「Data Domain:Active Directoryガイド
Summary: このガイドは、DDOSコード7.9の手順に基づいています。
Instructions
Data DomainおよびPowerProtect操作環境では、HTTPSによるDD System ManagerまたはCLI用のSSHのいずれかを介して安全な管理を提供します。どちらの方法でも、ローカルに定義されたユーザー、NIS(Network Information Service)ユーザー、LDAP(Lightweight Directory Access Protocol)、AD(Microsoft Active Directory)ドメイン ユーザー、シングル サインオン(SSO)が有効になります
Data DomainおよびPowerProtectシステムは、ユーザーまたはサーバーに対してMicrosoft Active Directoryパススルー認証を使用できます。管理者は、特定のドメインやユーザー グループに対して、システムに保存されているファイルへのアクセスを許可できます。Kerberosを設定することをお勧めします。また、システムはMicrosoft Windows NT LAN ManagerのNTLMv1およびNTLMv2をサポートします。ただし、NTLMv2 はより安全であり、NTLMv1 を置き換えることを目的としています。
Active DirectoryおよびKerberos情報の表示
Active Directory/Kerberos構成によって、CIFSおよびNFSクライアントが認証に使用する方法が決まります。
[Active Directory/Kerberos認証]パネルには、この構成が表示されます。
手順:
- Administration>Access>Authenticationを選択します。
- [Active Directory/Kerberos認証]パネルを展開します。
Active Directory と Kerberos 認証の構成
Active Directory認証を構成すると、保護システムがWindows Active Directoryレルムの一部になります。
CIFSクライアントとNFSクライアントはKerberos認証を使用します。
手順:
- [Administration] > [Access] > [Authentication]の順に選択します。Authenticationビューが表示されます。
- [Active Directory/Kerberos認証]パネルを展開します。
- Modeの横にあるConfigureをクリックして、設定ウィザードを開始します。[Active Directory/Kerberos認証]ダイアログが表示されます。
- [Windows/Active Directory]を選択し、[次へ]をクリックします。
- システムの完全なレルム名(例:domain1.local)、ユーザー名、およびシステムのパスワードを入力します。
- [次へ]をクリックします
- デフォルトの CIFSサーバー名を選択するか、手動を選択してCIFSサーバー名を入力します。
- ドメイン コントローラーを選択するには、自動割り当てを選択するか、手動を選択して最大3つのドメイン コントローラー名を入力します。完全修飾ドメイン名、ホスト名、IPアドレス(IPv4またはIPv6)を入力します。
- 組織単位を選択するには、[ 既定のコンピューターを使用] を選択するか、[手動] を選択して組織単位名を入力します。
- [次へ]をクリックします構成の [Summary] ページが表示されます。
- [Finish](完了)をクリックします。構成情報が[Authentication]ビューに表示されます。
- Active Directory管理アクセスの右側にある 有効化 をクリックして、管理アクセスを有効にします。
認証モードの選択
認証モードの選択によって、Active Directory、ワークグループ、Kerberos認証のサポートされている組み合わせを使用したCIFSクライアントとNFSクライアントの認証方法が決まります
このタスクについて、DDOSでは次の認証オプションがサポートされています。
- 無効:Kerberos認証は、CIFSクライアントとNFSクライアントでは無効になっています。CIFSクライアントは、ワークグループ認証を使用します。
- Windows/Active Directory: Kerberos認証は、CIFSクライアントとNFSクライアントに対して有効になっています。CIFSクライアントはActive Directory認証を使用します。
- UNIXの場合:Kerberos認証はNFSクライアントに対してのみ有効です。CIFSクライアントは、ワークグループ認証を使用します。
Active Directory の管理グループの管理
[Active Directory/Kerberos認証]パネルを使用して、Active Directory(Windows)グループを作成、変更、削除し、それらのグループに管理ロール(admin、backup-operatorなど)を割り当てます。
グループを管理する準備をするには、 Administration>Access>Authenticationを選択し、Active Directory/Kerberos Authenticationパネルを展開して、 Active Directory Administrative Access Enable ボタンをクリックします。
Active Directory の管理グループの作成
管理グループを作成して、Active Directoryグループで構成されているすべてのユーザーに管理ロールを割り当てます。
前提 条件:Administration >Access >AuthenticationページのActive Directory/Kerberos AuthenticationパネルでActive Directory管理アクセスを有効にします。
手順:
- 「作成」をクリックします
- ドメイン名とグループ名をバックスラッシュで区切って入力します。
domainname\groupname
- ドロップダウン メニューからグループの 管理ロール を選択します。
- 「OK」をクリックします。
Active Directoryの管理グループの変更
Active Directoryグループ用に構成された管理ドメイン名またはグループ名を変更する場合は、管理グループを変更します。
前提 条件:Administration >Access >AuthenticationページのActive Directory/Kerberos AuthenticationパネルでActive Directory管理アクセスを有効にします。
手順:
- Active Directory管理アクセスの見出しの下で、変更するグループ を選択します。
- [変更]をクリックします
- ドメインとグループ名を変更し、バックスラッシュ「\」で区切ります。例:
domainname\groupname
Active Directory の管理グループの削除
管理グループを削除して、Active Directoryグループで構成されているすべてのユーザーのシステム アクセスを終了します。
前提 条件:Administration >Access>AuthenticationページのActive Directory/Kerberos AuthenticationパネルでActive Directory管理アクセスを有効にします。
手順:
- [Active Directory Administrative Access]の見出しで削除する グループ を選択します。
- [削除]をクリックします。
システム クロック
CIFSアクセスにActive Directoryモードを使用する場合、システム クロックの時刻は、ドメイン コントローラーの時刻と5分以内の誤差が許容されます
Active Directory認証が構成されている場合、システムは定期的にWindowsドメイン コントローラーと時刻を同期します。
したがって、ドメイン コントローラーが信頼できるタイム ソースから時刻を取得するには、Windows オペレーティング システムのバージョンに関する Microsoft のドキュメントを参照して、タイム ソースを使用してドメイン コントローラーを構成します。
Additional Information
Active Directoryのポート
| ポート | プロトコル | ポート構成可能 | 説明 |
| 53 | TCP/UDP | Open(オープン) | DNS(ADがDNSでもある場合) |
| 88 | TCP/UDP | Open(オープン) | Kerberos |
| 139 | TCP | Open(オープン) | NetBios/NetLogon |
| 389 | TCP/UDP | Open(オープン) | LDAP |
| 445 | TCP/UDP | No | ユーザー認証とADとのその他の通信 |
| 3268 | TCP | Open(オープン) | グローバル カタログのクエリー |
Active Directory
Active DirectoryはFIPSに準拠していません。
Active Directoryは、構成されていてFIPSが有効になっている場合でも機能し続けます。
| 管理アクセスを許可する前に、ユーザーを認証するために認証サーバーを使用します。 |
DDは、LDAP、NIS、ADなどの複数のネーム サーバー プロトコルをサポートします。DDでは、FIPSが有効になっているOpenLDAPを使用することを推奨しています。DDはローカル アカウントのみを管理します。DDでは、UIまたはCLIを使用してLDAPを設定することをお勧めします。 • UI:管理>アクセス>認証 • CLI:認証LDAPコマンド |
認証構成
Authenticationパネルの情報は、構成されている認証のタイプに応じて変化します
ConfigurationタブのAuthenticationラベルの左側にあるConfigureリンクをクリックします。Administration > Access > Authenticationページに移動し、 Active Directory、Kerberos、ワークグループ、NISの認証を構成します。
Active Directoryの設定情報
| アイテム | 説明 |
| モード | Active Directoryモードが表示されます。 |
| [Realm] | 構成済みのレルムが表示されます。 |
| [DDNS] | DDNSサーバーのステータスが表示されます(有効または無効)。 |
| ドメイン コントローラー | 構成されたドメイン コントローラーの名前が表示されますが、すべてのコントローラーが許可されている場合は*が表示されます。 |
| [Organizational Unit] | 設定済みの組織ユニットの名前が表示されます。 |
| [CIFS Server Name] | 構成済みのCIFSサーバーの名前が表示されます。 |
| [WINS Server Name] | 構成済みのWINSサーバーの名前が表示されます。 |
| [Short Domain Name] | 短いドメイン名が表示されます。 |
ワークグループの構成
| アイテム | 説明 |
| モード | ワークグループ モードが表示されます。 |
| [Workgroup Name] | 設定したワークグループ名が表示されます。 |
| [DDNS] | DDNSサーバーのステータスが表示されます(有効または無効)。 |
| [CIFS Server Name] | 構成済みのCIFSサーバーの名前が表示されます。 |
| [WINS Server Name] | 構成済みのWINSサーバーの名前 が表示されます。 |
関連記事:
次の関連記事は、登録ユーザーとしてDellサポートにログインすることによってのみ表示できます。
- PowerProtect DD System Manager (DDSM)およびData Domain Management Server (DDMC)へのアクセスがAD認証で失敗する
- Data DomainでGCが無効になっているため、Active Directory認証が機能しない
- 「Data Domain:Active DirectoryモードでCIFSを使用するData Domainシステムにアクセスできない
- 「Data Domain:CIFSの「set authentication active-directory」コマンドの使用
- Data DomainとActive Directoryを特定の組織単位(OU)に参加させる
- 「Data Domain:Active Directory用に構成されたData DomainシステムでのWindows認証の問題
- 「Data Domain:サーバー ポリシーが原因でActive Directoryに参加できない