ディレクトリサービス認証について
Active Directory
OpenLDAP
ディレクトリサービスを使用する場合、ディレクトリ内でグループメンバーシップを使用するHPE OneView権限がディレクトリユーザーに付与されます。ディレクトリサービスを定義した後、ローカルユーザーおよびグループ画面を使用してディレクトリグループの権限を定義します。
ディレクトリグループには、1つ以上のHPE OneView権限が割り当てられます。ディレクトリユーザーには、そのユーザーが所属するすべてのディレクトリグループの権限の集合を表すHPE OneView権限が割り当てられます。ディレクトリグループの権限を定義してからでないと、ディレクトリユーザーは、認証を受けてアプライアンスにログインすることはできません。
グループ内のすべてのユーザーは、次の手順に従ってアプライアンスにログインできます。
ログインページでエンタープライズディレクトリサービスを選択します。
- ユーザー名を入力します。ユーザー名の形式は、ディレクトリの種類によって異なります。正しいユーザー名形式については、HPE OneView管理者およびディレクトリ管理者に問い合わせてください。有効な形式には、以下が含まれます。
電子メールアドレス。(例:jane@example.com)
- ユーザーの共通名(ディレクトリでのCN属性)。janeまたはexample\janeなど。ここで、example.comはディレクトリドメインです。注記:
ディレクトリサービスのHPE OneView表示名は、完全修飾ドメイン名の先頭と一致するように設定することをお勧めします(example.comディレクトリが存在する場合は、example)。ユーザー名の形式は、ディレクトリの種類によって異なります。
パスワードを入力します。
アプライアンスのエンタープライズディレクトリユーザー
ディレクトリユーザーに対応する明示的なユーザーはアプライアンスで作成されていません。ただし、ディレクトリユーザーがアプライアンスにログインすると、そのユーザーは、エンタープライズディレクトリ名の先頭にあるユーザー名によって識別されます。
セッションコントロールで、前にエンタープライズディレクトリサービスが付いた名前で()ユーザーを識別します。以下に例を示します。
CorpDir\pat
ローカルユーザーとは違い、ユーザーが認証ディレクトリから削除された場合、そのユーザーのアクティブセッションはユーザーがログアウトするまでアクティブのままです。同様に、認証ディレクトリ内でユーザーグループに何らかの変更が加えられている場合、そのユーザーの現時点におけるアクティブセッションは反映されません。
ある認証ディレクトリグループのグループ役割割り当て(削除を含む)に変更があったときにそのグループのユーザーがログインしていると、現在のアクティブセッションはそのユーザーがログアウトするまで影響を受けません。ローカルユーザーのセッションは、このような変更が行われたときに終了します。
ディレクトリサーバー
ディレクトリサーバー構成にクラスターを使用する場合、そのクラスターのホスト名をディレクトリサーバーとして指定できます。Hewlett Packard Enterpriseでは、ディレクトリサーバーの構成に、ディレクトリサーバーを複製してアプライアンス内で構成するのではなく、クラスターを使用することをお勧めします。
ディレクトリ構成およびログイン時間に影響するネットワーク遅延にもよりますが、ディレクトリ検索操作は長時間を要します。ドメインが多数含まれるActive Directoryを使用する場合、ログインパフォーマンスを最適化するため、ディレクトリサーバー用のグローバルカタログを構成してください。
ディレクトリサーバーとのバインド
サービスアカウント:ディレクトリサーバーに対する読み取りアクセス権を持ったディレクトリサービスアカウントをアプライアンスで構成できます。サービスアカウントは、ユーザー名とパスワードを入力として受け取ります。HPE OneViewは、認証情報を保管して今後の使用に備えます。HPE OneViewでTwo-Factor認証が有効になっている場合、サービスアカウントオプションは必須です。
ユーザーアカウント:ユーザーアカウントは、HPE OneViewをディレクトリサービスに接続するときに、ユーザーが提供する認証情報を使用します。ユーザーアカウントは、認証の処理中にディレクトリを照会するのに役立ちます。ユーザーアカウントは、ディレクトリバインドのデフォルトオプションです。ディレクトリサービス用のユーザー認証情報はHPE OneViewには保存されていません。
認証に使用するユーザーログイン形式
ユーザー名のみを指定したユーザーログインをサポートするには、次の形式を使用してディレクトリサービスの認証を受けます。
user nameが電子メールアドレスでない場合(@
がない)または\
文字がない(domain\
user name形式を示す)場合、ログインは次の順で試行されます。
user nameは名前として処理され、directory-nameが「directory-name\user-name」のようにその前に付加されます(例:example\jane)。
user nameはUIDとして扱われます。
user nameはCommon Name(CN)として扱われます。
n
回連続して失敗したログイン試行で定義される)がある場合、Hewlett Packard Enterpriseでは、電子メール形式またはdomain\user name形式を使用してHPE OneViewにログインするようにお勧めします。電子メール形式またはdomain\
user name形式を使用しない場合(代わりに、ユーザー名のみ使用する場合)、HPE OneViewは前述のように別のログイン形式を内部的に使用します。すると、ログインに1回失敗した(パスワードを間違えた)だけでユーザーがGUIからロックアウトされる可能性があります。ログインの試行回数を最小限に抑えるため、ディレクトリ表示名は、ディレクトリの完全修飾ドメイン名の最初のコンポーネントと同じにしてください。たとえば、ディレクトリ「example.com」にHPE OneView名「example」を割り当てるなどです。ディレクトリサーバーの信頼
Hewlett Packard Enterpriseでは、ディレクトリサーバー上でCA署名済み証明書を使用するようにお勧めします。ディレクトリ証明書の証明書チェーン全体(CAルート証明書および中間証明書を含む)は、ディレクトリサービスを構成する前にHPE OneViewトラストストア内に配置しておく必要があります。これによって、ディレクトリサーバーがアプライアンス上で構成される際にアプライアンスによってそのサーバーが自動的に信頼されます。
エンタープライズディレクトリサービスとサーバーの追加後
ログイン時に使用するデフォルトのディレクトリサービスとして指定する。
オプションで、ローカルログインを無効にする。これにより、ディレクトリサービスによって認証されたアカウントを持つユーザーのみがログインできるようになります。ローカルアカウントはログインできません。
Microsoft Active Directoryサービスを構成する際の留意事項
セキュリティを最大限強化するため、Hewlett Packard Enterpriseでは、TLS 1.2以降のプロトコルを使用するようにディレクトリサーバーを構成することをお勧めします。
以下は、Active Directory属性とこれに対応するLDAPプロパティのマッピングです。
LDAPプロパティ
Active Directory属性
cn
Common-Name
uid
UID
userPrincipalName
User-Principal-Name
sAMAccountName
SAM-Account-Name
ユーザーオブジェクトがActive DirectoryユーザーとコンピューターMicrosoft管理コンソールで作成される場合、名前はデフォルトで次のように設定されます。
対応する属性とともにここに表示されている、ユーザーの名前の次のコンポーネントを指定します。
ユーザー名コンポーネント
属性
名
givenName
イニシャル
initial
姓
sn
Full Name
ラベルが付いたフィールドのデフォルトは、この形式です。この文字列は、cn
属性(共通名)に割り当てられます。givenName.initials.givenName.initial.sn
新しいオブジェクト - ユーザーダイアログボックスでは、ユーザーログオン名も指定する必要があります。ユーザーログオン名は、DNSドメイン名と組み合わさって
userPrincipalName
になります。userPrincipalName
は、ユーザーがログインに使用できる代替の名前です。次の形式で指定します。LogonName@DNSDomain
以下に例を示します。
joeuser@example.com
最後に、ユーザーログオン名を入力するとき、最初の20文字はユーザーログオン名(Windows 2000より前)フィールドに自動的に入力され、
sAMAccountName
属性になります。組み込みActive DirectoryユーザーアカウントのCNログイン(
Administrator
など)は受け付けられません。他のログインフォーマットは、それぞれの属性(sAMAccountName、userPrincipalName、UID)が正しく設定されている場合は、許容可能です。