Users Guide
CMC の汎用 LDAP 実装では、ユーザーにアクセスを許可する際に 2 段階で行います。フェーズ 1 でユーザー認証を行ってから、フェーズ 2 でユーザー承認を行います。
LDAP ユーザーの認証と承認
一部のディレクトリサーバーでは、特定の LDAP サーバーに対して検索を行う前にバインドが必要です。認証手順は次の通りです。
1. オプションでディレクトリサービスにバインドします。デフォルトは匿名バインドです。
2. ユーザーログインに基づきユーザーを検索します。デフォルトの属性は uid です。
3. 複数のオブジェクトが検出された場合、プロセスはエラーを返します。
4. バインドを解除してから、ユーザーの DN とパスワードを使ってバインド実行します。
5. バインドできない場合は、ログインもできません。
これらの手順に問題がなければ、ユーザーは認証されたとみなされます。次のフェーズは承認です。CMD には最大 5 つのグループとそれに対応する特権が保存されています。ユーザーは、オプショ
ンでディレクトリサービス内に複数のグループを追加できます。ユーザーが複数グループのメンバの場合、そのグループのすべての特権を取得します。
承認手順は次の通りです。
1. 設定された各グループで、member または uniquemember 属性内のユーザーの DN を検索します。このフィールドは、システム管理者により設定が可能です。
2. ユーザーが属するグループごとに、特権も一緒に追加します。
CMC ウェブインタフェースを使用した汎用 LDAP ディレクトリサービスの設定
汎用 Lightweight Directory Access Protocol(LDAP)サービスを使用して、お使いのソフトウェアが CMC へのアクセスを提供するように設定できます。LDAP を使用すると、既存ユーザーの
CMC ユーザー権限を追加したり管理することができます。
LDAP 設定、汎用 LDAP の設定の情報については、汎用 LDAP と CMC の併用を参照してください。
LDAP の表示と設定を行うには、
1. ウェブインタフェースにログインします。
2. ユーザー認証 タブをクリックしてから、ディレクトリサービス サブタブをクリックします。ディレクトリサービス ページが表示されます。
3. 汎用 LDAP に関連付けられるラジオボタンをクリックします。
4. 表示されているオプションを設定してから、適用 をクリックします。
表8-10 に、使用可能なオプションを示します。
表 8-10.共通設定
メモ:LDAP を CMC 用に設定するには、シャーシ設定システム管理者 の権限が必要です。
設定
説明
汎用 LDAP を有効に
する
CMC で汎用 LDAP サービスを有効にします。
識別名を使用してグル
ープメンバーシップを検
索
メンバーがデバイスにアクセスを許可されている LDAP グループの識別名(DN)を指定します。
SSL 証明書検証を有
効にする
チェックした場合、CMC は CA 証明書を使用して、SSL ハンドシェイク中に LDAP サーバー証明書を検証します。
バインド DN
ログインユーザーの DN の検索時に、サーバーにバインドするユーザーの識別名を指定します。指定されていない場合は、匿名のバインドが使用されます。
パスワード
バインド DN と併用するバインドパスワード。
メモ:バインドパスワードは機密データで、適切にセキュリティ保護されている必要があります。
検索するベース DN
すべての検索を開始するディレクトリの分岐の DN。
ユーザーログイン属性
検索対象の属性を指定します。設定されていない場合は、デフォルトで uid を使用します。選択したベース DN 内では一意であることを薦めます。そうでない場合、ログイン
ユーザーの一意性を確保するために、検索フィルタを設定する必要があります。ユーザー DN が属性と検索フィルタの組み合わせを検索するときに一意に識別できない場