Users Guide
iDRAC6 LDAP 実装を汎用的にするには、異なるディレクトリサービス間の共通点を使って、ユーザーをグループ化してからユーザーとグループの関係をマップします。ディレクトリサービス固有の処
置がスキーマです。たとえば、ユーザーとグループの間では、グループ、ユーザー、およびリンクの属性名が異なる場合があります。これらの処置は iDRAC6 で設定できます。
ログイン構文(ディレクトリサービス vs ローカルユーザー)
Active Directory とは異なり、LDAP ユーザーをローカルユーザーと区別するのに特殊文字(「@」、 「¥」、「/」)は使用しません。ログインユーザーはユーザー名のみを入力します(ドメイン名は入力
しない)。iDRAC6 はユーザー名を入力したとおりに受け入れ、ユーザー名とユーザードメインを分割しません。汎用 LDAP が有効である場合、iDRAC6 は最初にユーザーをディレクトリユーザーとし
てログインしようと試みます。これに失敗すると、ローカルユーザーのルックアップが有効になります。
iDRAC6 ウェブベースのインタフェースを使用した汎用 LDAP ディレクトリサービスの設定
1. サポートされているウェブブラウザのウィンドウを開きます。
2. iDRAC6 のウェブベースのインタフェースにログインします。
3. iDRACの 設定® ネットワーク/セキュリティ タブ® ディレクトリサービス タブ® 汎用 LDAP ディレクトリサービス の順に選択します。
汎用 LDAP の設定と管理 ページには、現在の iDRAC6 の汎用 LDAP 設定が表示されます。汎用 LDAP 設定と管理 ページにスクロールし、汎用 LDAP の 設定 をクリックします。
汎用 LDAP の設定と管理手順 3 の 1 ページが開きます。このページを使用して、汎用 LDAP サーバーと通信するときに SSL 接続の起動中に使用するデジタル証明書を設定します。こ
れらの通信には LDAP オーバー SSL(LDAPS)を使用します。証明書の検証機能を有効にする場合は、SSL 接続の起動中に LDAP サーバーが使用する証明書を発行した認証局(CA)の証
明書をアップロードします。CA の証明書は、SSL の起動中に LDAP サーバーによって提供された証明書の信頼性を検証するのに使用します。
4. 証明書の設定 の 証明書検証を有効にする を選択すると、証明書の検証が有効になります。有効である場合、iDRAC6 は CA 証明書を使ってセキュアソケットレイヤ(SSL)ハンドシェイク
中に LDAP サーバーの証明書を検証します。無効である場合は、SSL ハンドシェイクの証明書の検証手順をスキップします。テスト中またはシステム管理者が SSL 証明書を検証せずにセキ
ュリティの境界内のドメインコントローラを信頼する場合は、証明書の検証機能を無効にできます。
5. ディレクトリサービスの CA 証明書のアップロード の下に、証明書のファイルパスを入力するか、証明書ファイルの場所を参照します。
6. アップロード をクリックします。
すべてのドメインコントローラのセキュアソケットレイヤ(SSL)サーバーの証明書を署名するルート CA の証明書がアップロードされます。
7. 次へ をクリックします。汎用 LDAP の設定と管理手順 3 の 2 ページが開きます。このページを使用して、汎用 LDAP サーバーとユーザーアカウントに関する位置情報を設定します。
8. 次の情報を入力します。
l 汎用 LDAP を有効にする を選択します。
l グループメンバーとして識別名(DN)を使用する場合は、グループメンバーシップの検索に識別名を使用する オプションを選択します。iDRAC6 はディレクトリから取得しいたユー
ザー DN をグループのメンバーと比較します。クリアされた場合、ログインユーザーが提供するユーザー名がグループのメンバーとの比較に使用されます。
l LDAP サーバーアドレス フィールドに、LDAP サーバーの完全修飾ドメイン名(FQDN)または IP アドレスを入力します。同じドメインに使用する複数の冗長 LDAP サーバーを指定
するには、すべてのサーバーのリストをカンマ区切りで入力します。iDRAC6 は接続を確立できるまで、各サーバーへの接続を交代で試みます。
l LDAP サーバーポート フィールドに LDAP オーバー SSL に使用するポートを入力します。デフォルト値は 636 です。
l バインド DN フィールドに、ログインユーザーの DN を検索するときにサーバーにバインドするユーザーの DN を入力します。指定されていない場合は、匿名のバインドが使用されま
す。
l 使用する バインドパスワード を バインド ID と一緒に入力します。これは、匿名のバインドを使用できない場合に必要です。
l 検索するベース DN フィールドに、すべての検索が開始されるディレクトリのブランチの DN を入力します。
l ユーザーログインの属性 フィールドに、検索するユーザー属性を入力します。デフォルトは UID です。この値を選択したベース DN 内で一意になるように設定することをお勧めしま
メモ:Active Directory のログイン構文には動作上の変更はありません。汎用 LDAP が有効である場合、GUI ログインページのドロップダウンメニューには「この iDRAC」のみが表示されま
す。
メモ:openLDAP および OpenDS ベースのディレクトリサービスのユーザー名には、「<」および「>」 文字は使用できません。
メモ:このリリースでは、非 SSL ポートベースの LDAP バインドはサポートされていません。LDAP オーバー SSL のみがサポートされています。
注意:証明書の生成中に LDAP サーバー証明書のサブジェクトフィールドで、 CN = LDAP FQDN を開く が設定されている(CN= openldap.lab など) ことを確認します。
iDRAC6 の LDAP サーバーアドレスフィールドは、証明書の検証機能が動作するように同じ FQDN アドレスに一致するように設定します。
メモ:フルパスと正しいファイル名とファイル拡張子を含む絶対ファイルパスを入力する必要があります。
メモ:このリリースでは、スマートカードベースの 2 要素認証(TFA)とシングルサインオン(SSO)機能は、汎用 LDAP ディレクトリサービスでサポートされていません。
メモ:このリリースでは、ネストされたグループはサポートされていません。ファームウェアはユーザー DN に一致するグループの直接メンバーを検索します。また、シングルドメインのみ
がサポートされています。クロスドメインはサポートされていません。