Users Guide

メモ: この場合、CA 証明書をアップロードする必要はありません。

SSL ハンドシェイク中に証明書の検証を実施する場合は、次のコマンドを実行します（オプション）。

racadm config -g cfgActiveDirectory -o cfgADCertValidationEnable 1

この場合、CA 証明書をアップロードする必要があります。

racadm sslcertupload -t 0x2 -f < ADS root CA certificate >

メモ: 証明書の検証が有効な場合、ドメインコントローラサーバーのアドレスおよび FQDN を指定します。DNS が正しく設定

されていることを確認してください。

次の RACADM コマンドの使用はオプションです。

racadm sslcertdownload -t 0x1 -f < RAC SSL certificate >

汎用 LDAP ユーザーの設定

CMC は Lightweight Directory Access Protocol（LDAP）ベースの認証をサポートするための汎用ソリューションを提供します。この

機能は、ディレクトリサービス上のどのスキーマ拡張にも必要です。

CMC 管理者は、LDAP サーバーのユーザーログインを CMC と統合することが可能です。この統合を行うには、LDAP サーバーと CMC

の両方での設定が必要です。Active Directory 側では、標準グループオブジェクトが役割グループとして使用されます。CMC のアク

セス権を持つユーザーは、役割グループのメンバーとなります。特権は、Active Directory サポートを伴う標準スキーマセットアップ

の動作に似た認証のため、CMC に引き続き保存されます。

LDAP ユーザーが特定の CMC カードにアクセスできるようにするには、その CMC カードに役割グループ名とそのドメイン名を設定

する必要があります。各 CMC には、5 つまで役割グループを設定できます。ユーザーは、オプションでディレクトリサービス内に

複数のグループを追加できます。ユーザーが複数グループのメンバの場合、そのグループのすべての特権を取得します。

役割グループの特権レベルおよびデフォルトの役割グループ設定に関する詳細は、「ユーザータイプ」を参照してください。

汎用 LDAP ディレクトリを設定した CMC へのアクセス

CMC の汎用 LDAP 実装では、ユーザーにアクセスを許可するためにユーザー認証とユーザー承認の 2 つのフェーズが使用されます。

LDAP ユーザーの認証

一部のディレクトリサーバーでは、特定の LDAP サーバーを検索する前にバインドが必要です。

ユーザーを認証するには、次の手順を実行します。

1. オプションでディレクトリサービスにバインドします。デフォルトは匿名バインドです。

2. ユーザーログインに基づいて、ユーザーを検索します。デフォルト属性は uid です。複数のオブジェクトが検出された場合、プ

ロセスはエラーを返します。

3. バインドを解除してから、ユーザーの DN とパスワードを使ってバインドを実行します。バインドできないシステムでは、ログ

インが失敗します。

4. これらの手順に問題がなければ、ユーザーは認証されています。

LDAP ユーザーの承認

ユーザーを承認するには、次の手順を実行します。

1. 設定された各グループで、member or uniqueMember 属性内のユーザーのドメイン名を検索します。ユーザードメインは管理

者が設定できます。

2. ユーザーが所属するユーザーグループごとに、適切なユーザーアクセス権と権限をユーザーに付与します。

ユーザーアカウントと権限の設定 133