「Data Domain:LDAPガイド

요약: Lightweight Directory Access Protocol (LDAP)認証: Data DomainおよびPowerProtectシステムでは、CLIまたはUIを使用してログインするユーザーに対してLDAP認証を使用できます。サポートされているLDAPサーバーは、OpenLDAP、Oracle、Microsoft Active Directoryです。ただし、Active Directoryがこのモードで設定されている場合、Active Directoryユーザーおよびグループに対する共通インターネット ファイル システム(CIFS)データ アクセスは無効になります。 ...

이 문서는 다음에 적용됩니다. 이 문서는 다음에 적용되지 않습니다. 이 문서는 특정 제품과 관련이 없습니다. 모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.
기타 리소스 확인

지침

このガイドに記載されている情報と手順は、DD OS 7.9以降で使用できます


LDAP認証情報の表示

[LDAP Authentication]パネルには、LDAP構成パラメーターと、LDAP認証が有効か無効かが表示されます
LDAP**を有効にすると、既存のOpenLDAPサーバーまたは導入環境を**システム レベルのユーザー認証**、**NFSv4 IDマッピング**、LDAPでのNFSv3またはNFSv4 Kerberosに使用できます

ステップス

  1. [Administration]>[Access]>[Authentication]の順に選択します。Authenticationビューが表示されます。
  2. [LDAP Authentication]パネルを展開します。

LDAP認証の有効化と無効化 [LDAP Authentication]パネルを使用して、LDAP認証を有効化、無効化、またはリセットします。

 

メモ: LDAP認証を有効にする前に、LDAPサーバーが存在している必要があります。


手順

  1. [Administration]>[Access]>[Authentication]の順に選択します。Authenticationビューが表示されます。
  2. LDAP認証パネルを展開します。
  3. LDAP Statusの横にある Enable をクリックして有効にするか、DisableをクリックしてLDAP認証を無効にします。
    LDAP認証の有効化または無効化ダイアログ ボックスが表示されます。
  4. 「OK」をクリックします。

LDAP認証をリセットしています。

リセットボタンは、LDAP認証を無効化し、LDAP構成情報をクリアします。

LDAP認証の構成

LDAP認証パネルを使用して、LDAP認証を構成します。

ステップス

  1. [Administration]>[Access]>[Authentication]の順に選択します。Authenticationビューが表示されます。
  2. [LDAP Authentication]パネルを展開します。
  3. 「設定」をクリックします。Configure LDAP Authenticationダイアログ ボックスが表示されます。
  4. Base Suffixフィールドでベース サフィックスを指定します。
  5. LDAPサーバーに関連づけるアカウント名をバインドDNフィールドに指定します。
  6. バインド パスワードフィールドで、バインドDNアカウントの パスワード を指定します。
  7. 必要に応じて、[ Enable SSL]を選択します。
  8. 必要に応じて、 Demand server certificate を選択して、保護システムがLDAPサーバーからCA証明書をインポートすることを要求します。
  9. 「OK」をクリックします。
  10. 後で必要になった場合は、 Reset をクリックしてLDAP構成をデフォルト値に戻します。

LDAP認証サーバーの指定

このタスクについて
LDAP認証パネルを使用して、LDAP認証サーバーを指定します。
前提条件 LDAPサーバーを設定する前に、LDAP認証を無効にする必要があります。
 

メモ: システムとLDAPサーバー間のホップ数が増えると、LDAPでログインするときのData Domain System Manager (DDSM)のパフォーマンスが低下します。

 

手順

  1. [Administration]>[Access]>[Authentication]の順に選択します。Authenticationビューが表示されます。
  2. LDAP認証パネルを展開します。
  3. [+] ボタンをクリックしてサーバーを追加します。
  4. LDAPサーバーを次のいずれかの形式で指定します。
    • IPv4アドレス: nn.nn.nn.nn
    • IPv6アドレス: [FF::XXXX:XXXX:XXXX:XXXX]
    • ホスト名: myldapserver.FQDN
  5. 「OK」をクリックします。

LDAPグループの構成

LDAP認証パネルを使用して、LDAPグループを構成します。

このタスクについて
LDAPグループ構成は、保護システム上のユーザー認証にLDAPを使用する場合にのみ適用されます。

ステップス

  1. [Administration]>[Access]>[Authentication]の順に選択します。Authenticationビューが表示されます。
  2. LDAP認証パネルを展開します。
  3. [LDAP Group]テーブルでLDAPグループを設定します。
    • LDAPグループを追加するには、追加 (+)ボタンをクリックし、LDAPグループ名とロールを入力して OKをクリックします。
    • LDAPグループを変更するには、LDAPグループ リストでグループ名の チェックボックス をオンにして、 Edit (鉛筆)をクリックします。LDAPグループ名を変更し、 OKをクリックします。
    • LDAPグループを削除するには、リストからLDAPグループを選択し、 Delete (X)をクリックします。

CLIを使用したLDAP認証の構成。

LDAPを有効にすると、**既存のOpenLDAPサーバーまたは導入環境**を、**システム レベルのユーザー認証**、**NFSv4 IDマッピング**、LDAPを使用したNFSv3またはNFSv4 Kerberos用に構成**できます

Active Directoryに対してLDAP認証がすでに構成されている場合、この構成はできません。

Active DirectoryのLDAP認証の構成

DDOSは、Active DirectoryのLDAP認証の使用をサポートしています。
Active DirectoryでのLDAP認証**は、Active DirectoryユーザーおよびグループのCIFSデータ アクセスを制限し、ローカル ユーザーのみがシステム上のCIFS共有にアクセスできるようにします。
この構成のActive Directoryユーザーには、CLIおよびUIログインのみが許可されます。

前提条件
Active DirectoryのLDAP認証を構成するには、環境が次の要件を満たしていることを確認します。

  • TLS/SSLはLDAP通信に対して有効になっています。
  • 保護システムにアクセスするActive Directoryユーザーは、有効なUID番号とGID番号を持っている必要があります。
  • 保護システムにアクセスするActive Directoryグループには、有効なGID番号が必要です。
メモ:
  • 次を指定します。 username フォーマットで <username>(ドメイン名を指定せずに)します。
  • 次を指定します。 groupname フォーマットで <groupname>(ドメイン名を指定せずに)します。
  • ユーザー名およびグループ名では、大文字と小文字は区別されません。

Active DirectoryのLDAPには、次の制限事項が適用されます。

  • Microsoft Active Directoryは、サポートされている唯一のActive Directoryプロバイダーです。
  • Active Directory ライトウェイト ディレクトリ サービス(LDS)はサポートされていません。
  • Active Directoryネイティブ スキーマ: uidNumbergidNumber 母集団は、サポートされている唯一のスキーマです。Active Directoryと統合されたサード パーティー製ツールはサポートされていません。

このタスクについて
Active DirectoryのLDAP認証は、CIFSのActive Directory認証またはKerberos認証では使用できません。
CLIは、このオプションを構成する唯一の方法です。

手順
Active DirectoryのLDAP認証を有効にするには、authentication LDAP base set base name type active-directoryコマンドを実行します。


メモ: CIFS認証がすでにActive Directoryとして設定されている場合、コマンドは失敗します。 
# authentication ldap base set "dc=anvil,dc=team" type active-directory


LDAPサーバーを構成します。

1つ以上のLDAPサーバーを同時に構成できます。保護システムに最も近いサイトのサーバーを構成して、レイテンシーを最小にします。

このタスクについて


メモ: 構成を変更する場合は、LDAPを無効にする必要があります。
 

LDAPサーバーを次のいずれかの形式で指定します。

  • IPv4 address—10.<A>.<B>.<C>
  • IPv4 address with port number—10.<A>.<B>.<C>:400
  • IPv6 address—[::ffff:9.53.96.21]
  • IPv6 address with port number—[::ffff:9.53.96.21]:400
  • Hostname—myldapserver
  • Hostname with port number—myldapserver:400

複数のサーバーを構成する場合:

  • 各サーバーはスペースで区切ります。
  • authentication LDAP servers add コマンドを使用すると、最初にリストされたサーバがプライマリサーバになります。
  • いずれかのサーバーを構成できない場合、リストされているすべてのサーバーに対してコマンドが失敗します。

手順

  1. を使用して1つ以上のLDAPサーバーを追加します。authentication ldap servers add」コマンドで使用できるコマンド オプションは次のとおりです。
# authentication ldap servers add 10.A.B.C 10.X.Y.Z:400
LDAP server(s) added
LDAP Server(s): 2
# IP Address/Hostname
--- ---------------------
1. 10.A.B.C (primary)
2. 10.X.Y.Z:400
--- ---------------------
  1. を使用して、1つ以上のLDAPサーバーを削除します。authentication ldapservers del」コマンドで使用できるコマンド オプションは次のとおりです。
# authentication ldap servers del 10.X.Y.Z:400
LDAP server(s) deleted.
LDAP Servers: 1
# Server
- ------------ ---------
1 10.A.B.C (primary)
- ------------ ---------
3. Remove all LDAP servers by using the authentication ldap servers reset command:
# authentication ldap servers reset
LDAP server list reset to empty.

LDAPベース サフィックスを構成します。
ベース サフィックスは検索のベースDNであり、LDAPディレクトリーが検索を開始する場所です。

このタスクについて
OpenLDAPまたはActive Directoryのベース サフィックスを設定します。


メモ: ベース サフィックスは、OpenLDAPとActive Directoryの両方に設定することはできません。


ユーザー ログインは、プライマリーActive Directoryドメインからのみ許可されます。信頼できるActive Directoryドメインからのユーザーとグループはサポートされていません。
OpenLDAPのベース サフィックスを設定します。

手順
authentication ldap base set」コマンドで使用できるコマンド オプションは次のとおりです。

# authentication ldap base set "dc=anvil,dc=team"
LDAP base-suffix set to "dc=anvil,dc=team".

手順

  1. authentication ldap base set」コマンドで使用できるコマンド オプションは次のとおりです。
# authentication ldap base set "dc=anvil,dc=team" type active-directory
LDAP base-suffix set to "dc=anvil,dc=team".

メモ: この例では、 dd-admins LDAP group 保護システムの管理者権限を持っている。 
# authentication ldap groups add dd-admins role admin
LDAP Group Role
---------- -----
dd-admins admin
---------- -----
Reset the LDAP base suffix

手順
authentication ldap base reset」コマンドで使用できるコマンド オプションは次のとおりです。

# authentication ldap base reset

LDAPベース サフィックスが空にリセットされます。

LDAPクライアント認証を構成します。
LDAPサーバーでの認証とクエリーの実行に使用するアカウント(Bind DN)とパスワード(Bind PW)を構成します

このタスクについて
バインド DN とパスワードを常に設定する必要があります。このプロセスでは、LDAPサーバーはデフォルトで認証されたバインドを必要とします。「Fusion」 client-auth が設定されていない場合、匿名アクセスが要求され、名前もパスワードも入力されません

authentication ldap show」コマンドは次のとおりです。

# authentication ldap show

LDAP configuration
 Enabled: yes (*)
 Base-suffix: dc=u2,dc=team
 Binddn: (anonymous)
 Server(s): 1
# Server
- ------------- ---------
1 10.207.86.160 (primary)
- ------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

(*)構成を有効にするには、ファイル システムを再起動する必要があります。

もし binddn を使用して設定されます client-auth CLIですが、 bindpw が指定されていない場合、認証されていないアクセスが要求されます。

# authentication ldap client-auth set binddn "cn=Manager,dc=u2,dc=team"

Enterを押します。 bindpw:
** Bindpw は提供されません。認証されていないアクセスが要求されます
LDAPクライアント認証 binddncn=Manager,dc=u2,dc=team".

ステップス

  1. authentication ldap client-auth set binddn」コマンドで使用できるコマンド オプションは次のとおりです。
# authentication ldap client-auth set binddn "cn=Administrator,cn=Users,dc=anvil,dc=team"

Enterを押します。 bindpw:
LDAPクライアント認証 binddn は:
"に設定されていますcn=Administrator,cn=Users,dc=anvil,dc=team

  1. authentication ldap client-auth reset」コマンドで使用できるコマンド オプションは次のとおりです。
# authentication ldap client-auth reset

LDAPクライアント認証構成が空にリセットされました。

LDAPを有効化します。

前提条件
LDAPを有効にする前に、LDAP構成が存在している必要があります。
また、NISを無効にし、LDAPサーバーに到達可能であることを確認し、LDAPサーバーのroot DSEにクエリーを実行できるようにする必要があります

ステップス

  1. authentication ldap enable」コマンドで使用できるコマンド オプションは次のとおりです。
# authentication ldap enable

LDAP構成の詳細が表示されるので、確認してから続行します。続行するには、Yes と入力し、LDAP設定を有効にするためにファイル システムを再起動します。

現在のLDAP構成を表示するには、「authentication ldap show」コマンドで使用できるコマンド オプションは次のとおりです。


メモ: システムがActive DirectoryにLDAPを使用するように構成されている場合、コマンド出力には、Active Directoryサーバーに接続されていることを示す[Server Type]フィールドが含まれます。 
# authentication ldap show
LDAP configuration
 Enabled: no
 Base-suffix: dc=anvil,dc=team
 Binddn: cn=Administrator,cn=Users,dc=anvil,dc=team
 Server(s): 2
# Server
- ---------------- ---------
1 10.26.16.250 (primary)
2 10.26.16.251:400
- ---------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

基本LDAPおよびセキュアLDAP構成の詳細が表示されます。

3. View the current LDAP status by using the authentication ldap status command:
# authentication ldap status
The LDAP status is displayed. If the LDAP status is not good, the problem is identified in the output.
For example:
# authentication ldap status
Status:invalid credentials
or
# authentication ldap status
Status: invalid DN syntax
4. Disable LDAP by using the authentication ldap disable command:
# authentication ldap disable LDAP is disabled.

セキュアLDAPを有効化します。

SSLを有効にすることで、セキュアLDAPを使用するようにDDRを構成できます。
Active DirectoryのLDAPの場合は、SSL/TLSオプションを使用してセキュアLDAPを構成します。
前提条件 LDAP CA証明書が存在せず、かつ tls_reqcert がdemandに設定されている場合、操作は失敗します。
LDAP CA証明書をインポートして、再度試行してください。「Fusion」 tls_reqcert neverに設定されている場合、LDAP CA証明書は必要ありません

ステップス

  1. authentication ldap ssl enable」コマンドで使用できるコマンド オプションは次のとおりです。
# authentication ldap ssl enable

セキュアLDAPは「ldaps" メソッドを使用します。

デフォルトの方法は、セキュアLDAPまたはLDAPです。TLSなど、他の方法を指定できます。

# authentication ldap ssl enable method start_tls

セキュアLDAPは「start_tls" メソッドを使用します。

  1. authentication ldap ssl disable」コマンドで使用できるコマンド オプションは次のとおりです。
# authentication ldap ssl disable Secure LDAP is disabled.

インポートされたCA証明書でLDAPサーバー証明書の検証を構成します。

TLSリクエスト証明書の動作を変更できます。

ステップス

  1. TLSリクエスト証明書の動作を変更するには、「authentication ldap ssl set tls_reqcert" コマンドを使用します。

証明書を検証しない:

# authentication ldap ssl set tls_reqcert never “tls_reqcert” set to "never".

LDAPサーバー証明書が検証されていません。

 
メモ: Active Directory用にLDAPが構成されている場合、TLSリクエスト証明書の動作をneverに設定することはできません。

証明書を確認します。

# authentication ldap ssl set tls_reqcert demand

tls_reqcert" を "demand" に設定します。LDAPサーバー証明書が検証されます。

  1. TLSリクエスト証明書の動作をリセットするには、「authentication ldap ssl reset tls_reqcert" コマンドを使用します。

デフォルトの動作は demand です。

# authentication ldap ssl reset tls_reqcert

tls_reqcert」が「デマンド」に設定されています。LDAPサーバー証明書は、インポートされたCA証明書で検証されます。「adminaccessCLIを使用してCA証明書をインポートします。

LDAPのCA証明書を管理します。

証明書をインポートまたは削除し、現在の証明書情報を表示できます。

ステップス

  1. 「」を使用して、LDAPサーバー証明書検証用のCA証明書をインポートします。adminaccess certificate import" コマンドを使用します。

CAアプリケーションのLDAPを指定します。

# adminaccess certificate import {host application {all | aws-federal | ddboost | https | keysecure | dsm | ciphertrust | gklm | } | ca application {all | cloud | ddboost | ldap | login-auth | keysecure | dsm | rsa-securid | ciphertrust | gklm | }} [file ]
  1. 「」を使用して、LDAPサーバー証明書検証用のCA証明書を削除します。adminaccess" certificate deleteコマンドを使用します。アプリケーションのLDAPを指定します。
# adminaccess certificate delete {subject | fingerprint } [application {all | aws-federal | cloud | ddboost | ldap | login-auth | https | keysecure | dsm | ciphertrust | gklm | support | }]
  1. 「」を使用して、LDAPサーバー証明書検証用の現在のCA証明書情報を表示します。adminaccess certificate show」コマンドで使用できるコマンド オプションは次のとおりです。
# adminaccess certificate show imported-ca application ldap

추가 정보

Active Directoryのポート

ポート プロトコル ポート構成可能 説明
53 TCP/UDP Open(オープン) DNS(ADがDNSでもある場合)
88 TCP/UDP Open(オープン) Kerberos
139 TCP Open(オープン) NetBios:NetLogon
389 TCP/UDP Open(オープン) LDAP
445 TCP/UDP No ユーザー認証とADとのその他の通信
3268 TCP Open(オープン) グローバル カタログのクエリー
636 TCP  Open(オープン)  LDAPS - SSL/TLS経由のセキュアLDAP
3269 TCP Open(オープン)  LDAPS (LDAP over SSL)からグローバル カタログへ - フォレスト内のドメイン間でのセキュア ディレクトリー クエリーに使用されます。

LDAP

連邦情報処理標準(FIPS)が有効になっている場合、システムまたはDDVE上で実行されるLDAPクライアントはTLSを使用する必要があります。

# authentication ldap ssl enable method start_tls Otherwise, enabling FIPS compliance mode fails.

新規インストールおよびアップグレードでは、LDAP SSL暗号は明示的に設定されません
FIPSコンプライアンス モードが有効になっている場合、LDAP SSL暗号は次のように設定されます。

  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES256-SHA384
  • DHE-RSA-AES256-GCM-SHA384
  • DHE-RSA-AES256-SHA256
  • AES256-GCM-SHA384
  • AES256-SHA256
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-SHA256
  • DHE-RSA-AES128-GCM-SHA256
  • DHE-RSA-AES128-SHA256
  • AES128-GCM-SHA256
  • AES128-SHA256

設定された暗号リストは次のようになります。 ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128- SHA256

FIPSが無効になっている場合は、空の文字列である""に設定されます。

管理アクセスを許可する前に、認証サーバーを使用してユーザーを認証する。

DDは、LDAP、NIS、ADなどの複数のネーム サーバー プロトコルをサポートします。DDでは、FIPSが有効になっているOpenLDAPを使用することを推奨しています。DDはローカル アカウントのみを管理します。DDでは、UIまたはCLIを使用してLDAPを設定することをお勧めします。

  • UI:管理>アクセス>認証
  • CLI:Authentication LDAPコマンド

また、FIPSが有効になっているユーザー ログイン用にActive Directoryを構成することもできます。ただし、ADユーザーによるCIFSデータ アクセスは、その構成ではサポートされなくなりました。

Network File System (NFS) IDマッピング用のLDAP

Data DomainおよびPowerProtectシステムは、NFSv4 IDマッピングにLDAPを使用し、LDAPでNFSv3またはNFSv4 Kerberosを使用できます。ユーザーは、LDAPSまたは「start_TLS" メソッドを使用します。LDAPクライアント認証にはバインドDNまたはバインドPWを使用できますが、システムは証明書ベースのLDAPクライアント認証をサポートしていません。


メモ: ローカル ユーザー ID は 500 で始まります。LDAP を設定するときに、類似したユーザー ID 範囲 (500 から 1000) を使用できないか、ユーザー ID の競合が発生します。ユーザー ID の競合が発生した場合、名前 LDAP サービス・ユーザーが所有するファイルは、構成エラーのために他のユーザーからアクセス可能になります。

해당 제품

Data Domain
문서 속성
문서 번호: 000204241
문서 유형: How To
마지막 수정 시간: 29 10월 2025
버전:  5
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.