1. イーサネット (XSCF-LAN) の IP アドレスを設定します
2.2.4 Active Directory 設定
表 2.8は、設定項目と対応するシェルコマンドです。
表2.8 Active Directory設定(1 / 2)
設定項目 機能説明 シェルコマンド 備考
Active Directory 状態表示
Active Directory機能の有効/無効、DNSロケーター モードなど、現在のActive Directoryの状態を表示し ます。
showad
Active Directory 使用有効/無効
認証とユーザー権限の管理のためにActive Directory サーバの使用を有効/無効にするかを指定します。
setad デフォルトは無効です。
Active Directory サーバ表示
プライマリーまたは、最大5つの代替Active Directory サーバの構成を表示します。
showad ポート番号の「0」は、Active
Directory のデフォルトの ポートが使用されている ということを示します。
Active Directory サーバ/ポート
プライマリーと最大5つの代替Active Directoryサー バのIPアドレスとポート番号を指定します。
アドレスは IP アドレスかホスト名のどちらかを指 定します。
Active Directory サーバをホスト名で指定する場合、
サーバ名はDNS サーバによって、名前解決可能 である必要があります。
setad ポート番号を指定しない
場合、デフォルトのポート が使用されます。
DNSロケーター モード有効/無 効
DNSロケーターモードを有効または無効にします。setad デフォルトは無効です。
DNSロケーター クエリー表示
最大5つのDNS ロケータークエリーの構成を表示 します。
showad DNSロケーター
クエリー
DNS ロケータークエリーを構成します。
DNS ロケータークエリーはユーザー認証に使用す るActive Directoryサーバを決めるため、DNSサー バに問い合わせるのに使用されます。
setad このクエリーが動作する
には DNS および DNS ロ ケーターモードが有効に なっている必要がありま す。
拡張検索モード 有効/無効
拡張検索モードを有効または無効にします。
拡張検索モードは、ユーザーアカウントが UserPrin-cipalName (UPN) 形式以外の特定の顧客環境を扱う 場合にだけ有効です。
setad デフォルトは無効です。
strictcertmode有 効/無効
strictcertmodeを有効または無効にします。
strictcertmode を有効にする場合、サーバの証明書 は、サーバ認証が提示されたときに認証署名の妥当 性確認が行えるよう、サーバにあらかじめアップ ロード済みとなっている必要があります。
setad デフォルトは無効です。
サーバ証明書表 示
以下を表示します。
・プライマリーと最大5つの代替サーバの認証情報
・証明書全文
showad
サ ー バ 証 明 書 ロード/削除
プライマリーと最大5つの代替サーバのサーバ証明 書をロードまたは削除します。
setad 証明書の削除を行うには、
strictcertmodeが必ず無効に なっている必要がありま
• Active Directory設定を開始する前に
設定する前に以下のことに注意してください。
z Active Directory機能は、XCP1091以降でサポートされます。
z Active Directory設定には、useradmのユーザー権限が必要です。
ユーザードメイ ン
指定されたユーザドメインを最大5つまで構成しま す。ユーザー名とドメイン名を「@」記号で結合す るUPN形式、または、uid=ユーザ名,ou=組織単位 ,dc= ドメイン名のように定義される Distinguished
Name(DN)形式で指定します。
setad 「l o g i n :
[email protected] om」のように、ログインプ ロンプトでユーザードメ インをUPN 形式で直接設 定した場合は、ユーザード メインは今回のログイン 内だけで使用されます。
defaultrole表示 defaultrole設定を表示します。 showad
defaultrole Active Directoryで認証されるすべてのユーザーに指 定したユーザー権限を割り当てます。
setad グループ表示 管理者グループ、オペレーターグループ、カスタマ
グループの構成を表示します。
showad 管理者グループ 最大5つの管理者グループにグループ名を割り当て
ます。管理者グループは、platadm、useradm、auditadm 権限をもち、変更することはできません。
setad
オペレーターグ ループ
最大5つのオペレーターグループにグループ名を割 り 当 て ま す。オ ペ レ ー タ ー グ ル ー プ は、platop、
auditop 権限をもち、変更することはできません。
setad
カスタマグルー プ
最大5つのグループにグループ名およびユーザー権 限を割り当てます。
setad タイムアウト トランザクションのタイムアウト時間を、秒単位で
構成します。
1 から20 までの数値を指定できます。
setad デフォルトは4秒です。設
定したタイムアウト時間 が構成上短すぎる場合は、
ログイン作業、またはユー ザー権限を設定するため の検索に失敗することが あります。
ログ有効/無効 Active Directoryの認証と認可の診断メッセージロギ ングを有効/無効にします。
setad ログはXSCF リセット時に
クリアされます。
ログ表示 Active Directoryの認証と認可の診断メッセージを表
示します。
showad ログクリア Active Directoryの認証と認可の診断メッセージログ
をクリアします。
setad デフォルト Active Directory設定をリセットし、工場出荷時設定
に戻します。
setad 表2.8 Active Directory設定(2 / 2)
設定項目 機能説明 シェルコマンド 備考
z ユーザーアカウントデータに対してLDAP、Active Directory、またはLDAP/SSL を使用するよう
にXSCF で設定されている場合、ユーザーアカウント名および(設定している場合は)ユーザー
識別子は、XSCF、LDAP、Active Directory または LDAP/SSL で未使用のものでなければなりま せん。
z Active Directoryサーバにホスト名を使用する場合、Active Directory を設定する前に、DNS が適切 に構成されていることが必要です。
z Active Directoryをサポートするために、proxyuserという新しいシステムアカウントが追加されて います。proxyuser というユーザーアカウントが既に存在していないかどうかを確認してくださ い。もし、proxyuserがユーザーアカウントとして存在している場合は、deleteuser(8)コマンドを 使用してアカウントを削除してください。削除したら、Active Directory 機能を使用する前に、
XSCFをリセットしてください。
z Active Directoryが有効の場合、telnetを使用してログインを試みると、2台目以降の代替サーバに 対する問い合わせがタイムアウトして、ログインに失敗することがあります。
z timeoutオペランドで設定した値が小さい場合、XSCFにログインすると、ユーザー権限が付与さ
れないことがあります。このときは、timeoutの設定値を大きくして再度実行してください。
z Active Directoryユーザーは、ユーザー公開鍵をXSCFへアップロードできません。XCP1100より 前にユーザー公開鍵をXSCFに登録した場合、公開鍵を削除してください。Active Directoryユー ザーは、パスワード認証を使用してXSCFにSSH接続、ログインしてください。
• Active Directoryサーバの使用を有効/無効を設定するには
•
コマンド操作1 showad (8) コマンドでActive Directoryサーバの使用状況を表示します。
2 setad (8) コマンドでActive Directoryサーバの使用を有効/無効を設定します。
3 showad (8) コマンドでActive Directoryが有効か無効かを確認します。
XSCF> showad
dnslocatormode: disabled expsearchmode: disabled state: disabled
strictcertmode: disabled timeout: 4
logdetail: none
< 例 1> Active Directory サーバの使用を有効指定 XSCF> setad enable
< 例 2> Active Directory サーバの使用を無効指定 XSCF> setad disable
XSCF> showad
dnslocatormode: disabled expsearchmode: disabled state: enabled
strictcertmode: disabled timeout: 4
• Active Directoryサーバおよびポート番号を設定するには
•
コマンド操作1 showad (8) コマンドでActive Directoryサーバの設定を表示させます。
2 setad (8) コマンドでActive Directoryサーバを設定します。
XSCF> showad server Primary Server address: (none) port: 0
XSCF> showad server -i Alternate Server 1 address: (none) port: 0
Alternate Server 2 address: (none) port: 0
Alternate Server 3 address: (none) port: 0
Alternate Server 4 address: (none) port: 0
Alternate Server 5 address: (none) port: 0
< 例 1> プライマリーサーバおよびポート番号を指定 XSCF> setad server 10.24.159.150:8080
< 例 2> 代替サーバを指定
XSCF> setad server -i 1 10.24.159.151
3 showad (8) コマンドでActive Directoryサーバ設定を確認します。
• DNSロケーターモードを有効/無効にするには
•
コマンド操作1 showad (8) コマンドでDNSロケーターモードの有効/無効を表示させます。
2 setad (8) コマンドでDNSロケーターモードの有効/無効を設定します。
XSCF> showad server Primary Server
address: 10.24.159.150 port: 8080
XSCF> showad server -i Alternate Server 1
address: 10.24.159.151 port: 0
Alternate Server 2 address: (none) port: 0
Alternate Server 3 address: (none) port: 0
Alternate Server 4 address: (none) port: 0
Alternate Server 5 address: (none) port: 0
XSCF> showad
dnslocatormode: disabled expsearchmode: disabled state: enabled
strictcertmode: disabled timeout: 4
logdetail: none
< 例 1> DNS ロケーターモードを有効指定 XSCF> setad dnslocatormode enable
< 例 2> DNS ロケーターモードを無効指定 XSCF> setad dnslocatormode disable
3 showad (8) コマンドでDNSロケーターモードの有効/無効を確認します。
• DNSロケータークエリーを設定するには
•
コマンド操作1 showad (8) コマンドでDNSロケータークエリーの構成を表示させます。
2 setad (8) コマンドでDNSロケータークエリーを構成します。
3 showad (8) コマンドでDNSロケータークエリーを確認します。
このクエリーが動作するにはDNSおよびDNSロケーターモードが有効になっている必要があります。
• 拡張検索モードを有効/無効に設定するには
•
コマンド操作1 showad (8) コマンドで拡張検索モードが有効か無効かを表示させます。
2 setad (8) コマンドで拡張検索モードの有効/無効を設定します。
XSCF> showad
dnslocatormode: enabled expsearchmode: disabled state: enabled
strictcertmode: disabled timeout: 4
logdetail: none
XSCF> showad dnslocatorquery -i 1 service 1: (none)
XSCF> showad dnslocatorquery -i 2 service 2: (none)
XSCF> setad dnslocatorquery -i 1 '_ldap._tcp.gc._msdcs..'
XSCF> showad dnslocatorquery -i 1 service 1: _ldap._tcp.gc._msdcs..
XSCF> showad
dnslocatormode: enabled expsearchmode: disabled state: enabled
strictcertmode: disabled timeout: 4
logdetail: none
< 例 1> 拡張検索モードを有効指定 XSCF> setad expsearchmode enable
3 showad (8) コマンドで拡張検索モードの有効/無効を確認します。
• strictcertmodeを有効/無効に設定するには
•
コマンド操作1 showad (8) コマンドでstrictcertmodeが有効か無効かを表示させます。
2 setad (8) コマンドでstrictcertmodeの有効/無効を設定します。
3 showad (8) コマンドでstrictcertmodeの有効/無効を確認します。
strictcertmode を有効にする場合、サーバの証明書は、XSCFにあらかじめロードされている必要があり
ます。
XSCF> showad
dnslocatormode: enabled expsearchmode: enabled state: enabled
strictcertmode: disabled timeout: 4
logdetail: none
XSCF> showad
dnslocatormode: enabled expsearchmode: enabled state: enabled
strictcertmode: disabled timeout: 4
logdetail: none
< 例 1> strictcertmode を有効指定
XSCF> setad strictcertmode enable
< 例 2> strictcertmode を無効指定
XSCF> setad strictcertmode disable
XSCF> showad
dnslocatormode: enabled expsearchmode: enabled state: enabled
strictcertmode: enabled timeout: 4
logdetail: none
• サーバ証明書をロード/削除するには
•
コマンド操作1 showad (8) コマンドでサーバ証明書情報を表示させます。
XSCF> showad cert
Primary Server:
certstatus = certificate not present issuer = (none)
serial number = (none) subject = (none) valid from = (none) valid until = (none) version = (none) XSCF> showad cert -i
Alternate Server 1:
certstatus = certificate not present issuer = (none)
serial number = (none) subject = (none) valid from = (none) valid until = (none) version = (none)
Alternate Server 2:
...略
Alternate Server 5:
certstatus = certificate not present issuer = (none)
serial number = (none) subject = (none) valid from = (none) valid until = (none) version = (none)