Users Guide
LDAP ユーザーの認証と承認
一部のディレクトリサーバーでは、特定の LDAP サーバーに対して検索を行う前にバインドが必要です。認証手順は以下の通りです。
1. オプションでディレクトリサービスにバインドします。デフォルトは匿名バインドです。
2. ユーザーログインに基づきユーザーを検索します。デフォルトの属性は uid です。
3. 複数のオブジェクトが検出された場合、プロセスはエラーを返します。
4. バインドを解除してから、ユーザーの DN とパスワードを使ってバインド実行します。
5. バインドできない場合は、ログインもできません。
これらの手順に問題がなければ、ユーザーは認証されたとみなされます。次のフェーズは承認です。CMD には最大 5 つのグループとそれに対応する特権が保存されています。ユーザーは、オプショ
ンでディレクトリサービス内に複数のグループを追加できます。ユーザーが複数グループのメンバの場合、そのグループのすべての特権を取得します。
承認手順は以下の通りです。
1. 設定された各グループで、member または uniquemember 属性内のユーザーの DN を検索します。このフィールドは、システム管理者により設定が可能です。
2. ユーザーが属するグループごとに、特権も一緒に追加します。
CMC ウェブインタフェースを使用した汎用 LDAP ディレクトリサービスの設定
汎用 Lightweight Directory Access Protocol(LDAP) サービスを使用して、お使いのソフトウェアが CMC へのアクセスを提供するように設定できます。LDAP を使用すると、既存ユーザーの
CMC ユーザー権限を追加したり管理することができます。
LDAP 設定、汎用 LDAP の設定の情報については、汎用 LDAP と CMC の併用 を参照してください。
LDAP を表示、設定するには、次の手順に従います。
1. ウェブインタフェースにログインします。
2. ユーザー認証 タブをクリックしてから、ディレクトリサービス サブタブをクリックします。ディレクトリサービス ページが表示されます。
3. 汎用 LDAP に関連付けられるラジオボタンをクリックします。
4. 表示されているオプションを設定してから、適用 をクリックします。
次の設定オプションが利用可能です。
表 8-10.共通設定
メモ:LDAP を CMC 用に設定するには、シャーシ設定システム管理者 の権限が必要です。
設定
説明
汎用 LDAP を有効に
する
CMC で汎用 LDAP サービスを有効にします。
識別名を使用してグル
ープメンバーシップを検
索
メンバーがデバイスにアクセスを許可されている LDAP グループの識別名(DN)を指定します。
SSL 証明書検証を有
効にする
チェックした場合、CMC は CA 証明書を使用して、SSL ハンドシェイク中に LDAP サーバー証明書を検証します。
バインド DN
ログインユーザーの DN の検索時に、サーバーにバインドするユーザーの識別名を指定します。指定されていない場合は、匿名のバインドが使用されます。
パスワード
バインド DN と併用するバインドパスワード。
メモ:バインドパスワードは機密データで、適切にセキュリティ保護されている必要があります。
検索するベース DN
すべての検索を開始するディレクトリの分岐の DN。
ユーザーログイン属性
検索対象の属性を指定します。設定されていない場合は、デフォルトで uid を使用します。選択したベース DN 内では一意であることを薦めます。そうでない場合、ログイン
ユーザーの一意性を確保するために、検索フィルタを設定する必要があります。ユーザー DN が属性と検索フィルタの組み合わせを検索するときに一意に識別できない場
合、ログインに失敗し、エラーが表示されます。
グループメンバーシップ
属性
グループメンバーシップのチェックに使用される LDAP 属性を指定します。これは、グループクラスの属性です。指定されていない場合は、member 属性と
uniquemember 属性が使用されます。
検索フィルタ
有効な LDAP 検索フィルタを指定します。ユーザー属性によって、選択した baseDN 内でログインユーザーを一意に識別できない場合に使用します。指定されていない場
合は、デフォルトで、値はツリー内のすべてのオブジェクトを検索する objectClass=* に設定されます。このプロパティの最大長は1024文字です。