Lightweight Directory Access Protocol (LDAP) を使用した外部認証

IBM FlashSystem® A9000R システムには、LDAP サーバー・ベースのユーザー認証を使用するための機能があります。

LDAP 認証を有効にする場合、システムにアクセスする必要があるすべてのユーザーに LDAP 資格情報を付与する必要があります。内部ユーザー (技術員や管理者など) は、LDAP 認証を使用しません。

LDAP 認証を使用することは可能ですが、ネイティブ・ユーザー認証がデフォルトであり、ID 管理オプションを別個にセットアップする必要があります。ネイティブ・ユーザー認証について詳しくは、ネイティブ・ユーザー認証を参照してください。

LDAP 認証モードおよびシングル・サインオン (SSO) での複数システムの管理

LDAP 認証モードを使用すると、複数の IBM FlashSystem A9000 および A9000R システム を簡単に管理できるようになります。

すべてのユーザー資格情報を中央に集めて LDAP ディレクトリーに格納した結果、複数のストレージ・システム間でユーザー資格情報を同期させる必要がなくなりました。ユーザー・アカウントを LDAP に登録した後は、LDAP ディレクトリーに格納された資格情報を複数のストレージ・システムが認証用に使用することができます。

ユーザーのパスワードは LDAP ディレクトリーに格納されるため、接続されているすべてのストレージ・システムが同じパスワードでユーザーを認証します。パスワードを変更すると、すべてのストレージ・システムが自動的に新規パスワードを受け入れます。

この操作モードは、一般にシングル・サインオン (SSO) といいます。この方法は、リモート・ミラーリング構成で特に役立ちます。リモート・ミラーリング構成では、ストレージ管理者は、ソース・システムからターゲット・システムに頻繁に切り替える必要があります。リモート・ミラーリングについて詳しくは、IBM FlashSystem A9000R Knowledge Center Web サイト IBM FlashSystem A9000R Product Overview (SC27-8559) を参照してください。

製品の選択

ストレージ・システムの LDAP 認証では、3 つの LDAP サーバー製品をサポートしています。
  • Microsoft Active Directory
  • Oracle Directory Server Enterprise Edition
  • OpenLDAP

一元化されたユーザー認証のための製品を選択する際には、IT スタッフの現在のスキル・セットが常に重要な考慮事項です。特定のディレクトリー・サーバーの実行のスキルがある場合、熟練者がそのサーバーを最適な状態にカスタマイズおよび調整できるため、このサーバー上で標準化することを選択するとよいでしょう。専門家は、LDAP インフラストラクチャーのための最も信頼性の高い、高可用性の実装環境を提供することができます。

Secure Sockets Layer (SSL) を使用するセキュリティー LDAP

どの認証シナリオでも、LDAP サーバーと、アクセスを模索中のお客様のストレージ・システムとの間で情報が交換されます。SSL を使用して、LDAP クライアントとサーバーとの間にセキュア通信を実装することができます。SSL を介した LDAP (LDAPS) は、LDAP プロトコルのセキュア・バージョンで、ユーザー・パスワードが平文で転送されることがないようにセットアップできます。

SSL には、X.509 証明書を使用して ID を確立する方式と、暗号化を使用してメッセージのプライバシーおよび保全性を確保する方式があります。

SSL 接続を作成するには、信頼された認証局 (CA) によって署名されたデジタル証明書が LDAP サーバーに必要です。企業は、別のベンダーのトラステッド CA を使用するか、独自の認証局を作成するかを選択できます。

操作可能にするには、クライアント (IBM FlashSystem A9000 または FlashSystem A9000R ストレージ・システム) と LDAP サーバーの両方に SSL を構成する必要があります。サーバー構成には、認証要求の生成、CA からのサーバー証明書の取得、サーバー証明書および CA 証明書のインストールが含まれます。
サーバーでの LDAP 登録は UI または CLI のいずれかを使用して行うことができます。ただし UI には、ファイルのアップロード機能がありますが、CLI を使用した場合は、証明書を含む長い文字列をカット・アンド・ペーストする必要があります。

SSL 証明書の維持

既存の SSL 証明書の有効期限が切れる前に、新規 SSL 証明書をインストールする必要があります。