コンフィギュレーションの例:Cisco UCS、LDAP、および Active Directory
Cisco UCS の設定
Cisco UCS の設定
発行日;2012/11/19   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

Cisco UCS の設定

この章の内容は、次のとおりです。

ローカル認証ドメインの作成

このサンプル設定では、Cisco UCS Manager で LDAP の設定を行う前に、ローカル認証ドメインを作成することを推奨します。 ローカルな admin ユーザとしてログインすると、この方法の手順の完了に必要なアクセス権を持っていることが保証され、誤った設定をすぐに修正できます。

はじめる前に

Cisco UCS Manager GUI に admin ユーザとしてログインします。

手順
    ステップ 1   [Authentication Domains] を右クリックし、[Create a Domain] を選択します。
    ステップ 2   [Name] フィールドに local と入力します。
    ステップ 3   [Realm] で、[local] オプション ボタンをクリックします。

    次の作業

    Cisco UCS Manager で LDAP のプロパティを設定します。

    LDAP プロバイダーの作成

    このサンプル設定には、SSL を使用して LDAP を設定する手順は含まれていません。

    手順
      ステップ 1   [Actions] エリアで、[Create LDAP Provider] をクリックします。
      ステップ 2   ウィザードの [Create LDAP Provider] ページで、次を実行します。
      1. [Hostname] フィールドに、AD サーバの IP アドレスを入力します。
      2. [Order] フィールドに lowest-available と入力します。
      3. [BindDN] フィールドに、AD 設定の BindDN をコピーして貼り付けます。

        このサンプル設定では、BindDN の値は CN=ucsbind,OU=CiscoUCS,DC=sampledesign,DC=com です。

      4. [BaseDN] フィールドに、AD 設定の BaseDN をコピーして貼り付けます。

        このサンプル設定では、BaseDN の値は DC=sampledesign,DC=com です。

      5. [Enable SSL] チェックボックスはオフのままにします。
      6. [Port] フィールドに 389 と入力します。
      7. [Filter] フィールドに、AD 設定のフィルタ属性をコピーして貼り付けます。

        Cisco UCS は、このフィルタ値を使用して、ログオン画面に Cisco UCS Manager から与えられたユーザ名が AD に含まれているかどうかを判別します。

        このサンプル設定では、フィルタ値は sAMAccountName=$userid です。ここで、$useridCisco UCS Manager ログオン画面に入力するユーザ名です。

      8. [Attribute] フィールドはブランクのままにします。
      9. [Password] フィールドに、AD で設定した ucsbind アカウントのパスワードを入力します。

        [Create LDAP Provider] ウィザードに戻ってパスワードをリセットする必要がある場合、パスワード フィールドがブランクでも警告は発生しません。 「Set: yes」メッセージがパスワード フィールドの横に表示された場合は、パスワードが設定されたことを示しています。

      10. [Confirm Password] フィールドに、AD で設定した ucsbind アカウントのパスワードをもう一度入力します。
      11. [Timeout] フィールドに 30 と入力します。
      ステップ 3   [Next] をクリックします。

      次の作業

      LDAP グループ ルールを設定します。

      LDAP グループのルールの設定

      手順
        ステップ 1   ウィザードの [LDAP Group Rule] ページで、以下のフィールドを設定します。
        1. [Group Authentication] フィールドで、[enable] オプション ボタンをクリックします。

          グループ認証を有効にすると、認証しようとしているユーザが ucsaaa などのグループ内にいるかどうかを確認するために、ターゲット属性(この例では memberOf)を使用することが UCSM に示されます。

        2. [Group Recursion] フィールドで [recursive] オプション ボタンをクリックします。

          再帰に対してグループの再帰を設定すると、該当するユーザが見つかるまで、システムが 1 レベルずつ調べられるようになります。 グループの再帰を非再帰に設定すると、該当するユーザが検索で見つからなかった場合も、UCS の検索が最初のレベルに制限されます。

        3. [Target Attribute] フィールドで、memberOf と入力します。
        ステップ 2   [Finish] をクリックします。
        (注)     

        実際のシナリオでは、ほとんどの場合に複数の LDAP プロバイダーがあるはずです。 複数の LDAP プロバイダーに対して、設定で保証されている順序を変更して、各 LDAP プロバイダーの LDAP Group Rule を設定します。 ただし、このサンプル設定では LDAP プロバイダーが 1 つだけのため、この処理は不要です。


        [LDAP] > [LDAP Providers] を選択して表示される [Navigation] ペインに、AD サーバの IP アドレスが示されます。

        次の作業

        LDAP プロバイダー グループを作成します。

        LDAP プロバイダー グループの作成

        手順
          ステップ 1   [Navigation] ペインで、[LDAP Provider Groups] を右クリックし、[Create LDAP Provider Group] を選択します。
          ステップ 2   [Create LDAP Provider Group] ダイアログボックスで、次を実行します。
          1. [Name] フィールドに、グループの一意の名前を入力します。
          2. [LDAP Providers] テーブルで、AD サーバの IP アドレスを選択します。
          3. [>>] ボタンをクリックして AD サーバを [Included Providers] テーブルに追加します。
          ステップ 3   [OK] をクリックします。

          プロバイダー グループが [LDAP Provider Groups] フォルダに表示されます。

          次の作業

          LDAP グループ マップを設定します。

          LDAP グループ マップの作成

          手順
            ステップ 1   [Work] ペインで、[Create LDAP Group Map] をクリックします。
            ステップ 2   [Create LDAP Group Map] ダイアログボックスで、次を実行します。
            1. [LDAP Group DN] フィールドに、LDAP グループに関する AD サーバ設定セクションに保存した値をコピーして貼り付けます。

              この手順で要求された LDAP Group DN 値が、AD で UCS Groups の下に作成した各グループの識別名にマップされます。 このため、Cisco UCS Manager に入力する Group DN 値は、AD サーバの Group DN 値と正確に一致している必要があります。 このサンプル設定では、この値は CN=ucsadmin,OU=CiscoUCS,DC=sampledesign,DC=com です。

            2. [Roles] テーブルで、[admin] チェックボックスをクリックし、[OK] をクリックします。

              ロールのチェックボックスをクリックすると、admin 権限をグループ マップに含まれている全ユーザに割り当てることになります。

            ステップ 3   テストする AD サーバの他の各ロールについて、新規の LDAP グループ マップを作成します(前に AD から記録しておいた情報を使用します)。

            次の作業

            LDAP 認証ドメインを作成します。

            LDAP 認証ドメインの作成

            手順
              ステップ 1   [Authentication Domains] を右クリックし、[Create a Domain] を選択します。
              ステップ 2   [Create a Domain] ダイアログボックスで、次の情報を入力します。
              1. [Name] フィールドに、ドメインの名前を入力します。
              2. [Realm] 領域で、[ldap] オプション ボタンをクリックします。
              3. [Provider Group] ドロップダウン リストからプロバイダー グループを選択して [OK] をクリックします。

              [Authentication Domains] の下に認証ドメインが表示されます。

              次の作業

              Cisco UCS Manager GUI を使用して LDAP の設定をテストします。