Oracle® ILOM 構成および保守用管理者ガイドファームウェア Release 3.2.x

印刷ビューの終了

 
更新: 2015 年 10 月
 
 

Active Directory の構成

システム管理者はオプションで、Microsoft Windows Active Directory サービスを使用するように Oracle ILOM を構成し、Oracle ILOM のユーザーを認証したり、Oracle ILOM の機能を使用するためのユーザー承認のレベルを定義したりできます。このサービスは、ユーザーに割り当てられているパスワードを使用して Active Directory ユーザーを認証するクライアントサーバー型のクエリーモデルに基づいています。

Oracle ILOM の Active Directory サービスの状態プロパティーは、デフォルトで無効になっています。Active Directory サービスの状態を有効にして、Oracle ILOM を Active Directory クライアントとして構成する場合は、次の表を参照してください。

  • 表 18 Active Directory 認証の有効化

  • 表 19 Active Directory 証明書ファイルのアップロードまたは削除

  • 表 20 Active Directory グループの構成 (オプション)

  • 表 21 Active Directory ユーザードメインの構成

  • 表 22 Active Directory 代替サーバーの構成 (オプション)

  • 表 23 DNS Locator Queries の編集 (オプション)

  • 表 24 Active Directory の認証をトラブルシューティングするためのガイドライン

表 18  Active Directory 認証の有効化
ユーザーインタフェースの構成可能なターゲット:

  • CLI: /SP|CMM/clients/activedirectory

  • Web: 「ILOM Administration」 > 「User Management」 > 「Active Directory」 > 「Settings」

  • ユーザーの役割: User Management (u) (すべてのプロパティーの変更で必要)

  • 前提条件: Oracle ILOM を Active Directory クライアントとして構成する前に、Active Directory サーバーにユーザーまたはユーザーグループを構成する必要があります。

プロパティー
デフォルト値
説明
State
(state=)
Disabled
Disabled |Enabled
Oracle ILOM を Active Directory クライアントとして構成するには、「State」プロパティーを「Enabled」に設定します。
「State」プロパティーが有効で、「Strict Certificate Mode」プロパティーが無効である場合、セキュアなチャネルを使用した Oracle ILOM では、ユーザーの認証時に Active Directory サービス証明書に対していくらかの検証が行われます。
「State」プロパティーおよび「Strict Certificate Mode」プロパティーの両方が有効である場合、セキュアなチャネルを使用した Oracle ILOM では、ユーザーの認証時に Active Directory サービス証明書のデジタル署名が完全に検証されます。
「State」の CLI 構文:
set /SP|CMM/clients/activedirectory/ state=disabled|enabled
Roles
(defaultrole=)
None (server authorization)
Administrator |Operator |Advanced |None (server authorization)
Active Directory で認証されたユーザーがアクセスできる Oracle ILOM の機能を定義するには、デフォルトの「Role」プロパティーを、受け入れられる 4 つのプロパティー値のいずれかに設定します: Administrator (a|u|c|r|o)、Operator (c|r|o)、Advanced (a|u|c|r|o|s)、または None (server authorization)。
デフォルトの「Role」プロパティーを Oracle ILOM のユーザーの役割に設定すると、Oracle ILOM の機能を使用するための承認レベルは、構成されている Oracle ILOM のユーザーの役割によって付与される権限で決定されます。割り当てられる権限については、下の「関連情報」セクションに示されているユーザーの役割およびユーザープロファイルのトピックを参照してください。
「Role」プロパティーが「None (server authorization)」に設定されており、Oracle ILOM が Active Directory のグループを使用するように構成されている場合、Oracle ILOM の機能を使用するための承認レベルは、Active Directory のグループによって決定されます。構成の詳細は、下の「関連情報」セクションに示されている Active Directory のグループのトピックを参照してください。
「Roles」の CLI 構文:
set /SP|CMM/clients/activedirectory/ defaultrole=administrator|operator|a|u|c|r|o|s|none
関連情報:
アドレス
(address=)
0.0.0.0
IP address| DNS host name (Active Directory Server)
Active Directory サーバーのネットワークアドレスを構成するには、「Address」プロパティーに Active Directory サーバーの IP アドレスまたは DNS ホスト名を設定します。DNS ホスト名を使用する場合は、Oracle ILOM の DNS 構成プロパティーを適切に構成して動作可能にする必要があります。
「Address」の CLI 構文:
set /SP|CMM/clients/activedirectory/ address=active_directory_server ip_address|active_directory_server_dns_host_name
関連情報:
ポート
(port=)
0 (Auto-select)
0 Auto-select | Non-standard TCP port
Oracle ILOM は、標準の TCP ポートを使用して Active Directory サーバーと通信します。
「Port」の自動選択のプロパティーを有効にすると、「Port」番号はデフォルトで 0 に設定されます。「Port」の自動選択のプロパティーを無効にすると、Web インタフェースの「Port」番号プロパティーをユーザーが構成できるようになります。
「Port」プロパティーは、Oracle ILOM で標準以外の TCP ポートを使用する必要がある例外的な場合に構成できます。
「Port」の CLI 構文:
set /SP|CMM/clients/activedirectory/ port=number
Timeout
(timeout=)
4 秒
4 |user-specified
「Timeout」プロパティーは、個々のトランザクションが完了するまで待機する秒数を指定します。トランザクションの数は構成に応じて異なる場合があるため、この値は完了したすべてのトランザクションの合計時間を表すわけではありません。
「Timeout」プロパティーは、デフォルトで 4 秒に設定されます。このプロパティー値は、必要に応じて、Active Directory サーバーが通信不可能である場合または応答しない場合の応答時間を微調整するときに調整します。
「Timeout」の CLI 構文:
set /SP|CMM/clients/activedirectory/ timeout=number_of_seconds
Strict Certificate Mode
(strictcertmode=)
Disabled
Disabled |Enabled
「Strict Certificate Mode」プロパティーを有効にすると、Oracle ILOM は、認証時に Active Directory 証明書のデジタル署名を完全に検証します。
「Strict Certificate Mode」プロパティーを無効にすると、Oracle ILOM は、セキュアなチャネルを使用した認証時にサーバー証明書に対して限定的な検証を行います。

注意  - 「Strict Certificate Mode」プロパティーを有効にする前に、Active Directory のサーバー証明書をロードする必要があります。

厳密な証明書モードの CLI 構文:
set /SP|CMM/clients/activedirectory/ strictcertmode=disabled|enabled
関連情報:
DNS Locator Mode
(/dnslocatorqueries)
Disabled
Disabled | Enabled
DNS Locator Queries を使用して Active Directory サーバーのリストを取得するように Oracle ILOM を構成するには、「DNS Locator Mode」プロパティーを Enabled に設定します。
「DNS Locator Mode」の CLI 構文:
set /SP|CMM/clients/activedirectory/ dnslocatorqueries/1=disabled|enabled
関連情報:
Expanded Search Mode
(expsearchmode=)
Disabled
Disabled | Enabled
Active Directory のユーザーエントリを検索するときに追加の検索オプションを使用するように Oracle ILOM を構成するには、「Expanded Search Mode」プロパティーを Enabled に設定します。
「Expanded Search Mode」プロパティーを無効にすると、Oracle ILOM は userPrincipleName を使用してユーザーエントリを検索します。この場合、userPrincipleName に完全修飾ドメイン名 (FQDN) の接尾辞が付けられている必要があります。
「Expanded Search Mode」の CLI 構文:
set /SP|CMM/clients/activedirectory/ expsearchmode=disabled|enabled
Strict Credential Error Mode
(strictcredentialerrormode=)
Disabled
Disabled | Enabled
「Strict Credential Error Mode」プロパティーが有効で、ユーザー資格エラーがサーバーから報告された場合、Oracle ILOM はこれらのユーザー資格で失敗します。
「Strict Credential Error Mode」プロパティーを無効にすると、Oracle ILOM は認証のためにユーザー資格をほかの Active Directory サーバー (代替サーバーとして構成されている、または DNS Locator Queries によって見つかった) に提示します。
「Strict Certificate Mode」を構成する場合の CLI 構文:
set /SP|CMM/clients/activedirectory/ strictcredentialerrormode=disabled|enabled
関連情報:
Log Detail
(logdetail=)
なし
None | High | Medium | Low |Trace
Oracle ILOM のイベントログに記録される Active Directory イベントの診断情報の量を指定するには、「Log Detail」プロパティーを、受け入れられるいずれかのプロパティー値に設定します。
「Log Detail」を構成する場合の CLI 構文:
set /SP|CMM/clients/activedirectory/ logdetail=none|high|medium|low|trace
Save
Web インタフェース – Active Directory の「Settings」ページ内のプロパティーへの変更を適用するには、「Save」をクリックする必要があります。
表 19   Active Directory 証明書ファイルのアップロードまたは削除
ユーザーインタフェースの構成可能なターゲット:

  • CLI: /SP|CMM/clients/activedirectory/cert

  • Web: 「ILOM Administration」 > 「User Management」 > 「Active Directory」 > 「Certificate Information」

  • ユーザーの役割: (u) User Management (すべてのプロパティーの変更で必要)
プロパティー
デフォルト値
説明
Certificate File Status
(certstatus=)
読み取り専用
Certificate present |Certificate not present
「Certificate File Status」プロパティーは、Active Directory 証明書が Oracle ILOM にアップロードされているかどうかを示します。

注意  -  「Strict Certificate Mode」プロパティーを有効にする前に、Active Directory 証明書ファイルを Oracle ILOM にアップロードする必要があります。

「Certificate Show」の CLI 構文:
show /SP|CMM/clients/activedirectory/cert
ファイル転送方式
Browser (Web インタフェースのみ)
Browser|TFTP|FTP|SCP|Paste
各ファイル転送方式の詳細は、「表 14」を参照してください。
Load Certificate
(load_uri=)
Web インタフェース – 「Load Certificate」ボタンをクリックして、「File Transfer Method」プロパティーに定義されている Active Directory 証明書ファイルをアップロードします。
「Certificate Load」の CLI 構文:
load_uri=file_transfer_method://host_address/file_path/filename
Remove Certificate
(clear_action=true)
Web インタフェース – 「Remove Certificate」ボタンをクリックして、Oracle ILOM に現在格納されている Active Directory 証明書ファイルを削除します。プロンプトが表示されたら、削除する場合は y (はい)、またはアクションを取り消す場合は n (いいえ) を入力します。
「Remove Certificate」の CLI 構文:
set /SP|CMM/clients/activedirectory/cert clear_action=true
- または -
reset /SP|CMM/clients/activedirectory/cert
確認のメッセージが表示されたら、y と入力して削除するか、n と入力して操作を取り消します。
表 20  Active Directory グループの構成 (省略可能)
ユーザーインタフェースの構成可能なターゲット:

  • CLI: /SP|CMM/clients/activedirectory

  • Web: 「ILOM Administration」 > 「User Management」 > 「Active Directory」 > 「(Name) Groups」

  • ユーザーの役割: (u) User Management (すべてのプロパティーの変更で必要)

  • 前提条件: Oracle ILOM に Activity Directory グループを設定する前に、Active Directory グループが Active Directory サーバー上に存在し、メンバーが割り当てられている必要があります。
プロパティー
説明
Admin Groups
(/admingroups/1|2|3|4|5)
システム管理者はオプションで、ユーザー承認のために、Oracle ILOM の「Role」プロパティーの代わりに「Admin Group」プロパティーを構成できます。
Oracle ILOM は、最大 5 個の「Admin Groups」を構成することをサポートしています。Oracle ILOM で「Admin Group」プロパティーを有効にすると、ユーザーのグループメンバーシップに、admin 表での定義に一致するグループがあるかどうかがチェックされます。一致がある場合、そのユーザーに Administrator レベルのアクセス権が付与されます。
注 – Oracle ILOM は、構成された各グループ表で見つかった一致するグループ (Operator、Administrator、または Custom) に基づいて、1 つ以上の承認レベルをグループのメンバーに付与します。
次の取り得る値を使用して、Oracle ILOM の各 Active Directory Admin Group に構成プロパティーを設定します。

  • DN 形式: CN=admingroup,OU=groups,DC=domain,DC=company,DC=com

  • NT ドメイン形式: domain\admingroup

  • 完全ドメイン形式: DC=domain,DC=company,DC=com\admingroup

  • 単純な名前の形式: admingroup

    (最大 128 文字)

「Admin Groups」を構成する場合の CLI 構文:
set /SP|CMM/clients/activedirectory/admingroups/n name=string
構文例:
set /SP/clients/activedirectory/admingroups/1/ name=CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle,DC=com
Set 'name' to 'CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle, DC=com'
Operator Groups
(/operatorgroups/1|2|3|4|5)
システム管理者はオプションで、ユーザー承認のために、Oracle ILOM の「Role」プロパティーの代わりに「Operator Group」プロパティーを構成できます。
Oracle ILOM は、最大 5 個の「Operator Groups」を構成することをサポートしています。Oracle ILOM で「Operator Group」プロパティーを有効にすると、ユーザーのグループメンバーシップに、operator 表での定義に一致するグループがあるかどうかがチェックされます。一致がある場合、そのユーザーに Operator レベルのアクセス権が付与されます。
注 – Oracle ILOM は、構成された各グループ表で見つかった一致するグループ (Operator、Administrator、または Custom) に基づいて、1 つ以上の承認レベルをグループのメンバーに付与します。
次の取り得る値を使用して、Oracle ILOM の各 Operator Group に構成プロパティーを設定します。

  • DN 形式: CN=operatorgroup,OU=groups,DC=domain,DC=company,DC=com

  • NT ドメイン形式: domain\operatorgroup

  • 完全ドメイン形式: DC=domain,DC=company,DC=com\operatorgroup

  • 単純な名前の形式: operatorgroup

    (最大 128 文字)

「Operator Groups」を構成する場合の CLI 構文:
set /SP|CMM/clients/activedirectory/operatorgroups/n name=string
構文例:
set /SP/clients/activedirectory/operatorgroups/1 name=CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC=com
Set 'name' to 'CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC= com''
Host Groups
Active Directory Host Groups プロパティーは Oracle のマルチドメイン SPARC サーバーシステムに固有です。
マルチドメイン SP サーバーシステムの場合、Oracle ILOM により、システム管理者は、Active Directory ユーザー認証用に最大 10 のホストグループを構成できます。
「Host Groups」を構成する場合の CLI 構文:
set /SP/clients/activedirectory/hostgroups/n/ name=string hosts=string roles=string
ここでは:

  • name= は、指定したホストグループの Active Directory グループを表す読み取りおよび書き込みプロパティーです。

  • hosts= はこのホストグループが役割を割り当てる PDomain を一覧表示する読み取りおよび書き込みプロパティーです。

  • roles= は、ホストグループのドメイン固有の権限レベルを指定する読み取り/書き込みプロパティーです。このプロパティーは、a、c、および r の各ホスト役割 ID の組み合わせ (acr など) をサポートします。ここで、a= admin、c=console、および r=reset です。

マルチドメインサーバー SP システムの Host Group プロパティーの構成の詳細は、Oracle サーバーで使用可能な管理ガイドを参照してください。
Custom Groups
(/customgroups/1|2|3|4|5)
システム管理者はオプションで、ユーザー承認のために、Oracle ILOM に最大 5 個の「Custom Group」プロパティーを構成できます。Oracle ILOM は、Custom Group のメンバーであるユーザーを認証する場合、「Custom Group」プロパティーを使用して該当するユーザー役割を判別して割り当てます。
Oracle ILOM で「Custom Groups」を使用可能にする場合は、「Roles」プロパティーおよび「Custom Groups」プロパティーの両方を構成する必要があります。「Roles」構成プロパティーの詳細は、表 18の「Roles」プロパティーを参照してください。
注 – Oracle ILOM は、構成された各グループ表で見つかった一致するグループ (Operator、Administrator、または Custom) に基づいて、1 つ以上の承認レベルをグループのメンバーに付与します。
次の取り得る値を使用して、Oracle ILOM の各 Custom Group に構成プロパティーを設定します。

  • ユーザー役割: administrator |operator|advanced (a|u|c|r|o|s)

  • DN 形式: CN=customgroup,OU=groups,DC=domain,DC=company,DC=com

  • NT ドメイン形式: domain\customgroup

  • 完全ドメイン形式: DC=domain,DC=company,DC=com\customgroup

  • 単純な名前の形式: customgroup

    (最大 128 文字)

「Custom Groups」を構成する場合の CLI 構文:
set /SP|CMM/clients/activedirectory/customgroups/n name=string roles=administrator|operator|a|u|c|r|o|s
構文例:
set /SP/clients/activedirectory/customgroups/1 name=CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC=com roles=au
Set 'name' to 'CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC=com'' roles' to 'au'
関連情報:
Save
Web インタフェース – 「Admin Group」、「Operator Group」、または「Custom Group」ダイアログのプロパティーへの変更を適用するには、「Save」をクリックする必要があります。
表 21   Active Directory ユーザードメインの構成
ユーザーインタフェースの構成可能なターゲット:

  • CLI: /SP|CMM/clients/activedirectory/userdomains/n

  • Web: 「ILOM Administration」 > 「User Management」 > 「Active Directory」 > 「User Domains」

  • ユーザーの役割: User Management (u) (すべてのプロパティーの変更で必要)

  • 前提条件: Oracle ILOM に Activity Directory ユーザードメインを設定する前に、Active Directory ユーザードメインが Active Directory サーバー上に存在し、メンバーが割り当てられている必要があります。
プロパティー
説明
User Domains
(1|2|3|4|5)
システム管理者は、必要に応じて、最大 5 個のユーザードメインを構成できます。1 つ以上のユーザードメインを定義すると、Oracle ILOM は、Active Directory ユーザーを認証できるまで、これらのプロパティーを順番に使用します。
次の取り得る値を使用して、Oracle ILOM の各ユーザードメインに構成プロパティーを設定します。

  • UPN 形式: <USERNAME>@domain.company.com

  • DN 形式: CN=<USERNAME>,CN=Users,DC=domain,DC=company,DC=com

注 - <USERNAME> をリテラルとして使用できます。<USERNAME> をリテラルとして使用すると、Oracle ILOM はユーザー認証時に <USERNAME> を入力された現在のログイン名に置き換えます。

「User Domains」の CLI 構文:
set /SP|CMM/clients/activedirectory/userdomains/n name=string
例 1: name=CN=<USERNAME>
set /SP/clients/activedirectory/userdomains/1/name=CN<USERNAME>, OU=Groups, DC=sales, DC-Oracle, DC=com
Set 'name' to 'CN=<USERNAME>,OU=Groups,DC=sales,DC=oracle,DC=com'
例 2: name=CN=spSuperAdmin
set /SP/clients/activedirectory/userdomains/1/ name=CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle,DC=com
Set 'name' to 'CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle, DC=com'
Save
Web インタフェース – Active Directory の「User Domains」ダイアログ内のプロパティーへの変更を適用するには、「Save」をクリックする必要があります。
表 22   Active Directory 代替サーバーの構成 (オプション)
ユーザーインタフェースの構成可能なターゲット:

  • CLI: /SP|CMM/clients/activedirectory/alternateservers/n

  • Web: 「ILOM Administration」 > 「User Management」 > 「Active Directory」 > 「Alternate Servers」

  • ユーザーの役割: User Management (u) (すべてのプロパティーの変更で必要)
プロパティー
説明
Alternate Servers
(/1|2|3|4|5)
Oracle ILOM では、システム管理者は、最大 5 個の Active Directory 代替サーバーを構成できます。
代替サーバーを使用すると認証が冗長化され、ドメインを分離する必要がある場合に別の Active Directory サーバーを選択できます。
各 Active Directory 代替サーバーは、プライマリ Active Directory サーバーと同じユーザー承認のルールおよび要件を使用します。たとえば、Oracle ILOM は「Roles」プロパティーに構成されているユーザーの役割を使用してユーザーを認証します。ただし、「Roles」プロパティーが構成されていない場合、Oracle ILOM は認証サーバーに対して該当する承認の役割を問い合わせます。
各 Active Directory 代替サーバーは、プロパティー (ネットワークアドレス、ポート、証明書のステータス)、および証明書をアップロードおよび削除するためのコマンドをそれぞれ保持しています。Active Directory 証明書が提示されていないが必要である場合、Oracle ILOM は最上位のプライマリ Active Directory サーバーの証明書を使用します。

注 - 代替サーバーが認証を冗長化するために使用されている場合は、「Strict Credential Error Mode」プロパティーをオプションで有効にすることができます。ただし、代替サーバーが結合されていないドメインを接続するために使用されている場合は、「Strict Credential Error Mode」プロパティーを無効にするようにしてください。「Strict Credential Error Mode」構成プロパティーについては、表 18を参照してください。

「Alternate Server」のアドレスとポートの CLI 構文:
set /SP|CMM/clients/activedirectory/alternateservers/n address=sting port=string
「Alternate Server」の証明書の CLI 構文:
show /SP|CMM/clients/activedirectory/alternateservers/n/cert
load_uri=file_transfer_method://host_address/file_path/filename
set /SP|CMM/clients/activedirectory/alternateservers/n/cert clear_action=true
Save
Web インタフェース – Active Directory の「Alternate Servers」ダイアログ内のプロパティーへの変更を適用するには、「Save」をクリックする必要があります。
表 23   DNS Locator Queries の編集 (オプション)
ユーザーインタフェースの構成可能なターゲット:

  • CLI: /SP|CMM/clients/activedirectory/dnslocatorqueries

  • Web: 「ILOM Administration」 > 「User Management」 > 「Active Directory」 > 「DNS Locator Queries」

  • ユーザーの役割: User Management (u) (すべてのプロパティーの変更で必要)
プロパティー
デフォルト値
説明
DNS Locator Queries
(/1)
_ldap._tcp.gc._msdcs.<DOMAIN>.<PORT:3269>
Oracle ILOM では、最大 5 個の DNS Locator Queries を構成できます。
DNS ロケータクエリーは、名前付き DNS サービスおよびそのポート ID を特定します。レコードには通常ポート ID が含まれますが、<PORT:636> という形式でオーバーライドできます。また、<DOMAIN> 置換マーカーを使用すると、特定のドメインの名前付き DNS サービスをオーバーライドできます。
「DNS Locator Queries」を表示および編集する場合の CLI 構文:
show /SP|CMM/clients/activedirectory/dnslocatorqueries/1
set /SP|CMM/clients/activedirectory/dnslocatorqueries/1 service = string
service= string の DNS Locator Queries の構文の例:
service =_ldap._tcp.gc._msdcs.<DOMAIN>.<PORT:nnnn>
DNS Locator Queries
(/2)
_ldap._tcp.dc._msdcs.<DOMAIN>.<PORT:636>
Save
Web インタフェース – Active Directory の「DNS Locator Queries」ダイアログ内のプロパティーへの変更を適用するには、「Save」をクリックする必要があります。
表 24   Active Directory の認証をトラブルシューティングするためのガイドライン
Oracle ILOM での Active Directory の認証および承認の試行をトラブルシューティングする場合は、次のガイドラインを参照してください。

  • Active Directory の認証をテストおよび診断するには、次の手順に従います:

    1: Active Directory の「Log Details」プロパティーを trace に設定します。

    2: イベントを生成するために Oracle ILOM に対して認証を試行します。

    3: Oracle ILOM のイベントログファイルを確認します。

  • Active Directory サーバーに構成されているユーザーグループおよびユーザードメインが、Oracle ILOM に構成されているユーザーグループおよびユーザードメインと一致することを確認します。

  • Oracle ILOM の Active Directory クライアントは、クロック設定を管理しません。Oracle ILOM のクロック設定は、手動で、または NTP サーバーを使用して構成できます。

    - Oracle ILOM のクロック設定を NTP サーバーを使用して構成した場合、Oracle ILOM は、NTP デーモンを開始する前に、NTP サーバーを使用して ntpdate を実行します。

関連情報:
Copyright © 2014, 2015, Oracle and/or its affiliates. All rights reserved.  著作権について
前へ
次へ