ディレクトリサービス認証について

ユーザー認証に外部エンタープライズディレクトリサービスを使用するようにHPE OneViewを構成できます。HPE OneViewでは、次のエンタープライズディレクトリサービスをサポートしています。
  • Active Directory

  • OpenLDAP

ディレクトリサービスを使用する場合、ディレクトリ内でグループメンバーシップを使用するHPE OneView権限がディレクトリユーザーに付与されます。ディレクトリサービスを定義した後、ローカルユーザーおよびグループ画面を使用してディレクトリグループの権限を定義します。

ディレクトリグループには、1つ以上のHPE OneView権限が割り当てられます。ディレクトリユーザーには、そのユーザーが所属するすべてのディレクトリグループの権限の集合を表すHPE OneView権限が割り当てられます。ディレクトリグループの権限を定義してからでないと、ディレクトリユーザーは、認証を受けてアプライアンスにログインすることはできません。

グループ内のすべてのユーザーは、次の手順に従ってアプライアンスにログインできます。

  1. ログインページでエンタープライズディレクトリサービスを選択します。

  2. ユーザー名を入力します。ユーザー名の形式は、ディレクトリの種類によって異なります。正しいユーザー名形式については、HPE OneView管理者およびディレクトリ管理者に問い合わせてください。有効な形式には、以下が含まれます。
    • 電子メールアドレス。(例:jane@example.com)

    • ユーザーの共通名(ディレクトリでのCN属性)。janeまたはexample\janeなど。ここで、example.comはディレクトリドメインです。
      注記:

      ディレクトリサービスのHPE OneView表示名は、完全修飾ドメイン名の先頭と一致するように設定することをお勧めします(example.comディレクトリが存在する場合は、example)。ユーザー名の形式は、ディレクトリの種類によって異なります。

  3. パスワードを入力します。

アプライアンスのエンタープライズディレクトリユーザー

ディレクトリユーザーに対応する明示的なユーザーはアプライアンスで作成されていません。ただし、ディレクトリユーザーがアプライアンスにログインすると、そのユーザーは、エンタープライズディレクトリ名の先頭にあるユーザー名によって識別されます。

セッションコントロールで、前にエンタープライズディレクトリサービスが付いた名前で()前に認証ディレクトリサービスが付いた名前でユーザーを識別します。以下に例を示します。)ユーザーを識別します。以下に例を示します。

CorpDir\pat
重要:

ローカルユーザーとは違い、ユーザーが認証ディレクトリから削除された場合、そのユーザーのアクティブセッションはユーザーがログアウトするまでアクティブのままです。同様に、認証ディレクトリ内でユーザーグループに何らかの変更が加えられている場合、そのユーザーの現時点におけるアクティブセッションは反映されません。

ある認証ディレクトリグループのグループ役割割り当て(削除を含む)に変更があったときにそのグループのユーザーがログインしていると、現在のアクティブセッションはそのユーザーがログアウトするまで影響を受けません。ローカルユーザーのセッションは、このような変更が行われたときに終了します。

ディレクトリサーバー

アプライアンスでディレクトリが構成されている場合は、ディレクトリサービスからアクセス可能なディレクトリサーバーを1つまたは複数指定できます。1つのディレクトリに複数のディレクトリサーバーを追加する場合は、高可用性または耐障害性のための冗長サーバーとして追加することが前提です。あるディレクトリサーバーにアクセスできない場合は、もう1つの構成済みのサーバーにアクセスしてユーザー認証が行われます。
注記:
  • ディレクトリサーバー構成にクラスターを使用する場合、そのクラスターのホスト名をディレクトリサーバーとして指定できます。Hewlett Packard Enterpriseでは、ディレクトリサーバーの構成に、ディレクトリサーバーを複製してアプライアンス内で構成するのではなく、クラスターを使用することをお勧めします。

  • ディレクトリ構成およびログイン時間に影響するネットワーク遅延にもよりますが、ディレクトリ検索操作は長時間を要します。ドメインが多数含まれるActive Directoryを使用する場合、ログインパフォーマンスを最適化するため、ディレクトリサーバー用のグローバルカタログを構成してください。

ディレクトリサーバーとのバインド

検索および認証操作を行うため、アプライアンスをディレクトリサーバーにバインドする必要があります。次のいずれかのオプションを使用してバインドを行うことができます。
  • サービスアカウント:ディレクトリサーバーに対する読み取りアクセス権を持ったディレクトリサービスアカウントをアプライアンスで構成できます。サービスアカウントは、ユーザー名とパスワードを入力として受け取ります。HPE OneViewは、認証情報を保管して今後の使用に備えます。HPE OneViewでTwo-Factor認証が有効になっている場合、サービスアカウントオプションは必須です。

  • ユーザーアカウント:ユーザーアカウントは、HPE OneViewをディレクトリサービスに接続するときに、ユーザーが提供する認証情報を使用します。ユーザーアカウントは、認証の処理中にディレクトリを照会するのに役立ちます。ユーザーアカウントは、ディレクトリバインドのデフォルトオプションです。ディレクトリサービス用のユーザー認証情報はHPE OneViewには保存されていません。

認証に使用するユーザーログイン形式

ユーザー名のみを指定したユーザーログインをサポートするには、次の形式を使用してディレクトリサービスの認証を受けます。

user nameが電子メールアドレスでない場合(@がない)または\文字がない(domain\user name形式を示す)場合、ログインは次の順で試行されます。

  1. user nameは名前として処理され、directory-nameが「directory-name\user-name」のようにその前に付加されます(例:example\jane)。

  2. user nameUIDとして扱われます。

  3. user nameCommon Name(CN)として扱われます。

注記: HPE OneViewで構成されたActive Directoryサーバーサービスに、ユーザーロックアウトポリシー(たとえば、n回連続して失敗したログイン試行で定義される)がある場合、Hewlett Packard Enterpriseでは、電子メール形式またはdomain\user name形式を使用してHPE OneViewにログインするようにお勧めします。電子メール形式またはdomain\user name形式を使用しない場合(代わりに、ユーザー名のみ使用する場合)、HPE OneViewは前述のように別のログイン形式を内部的に使用します。すると、ログインに1回失敗した(パスワードを間違えた)だけでユーザーがGUIからロックアウトされる可能性があります。ログインの試行回数を最小限に抑えるため、ディレクトリ表示名は、ディレクトリの完全修飾ドメイン名の最初のコンポーネントと同じにしてください。たとえば、ディレクトリ「example.com」にHPE OneView名「example」を割り当てるなどです。

ディレクトリサーバーの信頼

Hewlett Packard Enterpriseでは、ディレクトリサーバー上でCA署名済み証明書を使用するようにお勧めします。ディレクトリ証明書の証明書チェーン全体(CAルート証明書および中間証明書を含む)は、ディレクトリサービスを構成する前にHPE OneViewトラストストア内に配置しておく必要があります。これによって、ディレクトリサーバーがアプライアンス上で構成される際にアプライアンスによってそのサーバーが自動的に信頼されます。

エンタープライズディレクトリサービスとサーバーの追加後

次のことを行うことができます。
  • ログイン時に使用するデフォルトのディレクトリサービスとして指定する。

  • オプションで、ローカルログインを無効にする。これにより、ディレクトリサービスによって認証されたアカウントを持つユーザーのみがログインできるようになります。ローカルアカウントはログインできません。

Microsoft Active Directoryサービスを構成する際の留意事項

  • セキュリティを最大限強化するため、Hewlett Packard Enterpriseでは、TLS 1.2以降のプロトコルを使用するようにディレクトリサーバーを構成することをお勧めします。

  • 以下は、Active Directory属性とこれに対応するLDAPプロパティのマッピングです。

    LDAPプロパティ

    Active Directory属性

    cn

    Common-Name

    uid

    UID

    userPrincipalName

    User-Principal-Name

    sAMAccountName

    SAM-Account-Name

  • ユーザーオブジェクトがActive DirectoryユーザーとコンピューターMicrosoft管理コンソールで作成される場合、名前はデフォルトで次のように設定されます。

    対応する属性とともにここに表示されている、ユーザーの名前の次のコンポーネントを指定します。

    ユーザー名コンポーネント

    属性

    givenName

    イニシャル

    initial

    sn

    Full Nameラベルが付いたフィールドのデフォルトは、この形式です。この文字列は、cn属性(共通名)に割り当てられます。

    givenName.initials.givenName.initial.sn
            

    新しいオブジェクト - ユーザーダイアログボックスでは、ユーザーログオン名も指定する必要があります。ユーザーログオン名は、DNSドメイン名と組み合わさってuserPrincipalNameになります。userPrincipalNameは、ユーザーがログインに使用できる代替の名前です。次の形式で指定します。

    LogonName@DNSDomain
            

    以下に例を示します。

    joeuser@example.com
  • 最後に、ユーザーログオン名を入力するとき、最初の20文字はユーザーログオン名(Windows 2000より前)フィールドに自動的に入力され、sAMAccountName属性になります。

  • 組み込みActive DirectoryユーザーアカウントのCNログイン(Administratorなど)は受け付けられません。他のログインフォーマットは、それぞれの属性(sAMAccountName、userPrincipalName、UID)が正しく設定されている場合は、許容可能です。