「Data Domain:LDAPガイド

Summary: Lightweight Directory Access Protocol (LDAP)認証: Data DomainおよびPowerProtectシステムでは、CLIまたはUIを使用してログインするユーザーに対してLDAP認証を使用できます。サポートされているLDAPサーバーは、OpenLDAP、Oracle、Microsoft Active Directoryです。ただし、Active Directoryがこのモードで設定されている場合、Active Directoryユーザーおよびグループに対する共通インターネット ファイル システム(CIFS)データ アクセスは無効になります。 ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

このガイドに記載されている情報と手順は、DD OS 7.9以降で使用できます


LDAP認証情報の表示

[LDAP Authentication]パネルには、LDAP構成パラメーターと、LDAP認証が有効か無効かが表示されます
LDAP**を有効にすると、既存のOpenLDAPサーバーまたは導入環境を**システム レベルのユーザー認証**、**NFSv4 IDマッピング**、LDAPでのNFSv3またはNFSv4 Kerberosに使用できます

ステップス

  1. [Administration]>[Access]>[Authentication]の順に選択します。Authenticationビューが表示されます。
  2. [LDAP Authentication]パネルを展開します。

LDAP認証の有効化と無効化 [LDAP Authentication]パネルを使用して、LDAP認証を有効化、無効化、またはリセットします。

 

メモ: LDAP認証を有効にする前に、LDAPサーバーが存在している必要があります。


手順

  1. [Administration]>[Access]>[Authentication]の順に選択します。Authenticationビューが表示されます。
  2. LDAP認証パネルを展開します。
  3. LDAP Statusの横にある Enable をクリックして有効にするか、DisableをクリックしてLDAP認証を無効にします。
    LDAP認証の有効化または無効化ダイアログ ボックスが表示されます。
  4. 「OK」をクリックします。

LDAP認証をリセットしています。

リセットボタンは、LDAP認証を無効化し、LDAP構成情報をクリアします。

LDAP認証の構成

LDAP認証パネルを使用して、LDAP認証を構成します。

ステップス

  1. [Administration]>[Access]>[Authentication]の順に選択します。Authenticationビューが表示されます。
  2. [LDAP Authentication]パネルを展開します。
  3. 「設定」をクリックします。Configure LDAP Authenticationダイアログ ボックスが表示されます。
  4. Base Suffixフィールドでベース サフィックスを指定します。
  5. LDAPサーバーに関連づけるアカウント名をバインドDNフィールドに指定します。
  6. バインド パスワードフィールドで、バインドDNアカウントの パスワード を指定します。
  7. 必要に応じて、[ Enable SSL]を選択します。
  8. 必要に応じて、 Demand server certificate を選択して、保護システムがLDAPサーバーからCA証明書をインポートすることを要求します。
  9. 「OK」をクリックします。
  10. 後で必要になった場合は、 Reset をクリックしてLDAP構成をデフォルト値に戻します。

LDAP認証サーバーの指定

このタスクについて
LDAP認証パネルを使用して、LDAP認証サーバーを指定します。
前提条件 LDAPサーバーを設定する前に、LDAP認証を無効にする必要があります。
 

メモ: システムとLDAPサーバー間のホップ数が増えると、LDAPでログインするときのData Domain System Manager (DDSM)のパフォーマンスが低下します。

 

手順

  1. [Administration]>[Access]>[Authentication]の順に選択します。Authenticationビューが表示されます。
  2. LDAP認証パネルを展開します。
  3. [+] ボタンをクリックしてサーバーを追加します。
  4. LDAPサーバーを次のいずれかの形式で指定します。
    • IPv4アドレス: nn.nn.nn.nn
    • IPv6アドレス: [FF::XXXX:XXXX:XXXX:XXXX]
    • ホスト名: myldapserver.FQDN
  5. 「OK」をクリックします。

LDAPグループの構成

LDAP認証パネルを使用して、LDAPグループを構成します。

このタスクについて
LDAPグループ構成は、保護システム上のユーザー認証にLDAPを使用する場合にのみ適用されます。

ステップス

  1. [Administration]>[Access]>[Authentication]の順に選択します。Authenticationビューが表示されます。
  2. LDAP認証パネルを展開します。
  3. [LDAP Group]テーブルでLDAPグループを設定します。
    • LDAPグループを追加するには、追加 (+)ボタンをクリックし、LDAPグループ名とロールを入力して OKをクリックします。
    • LDAPグループを変更するには、LDAPグループ リストでグループ名の チェックボックス をオンにして、 Edit (鉛筆)をクリックします。LDAPグループ名を変更し、 OKをクリックします。
    • LDAPグループを削除するには、リストからLDAPグループを選択し、 Delete (X)をクリックします。

CLIを使用したLDAP認証の構成。

LDAPを有効にすると、**既存のOpenLDAPサーバーまたは導入環境**を、**システム レベルのユーザー認証**、**NFSv4 IDマッピング**、LDAPを使用したNFSv3またはNFSv4 Kerberos用に構成**できます

Active Directoryに対してLDAP認証がすでに構成されている場合、この構成はできません。

Active DirectoryのLDAP認証の構成

DDOSは、Active DirectoryのLDAP認証の使用をサポートしています。
Active DirectoryでのLDAP認証**は、Active DirectoryユーザーおよびグループのCIFSデータ アクセスを制限し、ローカル ユーザーのみがシステム上のCIFS共有にアクセスできるようにします。
この構成のActive Directoryユーザーには、CLIおよびUIログインのみが許可されます。

前提条件
Active DirectoryのLDAP認証を構成するには、環境が次の要件を満たしていることを確認します。

  • TLS/SSLはLDAP通信に対して有効になっています。
  • 保護システムにアクセスするActive Directoryユーザーは、有効なUID番号とGID番号を持っている必要があります。
  • 保護システムにアクセスするActive Directoryグループには、有効なGID番号が必要です。
メモ:
  • 次を指定します。 username フォーマットで <username>(ドメイン名を指定せずに)します。
  • 次を指定します。 groupname フォーマットで <groupname>(ドメイン名を指定せずに)します。
  • ユーザー名およびグループ名では、大文字と小文字は区別されません。

Active DirectoryのLDAPには、次の制限事項が適用されます。

  • Microsoft Active Directoryは、サポートされている唯一のActive Directoryプロバイダーです。
  • Active Directory ライトウェイト ディレクトリ サービス(LDS)はサポートされていません。
  • Active Directoryネイティブ スキーマ: uidNumbergidNumber 母集団は、サポートされている唯一のスキーマです。Active Directoryと統合されたサード パーティー製ツールはサポートされていません。

このタスクについて
Active DirectoryのLDAP認証は、CIFSのActive Directory認証またはKerberos認証では使用できません。
CLIは、このオプションを構成する唯一の方法です。

手順
Active DirectoryのLDAP認証を有効にするには、authentication LDAP base set base name type active-directoryコマンドを実行します。


メモ: CIFS認証がすでにActive Directoryとして設定されている場合、コマンドは失敗します。 
# authentication ldap base set "dc=anvil,dc=team" type active-directory


LDAPサーバーを構成します。

1つ以上のLDAPサーバーを同時に構成できます。保護システムに最も近いサイトのサーバーを構成して、レイテンシーを最小にします。

このタスクについて


メモ: 構成を変更する場合は、LDAPを無効にする必要があります。
 

LDAPサーバーを次のいずれかの形式で指定します。

  • IPv4 address—10.<A>.<B>.<C>
  • IPv4 address with port number—10.<A>.<B>.<C>:400
  • IPv6 address—[::ffff:9.53.96.21]
  • IPv6 address with port number—[::ffff:9.53.96.21]:400
  • Hostname—myldapserver
  • Hostname with port number—myldapserver:400

複数のサーバーを構成する場合:

  • 各サーバーはスペースで区切ります。
  • authentication LDAP servers add コマンドを使用すると、最初にリストされたサーバがプライマリサーバになります。
  • いずれかのサーバーを構成できない場合、リストされているすべてのサーバーに対してコマンドが失敗します。

手順

  1. を使用して1つ以上のLDAPサーバーを追加します。authentication ldap servers add」コマンドで使用できるコマンド オプションは次のとおりです。
# authentication ldap servers add 10.A.B.C 10.X.Y.Z:400
LDAP server(s) added
LDAP Server(s): 2
# IP Address/Hostname
--- ---------------------
1. 10.A.B.C (primary)
2. 10.X.Y.Z:400
--- ---------------------
  1. を使用して、1つ以上のLDAPサーバーを削除します。authentication ldapservers del」コマンドで使用できるコマンド オプションは次のとおりです。
# authentication ldap servers del 10.X.Y.Z:400
LDAP server(s) deleted.
LDAP Servers: 1
# Server
- ------------ ---------
1 10.A.B.C (primary)
- ------------ ---------
3. Remove all LDAP servers by using the authentication ldap servers reset command:
# authentication ldap servers reset
LDAP server list reset to empty.

LDAPベース サフィックスを構成します。
ベース サフィックスは検索のベースDNであり、LDAPディレクトリーが検索を開始する場所です。

このタスクについて
OpenLDAPまたはActive Directoryのベース サフィックスを設定します。


メモ: ベース サフィックスは、OpenLDAPとActive Directoryの両方に設定することはできません。


ユーザー ログインは、プライマリーActive Directoryドメインからのみ許可されます。信頼できるActive Directoryドメインからのユーザーとグループはサポートされていません。
OpenLDAPのベース サフィックスを設定します。

手順
authentication ldap base set」コマンドで使用できるコマンド オプションは次のとおりです。

# authentication ldap base set "dc=anvil,dc=team"
LDAP base-suffix set to "dc=anvil,dc=team".

手順

  1. authentication ldap base set」コマンドで使用できるコマンド オプションは次のとおりです。
# authentication ldap base set "dc=anvil,dc=team" type active-directory
LDAP base-suffix set to "dc=anvil,dc=team".

メモ: この例では、 dd-admins LDAP group 保護システムの管理者権限を持っている。 
# authentication ldap groups add dd-admins role admin
LDAP Group Role
---------- -----
dd-admins admin
---------- -----
Reset the LDAP base suffix

手順
authentication ldap base reset」コマンドで使用できるコマンド オプションは次のとおりです。

# authentication ldap base reset

LDAPベース サフィックスが空にリセットされます。

LDAPクライアント認証を構成します。
LDAPサーバーでの認証とクエリーの実行に使用するアカウント(Bind DN)とパスワード(Bind PW)を構成します

このタスクについて
バインド DN とパスワードを常に設定する必要があります。このプロセスでは、LDAPサーバーはデフォルトで認証されたバインドを必要とします。「Fusion」 client-auth が設定されていない場合、匿名アクセスが要求され、名前もパスワードも入力されません

authentication ldap show」コマンドは次のとおりです。

# authentication ldap show

LDAP configuration
 Enabled: yes (*)
 Base-suffix: dc=u2,dc=team
 Binddn: (anonymous)
 Server(s): 1
# Server
- ------------- ---------
1 10.207.86.160 (primary)
- ------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

(*)構成を有効にするには、ファイル システムを再起動する必要があります。

もし binddn を使用して設定されます client-auth CLIですが、 bindpw が指定されていない場合、認証されていないアクセスが要求されます。

# authentication ldap client-auth set binddn "cn=Manager,dc=u2,dc=team"

Enterを押します。 bindpw:
** Bindpw は提供されません。認証されていないアクセスが要求されます
LDAPクライアント認証 binddncn=Manager,dc=u2,dc=team".

ステップス

  1. authentication ldap client-auth set binddn」コマンドで使用できるコマンド オプションは次のとおりです。
# authentication ldap client-auth set binddn "cn=Administrator,cn=Users,dc=anvil,dc=team"

Enterを押します。 bindpw:
LDAPクライアント認証 binddn は:
"に設定されていますcn=Administrator,cn=Users,dc=anvil,dc=team

  1. authentication ldap client-auth reset」コマンドで使用できるコマンド オプションは次のとおりです。
# authentication ldap client-auth reset

LDAPクライアント認証構成が空にリセットされました。

LDAPを有効化します。

前提条件
LDAPを有効にする前に、LDAP構成が存在している必要があります。
また、NISを無効にし、LDAPサーバーに到達可能であることを確認し、LDAPサーバーのroot DSEにクエリーを実行できるようにする必要があります

ステップス

  1. authentication ldap enable」コマンドで使用できるコマンド オプションは次のとおりです。
# authentication ldap enable

LDAP構成の詳細が表示されるので、確認してから続行します。続行するには、Yes と入力し、LDAP設定を有効にするためにファイル システムを再起動します。

現在のLDAP構成を表示するには、「authentication ldap show」コマンドで使用できるコマンド オプションは次のとおりです。


メモ: システムがActive DirectoryにLDAPを使用するように構成されている場合、コマンド出力には、Active Directoryサーバーに接続されていることを示す[Server Type]フィールドが含まれます。 
# authentication ldap show
LDAP configuration
 Enabled: no
 Base-suffix: dc=anvil,dc=team
 Binddn: cn=Administrator,cn=Users,dc=anvil,dc=team
 Server(s): 2
# Server
- ---------------- ---------
1 10.26.16.250 (primary)
2 10.26.16.251:400
- ---------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

基本LDAPおよびセキュアLDAP構成の詳細が表示されます。

3. View the current LDAP status by using the authentication ldap status command:
# authentication ldap status
The LDAP status is displayed. If the LDAP status is not good, the problem is identified in the output.
For example:
# authentication ldap status
Status:invalid credentials
or
# authentication ldap status
Status: invalid DN syntax
4. Disable LDAP by using the authentication ldap disable command:
# authentication ldap disable LDAP is disabled.

セキュアLDAPを有効化します。

SSLを有効にすることで、セキュアLDAPを使用するようにDDRを構成できます。
Active DirectoryのLDAPの場合は、SSL/TLSオプションを使用してセキュアLDAPを構成します。
前提条件 LDAP CA証明書が存在せず、かつ tls_reqcert がdemandに設定されている場合、操作は失敗します。
LDAP CA証明書をインポートして、再度試行してください。「Fusion」 tls_reqcert neverに設定されている場合、LDAP CA証明書は必要ありません

ステップス

  1. authentication ldap ssl enable」コマンドで使用できるコマンド オプションは次のとおりです。
# authentication ldap ssl enable

セキュアLDAPは「ldaps" メソッドを使用します。

デフォルトの方法は、セキュアLDAPまたはLDAPです。TLSなど、他の方法を指定できます。

# authentication ldap ssl enable method start_tls

セキュアLDAPは「start_tls" メソッドを使用します。

  1. authentication ldap ssl disable」コマンドで使用できるコマンド オプションは次のとおりです。
# authentication ldap ssl disable Secure LDAP is disabled.

インポートされたCA証明書でLDAPサーバー証明書の検証を構成します。

TLSリクエスト証明書の動作を変更できます。

ステップス

  1. TLSリクエスト証明書の動作を変更するには、「authentication ldap ssl set tls_reqcert" コマンドを使用します。

証明書を検証しない:

# authentication ldap ssl set tls_reqcert never “tls_reqcert” set to "never".

LDAPサーバー証明書が検証されていません。

 
メモ: Active Directory用にLDAPが構成されている場合、TLSリクエスト証明書の動作をneverに設定することはできません。

証明書を確認します。

# authentication ldap ssl set tls_reqcert demand

tls_reqcert" を "demand" に設定します。LDAPサーバー証明書が検証されます。

  1. TLSリクエスト証明書の動作をリセットするには、「authentication ldap ssl reset tls_reqcert" コマンドを使用します。

デフォルトの動作は demand です。

# authentication ldap ssl reset tls_reqcert

tls_reqcert」が「デマンド」に設定されています。LDAPサーバー証明書は、インポートされたCA証明書で検証されます。「adminaccessCLIを使用してCA証明書をインポートします。

LDAPのCA証明書を管理します。

証明書をインポートまたは削除し、現在の証明書情報を表示できます。

ステップス

  1. 「」を使用して、LDAPサーバー証明書検証用のCA証明書をインポートします。adminaccess certificate import" コマンドを使用します。

CAアプリケーションのLDAPを指定します。

# adminaccess certificate import {host application {all | aws-federal | ddboost | https | keysecure | dsm | ciphertrust | gklm | } | ca application {all | cloud | ddboost | ldap | login-auth | keysecure | dsm | rsa-securid | ciphertrust | gklm | }} [file ]
  1. 「」を使用して、LDAPサーバー証明書検証用のCA証明書を削除します。adminaccess" certificate deleteコマンドを使用します。アプリケーションのLDAPを指定します。
# adminaccess certificate delete {subject | fingerprint } [application {all | aws-federal | cloud | ddboost | ldap | login-auth | https | keysecure | dsm | ciphertrust | gklm | support | }]
  1. 「」を使用して、LDAPサーバー証明書検証用の現在のCA証明書情報を表示します。adminaccess certificate show」コマンドで使用できるコマンド オプションは次のとおりです。
# adminaccess certificate show imported-ca application ldap

Additional Information

Active Directoryのポート

ポート プロトコル ポート構成可能 説明
53 TCP/UDP Open(オープン) DNS(ADがDNSでもある場合)
88 TCP/UDP Open(オープン) Kerberos
139 TCP Open(オープン) NetBios:NetLogon
389 TCP/UDP Open(オープン) LDAP
445 TCP/UDP No ユーザー認証とADとのその他の通信
3268 TCP Open(オープン) グローバル カタログのクエリー
636 TCP  Open(オープン)  LDAPS - SSL/TLS経由のセキュアLDAP
3269 TCP Open(オープン)  LDAPS (LDAP over SSL)からグローバル カタログへ - フォレスト内のドメイン間でのセキュア ディレクトリー クエリーに使用されます。

LDAP

連邦情報処理標準(FIPS)が有効になっている場合、システムまたはDDVE上で実行されるLDAPクライアントはTLSを使用する必要があります。

# authentication ldap ssl enable method start_tls Otherwise, enabling FIPS compliance mode fails.

新規インストールおよびアップグレードでは、LDAP SSL暗号は明示的に設定されません
FIPSコンプライアンス モードが有効になっている場合、LDAP SSL暗号は次のように設定されます。

  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES256-SHA384
  • DHE-RSA-AES256-GCM-SHA384
  • DHE-RSA-AES256-SHA256
  • AES256-GCM-SHA384
  • AES256-SHA256
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-SHA256
  • DHE-RSA-AES128-GCM-SHA256
  • DHE-RSA-AES128-SHA256
  • AES128-GCM-SHA256
  • AES128-SHA256

設定された暗号リストは次のようになります。 ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128- SHA256

FIPSが無効になっている場合は、空の文字列である""に設定されます。

管理アクセスを許可する前に、認証サーバーを使用してユーザーを認証する。

DDは、LDAP、NIS、ADなどの複数のネーム サーバー プロトコルをサポートします。DDでは、FIPSが有効になっているOpenLDAPを使用することを推奨しています。DDはローカル アカウントのみを管理します。DDでは、UIまたはCLIを使用してLDAPを設定することをお勧めします。

  • UI:管理>アクセス>認証
  • CLI:Authentication LDAPコマンド

また、FIPSが有効になっているユーザー ログイン用にActive Directoryを構成することもできます。ただし、ADユーザーによるCIFSデータ アクセスは、その構成ではサポートされなくなりました。

Network File System (NFS) IDマッピング用のLDAP

Data DomainおよびPowerProtectシステムは、NFSv4 IDマッピングにLDAPを使用し、LDAPでNFSv3またはNFSv4 Kerberosを使用できます。ユーザーは、LDAPSまたは「start_TLS" メソッドを使用します。LDAPクライアント認証にはバインドDNまたはバインドPWを使用できますが、システムは証明書ベースのLDAPクライアント認証をサポートしていません。


メモ: ローカル ユーザー ID は 500 で始まります。LDAP を設定するときに、類似したユーザー ID 範囲 (500 から 1000) を使用できないか、ユーザー ID の競合が発生します。ユーザー ID の競合が発生した場合、名前 LDAP サービス・ユーザーが所有するファイルは、構成エラーのために他のユーザーからアクセス可能になります。

Affected Products

Data Domain
Article Properties
Article Number: 000204241
Article Type: How To
Last Modified: 29 Oct 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.