LDAP ディレクトリー・サーバーの有効化

このタスクについて

WMC から、LDAP サーバーにユーザー認証および許可を処理させることを選択できます。 LDAP ディレクトリー・サーバーを有効にすると、 組み込みの管理ユーザーを除き、WMC から指定したすべてのユーザー、グループ、 または許可が LDAP ディレクトリー・サーバーの認証および許可によってオーバーライドされます。 したがって、 管理ユーザー以外のユーザーおよびグループは、LDAP ディレクトリー・サーバーまたは WMC の (両方ではなく) いずれかから認証および許可できます。 LDAP を有効にするかどうかにかかわらず、 管理ユーザーのパスワードは CLI から更新できます。

注: LDAP ユーザーはステージング・データベースにアクセスできません。

手順

  1. ナビゲーション・ペインで、「セキュリティー」 > 「LDAP」を選択します。 「LDAP 構成 (LDAP Configuration)」ページが表示されます。
  2. 「LDAP の有効化 (Enable LDAP)」オプションを選択します。 このオプションを選択しない場合、 統合アプライアンスは、WMC で定義されている組み込みのグループおよびユーザーを使用して ユーザーおよびユーザーによる WMC へのアクセスを認証および許可します。
  3. ホスト情報を指定します。
    1. LDAP ディレクトリー・サーバーのホスト名およびポート番号を入力します。
    2. ベース DN (ベース識別名) を選択するか 「DN のフェッチ (Fetch DNs)」をクリックします。 WMC が、すべてのディレクトリー情報ツリー (DIT) のベース DN を LDAP ディレクトリー・サーバーからフェッチします。 許可するユーザーを含む DIT のベース DN を選択してください。
  4. 以下のいずれかのセキュリティー・オプションを選択します。
    • セキュア接続の使用 (SASL) (Use Secure Connection (SASL)) - LDAP ディレクトリー・サーバーによってサポートされる SASL (Simple Authentication and Security) メカニズムを有効にします。 これが最もセキュリティーの高いオプションです。
    • 単純認証の使用 (Use Simple Authentication) - 単純認証を使用しますが、 資格情報を暗号化しません。
    • 匿名バインド (Anonymous Bind) - LDAP ディレクトリー・サーバーへの匿名バインドを有効にします。 これは最もセキュリティーの低いオプションです。
  5. 「セキュア接続の使用 (SASL) (Use Secure Connection (SASL))」セキュリティー・オプションを選択した場合は、 メカニズムを指定し、メカニズム・プロパティーおよびメカニズム・ポリシーを構成してください。
  6. LDAP ディレクトリー・サーバーがディレクトリー検索のために認証を要求する場合は、 「資格情報 (Credentials)」セクションでプリンシパルとパスワードの値を指定してください。 「合成 DN モード (Composed DN Mode)」の認証モードを選択した場合、 このステップは不要です。 ただし、LDAP ディレクトリー・サーバーが匿名検索を許可しない場合に DN またはメカニズムをフェッチするには、 このステップが必要です。

    パスワードを指定しないと、WMC は匿名ユーザーとして LDAP サーバーへの初期バインディングを試行し、LDAP サーバーは指定されたプリンシパル資格情報を無視します。

  7. 以下の認証モードのいずれかを選択します。
    • 合成 DN モード (Composed DN Mode)
    • 検索 DN モード (Searched DN Mode)
  8. ユーザー・コンテナー RDN を指定します。 指定した認証モードにより、 ここで指定する必要がある値が決まります。
    • 合成 DN モードを選択した場合、ユーザー・コンテナー RDN は、ユーザー DN の 1 つ以上の属性で構成されます。 ユーザーのすぐ上位からベースの直前のエントリーまでツリーをたどり、パスの各エントリーの RDN を追加していくことで、ユーザー・コンテナー RDN を構成します。

      例えば、

      ユーザー DN = 「uid=JohnK,ou=emp,dc=xyz,dc =com」

      の場合は、

      ユーザー・コンテナー RDN® = 「ou=emp」

    • 検索 DN モードを選択した場合、通常はユーザー・コンテナー RDN をブランクのままにして、ルート (ベース) から始まる DIT 全体を LDAP ディレクトリー・サーバーに検索させます。 それ以外の場合は、LDAP ディレクトリー・サーバーが「DN = ユーザー・コンテナー RDN + ベース DN」のエントリーをルートとするサブツリーを検索します。
  9. 検索 DN モードを選択した場合は、LDAP ディレクトリー・サーバーがユーザー DN の検索に使用するユーザー検索フィルターを指定します。 (検索 DN モードを選択した場合にのみ必須) このエントリーは LDAP 検索フィルター仕様を受け入れるほか、$USERNAME の形式のユーザー名も受け入れます。 例:
    • MSAD では、このエントリーは「(samAccountName=$USERNAME)」のようになります。
    • SunOne では、これは「(uid=$USERNAME)」のようになります。
  10. ユーザー・プリンシパル DN を指定します。この DN は、 検索後に LDAP ディレクトリー・サーバーがバインドするユーザーの DN を指定します。 $USERNAME または $DN を指定することで、 ユーザー名および識別名を表すことができます。 ここで $DN は、 合成 DN モードの場合は (RDN + ベース DN) を表し、 検索 DN モードの場合は検索された DN を表します。 ほとんどの場合は $DN がエントリーです。 ただし、MSAD で SASL を使用する場合に指定する必要があるのは $USERNAME のみです。 SunOne で SASL を使用する場合に指定する必要があるのは「dn:$DN」のみです。
  11. グループ・マッピング情報を指定します。
    1. 管理グループのフィルターを指定します。
    2. パブリッシャー・グループのフィルターを指定します。
    3. グループ・フィルターを指定してください。
  12. 「保存」をクリックします。



フィードバック | 特記事項


タイム・スタンプ・アイコン 最終更新: 2013年11月7日 (木曜日)


http://pic.dhe.ibm.com/infocenter/wci/v7r0m0/topic/com.ibm.wci.appliance.doc/Security/enablingLDAP.html