LDAP/SSL の構成

言語:

システム管理者はオプションで、LDAP/SSL ディレクトリサービスを使用するように Oracle ILOM を構成し、Oracle ILOM のユーザーを認証したり、Oracle ILOM の機能を使用するためのユーザー承認のレベルを定義したりできます。

Oracle ILOM の LDAP/SSL サービスの状態プロパティーは、デフォルトで無効になっています。LDAP/SSL サービスの状態を有効にして、Oracle ILOM を LDAP/SSL クライアントとして構成する場合は、次の表を参照してください。

表 25 LDAP/SSL 認証の有効化
表 26 LDAP/SSL 証明書ファイルのアップロードまたは削除
表 27 LDAP/SSL グループの構成 (オプション)
表 28 LDAP/SSL ユーザードメインの構成
表 29 LDAP/SSL 代替サーバーの構成 (オプション)
表 30 LDAP/SSL の認証をトラブルシューティングするためのガイドライン

表 25 LDAP/SSL 認証の有効化

ユーザーインタフェースの構成可能なターゲット:

CLI: /SP|CMM/clients/ldapssl/
Web: 「ILOM Administration」 > 「User Management」 > 「LDAP/SSL」 > 「Settings」
ユーザーの役割: User Management (u) (すべてのプロパティーの変更で必要)
前提条件: Oracle ILOM を構成する前に、LDAP/SSL サーバーにユーザーまたはユーザーグループを構成する必要があります。

プロパティー

デフォルト値

説明

State

(state=)

Disabled

Disabled |Enabled

LDAP/SSL 認証および承認ディレクトリサービスを使用するように Oracle ILOM を構成するには、「State」プロパティーを Enabled に設定します。

「State」プロパティーを disabled にすると、Oracle ILOM はユーザー認証および承認レベルの処理に LDAP/SSL サービスを使用しなくなります。

「State」プロパティーが有効で、「Strict Certificate Mode」プロパティーが無効である場合、セキュアなチャネルを使用した Oracle ILOM では、ユーザーの認証時に LDAP/SSL サービス証明書に対して限定的な検証が行われます。

「State」プロパティーおよび「Strict Certificate Mode」プロパティーが両方とも有効である場合、セキュアなチャネルを使用した Oracle ILOM では、ユーザーの認証時に LDAP/SSL サービス証明書のデジタル署名が完全に検証されます。

「State」の CLI 構文:

set /SP|CMM/clients/ldapssl/ state=disabled|enabled

Roles

(defaultrole=)

None (server authorization)

Administrator |Operator |Advanced |None (server authorization)

LDAP/SSL で認証されたユーザーがアクセスできる Oracle ILOM の機能を定義するには、デフォルトの「Roles」プロパティーを、受け入れられる 4 つのプロパティー値のいずれかに設定します: Administrator (a|u|c|r|o)、Operator (c|r|o)、Advanced (a|u|c|r|o|s)、または None (server authorization)。

デフォルトの「Roles」プロパティーを Oracle ILOM のユーザーの役割に設定すると、Oracle ILOM の機能を使用するための承認レベルは、Oracle ILOM のユーザーの役割によって付与されるユーザー権限で決定されます。割り当てられる権限については、下の「関連情報」セクションに示されているユーザーの役割およびユーザープロファイルの表を参照してください。

デフォルトの「Roles」プロパティーが「None (server authorization)」に設定されていて、Oracle ILOM が LDAP/SSL のグループを使用するように構成されている場合、Oracle ILOM の機能を使用するための承認レベルは、LDAP/SSL のグループによって決定されます。LDAP/SSL の構成の詳細は、下の「関連情報」セクションに示されている LDAP/SSL のグループを説明した表を参照してください。

「Roles」の CLI 構文:

set /SP|CMM/clients/ldapssl/ defaultrole=administrator|operator|a|u|c|r|o|s|none

関連情報:

アドレス

(address=)

0.0.0.0

IP address| DNS host name (Active Directory Server)

LDAP/SSL サーバーのネットワークアドレスを構成するには、「Address」プロパティーに LDAP/SSL の IP アドレスまたは DNS ホスト名を指定します。DNS ホスト名を使用する場合は、Oracle ILOM の DNS 構成プロパティーを適切に構成して動作可能にする必要があります。

「Address」の CLI 構文:

set /SP|CMM/clients/ldapssl/ address=LDAP/SSL_server ip_address|active_directory_server_dns_host_name

関連情報:

表 47

ポート

(port=)

0 Auto-select

0 Auto-select | Non-standard TCP port

Oracle ILOM は、標準の TCP ポートを使用して LDAP/SSL サーバーと通信します。

「Port」の自動選択のプロパティーを有効にすると、「Port」番号はデフォルトで 0 に設定されます。

「Port」の自動選択のプロパティーを無効にすると、Web インタフェースの「Port」番号プロパティーをユーザーが構成できるようになります。

「Port」プロパティーは、Oracle ILOM で標準以外の TCP ポートを使用する必要がある例外的な場合に構成できます。

「Port」の CLI 構文:

set /SP|CMM/clients/ldapssl/ port=number

Timeout

(timeout=)

4 秒

4 |user-specified

「Timeout」プロパティーは、デフォルトで 4 秒に設定されます。このプロパティー値は、必要に応じて、LDAP/SSL サーバーが通信不可能である場合または応答しない場合の応答時間を微調整するために調整します。

「Timeout」プロパティーは、個々のトランザクションが完了するまで待機する秒数を指定します。トランザクションの数は構成に応じて異なる場合があるため、この値は完了したすべてのトランザクションの合計時間を表すわけではありません。

「Timeout」の CLI 構文:

set /SP|CMM/clients/ldapssl/ timeout=number_of_seconds

Strict Certificate Mode

(strictcert mode=)

Disabled

Disabled |Enabled

有効にすると、Oracle ILOM は、セキュアなチャネルを使用した認証時に LDAP/SSL 証明書の署名を完全に検証します。

無効にすると、Oracle ILOM は、セキュアなチャネルを使用した認証時にサーバー証明書に対して限定的な検証を行います。

注意 - 「Strict Certificate Mode」プロパティーを有効にする前に、LDAP/SSL サーバー証明書を Oracle ILOM にアップロードする必要があります。

厳密な証明書モードの CLI 構文:

set /SP|CMM/clients/ldapssl/ strictcertmode=disabled|enabled

関連情報:

表 26

Optional User Mapping

(/optionalUsermapping)

Disabled

Disabled | Enabled

「Optional User Mapping」プロパティーは通常、uid がユーザードメインのログイン名の一部として使用されなかった場合に使用されます。ユーザー認証を行うために単純なユーザーログイン名をドメイン名に変換する必要がある場合は、「Optional User Mapping」プロパティーを Enabled に設定します。

State - 有効にすると、ユーザー資格の認証のために代替の属性を構成できます。
Attribute Information – 受け入れられる入力形式 (&(objectclass=person)(uid=<USERNAME>)) を使用してログイン情報属性を入力します。「Attribute Information」を使用すると、指定されたログイン情報属性に基づいて、LDAP/SSL クエリーがユーザードメイン名を検索できるようになります。
Searchbase – 「Searchbase」プロパティーは、検索ベースオブジェクトの識別名、または Oracle ILOM が LDAP ユーザーアカウントを検索するべき LDAP ツリーのブランチに設定します。入力形式: OU={organization},DC={company},DC={com}
Bind DN – 「Bind DN」プロパティーは、LDAP サーバー上の読み取り専用プロキシユーザーの識別名 (DN) に設定します。Oracle ILOM がユーザーの検索と認証を行うには、LDAP サーバーに対する読み取り専用のアクセス権が必要になります。入力形式: OU={organization},DC={company},DC={com}
Bind Password - 「Bind Password」プロパティーは、読み取り専用のプロキシユーザーのパスワードに設定します。

「Optional User Mapping」の CLI 構文:

set /SP|CMM/clients/ldapssl/optionalUsermapping/ attributeInfo=<string> searchbase=<string> binddn=cn=proxyuser, ou=organization _name, dc=company, dc=com bindpw=password

Log Detail

(logdetail=)

なし

None | High | Medium | Low |Trace

Oracle ILOM のイベントログに記録される LDAP/SSL イベントの診断情報の種類を指定するには、「Log Detail」プロパティーを、受け入れられる 5 個のプロパティー値 (None、High、Medium、Low、または Trace) のいずれかに設定します。

「Log Detail」の CLI 構文:

Save

Web インタフェース – LDAP/SSL の「Settings」ページ内のプロパティーへの変更を適用するには、「Save」をクリックする必要があります。

表 26 LDAP/SSL 証明書ファイルのアップロードまたは削除

ユーザーインタフェースの構成可能なターゲット: CLI: `/SP\|CMM/clients/ldapssl/cert` Web: 「ILOM Administration」 > 「User Management」 > 「LDAP/SSL」 > 「Certificate Information」ユーザーの役割: User Management (`u`) (すべてのプロパティーの変更で必要)
プロパティー	デフォルト値	説明
Certificate File Status (`certstatus=`)	読み取り専用	`Certificate Present` \|`Certificate Not Present` 「Certificate File Status」プロパティーは、LDAP/SSL 証明書が Oracle ILOM にアップロードされているかどうかを示します。証明書ステータスの CLI 構文: `show /SP\|CMM/clients/ldapssl/cert`
ファイル転送方式	Browser (Web インタフェースのみ)	`Browser`\|`TFTP`\|`FTP`\|`SCP`\|`Paste` 各ファイル転送方式の詳細は、「表 14」を参照してください。
Load Certificate `(load_uri=)`		Web インタフェース – 「Load Certificate」ボタンをクリックして、「File Transfer Method」プロパティーに指定されている LDAP/SSL 証明書ファイルをアップロードします。「Load Certificate」の CLI 構文: `load_uri=file_transfer_method://host_address/file_path/filename`
Remove Certificate (`clear_action=true`)		Web インタフェース – 「Remove Certificate」ボタンをクリックして、Oracle ILOM に現在格納されている LDAP/SSL 証明書ファイルを削除します。確認のメッセージが表示されたら、「Yes」をクリックして操作を続行するか、「No」をクリックしてアクションを取り消します。「Remove Certificate」の CLI 構文: `set /SP\|CMM/clients/ldapssl/cert clear_action=true` - または - `reset /SP\|CMM/clients/ldapssl/cert` 確認のメッセージが表示されたら、`y` と入力して操作を続行するか、`n` と入力して操作を取り消します。

表 27 LDAP/SSL グループの構成 (省略可能)

ユーザーインタフェースの構成可能なターゲット: CLI: `/SP\|CMM/clients/ldapssl/` Web: 「ILOM Administration」 > 「User Management」 > 「LDAP/SSL」 > 「(Name) Groups」ユーザーの役割: User Management (`u`) (すべてのプロパティーの変更で必要) 前提条件: Oracle ILOM に LDAP/SSL グループを設定する前に、LDAP/SSL グループが LDAP/SSL サーバー上に存在し、メンバーが割り当てられている必要があります。
プロパティー	説明
Admin Groups (`/admingroups/1\|2\|3\|4\|5`)	システム管理者はオプションで、ユーザー承認のために、Oracle ILOM の「Role」プロパティーの代わりに「Admin Group」プロパティーを構成できます。 Oracle ILOM は、最大 5 個の「Admin Groups」を構成することをサポートしています。Oracle ILOM で「Admin Group」プロパティーを有効にすると、ユーザーのグループメンバーシップに、admin 表での定義に一致するグループがあるかどうかがチェックされます。一致がある場合、そのユーザーに Administrator レベルのアクセス権が付与されます。注 – Oracle ILOM は、構成された各グループ表で見つかった一致するグループ (Operator、Administrator、または Custom) に基づいて、1 つ以上の承認レベルをグループのメンバーに付与します。「Admin Grou」の CLI 構文: `set /SP\|CMM/clients/ldapssl/admingroups/n name=string` 構文例: `set /SP/clients/ldapssl/admingroups/1/ name=CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle,DC=com` `Set 'name' to 'CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle, DC=com'`
Operator Groups (`/operatorgroups/1\|2\|3\|4\|5`)	システム管理者はオプションで、ユーザー承認のために、Oracle ILOM の「Role」プロパティーの代わりに「Operator Group」プロパティーを構成できます。 Oracle ILOM は、最大 5 個の「Operator Groups」を構成することをサポートしています。Oracle ILOM で「Operator Group」プロパティーを有効にすると、ユーザーのグループメンバーシップに、operator 表での定義に一致するグループがあるかどうかがチェックされます。一致がある場合、そのユーザーに Operator レベルのアクセス権が付与されます。注 – Oracle ILOM は、構成された各グループ表で見つかった一致するグループ (Operator、Administrator、または Custom) に基づいて、1 つ以上の承認レベルをグループのメンバーに付与します。「Operator Group」の CLI 構文: `set /SP\|CMM/clients/ldapssl/operatorgroups/n name=string` 構文例: `set /SP/clients/ldapssl/operatorgroups/1 name=CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC=com` `Set 'name' to 'CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC= com''`
Host Groups	LDAP/SSL Host Groups プロパティーは Oracle のマルチドメイン SPARC サーバーシステムに固有です。マルチドメイン SP サーバーシステムの場合、Oracle ILOM により、システム管理者は、LDAP/SSL ユーザー認証用に最大 10 のホストグループを構成できます。「Host Groups」を構成する場合の CLI 構文: `set /SP/clients/ldapssl/hostgroups/n/ name=string hosts=string roles=string` ここでは: name= は、指定したホストグループの Active Directory グループを表す読み取りおよび書き込みプロパティーです。 hosts= はこのホストグループが役割を割り当てる PDomain を一覧表示する読み取りおよび書き込みプロパティーです。 roles= は、ホストグループのドメイン固有の権限レベルを指定する読み取り/書き込みプロパティーです。このプロパティーは、a、c、および r の各ホスト役割 ID の組み合わせ (acr など) をサポートします。ここで、a= admin、c=console、および r=reset です。マルチドメインサーバー SP システムの Host Group プロパティーの構成の詳細は、Oracle サーバーに提供されている管理ガイドを参照してください。
Custom Groups (`/customgroups/1\|2\|3\|4\|5`)	システム管理者はオプションで、ユーザー承認のために、Oracle ILOM に最大 5 個の「Custom Groups」プロパティーを構成できます。Oracle ILOM は、Custom Group のメンバーであるユーザーを認証する場合、「Custom Group」プロパティーを使用して該当するユーザー役割を判別して割り当てます。 Oracle ILOM で「Custom Groups」を使用可能にする場合は、「Roles」プロパティーおよび「Custom Groups」プロパティーの両方を構成する必要があります。「Roles」構成プロパティーの詳細は、表 25の「Roles」プロパティーを参照してください。注 – Oracle ILOM は、構成された各グループ表で見つかった一致するグループ (Operator、Administrator、または Custom) に基づいて、1 つ以上の承認レベルをグループのメンバーに付与します。「Custom Groups」の CLI 構文: `set /SP\|CMM/clients/ldapssl/customgroups/n name=string roles=administrator\|operator\|a\|u\|c\|r\|o\|s` 構文例: `set /SP/clients/ldapssl/customgroups/1 name=CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC=com roles=au` `Set 'name' to 'CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC= com'' roles' to 'au'` 関連情報: Assignable Oracle ILOM User Roles
Save	Web インタフェース – 「Admin Group」、「Operator Group」、または「Custom Group」ダイアログのプロパティーへの変更を適用するには、「Save」をクリックする必要があります。

表 28 LDAP/SSL ユーザードメインの構成

ユーザーインタフェースの構成可能なターゲット: CLI: `/SP\|CMM/clients/ldapssl`/userdomains/`n` Web: 「ILOM Administration」 > 「User Management」 > 「LDAP/SSL」 > 「User Domains」ユーザーの役割: User Management (`u`) (すべてのプロパティーの変更で必要) 前提条件: Oracle ILOM にユーザードメインを設定する前に、ユーザードメインが LDAP/SSL サーバー上に存在し、メンバーが割り当てられている必要があります。
プロパティー	説明
User Domains (/`1`\|`2`\|`3`\|`4`\|`5`)	システム管理者は、必要に応じて、最大 5 個のユーザードメインを構成できます。1 つ以上のユーザードメインを定義すると、Oracle ILOM は、LDAP/SSL ユーザーを認証できるまで、これらのプロパティーを順番に使用します。次の取り得る値を使用して、Oracle ILOM の各ユーザードメインに構成プロパティーを設定します。 UID 形式: uid=<USERNAME>,ou=people,dc=company,dc=com DN 形式: CN=<USERNAME>,CN=Users,DC=domain,DC=company,DC=com 注 - <USERNAME> をリテラルとして使用できます。<USERNAME> をリテラルとして使用すると、Oracle ILOM はユーザー認証時に <USERNAME> を入力された現在のログイン名に置き換えます。必要に応じて、特定の検索ベースを指定するには、ユーザードメイン構成のあとに `<BASE:string>` プロパティーを追加します。構文の詳細は、下記の例 3 を参照してください。「User Domains」の CLI 構文: `set /SP\|CMM/clients/ldapssl/userdomains/n domain=string` 例 1: `domain=CN=<USERNAME>` `set /SP/clients/ldapssl/userdomains/1 domain=CN=<USERNAME>,OU=Groups,DC=sales,DC-oracle,DC=com` Set 'domain' to 'CN=<USERNAME>,OU=Groups,DC=sales,DC=oracle,DC=com' 例 2: domain=CN=spSuperAdmin `set /SP/clients/ldapssl/userdomains/1 domain=CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle,DC=com` `Set 'domain' to 'CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle, DC=com'` 例 3: `<BASE:string>` を使用した検索ベースの構文 `set /SP/clients/ldapssl/userdomains/1 domain=uid=<USERNAME>,ou=people,dc=oracle,dc=com<BASE:ou=doc,dc=oracle,dc=com>`
Save	Web インタフェース – LDAP/SSL の「User Domains」ダイアログ内のプロパティーへの変更を適用するには、「Save」をクリックする必要があります。

表 29 LDAP/SSL 代替サーバーの構成 (オプション)

ユーザーインタフェースの構成可能なターゲット: CLI: `/SP\|CMM/clients/ldapssl/alternateservers/n` Web: 「ILOM Administration」 > 「User Management」 > 「LDAP/SSL」 > 「Alternate Servers」ユーザーの役割: User Management (`u`) (すべてのプロパティーの変更で必要)
プロパティー	説明
Alternate Servers (`/1\|2\|3\|4\|5`)	Oracle ILOM では、最大 5 個の LDAP/SSL 代替サーバーを構成できます。代替サーバーを使用すると認証が冗長化され、ドメインを分離する必要がある場合に別の LDAP/SSL サーバーを選択できます。各 LDAP/SSL 代替サーバーは、プライマリ LDAP/SSL サーバーと同じユーザー承認のルールおよび要件を使用します。たとえば、Oracle ILOM は「Roles」プロパティーに構成されているユーザーの役割を使用してユーザーを認証します。ただし、「Roles」プロパティーが構成されていない場合、Oracle ILOM は認証サーバーに対して該当する承認の役割を問い合わせます。各代替サーバーは、プロパティー (ネットワークアドレス、ポート、証明書のステータス)、および証明書をアップロードおよび削除するためのコマンドをそれぞれ保持しています。LDAP/SSL 証明書が提示されていないが必要である場合、Oracle ILOM は最上位のプライマリ LDAP/SSL サーバーの証明書を使用します。代替サーバーのアドレスとポートの CLI 構文: `set /SP\|CMM/clients/ldapssl/alternateservers/n address=sting port=string` 代替サーバーの証明書の CLI 構文: `show /SP\|CMM/clients/ldapssl/alternateservers/n/cert` `load_uri=file_transfer_method://host_address/file_path/filename` `set /SP\|CMM/clients/ldapssl/alternateservers/n/cert clear_action=true`
Save	Web インタフェース – LDAP/SSL の「Alternate Servers」ダイアログ内のプロパティーへの変更を適用するには、「Save」をクリックする必要があります。

表 30 LDAP/SSL の認証をトラブルシューティングするためのガイドライン

Oracle ILOM での LDAP/SSL の認証および承認の試行をトラブルシューティングする場合は、次のガイドラインを参照してください。

LDAP/SSL の認証をテストして、LDAP/SSL イベントをトレースするように Oracle ILOM のイベントログを設定するには、次の手順に従います:

1: LDAP/SSL の「Log Details」プロパティーを Trace に設定します。

2: イベントを生成するために Oracle ILOM に対して認証を試行します。

3: Oracle ILOM のイベントログファイルを確認します。
LDAP/SSL サーバーに構成されているユーザーグループおよびユーザードメインが、Oracle ILOM に構成されているユーザーグループおよびユーザードメインと一致することを確認します。
Oracle ILOM の LDAP/SSL クライアントは、クロック設定を管理しません。Oracle ILOM のクロック設定は、手動で、または NTP サーバーを使用して構成できます。

注。Oracle ILOM のクロック設定を NTP サーバーを使用して構成した場合、Oracle ILOM は、NTP デーモンを開始する前に、NTP サーバーを使用して ntpdate を実行します。

関連情報: