Intersight仮想アプライアンスでのLDAPの設定
はじめに
このドキュメントでは、Intersightプライベート仮想アプライアンス(PVA)でLDAP認証を設定するプロセスについて説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Lightweight Directory Access Protocol(LDAP)プロトコル。
- Intersightプライベート仮想アプライアンス。
- ドメインネームサーバ(DNS)サーバ。
使用するコンポーネント
- Intersightプライベート仮想アプライアンス。
- Microsoft Active Directory.
- DNS サーバ.
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
LDAPは、ネットワークを介してディレクトリからリソースにアクセスするために使用されるプロトコルです。これらのディレクトリには、ユーザ、組織、およびリソースに関する情報が格納されます。LDAPは、認証および認可プロセスに使用できる情報にアクセスして管理するための標準的な方法を提供します。
このドキュメントでは、LDAPを使用したリモート認証をIntersight PVAに追加するための設定プロセスについて説明します。
設定
LDAPの基本設定
- System > Settings > AUTHENTICATION > LDAP/ADの順に移動します。
- Configure LDAPをクリックします。
- 必要な情報を入力します。次の推奨事項を検討します。
- Nameは任意に設定され、設定には影響しません。
- BaseDN(AD)とBindDNの場合は、Active Directory(AD)設定から対応する値をコピーアンドペーストします。
- Group Attributeのデフォルト値はmemberです。
- このLDAPプロバイダーのパスワードを入力します。
- ルートからのすべてのグループとそれらに含まれるグループをADで再帰検索できるようにする場合は、ネストグループ検索切り替えを有効にします。
- 通常のLDAP設定では、Enable Encryptionをディセーブルのままにします。セキュアLDAPが必要な場合は、これを有効にし、「LDAPSの設定(セキュアLDAP)」の項で、設定する必要のある補足手順を確認してください。
- 1つのLDAPサーバの設定を追加します。
- 「サーバ」で、LDAPサーバのIPまたはホスト名を紹介します。
- LDAPのデフォルトおよび推奨ポートは389です。
- [Save] をクリックします。
基本的なLDAP設定の設定例 - トップバーのRequestsからワークフローDeployApplianceLDAPをモニタします。
導入要求
ユーザとグループの設定
ワークフローDeployApplianceLDAPが完了したら、グループまたは個々のユーザを設定できます。
グループを使用すると、そのグループに属するすべてのユーザに認可が提供されます。個々のユーザを使用する場合は、各ユーザを独自の許可ロールで追加する必要があります。
グループの設定
- System > Settings > ACCESS & PERMISSION > Groupsの順に移動します。.
- Add Groupをクリックします。
- Identity Providerを選択します。これは、「LDAPの基本設定の設定」セクションで設定した名前です。
- グループの名前を設定します。
- IDプロバイダーのグループ名の値を入力します。LDAPサーバのグループの設定と一致している必要があります。
- このグループのユーザに提供するアクセスレベルに応じて、ロールを選択します。「Intersightでのロールと権限」を参照してください。
グループの設定例
ユーザの設定
グループの代わりに個々のユーザを設定する場合は、次の手順に従ってください。
- System > Settings > ACCESS & PERMISSION > Usersの順に移動します。
- Add Userをクリックします。
- Remote Userを選択します。
- Identity Providerを選択します。これは、「LDAPの基本設定の設定」セクションで設定した名前です。
- ユーザIDを設定します。
- ユーザに提供するアクセスレベルに応じて、ロールを選択します。「Intersightでのロールと権限」を参照してください。
ユーザの設定例
LDAPS(セキュアLDAP)の設定
LDAP通信を暗号化で保護する場合は、CAによって署名された証明書が必要です。これらの変更を設定に適用します。
- 「LDAP基本設定の設定」の手順を実行しますが、スライダEnable Encryption(ステップ3.g)が右に移動していることを確認します。
- 使用されているポート(ポート番号)が、LDAPS(セキュア)をサポートしているポートである636(非セキュア)または3269であることを確認します。 他のすべてのポートはTLS経由のLDAPをサポートします。
セキュアLDAPの設定の変更 - 設定を保存し、ワークフローDeployApplianceLDAPが完了するのを待ちます。
- 次の手順で証明書を追加します。
- System > Settings > AUTHENTICATION >の順に移動します。 Certificates > Trustedの順に選択します。
- [証明書の追加(Add Certificate)] をクリックします。
- Browseをクリックし、CAによって発行された証明書を含む.pemファイルを選択します。
証明書を追加するための設定
- System > Settings > AUTHENTICATION >の順に移動します。 Certificates > Trustedの順に選択します。
確認
ブラウザで、Intersight仮想アプライアンスURLに移動します。画面に、LDAPクレデンシャルでログインするオプションが表示されます。
ログイン画面からLDAP設定を有効化
トラブルシュート
ログインが失敗すると、エラーメッセージに問題のヒントが表示されます。
Error 1.不正なアクセスの詳細
誤ったパスワードエラーのエラーメッセージ
このエラーは、アクセスデータが正しくないことを意味します。
- ユーザ名とパスワードが正しいことを確認します。
Error 2.バインドデータが正しくありません
誤ったバインドデータに関するエラーメッセージ
このエラーは、バインドデータが正しくないことを意味します。
- BindDNを確認します。
- LDAP設定で設定されているバインドパスワードを確認します。
Error 3.ユーザが見つかりません
ユーザが見つからないというエラーメッセージ
これは、LDAPサーバでの検索で、許可されたユーザが返されない場合にトリガーされます。次の設定が正しいことを確認します。
- BaseDNにチェックマークを付けます。ユーザの検索に使用されるパラメータが正しくありません。
- Group AttributeがmemberOfではなくmemberに設定されていることを確認します。
- Groups設定のGroup Name in Identity Providerが正しいことを確認します。これは、グループを介して許可が提供される場合にのみ適用されます。
- ユーザの電子メールが、ユーザのAD設定のmailフィールドで正しく設定されていることを確認します。これは、個々のユーザに認可が提供される場合にのみ適用されます。
Error 4.誤った証明書
誤った証明書のエラーメッセージ
暗号化LDAPが有効な場合:
- 証明書が設定され、正しい完全な証明書が含まれていることを確認します。
Error 5.暗号化の有効化がセキュアポートで使用されている
Enable Encryption is Disabledのエラーメッセージ
このエラーは、Enable Encryptionが有効になっていないにもかかわらず、セキュアLDAPのポートが設定されている場合に表示されます。
- 暗号化が有効になっていない場合は、ポート389を使用していることを確認してください。
Error 6.接続パラメータが正しくありません
誤ったポートのエラーメッセージ
このエラーは、LDAPサーバへの接続が正常に確立できなかったことを意味します。確認してください。
- DNSサーバは、LDAPサーバのホスト名を正しいIPに解決する必要があります。
- IntersightアプライアンスはLDAPサーバに到達できる。
- ポート389が暗号化されていないLDAPに使用されていること、636または3269がセキュアLDAP(LDAPS)に使用されていること、およびその他のポートがTLSに使用されていること(暗号化を有効にして証明書をセットアップする)を確認します。
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
24-Jan-2025
|
初版 |
フィードバック