iDRAC6 は、ライトウェイトディレクトリアクセスプロトコル(LDAP)ベースの認証をサポートする汎用ソリューションを提供します。この機能を使用する場合は、ディレクトリサービスのスキーマ拡張は必 要ありません。
iDRAC6 LDAP 実装を汎用的にするには、異なるディレクトリサービス間の共通点を使って、ユーザーをグループ化してからユーザーとグループの関係をマップします。ディレクトリサービス固有の処 置がスキーマです。たとえば、ユーザーとグループの間では、グループ、ユーザー、およびリンクの属性名が異なる場合があります。これらの処置は iDRAC6 で設定できます。
メ モ: ユーザーアカウントと役割グループが異なるドメインにある場合、グローバルカタログサーバーは標準スキーマのみに必要です。また、このようなマルチドメインのシナリオでは、ユ ニバーサルグループのみを使用できます。
メ モ: 証明書の検証を有効にしている場合、このフィールドで指定する FQDN または IP アドレスは、ドメインコントローラ証明書のサブジェクトまたはサブジェクト代替名のフィールドの 値と一致する必要があります。
ログイン構文(ディレクトリサービス vs ローカルユーザー)
Active Directory とは異なり、LDAP ユーザーをローカルユーザーと区別するのに特殊文字(「@」、 「\」、「/」)は使用しません。ログインユーザーはユーザー名のみを入力します(ドメイン名は入力し ない)。iDRAC6 はユーザー名を入力したとおりに受け入れ、ユーザー名とユーザードメインを分割しません。汎用 LDAP が有効である場合、iDRAC6 は最初にユーザーをディレクトリユーザーとして ログインしようと試みます。これに失敗すると、ローカルユーザーのルックアップが有効になります。
iDRAC6 ウェブベースのインタフェースを使 用し た汎用 LDAP ディレクトリサービスの設 定
1. サポートされているウェブブラウザのウィンドウを開きます。
2. iDRAC6 のウェブベースのインタフェースにログインします。
3. リ モ ー ト ア ク セ ス® ネ ッ ト ワ ー ク/セ キ ュ リ テ ィ タブ® デ ィ レ ク ト リ サ ー ビ ス タブ® 汎用 LDAP デ ィ レ ク ト リ サ ー ビ ス の順に選択します。
汎 用 LDAP の設 定と管 理 ページには、現在の iDRAC6 の汎用 LDAP 設定が表示されます。汎 用 LDAP 設 定と管 理 ページにスクロールし、汎 用 LDAP の設 定 をクリックします。
汎 用 LDAP の設 定と管 理 手 順 1/3 ページが開きます。このページを使用して、汎用 LDAP サーバーと通信するときに SSL 接続の起動中に使用するデジタル証明書を設定します。これ らの通信には LDAP オーバー SSL(LDAPS)を使用します。証明書の検証機能を有効にする場合は、SSL 接続の起動中に LDAP サーバーが使用する証明書を発行した認証局(CA)の証明 書をアップロードします。CA の証明書は、SSL の起動中に LDAP サーバーによって提供された証明書の信頼性を検証するのに使用します。
4. 証 明 書の設 定 の 証 明 書検証を有効に す る を選択すると、証明書の検証が有効になります。有効である場合、iDRAC6 は CA 証明書を使ってセキュアソケットレイヤ(SSL)ハンドシェイク 中に LDAP サーバーの証明書を検証します。無効である場合は、SSL ハンドシェイクの証明書の検証手順をスキップします。テスト中またはシステム管理者が SSL 証明書を検証せずにセキ ュリティの境界内のドメインコントローラを信頼する場合は、証明書の検証機能を無効にできます。
5. デ ィ レ ク ト リ サ ー ビ ス の CA 証 明 書の ア ッ プ ロ ー ド の下に、証明書のファイルパスを入力するか、証明書ファイルの場所を参照します。
6. ア ッ プ ロ ー ド をクリックします。
すべてのドメインコントローラのセキュアソケットレイヤ(SSL)サーバーの証明書を署名するルート CA の証明書がアップロードされます。
7. 次へ をクリックします。汎 用 LDAP の設 定と管 理 手 順 2/3 ページが開きます。このページを使用して、汎用 LDAP サーバーとユーザーアカウントに関する位置情報を設定します。
8. 以下の情報を入力します。
l 汎 用 LDAP を有効に す る を選択します。
l グループメンバーとして識別名(DN)を使用する場合は、グ ル ー プ メ ン バ ー シ ッ プ の検索に識 別 名を使 用す る オプションを選択します。iDRAC6 はディレクトリから取得しいたユー
ザー DN をグループのメンバーと比較します。オフになっている場合は、ログインユーザーが指定したユーザー名がグループのメンバーと比較されます。
l LDAP サ ー バ ー ア ド レ ス フィールドに、LDAP サーバーの完全修飾ドメイン名(FQDN)または IP アドレスを入力します。同じドメインに使用する複数の冗長 LDAP サーバーを指定
するには、すべてのサーバーのリストをカンマ区切りで入力します。iDRAC6 は接続を確立できるまで、各サーバーへの接続を交代で試みます。
l LDAP サ ー バ ー ポ ー ト フィールドに LDAP オーバー SSL に使用するポートを入力します。デフォルト値は 636 です。
l バインド DN フィールドに、ログインユーザーの DN を検索するときにサーバーにバインドするユーザーの DN を入力します。指定されていない場合は、匿名のバインドが使用されま
す。
l 使用する バインドパスワード を バインド ID と一緒に入力します。これは、匿名のバインドを使用できない場合に必要です。
l 検索す る ベ ー ス DN フィールドに、すべての検索が開始されるディレクトリのブランチの DN を入力します。
l ユーザーログインの属性 フィールドに、検索するユーザー属性を入力します。デフォルトは UID です。この値を選択したベース DN 内で一意になるように設定することをお勧めしま
す。そうしない場合は、ログインユーザーが一意になるように検索フィルタを設定する必要があります。属性と検索フィルタを組み合わせて検索を行った後でユーザー DN を一意に識別 できない場合は、ログインに失敗します。
l グ ル ー プ メ ン バ ー シ ッ プ の属性 フィールドに、グループメンバーシップの確認に使用する LDAP 属性を指定します。これは、グループクラスの属性です。指定されていない場合は、
member 属性と uniquemember 属性が使用されます。
メ モ: Active Directory のログイン構文には動作上の変更はありません。汎用 LDAP が有効である場合、GUI ログインページのドロップダウンメニューには「この iDRAC」のみが表示されま す。
メ モ: openLDAP および OpenDS ベースのディレクトリサービスのユーザー名には、「<」および「>」 文字は使用できません。
メ モ: このリリースでは、非 SSL ポートベースの LDAP バインドはサポートされていません。LDAP オーバー SSL のみがサポートされています。
注 意: 証 明 書の生 成 中に LDAP サ ー バ ー証 明 書の サ ブ ジ ェ ク ト フ ィ ー ル ド で、CN = LDAP FQDN を開く が設 定されている(CN= openldap.lab な ど)こ と を確 認し ま す 。iDRAC6 の LDAP サーバーアドレスフィールドは、 証 明 書の検証 機 能が動 作するように同じ FQDN アドレスに一 致するように設 定し ま す。
メ モ: フルパスと正しいファイル名とファイル拡張子を含む絶対ファイルパスを入力する必要があります。
メ モ: このリリースでは、スマートカードベースの 2 要素認証(TFA)とシングルサインオン(SSO)機能は、汎用 LDAP ディレクトリサービスでサポートされていません。
メ モ: このリリースでは、ネストされたグループはサポートされていません。ファームウェアはユーザー DN に一致するグループの直接メンバーを検索します。また、シングルドメインの みがサポートされています。クロスドメインはサポートされていません。
l 検索フ ィ ル タ フィールドに、有効な LDAP 検索フィルタを入力します。選択したベース DN 内でユーザー属性によってログインユーザーを一意に識別できない場合は、フィルタを使用 します。指定されていない場合は、デフォルトで、値はツリー内のすべてのオブジェクトを検索する objectClass=* に設定されます。ユーザーによって設定されたこの追加の検索フィ ルタは、userDN 検索のみに適用され、グループメンバーシップの検索には適用されません。
l 次へ をクリックします。汎 用 LDAP の設 定と管 理 手 順 3a/3 ページが開きます。このページを使用して、ユーザーを認証する権限グループを設定します。汎用 LDAP が有効である場合 は、役割グループを使って iDRAC6 ユーザーの認証ポリシーを指定します。
10. 役 割グ ル ー プ の下の 役 割グ ル ー プ をクリックします。
汎 用 LDAP の設 定と管 理手順 3b/3 ペ ー ジが開きます。このページを使用して、ユーザーの認証ポリシーを制御する各役割グループを設定します。
11. グ ル ー プ DN フィールドで、iDRAC6 に関連付けられている汎用 LDAP ディレクトリサービス内で役割グループを識別するグループを入力します。
12. 役 割グ ル ー プ の権限 セクションで、役 割グ ル ー プ の権限レ ベ ル を選択して、グループに関連付けられた権限を指定します。たとえば、 シ ス テ ム管 理 者 を選択すると、そのアクセス権レベ ルのすべての権限が選択されます。
13. 適 用 をクリックして、役割グループの設定を保存します。
iDRAC6 ウェブサーバーによって、役 割グ ル ー プ の設 定が表 示さ れ る汎 用 LDAP 設 定と管 理 手 順 3a/3 ペ ー ジに自動的に戻ります。
14. 必要に応じて、追加の役割グループを設定します。
15. 終 了 をクリックすると、汎 用 LDAP 設 定と管 理 の概要ペ ー ジ に戻ります。
16. 汎用 LDAP 設定を確認するには、設 定の テ ス ト をクリックします。
17. LDAP 設定をテストするのに選択したディレクトリユーザーのユーザー名とパスワードを入力します。フォーマットは使用する ユーザーログインの属性 によって異なり、入力したユーザー名は選
択した属性に一致する必要があります。
テスト結果およびテストログが表示されます。汎用 LDAP ディレクトリサービスの設定を終了しました。
RACADM を使 用し た汎用 LDAP ディレクトリサービスの設 定
racadm config -g cfgldap -o cfgLdapEnable 1
racadm config -g cfgldap -o cfgLdapServer <FQDN または IP アドレス>
racadm config -g cfgldap -o cfgLdapPort <ポート番号>
racadm config -g cfgldap -o cfgLdapBaseDN dc=common,dc=com racadm config -g cfgldap -o cfgLdapCertValidationenable 0
racadm config -g cfgldaprolegroup -i 1 -o cfgLdapRoleGroupDN 'cn=everyone,ou=groups,dc=common,dc=com' racadm config -g cfgldaprolegroup -i 1 -o cfgLdapRoleGroupPrivilege 0x0001
以 下のコマンドを使 用し て設 定を表 示し ま す。
racadm getconfig -g cfgldap
racadm getconfig -g cfgldaprolegroup -i 1 RACADM を使ってログインできるかどうかを確 認し ま す。
racadm -r <iDRAC6 IP> -u user.1 -p password getractime BindDN オプションをテストするための追 加の設 定
racadm config -g cfgldap -o cfgLdapBindDN "cn=idrac_admin,ou=iDRAC_admins,ou=People,dc=common,dc=com"
racadm config -g cfgldap -o cfgLdapBindPassword password
Active Directory についてよくあるお問い合わせ(FAQ)
Active Directory のログインに失 敗し ま し た。こ の問 題はどのようにトラブルシュートできますか。
メ モ: このリリースでは、AD とは異なり、特殊文字(「@」、「\」、「/」)を使って LDAP ユーザーとローカルユーザーと区別する必要はありません。ログインする場合はユーザー名のみを 入力します。ドメイン名は入力しないでください。
メ モ: ドメインネームサーバーを使用するように iDRAC6 を設定します。これは、iDRAC6 を LDAP サーバーアドレスで使用するように設定する LDAP サーバーホスト名を解決します。ホスト 名は LDAP サーバーの証明書の 「CN」 または 「サブジェクト」 に一致する必要があります。