認証ディレクトリサービスの追加

外部の認証ディレクトリサービス(エンタープライズディレクトリまたは認証ログインドメインとも呼ばれる)を使用して、ローカルのログインアカウントを個別に管理する代わりに、アプライアンスにログインするユーザーを認証できます。

Microsoft Active DirectoryとOpenLDAPの2種類のディレクトリサービスがサポートされています。

前提条件
  • 必要な最小権限:インフラストラクチャ管理者。
  • 認証ディレクトリサービスは、セキュアなLDAP通信(LDAPS)をサポートするために証明書を使用して構成する必要があります。
  • ディレクトリサーバー証明書への署名に使用されたルート認証機関(CA)または中間CA証明書をHPE OneViewトラストストアに追加する必要があります。
    注記:
    • セキュリティを強化するため、ほとんどのディレクトリサーバーは、自己署名証明書ではなくCA署名証明書を使用します。

    • CAルート公開証明書を取得するには、Active DirectoryまたはOpenLDAP管理者または公開鍵インフラストラクチャ(PKI)管理者に相談してください。Active Directoryサーバー証明書のCAチェーン全体を抽出するには、これらの手順に従います。

    • 設定 > セキュリティ > 証明書の管理を使用して、CAルート証明書をHPE OneViewトラストストアにインポートします。ドメインを構成する個々のディレクトリサーバーが異なるCAルートの証明書を持っている場合は、HPE OneViewトラストストアにそれぞれ固有のCAルートを入力します。

  • ディレクトリサーバーのDNS完全修飾ドメイン名を指定する前に、HPE OneViewアプライアンスでDNSを構成する必要があります。
  • ディレクトリサーバーの名前とIPアドレスの正引き検索は、DNSで正しく機能している必要があります。
手順
  1. メインメニューから設定を選択します。
  2. セキュリティパネルで編集アイコンをクリックするか、アクション > 編集の順に選択します。
  3. セキュリティの編集画面のディレクトリで、ディレクトリの追加をクリックします。
  4. ディレクトリの追加/編集画面で要求されているデータを入力します。
  5. ディレクトリサーバーの追加をクリックします。
    重要:

    グローバルカタログを検索するかドメインを検索するかの決定は、検索範囲がベースになります。

    • 検索範囲がドメインか組織ユニットのときは、SSLポートを使用します。デフォルトは636です。

    • 検索範囲がActive Directoryフォレストのときは、SSLグローバルカタログポートを使用します。デフォルトは3269です。

      大規模なActive Directory環境では、ユーザー認証の検索がActive Directoryフォレストにまたがる必要がある場合、Hewlett Packard EnterpriseはActive Directory認証クエリにグローバルカタログポート3269の使用をお勧めします。

  6. [ディレクトリサーバーの追加]画面で要求されているデータを入力します。
    注記:

    Open LDAPの場合:

    • 追加ボタンを使用して組織ユニットフィールドを必要に応じて追加します。
      重要:

      アプライアンスと認証ディレクトリサービスは、相互に通信するときに、数値データタイプを持つLDAPS(LDAP over SSL)ポートを使用します。

    • 組織ユニットフィールドとそのエントリーを削除するには、対応するアイコンをクリックします。

  7. 追加をクリックしてサーバーを追加し、ディレクトリの追加画面に戻ります。
    注記:

    アプライアンスはサーバー証明書チェーンを取得し、検証と信頼を可能にします。ディレクトリサーバー証明書に署名した最上位のルートCAを含め、信頼できる証明書チェーン全体を追加する必要があります。ルートCAがチェーン内に見つからない場合は、証明書の管理画面を使用してルートCA証明書を信頼するように求められます。

    追加+を使用してさらにサーバーを追加できますが、Hewlett Packard Enterpriseでは、ディレクトリサーバーの構成に、ディレクトリサーバーを複製してアプライアンス内で構成するのではなく、クラスターを使用することをお勧めします。ディレクトリサーバー構成にクラスターを使用する場合、そのクラスターのホスト名をディレクトリサーバーとして指定できます。
  8. 追加をクリックして認証ディレクトリサービスを追加するか、追加+をクリックしてディレクトリサービスをさらに追加します。
    注記:

    ディレクトリ構成およびログイン時間に影響するネットワーク遅延にもよりますが、ディレクトリ検索操作は長時間を要します。ドメインが多数含まれるActive Directoryを使用する場合、ログインパフォーマンスを最適化するため、ディレクトリサーバー用のグローバルカタログを設定してください。デフォルトでは、グローバルカタログはポート3269に設定されています。

  9. 認証ディレクトリサービスを追加した後に、次の操作を行ってください。
    1. セキュリティ画面のディレクトリの下で、構成を確認します。
    2. ディレクトリサーバー構成を検証します
  10. ディレクトリベースの認証を使用してグループを追加する