この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章は、次の内容で構成されています。
ローカル ユーザ アカウントを設定または変更するには、admin 権限を持つユーザとしてログインする必要があります。
CIMC では、情報をディレクトリ内で編成してこの情報へのアクセスを管理するディレクトリ サービスがサポートされます。 CIMC は、ネットワークでディレクトリ情報を保管および保守する Lightweight Directory Access Protocol(LDAP)をサポートします。 さらに、CIMC は Microsoft Active Directory(AD)もサポートします。 Active Directory はさまざまなネットワーク サービスを提供するテクノロジーであり、LDAP と同様のディレクトリ サービス、Kerberos ベースの認証、DNS ベースの名前付けなどが含まれます。 CIMC は LDAP での Kerberos ベースの認証サービスを利用します。
CIMC で LDAP が有効になっている場合、ローカル ユーザ データベース内に見つからないユーザ アカウントに関するユーザ認証とロール許可は、LDAP サーバによって実行されます。 LDAP ユーザ認証の形式は username@domain.com です。
[LDAP Settings] 領域の [Enable Encryption] チェックボックスをオンにすると、LDAP サーバへの送信データを暗号化するようサーバに要求できます。
ユーザ認証および権限付与のために LDAP を使用するよう、CIMC を設定できます。 LDAP を使用するには、CIMC に関するユーザ ロールとロケールを保持する属性を使ってユーザを設定します。 CIMC のユーザ ロールとロケールにマップされた既存の LDAP 属性を使用できます。または、LDAP スキーマを変更して、属性 ID 1.3.6.1.4.1.9.287247.1 を持つ CiscoAVPair 属性などの新しいカスタム属性を追加できます。
スキーマの変更の詳細については、http://technet.microsoft.com/en-us/library/bb727064.aspx の記事を参照してください。
(注) |
この例では CiscoAVPair という名前のカスタム属性を作成しますが、CIMC のユーザ ロールとロケールにマップされた既存の LDAP 属性を使用することもできます。 |
LDAP サーバに対して次の手順を実行する必要があります。
ステップ 1 | LDAP スキーマ スナップインがインストールされていることを確認します。 | ||||||||||||
ステップ 2 |
スキーマ スナップインを使用して、次のプロパティを持つ新しい属性を追加します。
|
||||||||||||
ステップ 3 | スナップインを使用して、ユーザ クラスに CiscoAVPair 属性を追加します。 | ||||||||||||
ステップ 4 |
CIMC にアクセスできるようにするユーザに対し、次のユーザ ロール値を CiscoAVPair 属性に追加します。
|
CIMC を使用して LDAP サーバを設定します。
このタスクを実行するには、admin 権限を持つユーザとしてログインする必要があります。
ステップ 1 | [ナビゲーション] ペインの [管理者] タブをクリックします。 | ||||||||||||||||||||||
ステップ 2 | [管理者] タブの [ユーザ管理] をクリックします。 | ||||||||||||||||||||||
ステップ 3 | [ユーザ管理] ペインの [LDAP] タブをクリックします。 | ||||||||||||||||||||||
ステップ 4 |
[LDAP Settings] 領域で、次のプロパティを更新します。
|
||||||||||||||||||||||
ステップ 5 |
[Configure LDAP Servers] 領域で、次のプロパティを更新します。
|
||||||||||||||||||||||
ステップ 6 |
[Binding Parameters] 領域で、次のプロパティを更新します。
|
||||||||||||||||||||||
ステップ 7 |
[Search Parameters] 領域で、次のフィールドを更新します。
|
||||||||||||||||||||||
ステップ 8 |
(任意)[Group Authorization] 領域で、次のプロパティを更新します。
|
||||||||||||||||||||||
ステップ 9 | [変更を保存] をクリックします。 |
ステップ 1 | [ナビゲーション] ペインの [管理者] タブをクリックします。 | ||||||||||||||||
ステップ 2 | [管理者] タブの [ユーザ管理] をクリックします。 | ||||||||||||||||
ステップ 3 | [ユーザ管理] ペインの [セッション] タブをクリックします。 | ||||||||||||||||
ステップ 4 |
現在のユーザ セッションに関する次の情報が表示されます。
|
この章は、次の内容で構成されています。
ローカル ユーザの設定
手順
ステップ 1 [ナビゲーション] ペインの [管理者] タブをクリックします。 ステップ 2 [管理者] タブの [ユーザ管理] をクリックします。 ステップ 3 [ユーザ管理] ペインの [ローカル ユーザ] タブをクリックします。 ステップ 4 ローカル ユーザ アカウントを設定または変更するには、行をクリックします。 ステップ 5 [User Details] ダイアログボックスで、次のプロパティを更新します。 ステップ 6 パスワード情報を入力します。 ステップ 7 [変更を保存] をクリックします。
LDAP サーバ
CIMC では、情報をディレクトリ内で編成してこの情報へのアクセスを管理するディレクトリ サービスがサポートされます。 CIMC は、ネットワークでディレクトリ情報を保管および保守する Lightweight Directory Access Protocol(LDAP)をサポートします。 さらに、CIMC は Microsoft Active Directory(AD)もサポートします。 Active Directory はさまざまなネットワーク サービスを提供するテクノロジーであり、LDAP と同様のディレクトリ サービス、Kerberos ベースの認証、DNS ベースの名前付けなどが含まれます。 CIMC は LDAP での Kerberos ベースの認証サービスを利用します。
CIMC で LDAP が有効になっている場合、ローカル ユーザ データベース内に見つからないユーザ アカウントに関するユーザ認証とロール許可は、LDAP サーバによって実行されます。 LDAP ユーザ認証の形式は username@domain.com です。
[LDAP Settings] 領域の [Enable Encryption] チェックボックスをオンにすると、LDAP サーバへの送信データを暗号化するようサーバに要求できます。
LDAP サーバの設定
手順ユーザ認証および権限付与のために LDAP を使用するよう、CIMC を設定できます。 LDAP を使用するには、CIMC に関するユーザ ロールとロケールを保持する属性を使ってユーザを設定します。 CIMC のユーザ ロールとロケールにマップされた既存の LDAP 属性を使用できます。または、LDAP スキーマを変更して、属性 ID 1.3.6.1.4.1.9.287247.1 を持つ CiscoAVPair 属性などの新しいカスタム属性を追加できます。
重要:スキーマの変更の詳細については、http://technet.microsoft.com/en-us/library/bb727064.aspx の記事を参照してください。
(注)
この例では CiscoAVPair という名前のカスタム属性を作成しますが、CIMC のユーザ ロールとロケールにマップされた既存の LDAP 属性を使用することもできます。
LDAP サーバに対して次の手順を実行する必要があります。
ステップ 1 LDAP スキーマ スナップインがインストールされていることを確認します。 ステップ 2 スキーマ スナップインを使用して、次のプロパティを持つ新しい属性を追加します。 ステップ 3 スナップインを使用して、ユーザ クラスに CiscoAVPair 属性を追加します。 ステップ 4 CIMC にアクセスできるようにするユーザに対し、次のユーザ ロール値を CiscoAVPair 属性に追加します。
ロール
CiscoAVPair 属性値
admin
shell:roles="admin"
user
shell:roles="user"
read-only
shell:roles="read-only"
(注) 属性に値を追加する方法の詳細については、http://technet.microsoft.com/en-us/library/bb727064.aspx の記事を参照してください。
次の作業
CIMC を使用して LDAP サーバを設定します。
CIMC での LDAP 設定およびグループ許可の設定
手順
ステップ 1 [ナビゲーション] ペインの [管理者] タブをクリックします。 ステップ 2 [管理者] タブの [ユーザ管理] をクリックします。 ステップ 3 [ユーザ管理] ペインの [LDAP] タブをクリックします。 ステップ 4 [LDAP Settings] 領域で、次のプロパティを更新します。
名前 説明 [Enable LDAP] チェックボックス
これを選択した場合、まず LDAP サーバによってユーザ認証とロール許可が実行された後、ローカル ユーザ データベースに存在しないユーザ アカウントが扱われます。
Base DN
ベース識別名。 このフィールドは、ユーザおよびグループのロード元を示します。
Active Directory サーバでは、これは dc=domain,dc=com という形式でなければなりません。
ドメイン(Domain)
すべてのユーザが属する必要のある IPv4 ドメイン。
グローバル カタログ サーバのアドレスを少なくとも 1 つ指定していない限り、このフィールドは必須です。
Enable Encryption
これを選択した場合、サーバは LDAP サーバに送るすべての情報を暗号化します。
Timeout (0 - 1800) seconds
LDAP 検索操作がタイムアウトするまで CIMC が待機する秒数。
検索操作がタイムアウトになった場合、CIMC はこのタブで次にリストされているサーバ(存在する場合)に接続しようと試行します。
(注) このフィールドに指定する値は、全体的な時間に影響を及ぼす可能性があります。
ステップ 5 [Configure LDAP Servers] 領域で、次のプロパティを更新します。
名前 説明 [Pre-Configure LDAP Servers] オプション ボタン
これを選択すると、Active Directory は事前構成された LDAP サーバを使用します。
[LDAP Servers] フィールド
Server
6 つの LDAP サーバの IP アドレス。
LDAP に Active Directory を使用している場合、サーバ 1、2、3 はドメイン コントローラ、サーバ 4、5、6 はグローバル カタログです。 LDAP 用に Active Directory を使用していない場合は、最大で 6 つの LDAP サーバを構成できます。
(注) また、ホスト名の IP アドレスも提供できます。
ポート
サーバのポート番号。
LDAP に Active Directory を使用している場合、サーバ 1、2、3(ドメイン コントローラ)のデフォルト ポート番号は 389 です。 サーバ 4、5、6(グローバル カタログ)のデフォルト ポート番号は 3268 です。
LDAPS 通信は TCP 636 ポートで発生します。 グローバル カタログ サーバへの LDAPS 通信は TCP 3269 ポートで発生します。
[Use DNS to Configure LDAP Servers] オプション ボタン
これを選択した場合、DNS を使って LDAP サーバへのアクセスを設定できます。
[DNS Parameters] フィールド
送信元:
DNS SRV 要求に使われるドメイン名を取得する方法を指定します。 次のいずれかを指定できます。
Domain to Search:
DNS クエリーのソースとして機能する設定済みドメイン名。
ソースが [Extracted] と指定される場合、このフィールドは無効になります。
Forest to Search:
DNS クエリーのソースとして機能する設定済みフォレスト名。
ソースが [Extracted] と指定される場合、このフィールドは無効になります。
ステップ 6 [Binding Parameters] 領域で、次のプロパティを更新します。
名前 説明 方式
次のいずれかを指定できます。
[Anonymous]: ユーザ名とパスワードを NULL にする必要があります。 このオプションが選択され、 LDAP サーバで匿名ログインが設定されている場合は、ユーザがアクセスすることができます。
[Configured Credentials]: 初期バインド プロセスで既知のクレデンシャル セットを指定する必要があります。 初期バインド プロセスが成功した場合、ユーザ名の Distinguished Name(DN)が照会され、再バインディング プロセス用に再利用されます。 再バインディング プロセスが失敗すると、ユーザはアクセスを拒否されます。
[Login Credentials]: ユーザ クレデンシャルが必要です。 バインド プロセスが失敗すると、ユーザはアクセスを拒否されます。
デフォルトでは、[Login Credentials] オプションが選択されます。
Binding DN:
ユーザの Distinguished Name(DN)。 このフィールドは、バインディング方式として [Configured Credentials] オプションを選択した場合にのみ編集可能になります。
Password:
ユーザのパスワード。 このフィールドは、バインディング方式として [Configured Credentials] オプションを選択した場合にのみ編集可能になります。
ステップ 7 [Search Parameters] 領域で、次のフィールドを更新します。
名前 説明 Filter Attribute:
このフィールドは、LDAP サーバ上のスキーマの設定済み属性に一致する必要があります。
デフォルトでは、このフィールドは sAMAccountName と表示されます。
Group Attribute:
このフィールドは、LDAP サーバ上のスキーマの設定済み属性に一致する必要があります。
デフォルトでは、このフィールドは memberOf と表示されます。
Attribute:
ユーザのロールとロケール情報を保持する LDAP 属性。 このプロパティは、常に、名前と値のペアで指定されます。 システムは、ユーザ レコードで、この属性名と一致する値を検索します。
LDAP 属性では、CIMC ユーザ ロールおよびロケールにマップされる既存の LDAP 属性を使用することも、スキーマを変更して新しい LDAP 属性を作成することもできます。 (たとえば CiscoAvPair など)。
(注) このプロパティを指定しない場合、ユーザはログインできません。 オブジェクトは LDAP サーバ上に存在していますが、このフィールドで指定される属性と正確に一致する必要があります。
ステップ 8 (任意)[Group Authorization] 領域で、次のプロパティを更新します。
名前 説明 [LDAP Group Authorization] チェックボックス
これを選択した場合、ローカル ユーザ データベースにない LDAP ユーザに関しても、グループ レベルでユーザ認証が実行されます。
このチェックボックスをオンにすると、[Configure Group] ボタンがイネーブルになります。
[Group Name] カラム
サーバへのアクセスが許可されているグループの名前を LDAP データベースに指定します。
[Group Domain] カラム
LDAP サーバのドメインがグループに存在する必要があります。
[Role] カラム
すべてのユーザに割り当てられているこの LDAP サーバ グループのロール。 次のいずれかになります。
[Delete] カラム
既存の LDAP グループを削除します。
ステップ 9 [変更を保存] をクリックします。