1. イーサネット (XSCF-LAN) の IP アドレスを設定します
2.2.5 LDAP/SSL 設定
LDAP/SSL設定では、LDAP/SSLクライアントの設定を行います。LDAP/SSLサーバ、サーバ証明書の
ロード、グループ名、ユーザー権限、ユーザードメイン、ログなどを設定します。LDAP/SSLサーバで はXSCFのユーザー情報が管理されます。
表 2.9はLDAP/SSL設定に関する用語です。
LDAP/SSLは、ユーザー証明書の認証、およびネットワークリソースに対するユーザーアクセスレベル
の許可、の両方を提供します。システムリソースにアクセスする前に特定のユーザーを識別したり、
ネットワークリソースへのアクセスを制御する特定のアクセス権限をユーザーに与えたりするために、
LDAP/SSLは認証を使用します。
ユーザー権限は、XSCF で設定されるか、各ユーザーのグループメンバーシップに基づいて、ネット ワークドメイン内のサーバから取得されます。ユーザーは複数のグループに属することができます。
ユーザードメインはユーザーを認証するために使用される認証ドメインです。LDAP/SSLは、ユーザー ドメインが設定された順にユーザーを認証します。
いったん認証されると、ユーザー権限は以下の方法で決定されます。
z 最も簡単な場合は、ユーザー権限はXSCF上のLDAP/SSL設定によって決定されます。LDAP/SSL
にはdefaultroleというパラメーターがあります。defaultroleパラメーターが構成、設定されると、
LDAP/SSLを介して認証されたすべてのユーザーは、defaultrole パラメーターに設定されたユー
ザー権限が割り当てられます。LDAP/SSLサーバで設定されたユーザーには、グループメンバー シップに関わらず、パスワードだけが必要となります。
z defaultroleパラメーターが構成されていないまたは設定されていない場合は、ユーザーのグルー
プメンバーシップに基づいて、ユーザー権限は LDAP/SSL サーバから取得されます。XSCF で
は、groupパラメーターはLDAP/SSLサーバのグループ名に対応している必要があります。各グ
ループは、XSCF上で設定される、グループに関連づけられたユーザー権限をもっています。いっ たん、ユーザーが認証されると、ユーザーのグループメンバーシップはユーザー権限を決定する ために使用されます。
注) LDAP/SSL 構成管理についてはここでは説明されません。LDAP/SSL の設計は、LDAP/SSL
に精通した管理者が行ってください。
表2.9 LDAP/SSL設定の用語
用語 説明
LDAP/SSL Active Directoryと同様の分散型ディレクトリサービスです。LDAP/SSLは、Secure Socket Layer (SSL) 技術によりLDAPユーザーに拡張されたセキュリティを提供します。LDAP/SSL はLDAPディレクトリサービスと同様に、ユーザー認証に利用されます。
表 2.10は、設定項目と対応するシェルコマンドです。
表2.10 LDAP/SSL設定(1 / 2)
設定項目 機能説明 シェルコマンド 備考
LDAP/SSL 状態 表示
LDAP/SSL 機能の有効/無効、usermapmode など、
現在のLDAP/SSLの状態を表示します。
showldapssl LDAP/SSL 使用
有効/無効
認証とユーザー権限の管理のためにLDAP/SSLサー バの使用を有効/無効にするかを指定します。
setldapssl デフォルトは無効です。
LDAP/SSL サー バ表示
プライマリーまたは、最大 5 つの代替 LDAP/SSL サーバの構成を表示します。
showldapssl ポート番号の「0」は、LDAP/
SSLのデフォルトのポート が使用されているという ことを示します。
LDAP/SSL サー バ/ポート
プライマリーと最大5つの代替LDAP/SSLサーバの IPアドレスとポート番号を指定します。
アドレスは IP アドレスかホスト名のどちらかを指 定します。
LDAP/SSLサーバをホスト名で指定する場合、サー
バ名はDNS サーバによって、名前解決可能である 必要があります。
setldapssl ポート番号を指定しない
場合、デフォルトのポート が使用されます。
usermapmode 有 効/無効
usermapmodeを有効または無効にします。
usermapmodeを有効にすると、ユーザー認証のため
に、ユーザードメインではなく、usermap オペラン ドで指定したユーザー属性が、ユーザー認証時に使 用されます。
setldapssl デフォルトは無効です。
usermap表示 usermapの設定を表示します。 showldapssl
usermap usermapを構成します。
usermapはユーザー認証に使用されます。
setldapssl usermap を 使 用 す る に は usermapmodeが有効になっ ている必要があります。
strictcertmode有 効/無効
strictcertmodeを有効または無効にします。
strictcertmode を有効にする場合、サーバの証明書 は、サーバ認証が提示されたときに認証署名の妥当 性確認が行えるよう、サーバにあらかじめアップ ロード済みとなっている必要があります。
setldapssl デフォルトは無効です。
サーバ証明書表 示
以下を表示します。
・プライマリーと最大5つの代替サーバの認証情報
・証明書全文
showldapssl
サ ー バ 証 明 書 ロード/削除
プライマリーと最大5つの代替サーバのサーバ証明 書をロードまたは削除します。
setldapssl 証明書の削除を行うには、
strictcertmodeが必ず無効に なっている必要がありま す。
ユーザードメイ ン表示
ユーザードメインを表示します。 showldapssl ユーザードメイ
ン
指定されたユーザドメインを最大5つまで構成しま す。ユーザードメインはDistinguished Name(DN)形 式で指定します。
setldapssl
• LDAP/SSL設定を開始する前に
設定する前に以下のことに注意してください。
z LDAP/SSL機能は、XCP1091以降でサポートされます。
z LDAP/SSL設定には、useradmのユーザー権限が必要です。
z ユーザーアカウントデータに対してLDAP、Active Directory、またはLDAP/SSL を使用するよう
にXSCF で設定されている場合、ユーザーアカウント名および(設定している場合は)ユーザー
識別子は、XSCF、LDAP、Active Directory または LDAP/SSL で未使用のものでなければなりま せん。
z LDAP/SSLサーバにホスト名を使用する場合、LDAP/SSL を設定する前に、DNS が適切に構成さ
れていることが必要です。
z LDAP/SSLをサポートするために、proxyuserという新しいシステムアカウントが追加されていま
す。proxyuserというユーザーアカウントが既に存在していないかどうかを確認してください。も
し、proxyuserがユーザーアカウントとして存在している場合は、deleteuser(8)コマンドを使用し てアカウントを削除してください。削除したら、LDAP/SSL 機能を使用する前に、XSCF をリ セットしてください。
z timeoutオペランドで設定した値が小さい場合、XSCFにログインすると、ユーザー権限が付与さ
グループ表示 管理者グループ、オペレーターグループ、カスタマ グループの構成を表示します。
showldapssl 管理者グループ 最大5つの管理者グループにグループ名を割り当て
ます。管理者グループは、platadm、useradm、auditadm 権限をもち、変更することはできません。
setldapssl
オペレーターグ ループ
最大5つのオペレーターグループにグループ名を割 り 当 て ま す。オ ペ レ ー タ ー グ ル ー プ は、platop、
auditop 権限をもち、変更することはできません。
setldapssl
カスタマグルー プ
最大5つのグループにグループ名およびユーザー権 限を割り当てます。
setldapssl タイムアウト トランザクションのタイムアウト時間を、秒単位で
構成します。
1 から20 までの数値を指定できます。
setldapssl デフォルトは4秒です。設
定したタイムアウト時間 が構成上短すぎる場合は、
ログイン作業、またはユー ザー権限を設定するため の検索に失敗することが あります。
ログ有効/無効 LDAP/SSLの認証と認可の診断メッセージロギング を有効/無効にします。
setldapssl ログはXSCF リセット時に
クリアされます。
ログ表示 LDAP/SSLの認証と認可の診断メッセージを表示し
ます。
showldapssl ログクリア LDAP/SSLの認証と認可の診断メッセージログをク
リアします。
setldapssl デフォルト LDAP/SSL設定をリセットし、工場出荷時設定に戻
します。
setldapssl 表2.10 LDAP/SSL設定(2 / 2)
設定項目 機能説明 シェルコマンド 備考
z LDAP/SSLユーザーは、ユーザー公開鍵をXSCFへアップロードできません。XCP1100より前に ユーザー公開鍵をXSCFに登録した場合、公開鍵を削除してください。LDAP/SSLユーザーは、
パスワード認証を使用してXSCFにSSH接続、ログインしてください。
• LDAP/SSLサーバの使用を有効/無効を設定するには
•
コマンド操作1 showldapssl (8) コマンドでLDAP/SSLサーバの使用状況を表示します。
2 setldapssl (8) コマンドでLDAP/SSLサーバの使用を有効/無効を設定します。
3 showldapssl (8) コマンドでLDAP/SSLが有効か無効かを確認します。
XSCF> showldapssl usermapmode: disabled state: disabled
strictcertmode: disabled timeout: 4
logdetail: none
< 例 1> LDAP/SSL サーバの使用を有効指定 XSCF> setldapssl enable
< 例 2> LDAP/SSL サーバの使用を無効指定 XSCF> setldapssl disable
XSCF> showldapssl usermapmode: disabled state: enabled
strictcertmode: disabled timeout: 4
logdetail: none
• LDAP/SSLサーバおよびポート番号を設定するには
•
コマンド操作1 showldapssl (8) コマンドでLDAP/SSLサーバの設定を表示させます。
2 setldapssl (8) コマンドでLDAP/SSLサーバを設定します。
XSCF> showldapssl server Primary Server
address: (none) port: 0
XSCF> showldapssl server -i Alternate Server 1
address: (none) port: 0
Alternate Server 2 address: (none) port: 0
Alternate Server 3 address: (none) port: 0
Alternate Server 4 address: (none) port: 0
Alternate Server 5 address: (none) port: 0
< 例 1> プライマリーサーバ、ポート番号を指定 XSCF> setldapssl server 10.18.76.230:4041
< 例 2> 代替サーバを指定
XSCF> setldapssl server -i 1 10.18.76.231
3 showldapssl (8) コマンドでLDAP/SSLサーバ設定を確認します。
• usermapmodeを有効/無効にするには
•
コマンド操作1 showldapssl (8) コマンドでusermapmodeが有効か無効かを表示させます。
2 setldapssl (8) コマンドでusermapmodeの有効/無効を設定します。
3 showldapssl (8) コマンドでusermapmodeの有効/無効を確認します。
XSCF> showldapssl server Primary Server
address: 10.18.76.230 port: 4041
XSCF> showldapssl server -i Alternate Server 1
address: 10.18.76.231 port: 0
Alternate Server 2 address: (none) port: 0
Alternate Server 3 address: (none) port: 0
Alternate Server 4 address: (none) port: 0
Alternate Server 5 address: (none) port: 0
XSCF> showldapssl usermapmode: disabled state: enabled
strictcertmode: disabled timeout: 4
logdetail: none
< 例 1> usermapmode を有効指定
XSCF> setldapssl usermapmode enable
< 例 2> usermapmode を無効指定
XSCF> setldapssl usermapmode disable
XSCF> showldapssl usermapmode: enabled state: enabled
• usermapを設定またはクリアするには
•
コマンド操作1 showldapssl (8) コマンドでusermapの構成を表示させます。
2 setldapssl (8) コマンドでusermapを構成します。
3 showldapssl (8) コマンドでusermapを確認します。
4 setldapssl (8) コマンドでusermapをクリアします。
5 showldapssl (8) コマンドでusermapがクリアされたかを確認します。
XSCF> showldapssl usermap attributeInfo: (none) binddn: (none)
bindpw: (none) searchbase: (none)
< 例 1> 属性情報を設定
XSCF> setldapssl usermap attributeInfo '(&(objectclass=person)(uid=))'
< 例 2> バインド DN を設定
XSCF> setldapssl usermap binddn CN=SuperAdmin,DC=aCompany,DC=com
< 例 3> バインドパスワードを設定
XSCF> setldapssl usermap bindpw b.e9s#n
< 例 4> search base を設定
XSCF> setldapssl usermap searchbase OU=yoshi,DC=aCompany,DC=com
XSCF> showldapssl usermap
attributeInfo: (&(objectclass=person)(uid=)) binddn: CN=SuperAdmin,DC=aCompany,DC=com bindpw: Set
searchbase: OU=yoshi,DC=aCompany,DC=com
< 例 1> 属性情報をクリア
XSCF> setldapssl usermap attributeInfo
< 例 2> バインド DN をクリア
XSCF> setldapssl usermap binddn
< 例 3> バインドパスワードをクリア XSCF> setldapssl usermap bindpw
< 例 4> search base をクリア
XSCF> setldapssl usermap searchbase
XSCF> showldapssl usermap attributeInfo: (none) binddn: (none)
bindpw: (none)