Cisco UCS C シリーズ サーバ Integrated Management Controller GUI コンフィギュレーション ガイド リリース 2.0
ユーザ アカウントの管理
ユーザ アカウントの管理

ユーザ アカウントの管理

この章は、次の内容で構成されています。

ローカル ユーザの設定

はじめる前に

ローカル ユーザ アカウントを設定または変更するには、admin 権限を持つユーザとしてログインする必要があります。

手順
    ステップ 1   [ナビゲーション] ペインの [管理者] タブをクリックします。
    ステップ 2   [管理者] タブの [ユーザ管理] をクリックします。
    ステップ 3   [ユーザ管理] ペインの [ローカル ユーザ] タブをクリックします。
    ステップ 4   ローカル ユーザ アカウントを設定または変更するには、行をクリックします。
    ステップ 5   [User Details] ダイアログボックスで、次のプロパティを更新します。
    名前 説明

    [ID] カラム

    ユーザの固有識別情報。

    [Enabled] チェックボックス

    オンにすると、ユーザは Cisco IMC でイネーブルになります。

    [Username] カラム

    ユーザのユーザ名。

    [Role] カラム

    ユーザに割り当てられているロール。 次のいずれかになります。

    • [read-only]:このロールのユーザは情報を表示できますが、変更することはできません。

    • [user]:このロールのユーザは、次のタスクを実行できます。

      • すべての情報を表示する

      • 電源のオン、電源再投入、電源のオフなどの電力制御オプションを管理する

      • KVM コンソールと仮想メディアを起動する

      • すべてのログをクリアする

      • ロケータ LED を切り替える

    • [admin]:このロールのユーザは、GUI、CLI、IPMI で可能なすべてのアクションを実行できます。

    ステップ 6   パスワード情報を入力します。
    ステップ 7   [変更を保存] をクリックします。

    ローカル ユーザのセキュリティ パスワードのイネーブル化

    手順
      ステップ 1   [ナビゲーション] ペインの [管理者] タブをクリックします。
      ステップ 2   [管理者] タブの [ユーザ管理] をクリックします。
      ステップ 3   [User Management] タブで、[Enable Secure Password] チェックボックスをオンにします。

      イネーブルの場合、Cisco IMC のローカル ユーザ パスワードを暗号化し、保存します。 既存のユーザすべてが削除され、デフォルトのアクセス認証のみが保持されます。

      (注)     

      この動作により、ユーザ管理設定の出荷時の初期状態が復元されます。 また、すべてのアクティブなセッションが失われます。

      このオプションを一旦イネーブルにすると、現在または次のリリースでディセーブルにできません。

      ステップ 4   [Save Changes] をクリックします。

      LDAP サーバ

      Cisco IMC では、情報をディレクトリ内で編成してこの情報へのアクセスを管理するディレクトリ サービスがサポートされます。 Cisco IMC は、ネットワークでディレクトリ情報を保管および保守する Lightweight Directory Access Protocol(LDAP)をサポートします。 さらに、Cisco IMC は Microsoft Active Directory(AD)もサポートします。 Active Directory はさまざまなネットワーク サービスを提供するテクノロジーであり、LDAP と同様のディレクトリ サービス、Kerberos ベースの認証、DNS ベースの名前付けなどが含まれます。 Cisco IMC は LDAP での Kerberos ベースの認証サービスを利用します。

      Cisco IMC で LDAP が有効になっている場合、ローカル ユーザ データベース内に見つからないユーザ アカウントに関するユーザ認証とロール許可は、LDAP サーバによって実行されます。 LDAP ユーザ認証の形式は username@domain.com です。

      [LDAP Settings] 領域の [Enable Encryption] チェックボックスをオンにすると、LDAP サーバへの送信データを暗号化するようサーバに要求できます。

      LDAP サーバの設定

      ユーザ認証および権限付与のために LDAP を使用するよう、Cisco IMC を設定できます。 LDAP を使用するには、Cisco IMC に関するユーザ ロール情報とロケール情報を保持する属性を使ってユーザを設定します。 Cisco IMC のユーザ ロールとロケールにマップされた既存の LDAP 属性を使用できます。または、LDAP スキーマを変更して、属性 ID 1.3.6.1.4.1.9.287247.1 を持つ CiscoAVPair 属性などの新しいカスタム属性を追加できます。

      重要:

      スキーマの変更の詳細については、http:/​/​technet.microsoft.com/​en-us/​library/​bb727064.aspx の記事を参照してください。


      (注)  


      この例では CiscoAVPair という名前のカスタム属性を作成しますが、Cisco IMC のユーザ ロールとロケールにマップされた既存の LDAP 属性を使用することもできます。


      LDAP サーバに対して次の手順を実行する必要があります。

      手順
        ステップ 1   LDAP スキーマ スナップインがインストールされていることを確認します。
        ステップ 2   スキーマ スナップインを使用して、次のプロパティを持つ新しい属性を追加します。

        プロパティ

        Common Name

        CiscoAVPair

        LDAP Display Name

        CiscoAVPair

        Unique X500 Object ID

        1.3.6.1.4.1.9.287247.1

        Description

        CiscoAVPair

        Syntax

        Case Sensitive String

        ステップ 3   スナップインを使用して、ユーザ クラスに CiscoAVPair 属性を追加します。
        1. 左ペインで [Classes] ノードを展開し、U を入力してユーザ クラスを選択します。
        2. [Attributes] タブをクリックして、[Add] をクリックします。
        3. C を入力して CiscoAVPair 属性を選択します。
        4. [OK] をクリックします。
        ステップ 4   Cisco IMC にアクセスできるようにするユーザに対し、次のユーザ ロール値を CiscoAVPair 属性に追加します。

        ロール

        CiscoAVPair 属性値

        admin

        shell:roles="admin"

        user

        shell:roles="user"

        read-only

        shell:roles="read-only"

        (注)     

        属性に値を追加する方法の詳細については、http:/​/​technet.microsoft.com/​en-us/​library/​bb727064.aspx の記事を参照してください。


        次の作業

        Cisco IMC を使用して LDAP サーバを設定します。

        Cisco IMC での LDAP 設定およびグループ許可の設定

        はじめる前に

        このタスクを実行するには、admin 権限を持つユーザとしてログインする必要があります。

        手順
          ステップ 1   [ナビゲーション] ペインの [管理者] タブをクリックします。
          ステップ 2   [管理者] タブの [ユーザ管理] をクリックします。
          ステップ 3   [ユーザ管理] ペインの [LDAP] タブをクリックします。
          ステップ 4   [LDAP Settings] 領域で、次のプロパティを更新します。
          名前 説明

          [Enable LDAP] チェックボックス

          これを選択した場合、まず LDAP サーバによってユーザ認証とロール許可が実行された後、ローカル ユーザ データベースに存在しないユーザ アカウントが扱われます。

          Base DN

          ベース識別名。 このフィールドは、ユーザおよびグループのロード元を示します。

          Active Directory サーバでは、これは dc=domain,dc=com という形式でなければなりません。

          ドメイン(Domain)

          すべてのユーザが属する必要のある IPv4 ドメイン。

          グローバル カタログ サーバのアドレスを少なくとも 1 つ指定していない限り、このフィールドは必須です。

          Enable Encryption

          これを選択した場合、サーバは LDAP サーバに送るすべての情報を暗号化します。

          Timeout (0 - 1800) seconds

          LDAP 検索操作がタイムアウトするまで Cisco IMC が待機する秒数。

          検索操作がタイムアウトになった場合、Cisco IMC はこのタブで次にリストされているサーバ(存在する場合)に接続しようと試行します。

          (注)     

          このフィールドに指定する値は、全体的な時間に影響を及ぼす可能性があります。

          ステップ 5   [Configure LDAP Servers] 領域で、次のプロパティを更新します。
          名前 説明

          [Pre-Configure LDAP Servers] オプション ボタン

          これを選択すると、Active Directory は事前構成された LDAP サーバを使用します。

          [LDAP Servers] フィールド

           

          Server

          6 つの LDAP サーバの IP アドレス。

          LDAP に Active Directory を使用している場合、サーバ 1、2、3 はドメイン コントローラ、サーバ 4、5、6 はグローバル カタログです。 LDAP 用に Active Directory を使用していない場合は、最大で 6 つの LDAP サーバを構成できます。

          (注)     

          また、ホスト名の IP アドレスも提供できます。

          ポート

          サーバのポート番号。

          LDAP に Active Directory を使用している場合、サーバ 1、2、3(ドメイン コントローラ)のデフォルト ポート番号は 389 です。 サーバ 4、5、6(グローバル カタログ)のデフォルト ポート番号は 3268 です。

          LDAPS 通信は TCP 636 ポートで発生します。 グローバル カタログ サーバへの LDAPS 通信は TCP 3269 ポートで発生します。

          [Use DNS to Configure LDAP Servers] オプション ボタン

          これを選択した場合、DNS を使って LDAP サーバへのアクセスを設定できます。

          [DNS Parameters] フィールド

           

          送信元

          DNS SRV 要求に使われるドメイン名を取得する方法を指定します。 次のいずれかを指定できます。

          • [Extracted]: ログイン ID からのドメイン名抽出ドメインを使用するよう指定します。

          • [Configured]: 設定された検索ドメインの使用を指定します。

          • [Configured-Extracted]: 設定された検索ドメインよりも、ログイン ID から抽出されるドメイン名を使用することを指定します。

          Domain to Search:

          DNS クエリーのソースとして機能する設定済みドメイン名。

          ソースが [Extracted] と指定される場合、このフィールドは無効になります。

          Forest to Search:

          DNS クエリーのソースとして機能する設定済みフォレスト名。

          ソースが [Extracted] と指定される場合、このフィールドは無効になります。

          ステップ 6   [Binding Parameters] 領域で、次のプロパティを更新します。
          名前 説明

          方式

          次のいずれかを指定できます。

          • [Anonymous]: ユーザ名とパスワードを NULL にする必要があります。 このオプションが選択され、 LDAP サーバで匿名ログインが設定されている場合は、ユーザがアクセスすることができます。

          • [Configured Credentials]: 初期バインド プロセスで既知のクレデンシャル セットを指定する必要があります。 初期バインド プロセスが成功した場合、ユーザ名の Distinguished Name(DN)が照会され、再バインディング プロセス用に再利用されます。 再バインディング プロセスが失敗すると、ユーザはアクセスを拒否されます。

          • [Login Credentials]: ユーザ クレデンシャルが必要です。 バインド プロセスが失敗すると、ユーザはアクセスを拒否されます。

            デフォルトでは、[Login Credentials] オプションが選択されます。

          Binding DN:

          ユーザの Distinguished Name(DN)。 このフィールドは、バインディング方式として [Configured Credentials] オプションを選択した場合にのみ編集可能になります。

          Password:

          ユーザのパスワード。 このフィールドは、バインディング方式として [Configured Credentials] オプションを選択した場合にのみ編集可能になります。

          ステップ 7   [Search Parameters] 領域で、次のフィールドを更新します。
          名前 説明

          Filter Attribute:

          このフィールドは、LDAP サーバ上のスキーマの設定済み属性に一致する必要があります。

          デフォルトでは、このフィールドは sAMAccountName と表示されます。

          Group Attribute:

          このフィールドは、LDAP サーバ上のスキーマの設定済み属性に一致する必要があります。

          デフォルトでは、このフィールドは memberOf と表示されます。

          Attribute:

          ユーザのロールとロケール情報を保持する LDAP 属性。 このプロパティは、常に、名前と値のペアで指定されます。 システムは、ユーザ レコードで、この属性名と一致する値を検索します。

          LDAP 属性では、Cisco IMC ユーザ ロールおよびロケールにマップされる既存の LDAP 属性を使用することも、スキーマを変更して新しい LDAP 属性を作成することもできます。 (たとえば CiscoAvPair など)。

          (注)     

          このプロパティを指定しない場合、ユーザはログインできません。 オブジェクトは LDAP サーバ上に存在していますが、このフィールドで指定される属性と正確に一致する必要があります。

          ステップ 8   (任意)[Group Authorization] 領域で、次のプロパティを更新します。
          名前 説明

          [LDAP Group Authorization] チェックボックス

          これを選択した場合、ローカル ユーザ データベースにない LDAP ユーザに関しても、グループ レベルでユーザ認証が実行されます。

          このチェックボックスをオンにすると、Cisco IMC は [Configure Group] ボタンをイネーブルにします。

          [Group Name] カラム

          サーバへのアクセスが許可されているグループの名前を LDAP データベースに指定します。

          [Group Domain] カラム

          LDAP サーバのドメインがグループに存在する必要があります。

          [Role] カラム

          すべてのユーザに割り当てられているこの LDAP サーバ グループのロール。 次のいずれかになります。

          • [read-only]:このロールのユーザは情報を表示できますが、変更することはできません。

          • [user]:このロールのユーザは、次のタスクを実行できます。

            • すべての情報を表示する

            • 電源のオン、電源再投入、電源のオフなどの電力制御オプションを管理する

            • KVM コンソールと仮想メディアを起動する

            • すべてのログをクリアする

            • ロケータ LED を切り替える

          • [admin]:このロールのユーザは、GUI、CLI、IPMI で可能なすべてのアクションを実行できます。

          [Delete] カラム

          既存の LDAP グループを削除します。

          ステップ 9   [変更を保存] をクリックします。

          ユーザ セッションの表示

          手順
            ステップ 1   [ナビゲーション] ペインの [管理者] タブをクリックします。
            ステップ 2   [管理者] タブの [ユーザ管理] をクリックします。
            ステップ 3   [ユーザ管理] ペインの [セッション] タブをクリックします。
            ステップ 4   現在のユーザ セッションに関する次の情報が表示されます。
            ヒント   

            カラムの見出しをクリックすると、そのカラムのエントリに従って表の行がソートされます。

            名前 説明

            [Session ID] カラム

            セッションの固有識別情報。

            [Username] カラム

            ユーザのユーザ名。

            [IP Address] カラム

            ユーザがサーバにアクセスした IP アドレス。

            [Type] カラム

            ユーザがサーバにアクセスした方法。

            [Action] カラム

            ユーザ アカウントに admin ユーザ ロールが割り当てられている場合、関連付けられたユーザ セッションを強制的に終了できるときはこのカラムに [Terminate] と表示されます。 それ以外の場合は、N/A と表示されます。

            (注)     

            このタブから現在のセッションを終了することはできません。