Cisco UCS Central 認証ガイド リリース 1.4
LDAP 認証
LDAP 認証

LDAP 認証

LDAP プロバイダー

Cisco UCS Manager で LDAP ユーザを作成する場合と同様の方法で、リモート ユーザを設定し、Cisco UCS Central からロールとロケールを割り当てることができます。 常に Cisco UCS Central ドメイン グループ ルートから LDAP プロバイダーを作成してください。

LDAP グループ マップ

最大 28 の LDAP グループ マップを定義して、Active Directory で Cisco UCS Central 内のネスティングがサポートされるレベルまでそれらのマップをネストすることができます。 ネスト グループにプロバイダーを割り当てると、プロバイダーが異なる LDAP グループのメンバーであっても、親ネスト グループの認証メンバーになります。 認証中、プロバイダー グループ内のすべてのプロバイダーが順番に試行されます。

LDAP グループ マップ

すでに LDAP グループを使用して LDAP データベースへのアクセスを制限している組織では、Cisco UCS ドメインでグループ メンバーシップ情報を使用することによって、ログイン中の LDAP ユーザにロールまたはロケールを割り当てることができます。 これにより、Cisco UCS Central の展開時に LDAP ユーザ オブジェクトでロールまたはロケール情報を定義する必要がなくなります。

Cisco UCS Central は、ユーザ ロールとロケールをリモート ユーザに割り当てるときに LDAP グループ ルールを使用して LDAP グループを決定します。 ユーザがログインすると、Cisco UCS Central が LDAP グループ マップからそのユーザのロールとロケールに関する情報を取得します。 ロールとロケールの条件がポリシー内の情報と一致すると、Cisco UCS Central がアクセス権をユーザに付与します。

ロールとロケールの定義は Cisco UCS Central でローカルに設定され、LDAP ディレクトリに対する変更に基づいて自動的には更新されません。 LDAP ディレクトリ内の LDAP グループを削除または名前を変更した場合は、Cisco UCS Central でその変更を更新してください。

LDAP グループ マップは、次のロールとロケールの組み合わせのいずれかを含むように設定できます。

  • ロールのみ

  • ロケールのみ

  • ロールとロケール

例:特定の場所にいるサーバ管理者のグループを表す LDAP グループに対する認証を設定する場合は、server-profile や server-equipment などのユーザ ロールをその LDAP グループに含めることができます。 特定の場所にいるサーバ管理者にアクセスを制限する場合は、特定のサイト名を含むロケールを指定できます。


(注)  


Cisco UCS Central には、すぐに使用可能なユーザ ロールが複数付属していますが、ロケールは付属していません。 そのため、LDAP プロバイダー グループをロケールにマッピングするカスタム ロケールを作成する必要があります。


ネストされた LDAP グループ

LDAP グループは、他のグループのメンバーとしてネストすることにより、アカウントを統合して複製を減らすことができます。

LDAP グループが別のグループ内でネストされている場合は、デフォルトで、ユーザの権限が継承されます。 たとえば、Group_2 のメンバとして Group_1 を作成する場合、Group_1 のユーザは Group_2 のメンバと同じ権限が与えられます。 その結果、Group_1 のメンバーであるユーザを検索するときは、LDAP グループ マップで Group_2 だけを選択します。Group_1 と Group_2 を別々に検索する必要はありません。

LDAP グループ マップで定義されたネストしたグループを検索できます。 グループをネストすることによって、サブグループの Cisco UCS Central グループ マップを作成する必要がなくなります。


(注)  


ネストした LDAP グループの検索は、Microsoft Active Directory サーバに対してのみサポートされます。 サポートされているバージョンは Microsoft Windows 2003 SP3、Microsoft Windows 2008 R2、および Microsoft Windows 2012 です。

ネストしたグループ名に特殊文字が含まれている場合は、次の例に示す構文を使用してそれらをエスケープする必要があります。

create ldap-group CN=test1\\(\\),CN=Users,DC=ucsm,DC=qasam-lab,DC=in

UCS Central LDAP 設定の管理


    ステップ 1   [What do you want to do?] メニューから、[Managing UCS Central LDAP Configuration] を選択します。

    これにより、[Create Domain Group] ダイアログボックスが開きます。

    ステップ 2   [LDAP]で、以下のタブで要求される情報を入力します。
    1. [Basic] タブで、[Database Conection Timeout]、[Filter]、[Attribute]、および [Base DN] の値を入力します。
    2. [Providers] タブで、+(プラス)アイコンをクリックしてプロバイダーを追加し、[Basic] タブと [Group Rules] タブで必要な情報を入力します。
    3. [Groups] タブで、+(プラス)アイコンをクリックしてプロバイダー グループを追加し、オプションで、それをプロバイダーに関連付けます。
    4. [Group Maps] タブで、[Provider Group Map DN] を入力してから、オプションで、[Roles] と [Locales] を追加します。
      (注)     

      プロバイダー グループ マップの識別名に特殊文字を使用しないでください。

    ステップ 3   [Authentication Domains] で、ネイティブまたはコンソール デフォルト ドメインを設定、追加、または削除します。
    ステップ 4   [Native(Default)] をクリックして、次の手順を実行します。
    1. [Default Behavior for Remote Users] を選択します。
    2. [Web Session Refresh Period(Seconds)] に、選択した Cisco UCS Central ドメイン グループに含まれる Cisco UCS ドメインにアクセスしているユーザの更新要求間の最大許容時間を入力します。

      この時間制限を超えると、Cisco UCS Central は Web セッションを非アクティブと見なしますが、そのセッションを終了することはありません。

      60 ~ 172800 を指定します。 デフォルトは 600 秒です。

    3. [Web Session Timeout(Seconds)] に、最後の更新要求後から CiscoCisco UCS Central で Web セッションが終了したと見なされるまでの最大経過時間を入力します。 この時間制限を超えると、Cisco UCS Central は自動的に Web セッションを終了します。

      60 ~ 172800 を指定します。 デフォルト値は 7200 秒です。

    4. [Authentication] を [Enabled] にするか、[Disabled] にするかを選択します。
    5. [Enabled] を選択した場合は、[Authentication Realm] を [LDAP] にするか、[Local] にするかを選択します。
      • [LDAP]:ユーザを Cisco UCS Central で指定された LDAP サーバ上で定義する必要があります。

      • [Local]:ユーザ アカウントを Cisco UCS Central または Cisco UCS ドメインでローカルに定義する必要があります。

    6. [LDAP] を選択した場合は、[Provider Group] ドロップダウン リストから関連するプロバイダー グループを選択できます。
    ステップ 5   [Console(Default)] をクリックして、次の手順を実行します。
    1. [Authentication] を [Enabled] にするか、[Disabled] にするかを選択します。
    2. [Enabled] を選択した場合は、[Authentication Realm] を [Local] にするか、[LDAP] にするかを選択します。
    3. [LDAP] を選択した場合は、[Provider Group] を選択します。
    ステップ 6   +(プラス)アイコンをクリックして、新しい認証ドメインを追加します。
    1. 認証ドメインの名前を入力します。

      この名前には、1 ~ 16 文字の英数字を使用できます。 -(ハイフン)、_(アンダースコア)、:(コロン)、および . (ピリオド)以外の特殊文字またはスペースを使用できません。

      優先認証プロトコルとして RADIUS を使用しているシステムでは、認証ドメイン名がユーザ名の一部と見なされ、ローカルに作成されたユーザ名の 32 文字の制限が考慮されます。 Cisco UCS では書式設定用として 5 文字が予約されているため、ドメイン名とユーザー名で 27 文字を超えることができません。

    2. [Web Session Refresh Period(Seconds)] を入力します。
    3. [Web Session Timeout(Seconds)] を入力します。
    4. [Authentication Realm] が [LDAP] に設定されている場合は、[Provider Group] を選択します。
    ステップ 7   [Save] をクリックします。 認証ドメインを作成したら、必要に応じて、設定を編集できます。 また、ごみ箱アイコンを使用して、選択した認証ドメインを削除することもできます。