ディレクトリサービス認証

ユーザー認証に外部エンタープライズディレクトリサービスを使用するようにHPE OneViewを構成できます。HPE OneViewでは、次のエンタープライズディレクトリサービスをサポートしています。
  • Active Directory

  • OpenLDAP

HPE OneViewログインページで使用されるディレクトリサービスの表示名は、[ディレクトリの追加/編集]の構成詳細ページに表示されます。この名前は、関連付けられているエンタープライズディレクトリを示します。

注記:
  • ユーザーがメールアドレスではなくディレクトリアカウント名(例えば、Active DirectoryではsAMAccountNameフィールドの値)を使用して認証する場合、Hewlett Packard Enterpriseは、表示名とディレクトリのドメインコンポーネントが一致することをお勧めします。
  • HPE OneViewはユーザー名の前にディレクトリの表示名を付加します。

    ディレクトリドメインがcorp.example.comの場合、表示名にcorpを使用すると、ユーザーはディレクトリのアカウント名のみを使用してログインできます。adminというログイン名を指定したユーザーは、ディレクトリにcorp\adminとして認証されます。

  • Active DirectoryがWindows 2000より前のドメイン名を使用するように設定されている場合、HPE OneViewでディレクトリを設定する場合、管理者はディレクトリ名がWindows 2000以前のドメイン名と一致するようにする必要があります。その後必要に応じて、管理者は、ユーザーがHPE OneViewにログインする場合にWindows 2000以前のディレクトリドメインをデフォルトとして設定するように選択することも選択できます。

    Active DirectoryドメインがActive Directoryのexample.comで、Windows 2000以前のドメイン名がmyDomainの場合、表示名をmyDomainにすると、ユーザーは自分のディレクトリアカウント名のみを使用してログインできます。adminというログイン名を指定したユーザーは、myDomain\adminというディレクトリに認証されます。

ディレクトリサービスを使用すると、ディレクトリユーザーには、ディレクトリのグループメンバーシップを使用したHPE OneView権限が付与されます。ディレクトリサービスを定義した後、ユーザーとグループ画面でディレクトリグループの権限を定義します。

ディレクトリグループには、1つ以上のHPE OneView権限が割り当てられます。ディレクトリユーザーには、そのユーザーが所属するすべてのディレクトリグループの権限の集合を表すHPE OneView権限が割り当てられます。ディレクトリグループの権限を定義してからでないと、ディレクトリユーザーは、認証を受けてアプライアンスにログインすることはできません。

グループ内のすべてのユーザーは、次の手順に従ってアプライアンスにログインできます。

  1. ログインページでエンタープライズディレクトリサービスを選択します。

  2. ユーザー名を入力します。ユーザー名の形式は、ディレクトリの種類によって異なります。正しいユーザー名形式については、HPE OneView管理者およびディレクトリ管理者に問い合わせてください。有効な形式には、以下が含まれます。
    • メールアドレス。(例:jane.larry@example.com

    • ダウンレベルログオン名またはドメイン名\ユーザーログオン名。example\janeなど。ここで、example.comはディレクトリドメインです。

    • ユーザーの共通名(ディレクトリでのCN属性)。例えば、janel
      注記:

      ディレクトリサービスのHPE OneView表示名は、完全修飾ドメイン名の先頭と一致するように設定することをお勧めします(example.comディレクトリが存在する場合は、example)。ユーザー名の形式は、ディレクトリの種類によって異なります。

      重要:

      ユーザー名が次のいずれかの形式の場合のみ、REST API /rest/login-sessionsを使用して、エンタープライズディレクトリユーザーはドメイン情報を個別に渡さなくてもログインできます。

      • domain\user

        例:example\janel

      • user@domain

        例:jane.larry@example.com

  3. パスワードを入力します。

アプライアンスのエンタープライズディレクトリユーザー

ディレクトリユーザーに対応する明示的なユーザーはアプライアンスで作成されていません。ただし、ディレクトリユーザーがアプライアンスにログインすると、そのユーザーは、エンタープライズディレクトリ名の先頭にあるユーザー名によって識別されます。

セッションコントロールで、)前に認証ディレクトリサービスが付いた名前でユーザーを識別します。例:前にエンタープライズディレクトリサービスが付いた名前でユーザーを識別します。以下に例を示します。

CorpDir\pat
重要:

ローカルユーザーとは違い、ユーザーが認証ディレクトリから削除された場合、そのユーザーのアクティブセッションはユーザーがログアウトするまでアクティブのままです。同様に、認証ディレクトリ内でユーザーグループに何らかの変更が加えられている場合、そのユーザーの現時点におけるアクティブセッションは反映されません。

ある認証ディレクトリグループのグループ役割割り当て(削除を含む)に変更があったときにそのグループのユーザーがログインしていると、現在のアクティブセッションはそのユーザーがログアウトするまで影響を受けません。ローカルユーザーのセッションは、このような変更が行われたときに終了します。

ディレクトリサーバー

アプライアンスでディレクトリが構成されている場合は、ディレクトリサービスからアクセス可能な 認証ディレクトリサービスをホストするサーバーの名前(またはIPアドレス)とポートを使用してディレクトリサーバーを1つまたは複数指定できます。1つのディレクトリに複数のディレクトリサーバーを追加する場合は、高可用性または耐障害性のための複製サーバーとして追加することが前提です。あるディレクトリサーバーにアクセスできない場合は、もう1つの構成済みのサーバーにアクセスしてユーザー認証が行われます。
注記:
  • ディレクトリサーバー構成にクラスターを使用する場合、そのクラスターのホスト名をディレクトリサーバーとして指定できます。Hewlett Packard Enterpriseでは、ディレクトリサーバーの構成に、ディレクトリサーバーを複製してアプライアンス内で構成するのではなく、クラスターを使用することをお勧めします。

  • ディレクトリ構成およびログイン時間に影響するネットワーク遅延にもよりますが、ディレクトリ検索操作は長時間を要します。ドメインが多数含まれるActive Directoryを使用する場合、ログインパフォーマンスを最適化するため、ディレクトリサーバー用のグローバルカタログを設定してください。

  • 高可用性を確保するため、通常、ディレクトリドメインには複数のディレクトリサーバーが含まれています。HPE OneViewでは、複数のディレクトリサーバーを構成できます。複数のディレクトリサーバーを構成すると、HPE OneViewは、ユーザーを認証できるまで、指定された順序で各ディレクトリサーバーにアクセスしようとします。例えば、Microsoft Active Directory環境には、通常、複数のドメインコントローラーが存在します。

    最高の可用性を得るには、Active Directory管理者と協力して、HPE OneViewに追加する必要があるドメインコントローラーを決定します。

ディレクトリサーバーとのバインド

検索および認証操作を行うため、アプライアンスをディレクトリサーバーにバインドする必要があります。次のいずれかのオプションを使用してバインドを行うことができます。
  • サービスアカウント:ディレクトリサーバーに対する読み取りアクセス権を持ったディレクトリサービスアカウントをアプライアンスで構成できます。サービスアカウントは、ユーザー名とパスワードを入力として受け取ります。HPE OneViewは、認証情報を保管して今後の使用に備えます。HPE OneViewでTwo-Factor認証が有効になっている場合、サービスアカウントオプションは必須です。

    構成によっては、一部のディレクトリ環境で、ディレクトリツリーの特定の部分をクエリできないため、ディレクトリユーザーにサービスアカウントが必要です。詳しくは、ディレクトリ管理者にお問い合わせください。
    注記:
    • HPE OneViewでTwo-Factor認証が有効になっている場合、サービスアカウントオプションを使用します。

    • HPE OneViewユーザーの代わりにディレクトリ全体の検索を実行するときに、HPE OneViewがこのアカウントを使用できるように、サービスアカウントにディレクトリツリーに対する読み取りアクセス権があることを確認します。例えば、ログイン中にHPE OneViewがディレクトリをクエリしてユーザーが所属するグループを特定する場合、このクエリを実行するためにサービスアカウントが使用されます。

  • ユーザーアカウント:ユーザーアカウントは、HPE OneViewをディレクトリサービスに接続するときに、ユーザーが提供する認証情報を使用します。ユーザーアカウントは、認証の処理中にディレクトリを照会するのに役立ちます。ユーザーアカウントは、ディレクトリバインドのデフォルトオプションです。ディレクトリサービス用のユーザー認証情報はHPE OneViewには保存されていません。

認証に使用するユーザーログイン形式

ユーザー名のみを指定したユーザーログインをサポートするには、次の形式を使用してディレクトリサービスの認証を受けます。

user nameがメールアドレス(@文字で示される)でない場合、または、\文字(domain\user name形式を示す)でない場合、ログインは次の順で試行されます。

  1. user nameはログオン名として処理され、directory-nameが「directory-name\user-name」のようにその前に付加されます(例:example\jane)。

  2. user nameUIDとして扱われます。

  3. user nameCommon Name(CN)として扱われます。

注記: HPE OneViewで構成されたActive Directoryサーバーサービスに、ユーザーロックアウトポリシー(例えば、n回連続して失敗したログイン試行で定義される)がある場合、Hewlett Packard Enterpriseでは、メール形式またはdomain\user name形式を使用してHPE OneViewにログインするようにお勧めします。メール形式またはdomain\user name形式を使用しない場合(代わりに、ユーザー名のみ使用する場合)、HPE OneViewは前述のように別のログイン形式を内部的に使用します。すると、ログインに1回失敗した(パスワードを間違えた)だけでユーザーがGUIからロックアウトされる可能性があります。ログインの試行回数を最小限に抑えるため、ディレクトリ表示名は、ディレクトリの完全修飾ドメイン名の最初のコンポーネントと同じにしてください。例えば、ディレクトリ「example.com」にHPE OneView名「example」を割り当てるなどです。Hewlett Packard Enterpriseは、ユーザーがUPNまたは下位レベルのログオン名を使用してHPE OneViewにログインすることをお勧めします。最も一般的に使用されるUPNはusername@domain.comであり、下位レベルのログオン名はdomain\user nameです。UPNまたは下位レベルのログオンが使用されていない場合(代わりにuser nameのみが使用されている場合)、HPE OneViewは異なるログオン形式を内部的に試行します。

ディレクトリサーバーの信頼

Hewlett Packard Enterpriseでは、ディレクトリサーバー上でCA署名済み証明書を使用するようにお勧めします。ディレクトリ証明書の証明書チェーン全体(CAルート証明書および中間証明書を含む)は、ディレクトリサービスを構成する前にHPE OneViewトラストストア内に配置しておく必要があります。このアクションによって、ディレクトリサーバーがアプライアンス上で構成される際にアプライアンスによってそのサーバーが自動的に信頼されます。

エンタープライズディレクトリサービスとサーバーの追加後

次のことを行うことができます。
  • ログイン時に使用するデフォルトのディレクトリサービスとして指定する。

  • オプションで、ローカルログインを無効にする。これにより、ディレクトリサービスによって認証されたアカウントを持つユーザーのみがログインできるようになります。ローカルアカウントはログインできません。

HPE OneViewでのエンタープライズディレクトリサーバーの構成

HPE OneViewでエンタープライズディレクトリサーバーを構成するときは、次の点を考慮してください。
  • HPE OneViewがディレクトリサーバーに接続しようとすると、アプライアンスによって信頼されている証明書を使用して、信頼検証が実行されます。したがって、ディレクトリサーバーを追加する前に、ディレクトリサーバー証明書チェーンのルート証明書をアプライアンスにインポートしてください。

    そうしないと、発行元証明書を追加するか、ディレクトリサーバーの自己署名証明書を信頼するように求められます。

  • ディレクトリサーバーが、サーバー証明書、1つ以上の発行元、およびオプションでルート証明書を含む証明書チェーンを提示する可能性があります。

    サーバーが証明書チェーンのルート証明書を提示しない場合、ディレクトリを追加する前に、ディレクトリサーバー管理者からルート証明書を取得し、アプライアンスにインポートしてください。

  • 同じディレクトリサービス下で複数のディレクトリサーバーが構成されている場合は、ディレクトリを追加する前に、すべての発行者証明書(各ディレクトリサーバーのルートおよび中間CA証明書)をアプライアンスにインポートしてください。

  • HPE OneViewのディレクトリサービスが、ドメイン名を使用して構成されており、かつラウンドロビン方式で負荷分散されるドメイン内に複数のドメインコントローラーがある場合、ディレクトリを追加する前に、すべての発行者証明書(各ドメインコントローラーのルートおよび中間CA証明書)をアプライアンスにインポートします。

エンタープライズディレクトリサーバーを構成して通信するときのホスト名検証

ディレクトリサーバーが、CA署名証明書を使用してセットアップされている場合、HPE OneViewは接続の確立中にホスト名検証を実行します。このホスト名検証に合格するのは、次のうちいずれか1つが、ディレクトリサーバー証明書の[サブジェクトCN]または[SAN]フィールドで指定されている場合に限られます。
  • ワイルドカードドメイン名。例:*.example.com

  • ディレクトリサーバーの完全修飾ドメイン名(FQDN)。例:ad01.americas.example.com

    注記: [サブジェクトCN]または[SAN]フィールドでFQDNが使用されている場合、DNS名前解決を設定して、FQDNをディレクトリサーバーのIPアドレスに解決します。
  • ディレクトリサーバーのIPアドレス。

これらの詳細が正しく言及されていない場合は、エラーとその解決策が表示されます。

これらの詳細のいずれかに言及された場合、HPE OneViewは、接続が確立されているディレクトリサーバーの詳細が、サーバーに関連付けられて提示される証明書の[サブジェクト通称(サブジェクトCN)]フィールドまたは[サブジェクト代替名(SAN)]フィールドで指定された詳細と同じかどうかを検証します。

次のいずれかを使用してディレクトリサーバーがHPE OneViewで信頼されている場合、HPE OneViewは接続の確立中にホスト名検証を実行しません。
  • 自己署名証明書

  • 強制的にリーフ証明書を信頼するオプション。このオプションには、設定 > セキュリティ > 証明書の管理 > 証明書の追加を使用してアクセスできます。

    証明書の追加画面の強制的にリーフ証明書を信頼するオプションを使用すると、アプライアンスのトラストストアに対してCA署名付きリーフ証明書を信頼することを有効または無効にすることができます。有効な場合、アプライアンスは指定された証明書チェーンでルートおよび中間証明書を無視します。この証明書は、サイニングCA証明書がアプライアンスにない場合、自己署名証明書と同様に扱われます。

    注記:

    [強制的にリーフ証明書を信頼する]オプションはお勧めできません。強制的にリーフ証明書を信頼するオプションを使用する場合、アプライアンスでリーフレベルの証明書のみが信頼されます。リーフ証明書は、失効チェックおよびホスト名検証の対象になりません。また、ディレクトリサーバー証明書が再生成されるたびに、ディレクトリサーバーとの正常な通信のために、新しい証明書をアプライアンスにインポートする必要があります。

    複数のドメインコントローラーがラウンドロビン方式で負荷分散される環境では、さまざまなドメインコントローラーの証明書が、さまざまな中間CA証明書によって署名されていた可能性があります。この場合、設定 > セキュリティ > 証明書の管理 > 証明書の追加オプションを使用して、すべてのドメインコントローラーのリーフ証明書を強制的に信頼するか、または、アプライアンスのすべてのルート証明書および中間CA証明書を信頼します。

Microsoft Active Directoryサービスの構成

OpenLDAPディレクトリサービスの構成