「Data Domain:Active Directoryガイド

摘要: このガイドは、DDOSコード7.9の手順に基づいています。

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

說明

Data DomainおよびPowerProtect操作環境では、HTTPSによるDD System ManagerまたはCLI用のSSHのいずれかを介して安全な管理を提供します。どちらの方法でも、ローカルに定義されたユーザー、NIS(Network Information Service)ユーザー、LDAP(Lightweight Directory Access Protocol)、AD(Microsoft Active Directory)ドメイン ユーザー、シングル サインオン(SSO)が有効になります

Data DomainおよびPowerProtectシステムは、ユーザーまたはサーバーに対してMicrosoft Active Directoryパススルー認証を使用できます。管理者は、特定のドメインやユーザー グループに対して、システムに保存されているファイルへのアクセスを許可できます。Kerberosを設定することをお勧めします。また、システムはMicrosoft Windows NT LAN ManagerのNTLMv1およびNTLMv2をサポートします。ただし、NTLMv2 はより安全であり、NTLMv1 を置き換えることを目的としています。

Active DirectoryおよびKerberos情報の表示

Active Directory/Kerberos構成によって、CIFSおよびNFSクライアントが認証に使用する方法が決まります。
[Active Directory/Kerberos認証]パネルには、この構成が表示されます。

手順:

  1. Administration>Access>Authenticationを選択します。
  2. [Active Directory/Kerberos認証]パネルを展開します。

Active Directory と Kerberos 認証の構成

Active Directory認証を構成すると、保護システムがWindows Active Directoryレルムの一部になります。
CIFSクライアントとNFSクライアントはKerberos認証を使用します。

手順:

  1. Administration] > [Access] > [Authentication]の順に選択します。Authenticationビューが表示されます。
  2. [Active Directory/Kerberos認証]パネルを展開します。
  3. Modeの横にあるConfigureをクリックして、設定ウィザードを開始します。[Active Directory/Kerberos認証]ダイアログが表示されます。
  4. [Windows/Active Directory]を選択し、[次へ]をクリックします。
  5. システムの完全なレルム名(例:domain1.local)、ユーザー名、およびシステムのパスワードを入力します
  6. 次へ]をクリックします
注:完全なレルム名を使用してください。システムをドメインに参加させるための十分な権限がユーザーに割り当てられていることを確認します。ユーザー名とパスワードは、Active DirectoryドメインのMicrosoft要件と互換性がある必要があります。このユーザーには、このドメインにアカウントを作成する権限も割り当てられている必要があります。
 
  1. デフォルトの CIFSサーバー名を選択するか、手動を選択してCIFSサーバー名を入力します。
  2. ドメイン コントローラーを選択するには、自動割り当てを選択するか、手動を選択して最大3つのドメイン コントローラー名を入力します。完全修飾ドメイン名、ホスト名、IPアドレス(IPv4またはIPv6)を入力します。
  3. 組織単位を選択するには、[ 既定のコンピューターを使用] を選択するか、[手動] を選択して組織単位名を入力します。
注:アカウントが新しい組織部門に移動されます。
 
  1. 次へ]をクリックします構成の [Summary] ページが表示されます。
  2. [Finish](完了)をクリックします。構成情報が[Authentication]ビューに表示されます。
  3. Active Directory管理アクセスの右側にある 有効化 をクリックして、管理アクセスを有効にします。

認証モードの選択

認証モードの選択によって、Active Directory、ワークグループ、Kerberos認証のサポートされている組み合わせを使用したCIFSクライアントとNFSクライアントの認証方法が決まります
このタスクについて、DDOSでは次の認証オプションがサポートされています。

  • 無効:Kerberos認証は、CIFSクライアントとNFSクライアントでは無効になっています。CIFSクライアントは、ワークグループ認証を使用します。
  • Windows/Active Directory: Kerberos認証は、CIFSクライアントとNFSクライアントに対して有効になっています。CIFSクライアントはActive Directory認証を使用します。
  • UNIXの場合:Kerberos認証はNFSクライアントに対してのみ有効です。CIFSクライアントは、ワークグループ認証を使用します。

Active Directory の管理グループの管理

[Active Directory/Kerberos認証]パネルを使用して、Active Directory(Windows)グループを作成、変更、削除し、それらのグループに管理ロール(admin、backup-operatorなど)を割り当てます。

グループを管理する準備をするには、 Administration>Access>Authenticationを選択し、Active Directory/Kerberos Authenticationパネルを展開して、 Active Directory Administrative Access Enable ボタンをクリックします。

Active Directory の管理グループの作成

管理グループを作成して、Active Directoryグループで構成されているすべてのユーザーに管理ロールを割り当てます。
前提 条件:Administration >Access >AuthenticationページのActive Directory/Kerberos AuthenticationパネルでActive Directory管理アクセスを有効にします。

手順:

  1. 「作成」をクリックします
  2. ドメイン名とグループ名をバックスラッシュで区切って入力します。
例: domainname\groupname
  1. ドロップダウン メニューからグループの 管理ロール を選択します。
  2. 「OK」をクリックします。

Active Directoryの管理グループの変更

Active Directoryグループ用に構成された管理ドメイン名またはグループ名を変更する場合は、管理グループを変更します。
前提 条件:Administration >Access >AuthenticationページのActive Directory/Kerberos AuthenticationパネルでActive Directory管理アクセスを有効にします。

手順:

  1. Active Directory管理アクセスの見出しの下で、変更するグループ を選択します。
  2. [変更]をクリックします
  3. ドメインとグループ名を変更し、バックスラッシュ「\」で区切ります。例: domainname\groupname

Active Directory の管理グループの削除

管理グループを削除して、Active Directoryグループで構成されているすべてのユーザーのシステム アクセスを終了します。
前提 条件:Administration >Access>AuthenticationページのActive Directory/Kerberos AuthenticationパネルでActive Directory管理アクセスを有効にします。

手順:

  1. [Active Directory Administrative Access]の見出しで削除する グループ を選択します。
  2. [削除]をクリックします。

システム クロック

CIFSアクセスにActive Directoryモードを使用する場合、システム クロックの時刻は、ドメイン コントローラーの時刻と5分以内の誤差が許容されます
Active Directory認証が構成されている場合、システムは定期的にWindowsドメイン コントローラーと時刻を同期します。
したがって、ドメイン コントローラーが信頼できるタイム ソースから時刻を取得するには、Windows オペレーティング システムのバージョンに関する Microsoft のドキュメントを参照して、タイム ソースを使用してドメイン コントローラーを構成します。

 
警告:システムがActive Directory認証用に構成されている場合、代替メカニズムを使用してドメイン コントローラーと時刻を同期します。時刻同期の競合を回避するため、システムがActive Directory認証用に設定されている場合は、NTPを有効にし ないでください

其他資訊

Active Directoryのポート 

ポート  プロトコル ポート構成可能 説明
53 TCP/UDP Open(オープン) DNS(ADがDNSでもある場合)
88 TCP/UDP Open(オープン) Kerberos
139 TCP Open(オープン) NetBios/NetLogon
389 TCP/UDP Open(オープン) LDAP
445 TCP/UDP No ユーザー認証とADとのその他の通信
3268 TCP Open(オープン) グローバル カタログのクエリー

Active Directory

Active DirectoryはFIPSに準拠していません。
Active Directoryは、構成されていてFIPSが有効になっている場合でも機能し続けます。

管理アクセスを許可する前に、ユーザーを認証するために認証サーバーを使用します。  

DDは、LDAP、NIS、ADなどの複数のネーム サーバー プロトコルをサポートします。DDでは、FIPSが有効になっているOpenLDAPを使用することを推奨しています。DDはローカル アカウントのみを管理します。DDでは、UIまたはCLIを使用してLDAPを設定することをお勧めします。 

• UI:管理>アクセス>認証 

• CLI:認証LDAPコマンド

Active Directoryは、FIPSが有効になっているユーザー ログイン用に構成することもできます。ただし、ADユーザーによるCIFSデータ アクセスは、その構成ではサポートされなくなりました。 

認証構成

Authenticationパネルの情報は、構成されている認証のタイプに応じて変化します
ConfigurationタブのAuthenticationラベルの左側にあるConfigureリンクをクリックします。Administration > Access > Authenticationページに移動し、 Active Directory、Kerberos、ワークグループ、NISの認証を構成します。

Active Directoryの設定情報 

アイテム 説明
モード Active Directoryモードが表示されます。
[Realm] 構成済みのレルムが表示されます。
[DDNS] DDNSサーバーのステータスが表示されます(有効または無効)。 
ドメイン コントローラー 構成されたドメイン コントローラーの名前が表示されますが、すべてのコントローラーが許可されている場合は*が表示されます。 
[Organizational Unit] 設定済みの組織ユニットの名前が表示されます。 
[CIFS Server Name]  構成済みのCIFSサーバーの名前が表示されます。 
[WINS Server Name] 構成済みのWINSサーバーの名前が表示されます。 
[Short Domain Name]  短いドメイン名が表示されます。 

ワークグループの構成 

アイテム 説明
モード  ワークグループ モードが表示されます。
[Workgroup Name] 設定したワークグループ名が表示されます。
[DDNS] DDNSサーバーのステータスが表示されます(有効または無効)。
[CIFS Server Name] 構成済みのCIFSサーバーの名前が表示されます。
[WINS Server Name]  構成済みのWINSサーバーの名前 が表示されます。 

関連記事:

次の関連記事は、登録ユーザーとしてDellサポートにログインすることによってのみ表示できます。

受影響的產品

Data Domain
文章屬性
文章編號: 000204265
文章類型: How To
上次修改時間: 16 9月 2025
版本:  11
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。