外部の認証ディレクトリサービス(エンタープライズディレクトリまたは認証ログインドメインとも呼ばれる)を使用して、ローカルのログインアカウントを個別に管理する代わりに、アプライアンスにログインするユーザーを認証できます。
Microsoft Active DirectoryとOpenLDAPの2種類のディレクトリサービスがサポートされています。
前提条件
- 必要な最小権限:インフラストラクチャ管理者。
- 認証ディレクトリサービスは、セキュアなLDAP通信(LDAPS)をサポートするために証明書を使用して構成する必要があります。
- ディレクトリサーバー証明書への署名に使用されたルート認証機関(CA)または中間CA証明書をHPE OneViewトラストストアに追加する必要があります。
注記: セキュリティを強化するため、ほとんどのディレクトリサーバーは、自己署名証明書ではなくCA署名証明書を使用します。
CAルート公開証明書を取得するには、Active DirectoryまたはOpenLDAP管理者または公開鍵インフラストラクチャ(PKI)管理者に相談してください。Active Directoryサーバー証明書のCAチェーン全体を抽出するには、これらの手順に従います。
を使用して、CAルート証明書をHPE OneViewトラストストアにインポートします。ドメインを構成する個々のディレクトリサーバーが異なるCAルートの証明書を持っている場合は、HPE OneViewトラストストアにそれぞれ固有のCAルートを入力します。
- ディレクトリサーバーのDNS完全修飾ドメイン名を指定する前に、HPE OneViewアプライアンスでDNSを構成する必要があります。
- ディレクトリサーバーの名前とIPアドレスの正引き検索は、DNSで正しく機能している必要があります。
手順
-
メインメニューから設定を選択します。
-
セキュリティパネルで編集アイコンをクリックするか、の順に選択します。
-
セキュリティの編集画面のディレクトリで、ディレクトリの追加をクリックします。
-
ディレクトリの追加/編集画面で要求されているデータを入力します。
-
ディレクトリサーバーの追加をクリックします。
重要: グローバルカタログを検索するかドメインを検索するかの決定は、検索範囲がベースになります。
検索範囲がドメインか組織ユニットのときは、SSLポートを使用します。デフォルトは636です。
検索範囲がActive Directoryフォレストのときは、SSLグローバルカタログポートを使用します。デフォルトは3269です。
大規模なActive Directory環境では、ユーザー認証の検索がActive Directoryフォレストにまたがる必要がある場合、Hewlett Packard EnterpriseはActive Directory認証クエリにグローバルカタログポート3269の使用をお勧めします。
-
[ディレクトリサーバーの追加]画面で要求されているデータを入力します。
-
追加をクリックしてサーバーを追加し、ディレクトリの追加画面に戻ります。
注記: アプライアンスはサーバー証明書チェーンを取得し、検証と信頼を可能にします。ディレクトリサーバー証明書に署名した最上位のルートCAを含め、信頼できる証明書チェーン全体を追加する必要があります。ルートCAがチェーン内に見つからない場合は、証明書の管理画面を使用してルートCA証明書を信頼するように求められます。
追加+を使用してさらにサーバーを追加できますが、Hewlett Packard Enterpriseでは、ディレクトリサーバーの構成に、ディレクトリサーバーを複製してアプライアンス内で構成するのではなく、クラスターを使用することをお勧めします。ディレクトリサーバー構成にクラスターを使用する場合、そのクラスターのホスト名をディレクトリサーバーとして指定できます。
-
追加をクリックして認証ディレクトリサービスを追加するか、追加+をクリックしてディレクトリサービスをさらに追加します。
注記: ディレクトリ構成およびログイン時間に影響するネットワーク遅延にもよりますが、ディレクトリ検索操作は長時間を要します。ドメインが多数含まれるActive Directoryを使用する場合、ログインパフォーマンスを最適化するため、ディレクトリサーバー用のグローバルカタログを設定してください。デフォルトでは、グローバルカタログはポート3269に設定されています。
-
認証ディレクトリサービスを追加した後に、次の操作を行ってください。
- セキュリティ画面のディレクトリの下で、構成を確認します。
- ディレクトリサーバー構成を検証します。
-
ディレクトリベースの認証を使用してグループを追加する。