LDAP ディレクトリー・サーバーの有効化
このタスクについて
WMC から、LDAP サーバーにユーザー認証および許可を処理させることを選択できます。 LDAP ディレクトリー・サーバーを有効にすると、 組み込みの管理ユーザーを除き、WMC から指定したすべてのユーザー、グループ、 または許可が LDAP ディレクトリー・サーバーの認証および許可によってオーバーライドされます。 したがって、 管理ユーザー以外のユーザーおよびグループは、LDAP ディレクトリー・サーバーまたは WMC の (両方ではなく) いずれかから認証および許可できます。 LDAP を有効にするかどうかにかかわらず、 管理ユーザーのパスワードは CLI から更新できます。
注: LDAP ユーザーはステージング・データベースにアクセスできません。
手順
- ナビゲーション・ペインで、「セキュリティー」 > 「LDAP」を選択します。 「LDAP 構成 (LDAP Configuration)」ページが表示されます。
- 「LDAP の有効化 (Enable LDAP)」オプションを選択します。 このオプションを選択しない場合、 統合アプライアンスは、WMC で定義されている組み込みのグループおよびユーザーを使用して ユーザーおよびユーザーによる WMC へのアクセスを認証および許可します。
- ホスト情報を指定します。
- LDAP ディレクトリー・サーバーのホスト名およびポート番号を入力します。
- ベース DN (ベース識別名) を選択するか 「DN のフェッチ (Fetch DNs)」をクリックします。 WMC が、すべてのディレクトリー情報ツリー (DIT) のベース DN を LDAP ディレクトリー・サーバーからフェッチします。 許可するユーザーを含む DIT のベース DN を選択してください。
- 以下のいずれかのセキュリティー・オプションを選択します。
- セキュア接続の使用 (SASL) (Use Secure Connection (SASL)) - LDAP ディレクトリー・サーバーによってサポートされる SASL (Simple Authentication and Security) メカニズムを有効にします。 これが最もセキュリティーの高いオプションです。
- 単純認証の使用 (Use Simple Authentication) - 単純認証を使用しますが、 資格情報を暗号化しません。
- 匿名バインド (Anonymous Bind) - LDAP ディレクトリー・サーバーへの匿名バインドを有効にします。 これは最もセキュリティーの低いオプションです。
- 「セキュア接続の使用 (SASL) (Use Secure Connection (SASL))」セキュリティー・オプションを選択した場合は、 メカニズムを指定し、メカニズム・プロパティーおよびメカニズム・ポリシーを構成してください。
- LDAP ディレクトリー・サーバーがディレクトリー検索のために認証を要求する場合は、
「資格情報 (Credentials)」セクションでプリンシパルとパスワードの値を指定してください。 「合成 DN モード (Composed
DN Mode)」の認証モードを選択した場合、
このステップは不要です。 ただし、LDAP ディレクトリー・サーバーが匿名検索を許可しない場合に DN またはメカニズムをフェッチするには、
このステップが必要です。
パスワードを指定しないと、WMC は匿名ユーザーとして LDAP サーバーへの初期バインディングを試行し、LDAP サーバーは指定されたプリンシパル資格情報を無視します。
- 以下の認証モードのいずれかを選択します。
- 合成 DN モード (Composed DN Mode)
- 検索 DN モード (Searched DN Mode)
- ユーザー・コンテナー RDN を指定します。
指定した認証モードにより、
ここで指定する必要がある値が決まります。
- 合成 DN モードを選択した場合、ユーザー・コンテナー RDN は、ユーザー DN の 1 つ以上の属性で構成されます。 ユーザーのすぐ上位からベースの直前のエントリーまでツリーをたどり、パスの各エントリーの RDN を追加していくことで、ユーザー・コンテナー RDN を構成します。
例えば、
ユーザー DN = 「uid=JohnK,ou=emp,dc=xyz,dc =com」
の場合は、
ユーザー・コンテナー RDN = 「ou=emp」
- 検索 DN モードを選択した場合、通常はユーザー・コンテナー RDN をブランクのままにして、ルート (ベース) から始まる DIT 全体を LDAP ディレクトリー・サーバーに検索させます。 それ以外の場合は、LDAP ディレクトリー・サーバーが「DN = ユーザー・コンテナー RDN + ベース DN」のエントリーをルートとするサブツリーを検索します。
- 合成 DN モードを選択した場合、ユーザー・コンテナー RDN は、ユーザー DN の 1 つ以上の属性で構成されます。 ユーザーのすぐ上位からベースの直前のエントリーまでツリーをたどり、パスの各エントリーの RDN を追加していくことで、ユーザー・コンテナー RDN を構成します。
- 検索 DN モードを選択した場合は、LDAP ディレクトリー・サーバーがユーザー DN の検索に使用するユーザー検索フィルターを指定します。 (検索 DN モードを選択した場合にのみ必須) このエントリーは LDAP 検索フィルター仕様を受け入れるほか、$USERNAME の形式のユーザー名も受け入れます。 例:
- MSAD では、このエントリーは「(samAccountName=$USERNAME)」のようになります。
- SunOne では、これは「(uid=$USERNAME)」のようになります。
- ユーザー・プリンシパル DN を指定します。この DN は、 検索後に LDAP ディレクトリー・サーバーがバインドするユーザーの DN を指定します。 $USERNAME または $DN を指定することで、 ユーザー名および識別名を表すことができます。 ここで $DN は、 合成 DN モードの場合は (RDN + ベース DN) を表し、 検索 DN モードの場合は検索された DN を表します。 ほとんどの場合は $DN がエントリーです。 ただし、MSAD で SASL を使用する場合に指定する必要があるのは $USERNAME のみです。 SunOne で SASL を使用する場合に指定する必要があるのは「dn:$DN」のみです。
- グループ・マッピング情報を指定します。
- 管理グループのフィルターを指定します。
- パブリッシャー・グループのフィルターを指定します。
- グループ・フィルターを指定してください。
- 「保存」をクリックします。
親トピック: セキュリティー