この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
LDAP リモート ユーザを作成および設定し、Cisco UCS Central からロールとロケールを、Cisco UCS Manager と同じ要領で割り当てます。LDAP プロバイダーの作成は、常に Cisco UCS Central ドメイン グループ ルートから行ってください。
複数の LDAP グループ マッピングを定義し、最大で Windows Active Directory が Cisco UCS Central のネストをサポートしているのと同じレベルまでそれらをネストできます。ネスト グループにプロバイダーを割り当てると、プロバイダーが異なる LDAP グループのメンバーであっても、親ネスト グループの認証メンバーになります。認証の際に、Cisco UCS Central は、プロバイダー グループ内のすべてのプロバイダーを順番に試行します。Cisco UCS Central は、設定されたサーバのいずれにもアクセスできない場合、ローカル ユーザ名とパスワードを使用して自動的にローカル認証方式にフォールバックします。
LDAP グループの数は、Cisco UCS Manager のバージョンに応じて定義できます。サポートされる LDAP グループ マップを参照してください。
プロバイダー グループは、認証プロセス中に Cisco UCS が使用するプロバイダーのセットです。Cisco UCS Central では、最大 16 のプロバイダー グループを作成でき、グループごとに最大 8 つのプロバイダーを含めることができます。
認証の際には、プロバイダー グループ内のすべてのプロバイダーが順番に試行されます。設定されたすべてのサーバが使用できない場合、または到達不能な場合、Cisco UCS Central は、ローカル ユーザ名とパスワードを使用して自動的にローカル認証方式にフォールバックします。
LDAP データベースへのアクセス制限のために LDAP グループを使用している組織では、Cisco UCS ドメインで、グループ メンバーシップ情報を使用してログイン時に LDAP ユーザにロールやロケールを割り当てることができます。これにより、Cisco UCS Central を導入するときに、LDAP ユーザ オブジェクトでロールやロケール情報を定義する必要がなくなります。
Cisco UCS Central は、ユーザ ロールとロケールをリモート ユーザに割り当てるときに LDAP グループ ルールを使用して LDAP グループを決定します。ユーザがログインすると、Cisco UCS Centralはユーザのロールとロケールに関する情報を LDAP グループ マップから取得します。ロールとロケールの条件がポリシーの情報に一致すると、Cisco UCS Centralはそのユーザにアクセス権を提供します。
LDAP グループの数は、Cisco UCS Manager のバージョンに応じて定義できます。
最大で Windows Active Directory が Cisco UCS Central のネストをサポートしているのと同じレベルまで LDAP グループ マッピングをネストできます。ネスト グループにプロバイダーを割り当てると、プロバイダーが異なる LDAP グループのメンバーであっても、親ネスト グループの認証メンバーになります。認証の際に、Cisco UCS Central は、プロバイダー グループ内のすべてのプロバイダーを順番に試行します。Cisco UCS Central は、設定されたサーバのいずれにもアクセスできない場合、ローカル ユーザ名とパスワードを使用して自動的にローカル認証方式にフォールバックします。
ロールとロケールの定義は Cisco UCS Central でローカルに設定され、LDAP ディレクトリに対する変更に基づいて自動的に更新されることはありません。LDAP ディレクトリで LDAP グループを削除または名前変更する場合、Cisco UCS Centralで変更を更新してください。
LDAP グループ マップは、次のロールとロケールのいずれかの組み合わせを含むように設定できます。
たとえば、特定のロケーションのサーバ管理者グループを表す LDAP グループの認証を設定する場合は、その LDAP グループに対する server-profile や server-equipment などのユーザ ロールを含めることができます。特定のロケーションのサーバ管理者に対しアクセスを制限する場合は、特定のサイト名をロケールに指定できます。
(注) | Cisco UCS Central にはすぐに使用できる多数のユーザ ロールが含まれていますが、ロケールは含まれていません。カスタム ロケールを作成して LDAP プロバイダー グループをロケールにマップする必要があります。 |
サポートされる LDAP グループ マップの数は、Cisco UCS Manager のバージョンによって異なります。
Cisco UCS Manager バージョン |
LDAP グループ マップ サポート対象 |
---|---|
Cisco UCS Manager リリース 3.1(2) 以降 |
160 |
Cisco UCS Manager リリース 3.1(1) |
128 |
Cisco UCS Manager リリース 2.2(8) 以降 |
160 |
Cisco UCS Manager リリース 2.2(7) 以前 |
28 |
LDAP グループを他のグループのメンバーとしてネストすることにより、アカウントを統合して複製を減らすことができます。
デフォルトでは、LDAP グループを別のグループ内にネストすると、ユーザ権限が継承されます。たとえば、Group_2 のメンバーとして Group_1 を作成する場合、Group_1 のユーザは Group_2 のメンバーと同じ権限が与えられます。その結果、Group_1 のメンバーであるユーザを検索するときは、LDAP グループ マップで Group_2 だけを選択します。Group_1 と Group_2 を別々に検索する必要はありません。
LDAP グループ マップで定義されたネストしたグループを検索できます。グループをネストすることによって、サブグループを作成する必要がなくなります。
(注) | ネストした LDAP グループの検索は、Microsoft Active Directory サーバに対してのみサポートされます。サポートされているバージョンは Microsoft Windows 2003 SP3、Microsoft Windows 2008 R2、および Microsoft Windows 2012 です。 ネストしたグループ名に特殊文字を含めた場合は、次の例に示す構文を使用してそれらをエスケープする必要があります。 create ldap-group CN=test1\\(\\),CN=Users,DC=ucsm,DC=qasam-lab,DC=in |