み取り/書き込みアクセス権を持ちます。このビットを設定した場合、他のビットを個別に設定する必要はありません。 2 読み取り専用アクセス権 ユーザーは読み取り専用のアクセス権を持ち、保守手順 (たとえば、再起動、リモート操作、またはファームウェア更新など) や変更操作 (たとえば、保存、消去、または復元機能など) を行うことはできません。ビット位置 2 と他のすべてのビットは相互に排他的で、ビット位置 2 の優先順位が最下位です。他のいずれかのビットが設定されている場合、このビットは無視されます。 3 構成 - ネットワーキングおよび BMC セキュリティー ユーザーは、「セキュリティー」、「ネットワーク・プロトコル」、「ネットワーク・インターフェース」、「ポート割り当て」、および「シリアル・ポート」の構成を変更できます。 4 ユーザー・アカウント管理 このユーザーは、ユーザーの追加、変更、または削除を行うことができ、「ログイン・プロファイル」ウィンドウで「グローバル・ログイン」設定を変更できます。 5 リモート・コンソール・アクセス このユーザーは、リモート・サーバーのリモート・サーバー・コンソールにアクセスすることができます。 6 リモート・コンソールおよびリモート・ディスクのアクセス このユーザーは、リモート・サーバーのリモート・サーバー・コンソールおよびリモート・ディスク機能にアクセスすることができます。 7 リモート・サーバー電源/再起動アクセス ユーザーは、リモート・サーバーの電源オン機能と再起動機能にアクセスできます。 8 構成 - 基本 ユーザーは、「システム設定」ウィンドウおよび「アラート」ウィンドウで構成パラメーターを変更できます。 9 イベント・ログをクリアする権限 このユーザーはイベント・ログを消去することができます。 注すべてのユーザーがイベント・ログを表示できますが、ログを消去するには、ユーザーにこのレベルの権限が必要です。10 構成 - 拡張 (ファームウェア更新、BMC の再起動、構成の復元) ユーザーは、XClarity Controller を構成するときに何も制約を受けません。さらに、ユーザーは XClarity Controller に対する管理アクセス権限を持ちます。ユーザーは、ファームウェア・アップグレード、PXE ネットワーク・ブート、アダプターの出荷時デフォルト値のリストア、構成ファイルに入っているアダプター構成の変更とリストア、およびアダプターの再始動とリセットなどの拡張機能を実行することができます。 11 構成 - UEFI セキュリティー ユーザーは UEFI セキュリティー関連設定を構成できますが、UEFI F1 セキュリティー・セットアップ・ページから構成することもできます。 12 予約済み 将来の使用のために予約されており、現在は無視されています。 注ユーザー・レコードから直接検索されるログイン許可には優先順位があることに注意してください。ユーザーのレコードにログイン許可属性が含まれていない場合、ユーザーが属しており、構成されていれば、グループ・フィルターに一致するグループから権限の取得が試行されます。この場合、ユーザーには、すべてのグループのすべてのビットの包含 OR が割り当てられます。同様に、「読み取り専用アクセス権」ビットはその他のビットがすべてゼロの場合にのみ設定されます。さらに、「常に拒否」ビットがいずれかのグループに設定されている場合、ユーザーはアクセスを拒否されるので注意してください。「常に拒否」ビットの優先順位は、常にその他のすべてのビットよりも高くなります。重要ユーザーに基本、ネットワーキング、および/またはセキュリティー関連のアダプター構成パラメーターを変更する権限が付与する場合、そのユーザーに XClarity Controller を再起動する権限 (ビット位置 10) を付与することを検討してください。この権限がない場合、ユーザーはパラメーター (アダプターの IP アドレスなど) の変更はできても、そのパラメーターを有効にできない場合があります。 「認証のみに LDAP サーバーを使用する (ローカル承認)」モードを使用する場合は、「ローカル承認用グループ」を構成します。グループ名、グループ・ドメイン、および役割は、ユーザーのグループにローカル承認を提供するように構成されています。各グループには、ローカル・ユーザーの役割で構成されているのと同じ役割 (アクセス許可) を割り当てることができます。ユーザー・アカウントは、LDAP サーバー上の異なるグループに割り当てられます。ユーザー・アカウントには、BMC へのログイン後に、このユーザー・アカウントが属するグループの役割 (権限) が割り当てられます。グループ・ドメインは、識別名と同じ形式 (dc=mycompany,dc=com など) にする必要があります。これは、グループ検索の基本オブジェクトとして使用されます。フィールドを空白のままにすると、「ルート DN」フィールドと同じ値が使用されます。「+」アイコンをクリックしてグループを追加したり、「x」アイコンをクリックして削除したりできます。
「ユーザー名の表示に使用する属性を指定」ドロップダウン・メニューから、ユーザー名の表示に使用する属性を選択します。