LDAP の構成
システム管理者は、Lightweight Directory Access Protocol (LDAP) サービスを使用してユーザーを認証するように Oracle ILOM を構成できます。このサービスは、ユーザーを認証するために読み取り専用のプロキシユーザーアカウントを使用して LDAP サーバーに照会するクライアントサーバー型のクエリーモデルに基づいています。
Oracle ILOM の LDAP サービスの状態プロパティーは、デフォルトで無効になっています。LDAP サービスの状態を有効にして、ユーザー認証に LDAP ディレクトリサービスを使用するためのプロパティーを構成する場合は、これらの表を参照してください。
表 31 Oracle ILOM を LDAP クライアントとして有効にするための要件
Oracle ILOM を LDAP クライアントとして構成する前に、LDAP サーバーを適切に構成する必要があります。Oracle ILOM を LDAP クライアントとして認識するように LDAP サーバーを構成する場合は、次のガイドラインおよび「関連情報」セクションを参照してください。
デフォルトのパスワード {crypt} 形式を使用するように LDAP サーバーが設定されていることを確認します。Oracle ILOM で認証を行うすべての LDAP ユーザーのパスワードは、次の 2 つの {crypt} 形式のいずれかで格納する必要があります:
userPassword: {CRYPT}ajCa2He4PJhNo
userPassword: {CRYPT}$1$pzKng1$du1Bf0NWBjh9t3FbUgf46
posixAccount および shadowAccount にオブジェクトクラスを追加して、次の必要なプロパティー値を設定する場合は、Internet Engineering Task Force スキーマ (RFC 2307) を参照してください:
- uidnumber
- gidnumber
- uid (Oracle ILOM ユーザー名)
LDAP サーバーが匿名バインドを受け入れるようにするか、または LDAP サーバーにプロキシユーザーを作成して、Oracle ILOM で認証を行うすべてのユーザーアカウントに読み取り専用アクセス権を設定します。
|
関連情報:
|
|
表 32 LDAP 認証の使用を Oracle ILOM で有効にする
|
|
|
|
State
(state=) |
Disabled |
Disabled |Enabled
Oracle ILOM が LDAP ディレクトリサービスを使用してユーザーを認証するようにするには、「State」プロパティーを Enabled に設定します。
「State」プロパティーを有効にすると、Oracle ILOM は LDAP ユーザーを認証する場合に LDAP サーバーに問い合わせます。
「State」の CLI 構文:
set /SP|CMM/clients/ldap/ state=disabled|enabled |
Roles
(defaultrole=) |
Operator |
Administrator |Operator |Advanced
LDAP で認証されたユーザーがアクセスできる Oracle ILOM の機能を定義するには、デフォルトの「Roles」プロパティーを、3 つの Oracle ILOM ユーザーの役割のいずれかに設定します: Administrator (a|u|c|r|o)、Operator (c|r|o)、または Advanced (a|u|c|r|o|s)
Oracle ILOM の機能を使用するための承認レベルは、構成されている Oracle ILOM のユーザーの役割によって付与されるユーザー権限で決定されます。割り当てられる権限については、下の「関連情報」セクションに示されているユーザーの役割およびユーザープロファイルのトピックを参照してください。
「Roles」の CLI 構文:
set /SP|CMM/clients/ldap/ defaultrole=administrator|operator|a|u|c|r|o|s
関連情報:
|
アドレス
(address=) |
0.0.0.0 |
IP address| DNS host name (LDAP サーバー)
LDAP サーバーのネットワークアドレスを構成するには、「Address」プロパティーに LDAP サーバーの IP アドレスまたは DNS ホスト名を設定します。DNS ホスト名を使用する場合は、Oracle ILOM の DNS 構成プロパティーを適切に構成して動作可能にする必要があります。
「Address」の CLI 構文:
set /SP|CMM/clients/ldap/ address=ldap_server ip_address|ldap_server_dns_host_name
関連情報:
|
ポート
(port=) |
389 |
389 | User-specified TCP port
Oracle ILOM は、TCP ポート 389 を使用して OpenLDAP サーバーと通信します。
必要に応じて、デフォルトのポート番号 389 を変更して別のポートを使用するように Oracle ILOM を構成します。
「Port」の CLI 構文:
set /SP|CMM/clients/ldap/ port=number |
Searchbase
(searchbase=) |
|
ou=organization_unit |dn=domain_name|dc=domain|
「Searchbase」は、ユーザー資格を検証するために Oracle ILOM が検索する LDAP ツリーの場所です。
受け入れられる入力形式を使用して、「Searchbase」プロパティーに、検索ベースオブジェクトの識別名、または Oracle ILOM が LDAP ユーザーアカウントを検索する LDAP ツリーのブランチを設定します。
たとえば、MyCompany.com ドメインの IT コンテナを検索するには、次の検索ベースを指定します:
ou=IT, dc=mycompany, dc=.com
検索ベースの CLI 構文:
set /SP|CMM/clients/ldap/ searchbase= ou=organization_name, dn=domain_name, dc=domain |
Bind DN
(binddn=) |
|
ou=organization_unit |dn=domain_name|dc=domain|cn=common_name
LDAP サーバーへの読み取り専用アクセス権を Oracle ILOM に与えるには、「Bind DN」プロパティーに読み取り専用プロキシユーザーの識別名 (DN) を設定します。
注 - Oracle ILOM が LDAP ユーザーの検索と認証を行うには、LDAP サーバーに対する読み取り専用のアクセス権が必要になります。
バインド DN の CLI 構文:
set /SP|CMM/clients/ldap/ binddn=cn=proxyuser, ou=organization _name, dc=domain |
Bind Password
(bindpw=) |
|
Oracle ILOM に読み取り専用プロキシユーザーのパスワードを指定するには、「Bind Password」プロパティーにパスワードを設定します。
バインドパスワードの CLI 構文:
set /SP|CMM/clients/ldap/ bindpw=password |
Save |
|
Web インタフェース – 「LDAP Settings」ページ内のプロパティーへの変更を適用するには、「Save」をクリックする必要があります。 |
|