Users Guide
ハンドシェイク中の証明書の検証を無効にする場合は、次のコマンドを実行します(オプション)。
racadm config -g cfgActiveDirectory -o cfgADCertValidationEnable 0
メモ: この場合、CA 証明書をアップロードする必要はありません。
SSL ハンドシェイク中に証明書の検証を実施する場合は、次のコマンドを実行します(オプション)。
racadm config -g cfgActiveDirectory -o cfgADCertValidationEnable 1
この場合、CA 証明書をアップロードする必要があります。
racadm sslcertupload -t 0x2 -f < ADS root CA certificate >
メモ: 証明書の検証が有効な場合、ドメインコントローラサーバーのアドレスおよび FQDN を指定します。DNS が正しく設定されてい
ることを確認してください。
次の RACADM コマンドの使用はオプションです。
racadm sslcertdownload -t 0x1 -f < RAC SSL certificate >
汎用 LDAP ユーザーの設定
CMC は Lightweight Directory Access Protocol(LDAP)ベースの認証をサポートするための汎用ソリューションを提供します。この機能は、デ
ィレクトリサービス上のどのスキーマ拡張にも必要です。
CMC 管理者は、LDAP サーバーのユーザーログインを CMC と統合することが可能です。この統合を行うには、LDAP サーバーと CMC の両方で
の設定が必要です。Active Directory 側では、標準グループオブジェクトが役割グループとして使用されます。CMC のアクセス権を持つユーザー
は、役割グループのメンバーとなります。特権は、Active Directory サポートを伴う標準スキーマセットアップの動作に似た認証のため、CMC に引
き続き保存されます。
LDAP ユーザーが特定の CMC カードにアクセスできるようにするには、その CMC カードに役割グループ名とそのドメイン名を設定する必要があり
ます。各 CMC には、5 つまで役割グループを設定できます。ユーザーは、オプションでディレクトリサービス内に複数のグループを追加できます。 ユ
ーザーが複数グループのメンバの場合、そのグループのすべての特権を取得します。
役割グループの特権レベルおよびデフォルトの役割グループ設定に関する詳細は、「ユーザータイプ」を参照してください。
汎用 LDAP ディレクトリを設定した CMC へのアクセス
CMC の汎用 LDAP 実装では、ユーザーにアクセスを許可するためにユーザー認証とユーザー承認の 2 つのフェーズが使用されます。
LDAP ユーザーの認証
一部のディレクトリサーバーでは、特定の LDAP サーバーを検索する前にバインドが必要です。
ユーザーを認証するには、次の手順を実行します。
1. オプションでディレクトリサービスにバインドします。デフォルトは匿名バインドです。
メモ: Windows ベースのディレクトリサーバーでは、匿名ログインは許可されていません。そのため、バインド DN 名とパスワードを
入力します。
2. ユーザーログインに基づいて、ユーザーを検索します。デフォルトの属性は、uid です。複数のオブジェクトが検出された場合、プロセスはエラ
ーを返します。
3. バインドを解除してから、ユーザーの DN とパスワードを使ってバインド実行します。システムがバインドできない場合は、ログインが失敗しま
す。
4. これらの手順に問題がなければ、ユーザーは認証されています。
LDAP ユーザーの承認
ユーザーを承認するには、次の手順を実行します。
1. 設定された各グループで、member or uniqueMember 属性内のユーザーのドメイン名を検索します。ユーザードメインは管理者が設
定できます。
2. ユーザーが所属するユーザーグループごとに、適切なユーザーアクセス権と権限をユーザーに付与します。
129