ControlCenter での LDAP のセットアップ

a. 使用するLDAPサーバに、ECCサーバに対してLDAPサーバを 識別する署名済みデジタル証明書があることを確認します。

b. SSLまたはTLSによるLDAP接続を構成するには、LDAPサー

バのデジタル証明書をコピーし、ControlCenterのLDAP構成 ユーティリティがアクセスするローカルな作業サブディレクトリ

（たとえば、C:¥TEMP）に置きます。それぞれの証明書は、

ControlCenterのLDAP構成ユーティリティがアクセスできる

ファイル内になければなりません。ECCサーバのインストール 時に、ファイル名を入力して使用します（詳細は、ステップ 29：

「インフラストラクチャのインストール」（139ページ）を参照）。

c. 別の自己署名LDAPサーバ証明書を使用するバックアップ用の LDAPサーバを構成するには、前述と同じ手順で、証明書を ローカルの作業ディレクトリにコピーします。

d. ControlCenterのバインドDNについては、LDAP管理者に問い

合わせてください。

ControlCenterのDNは、username名属性（UID）の検索を実行でき なければなりません。

識別名（バインドDN）は、LDAPサーバに対して

ControlCenterをユニークに識別する名前です。バインドDN

は、特定のディレクトリ内のデータへのアクセスを制御するた

めのACL（アクセス制御リスト）で使用されます。

ControlCenterのDNは、username属性（UID）の検索を実行で

ControlCenterのバインドDNを設定するには、ControlCenter のバインドDNを新規作成するか、既存のエントリーに割り当 てるようにControlCenter管理者に依頼します。例：

cn=ControlCenter,ou=Applications,dc=emc,dc=com 116ページの図8に、サンプルのLDAPディレクトリの一部を 示します。ユーザー・データ（OU=Users）とアプリケーショ ン・データ（OU=Applications）のサブツリーが含まれます。

図8 LDAPディレクトリの一部（例）

• ControlCenterに、バインドDNに対するディレクトリ・エ

ントリー内のusernameとuser full name属性へのアクセス権 限を与える。

• バインドDNのパスワードを指定する。パスワードはECC サーバに保存される前に難読化される。

• LDAPプライマリ・サーバとバックアップ・サーバのURL

を指定する（ldaps://hostname:port）。SSL経由LDAPのデフォ ルトのポート番号は636。

• 検索ベースDN（ユーザー名検索を開始する識別名の検索

ベースDN）を指定する。たとえば、ControlCenterのユー

ザー・エントリーが、すべてou=Users,dc=EMC,dc=COMの 下位にある場合、検索DNは、ou=Users,dc=EMC,dc=COM。

• username属性（ControlCenterユーザーのログオンIDを指定 するディレクトリ属性の名前、またはusername）。通常、属 性名は、UID。

• full name属性は、通常、「cn」（commonName）または

「freeFormName」により指定される。一部のディレクトリ は、省略された属性名にのみ対応する。

e. 現在のLDAP実装が、大文字と小文字を区別しない（CIS：case ignore stringの略）場合でも、ControlCenterユーザーは、大文 字と小文字を区別してユーザーIDやパスワードを指定する必要 があります。ControlCenterインタフェースでは、指定したID とパスワードが必要です。

f. LDAP管理者に、ユーザーeccadminをLDAPに追加するように 依頼します。

eccadminユーザーは、ControlCenterへの管理者アクセス権限を 持ちます。初めてControlCenterにログインし、ユーザーの追加 や作成、ユーザー・グループや認証ルールを編集するには、

eccadminユーザーである必要があります。

g. LDAPのインストールで必要な情報を表46に示します。これら

の情報を準備してください。InstallShieldウィザードを使用して ECCサーバをインストールしたときにメモした値が必要になり ます（詳細は、ステップ 29：「インフラストラクチャのインス トール」（139ページ）を参照）。

表46 LDAPインストールに必要な情報 フィールド 説明

LDAP

Directory URL LDAPディレクトリのURL。例：ldaps://hostname:port

ホストのエントリーが、LDAPサーバの証明書の[Common Name]フィールドのホスト のエントリーと一致し、有効なホスト名（通常、完全修飾ホスト名）であることが必 要。SSL経由LDAPのデフォルトのポート番号は636。別のポートを割り当てる場合が ある。

Bind Name アプリケーションを特定するディレクトリ情報ツリー内のエントリーの識別名（DN）。

ディレクトリ内のデータへのアクセスを制御するACLで使用。このDNエントリーに、

ディレクトリ・エントリー内のusernameとuser full name属性へのアクセス権限が付 与されることが必要。ControlCenterは、このアプリケーションとしてLDAPサーバに バインドされる。例：

cn=ControlCenter,ou=Applications,dc=emc,dc=com

LDAP管理者が、ControlCenter用のエントリーを別に作成するか、既存のエントリー をControlCenterが使用できるように割り当てる必要がある。

Bind

Password BIND DN用のBIND認証情報（パスワード）を調べる。BIND認証情報はディレクト

リへのバインドで必要。ControlCenterは、単純なユーザー名（バインドDN）とパス ワード認証をサポートする。LDAPバインドのパスワードは、ControlCenterサーバに 保存される前に難読化される。必要に応じて、パスワードをメモに取るか記憶する。

Start for User

Search 検索ベースは、ユーザー名検索を開始するディレクトリ階層内のあるポイントの識別

名。ディレクトリの構成に完全に依存する。たとえば、すべてのユーザー・エントリー が、ou=Users,dc=EMC,dc=COMの下位にある場合、検索DNは、

ou=Users,dc=EMC,dc=COMとなる。組織単位（ou）によりディレクトリ全体にユー ザー・エントリーが分散している場合、検索開始DNは、dc=EMC,dc=comとなる。

Attribute Name for User's Logon Id

username属性は、ControlCenterユーザーのログオンIDを指定するディレクトリ属性 の名前で、ユーザー名とも呼ばれる。通常、属性名はUID。ControlCenterは、ユー ザーがログオン時に使用したユーザー名を値として持つ属性のインスタンスをディレク トリ内で検索する。

Enter Password for LDAP User

LDAP eccadminアカウントに割り当てられたパスワード。

Attribute Name for User's Full Name

通常、ユーザー・ディレクトリ・エントリーには、ユーザー名だけでなくユーザーのフ ルネームも保持される。この情報を保持する属性は、cn（commonName）または

"freeFormName"。一部のディレクトリは短縮属性名のみに対応。"commonName"と入 力して何も返らない場合は、cnと入力する。

LDAP Backup

Directories プライマリ・ディレクトリが使用できない場合に備えて、1つ以上のバックアップ・コ

ピーをフォールバックとして使用するように、ControlCenterを構成できる。バック アップ・ディレクトリは、プライマリ・ディレクトリと同じ階層構造とデータを持つ必 要がある。ディレクトリ・データを保持するのはLDAPディレクトリで、バックアッ プ・ディレクトリにデータが複製される前に、すべてのディレクトリ更新がLDAPディ レクトリを通して渡される。ControlCenterでプライマリLDAPディレクトリとして構 成されたディレクトリは、プライマリLDAPディレクトリのバックアップ・コピーにな り得る。複数のバックアップ・ディレクトリがある場合、ディレクトリの検索は、

ControlCenterで指定された順に行われる。個々のバックアップ・ディレクトリがURL

として構成され、ホスト名とLDAPサーバ証明書の[Common Name]フィールドの値 が一致していることが必要。

Location of the Certificate File(s)

LDAPサーバ証明書がサード・パーティまたは社内の証明書機関によって署名された証 明書である場合、そのCA証明書のコピーを入手する必要がある。LDAPサーバ証明書 が自己署名された証明書である場合、プライマリLDAPサーバの証明書のコピーと各 バックアップLDAPサーバの証明書が必要。証明書は、ControlCenterのLDAP構成 ユーティリティで開くことのできるファイル（1つ以上）でなければならない。

表46 LDAPインストールに必要な情報（続き）

フィールド 説明