認証ディレクトリサービスの追加

外部の認証ディレクトリサービス(エンタープライズディレクトリまたは認証ログインドメインとも呼ばれる)を使用して、ローカルのログインアカウントを個別に管理する代わりに、アプライアンスにログインするユーザーを認証できます。

Microsoft Active DirectoryとOpenLDAPの2種類のディレクトリサービスがサポートされています。

前提条件
  • 必要な最小権限:インフラストラクチャ管理者。
  • 認証ディレクトリサービスは、セキュアなLDAP通信(LDAPS)をサポートするために証明書を使用して構成する必要があります。
  • ディレクトリサーバーのDNS完全修飾ドメイン名を指定する前に、HPE OneViewアプライアンスでDNSを構成する必要があります。
  • 名前とIPアドレスの正引きおよび逆引き検索は、DNSで正しく機能している必要があります。
  • ディレクトリの追加タスクを実行する前に、いずれかのディレクトリサーバーで使用されているCAルート証明書をHPE OneViewトラストストアに追加する必要があります。

    注記:
    • セキュリティを強化するため、ほとんどのディレクトリサーバーは、自己署名証明書ではなくCA署名証明書を使用します。

    • CAルート公開証明書を取得するには、Active DirectoryまたはOpenLDAP管理者または公開鍵インフラストラクチャ(PKI)管理者に相談してください。

    • 設定 > セキュリティ > 証明書の管理を使用して、CAルート証明書をHPE OneViewトラストストアにインポートします。ドメインを構成する個々のディレクトリサーバーが異なるCAルートの証明書を持っている場合は、HPE OneViewトラストストアにそれぞれ固有のCAルートを入力します。

手順
  1. メインメニューから設定を選択します。
  2. セキュリティパネルで編集アイコンをクリックするか、アクション > 編集の順に選択します。
  3. セキュリティの編集画面のディレクトリで、ディレクトリの追加をクリックします。
  4. 画面で要求されるデータを入力します。ディレクトリの追加/編集画面の詳細を参照してください。
  5. ディレクトリサーバーの追加をクリックします。
    重要:

    グローバルカタログを検索するかドメインを検索するかの決定は、検索範囲がベースになります。

    • 検索範囲がドメインか組織ユニットのときは、SSLポートを使用します。デフォルトは636です。

    • 検索範囲がフォレストのときは、SSLグローバルカタログポートを使用します。デフォルトは3269です。

  6. 画面で要求されるデータを入力します。ディレクトリサーバーの追加画面の詳細を参照してください。
    注記:

    Open LDAPの場合:

    • 追加ボタンを使用して組織ユニットフィールドを必要に応じて追加します。

    • 組織ユニットフィールドとそのエントリーを削除するには、対応する アイコンをクリックします。をクリックします。

  7. 追加をクリックしてサーバーを追加し、ディレクトリの追加画面に戻ります。
    注記:

    証明書を手動で入力する場合は、証明書の追加オプションを使用します。

  8. 追加をクリックして認証ディレクトリサービスを追加するか、追加+をクリックしてディレクトリサービスをさらに追加します。
    注記:

    アプライアンスはサーバー証明書チェーンを取得して、信頼します。ルートCAがチェーン内に見つからない場合は、証明書の管理画面を使用してルートCA証明書を信頼するように求められます。

  9. 認証ディレクトリサービスを追加した後に、次の操作を行ってください。
    1. セキュリティ画面のディレクトリの下で、構成を確認します。
    2. ディレクトリサーバー構成を検証します

推奨される次のステップ:ディレクトリベースの認証を使用してグループを追加する