Lightweight Directory Access Protocol (LDAP) を使用した外部認証
IBM FlashSystem® A9000R システムには、LDAP サーバー・ベースのユーザー認証を使用するための機能があります。
注:
|
重要: 推奨方法として、LDAP サーバーと FlashSystem
A9000R ストレージ・システムは、クロックを同じ時刻ソースに同期し、登録して、同一 DNS サーバーを使用するように構成してください。
|
LDAP 認証を使用することは可能ですが、ネイティブ・ユーザー認証がデフォルトであり、ID 管理オプションを別個にセットアップする必要があります。ネイティブ・ユーザー認証について詳しくは、ネイティブ・ユーザー認証を参照してください。
LDAP 認証モードおよびシングル・サインオン (SSO) での複数システムの管理
LDAP 認証モードを使用すると、複数の IBM FlashSystem A9000 および A9000R システム を簡単に管理できるようになります。
すべてのユーザー資格情報を中央に集めて LDAP ディレクトリーに格納した結果、複数のストレージ・システム間でユーザー資格情報を同期させる必要がなくなりました。ユーザー・アカウントを LDAP に登録した後は、LDAP ディレクトリーに格納された資格情報を複数のストレージ・システムが認証用に使用することができます。
注: LDAP はすべて外部にあるため、望ましくない人がシステムに物理的にアクセスした場合のリスクが低くなります。
システムの物理的セキュリティーについて詳しくは、設置場所のセキュリティーに関する考慮事項を参照してください。 |
ユーザーのパスワードは LDAP ディレクトリーに格納されるため、接続されているすべてのストレージ・システムが同じパスワードでユーザーを認証します。パスワードを変更すると、すべてのストレージ・システムが自動的に新規パスワードを受け入れます。
この操作モードは、一般にシングル・サインオン (SSO) といいます。この方法は、リモート・ミラーリング構成で特に役立ちます。リモート・ミラーリング構成では、ストレージ管理者は、ソース・システムからターゲット・システムに頻繁に切り替える必要があります。リモート・ミラーリングについて詳しくは、IBM FlashSystem A9000R Knowledge Center Web サイト の IBM FlashSystem A9000R Product Overview (SC27-8559) を参照してください。
製品の選択
- Microsoft Active Directory
- Oracle Directory Server Enterprise Edition
- OpenLDAP
一元化されたユーザー認証のための製品を選択する際には、IT スタッフの現在のスキル・セットが常に重要な考慮事項です。特定のディレクトリー・サーバーの実行のスキルがある場合、熟練者がそのサーバーを最適な状態にカスタマイズおよび調整できるため、このサーバー上で標準化することを選択するとよいでしょう。専門家は、LDAP インフラストラクチャーのための最も信頼性の高い、高可用性の実装環境を提供することができます。
Secure Sockets Layer (SSL) を使用するセキュリティー LDAP
どの認証シナリオでも、LDAP サーバーと、アクセスを模索中のお客様のストレージ・システムとの間で情報が交換されます。SSL を使用して、LDAP クライアントとサーバーとの間にセキュア通信を実装することができます。SSL を介した LDAP (LDAPS) は、LDAP プロトコルのセキュア・バージョンで、ユーザー・パスワードが平文で転送されることがないようにセットアップできます。
SSL には、X.509 証明書を使用して ID を確立する方式と、暗号化を使用してメッセージのプライバシーおよび保全性を確保する方式があります。
SSL 接続を作成するには、信頼された認証局 (CA) によって署名されたデジタル証明書が LDAP サーバーに必要です。企業は、別のベンダーのトラステッド CA を使用するか、独自の認証局を作成するかを選択できます。
重要: ストレージ・システム内のセキュリティー証明書を使用して LDAP サーバーを定義するときは、LDAP サーバーの完全修飾名は、クライアントの証明書の「発行先名」と一致している必要があります。
|
SSL 証明書の維持
既存の SSL 証明書の有効期限が切れる前に、新規 SSL 証明書をインストールする必要があります。