Hitachi

JP1 Version 10 JP1/Cm2/Network Node Manager i セットアップガイド

10.4.5 ユーザーグループ識別

ユーザーグループ識別は,「外部モード」の設定に適用されます。

NNMiは,NNMiユーザーのユーザーグループを次のように判断します。

  1. NNMiコンソールで設定されているすべてのユーザーグループの外部名の値をディレクトリサービスグループの名前と比較する。

  2. ユーザーグループが一致する場合,NNMiユーザーがディレクトリサービスのそのグループのメンバーであるかどうかを判断する。

NNMiコンソールで,短いテキスト文字列によって,NNMiコンソールアクセスを許可する,定義済みのNNMiユーザーグループの一意の名前が識別されます。ldap.propertiesファイルのdefaultRoleおよびuserRoleFilterListパラメータも,このテキスト文字列を必要とします。次の表では,このグループの一意の名前を表示名にマッピングしています。

表10‒4 NNMiユーザーグループ名のマッピング

NNMiコンソールのNNMiロール名

NNMi設定ファイルのユーザーグループの一意の名前およびテキスト文字列

管理者

admin

オペレータレベル2

level2

オペレータレベル1

level1

ゲスト

guest

Webサービスクライアント

client

NNMiグローバルオペレータユーザーグループ(globalops)では,すべてのトポロジオブジェクトだけにアクセス権が与えられます。ユーザーがNNMiコンソールにアクセスするには,ユーザーをほかのどれかのユーザーグループ(level2level1,またはguest)に割り当てる必要があります。

globalopsユーザーグループはデフォルトですべてのセキュリティグループにマッピングされるため,管理者はこのユーザーグループをセキュリティグループにマッピングしないようにする必要があります。

〈この項の構成〉

(1) ディレクトリサービスからのユーザーグループ取得の設定(詳細な方法)

10.2 ディレクトリサービスへのアクセスを設定する」の「10.2.5 タスク5:(「外部モード」の設定だけ)ディレクトリサービスからのグループの取得を設定する」の説明にある簡単な方法では正常に機能しない場合は,次の手順を実行します。

  1. ディレクトリサービス管理者から,「10.4.3 ディレクトリサービス管理者が所有する情報」の「表10-3 ディレクトリサービスからグループメンバーシップを取得する場合の情報」に示す情報を取得する。

  2. 適切な手順を完了し,ディレクトリサービスでのグループ名およびグループメンバーの形式を確認する。

  3. 任意のテキストエディタでldap.propertiesファイルを開く。

    ldap.propertiesファイルの詳細については,「10.7 ldap.properties設定ファイルリファレンス」を参照してください。

  4. rolesCtxDNパラメータを,複数のグループで同じになっている,識別グループ名のエレメントに設定する。

  5. ディレクトリサービスでグループにユーザー名が保存されるときの方法とユーザー名が相関するように,roleFilterパラメータを設定する。実際のユーザー名を次の式のどちらかで置き換える。

    • サインインのために入力されたユーザー名を意味する場合は{0}を使用します(例えば,john.doe)。

    • ディレクトリサービスによって返された認証済みユーザーの識別名を意味する場合は,{1}を使用します(例えば,uid=john.doe@example.com,ou=People, o=example.com)。

  6. uidAttributeIDパラメータを,ユーザーIDを保存するグループ属性の名前に設定する。

  7. 10.2 ディレクトリサービスへのアクセスを設定する」の「10.2.7 タスク7:(「外部モード」の設定だけ)NNMiユーザーグループ設定をテストする」の説明に従って設定をテストする。

ページの先頭へ

(2) ディレクトリサービスでグループおよびグループメンバーシップを識別する方法の判別(Active Directoryの場合にLDAPブラウザを使用する方法)

サードパーティのLDAPブラウザで,次の手順を実行します。

  1. ディレクトリサーバードメインの中でユーザー情報を保存する領域にナビゲートする。

  2. NNMiにアクセスする必要があるユーザーを識別し,そのユーザーに関連づけられているグループの識別名の形式を調べる。

  3. ディレクトリサーバードメインの中でグループ情報を保存する領域にナビゲートする。

  4. NNMiユーザーグループに対応するグループを識別して,グループに関連づけられているユーザーの名前の形式を調べる。

ページの先頭へ

(3) ディレクトリサービスでグループおよびグループメンバーシップを識別する方法の判別(ほかのディレクトリサービスの場合にLDAPブラウザを使用する方法)

サードパーティのLDAPブラウザで,次の手順を実行します。

  1. ディレクトリサーバードメインの中でグループ情報を保存する領域にナビゲートする。

  2. NNMiユーザーグループに対応するグループを識別して,それらのグループの識別名の形式を調べる。

  3. グループに関連づけられているユーザーの名前の形式も調べる。

ページの先頭へ

(4) ディレクトリサービスでグループを識別する方法の判別(Webブラウザを使用する方法)

  1. サポートされるWebブラウザで,次のURLを入力する。

    ldap://<directory_service_host>:<port>/<group_search_string>

    • <directory_service_host>は,ディレクトリサービスをホストするコンピュータの完全修飾名です。

    • <port>は,LDAP通信でディレクトリサービスが使用するポートです。

    • <group_search_string>は,ディレクトリサービスに保存されるグループ名の識別名です(例:cn=USERS-NNMi-Admin,ou=Groups,o=example.com)。

  2. ディレクトリサービスのアクセステストの結果を評価する。

    • ディレクトリサービスに要求されたエントリが存在しないことを示すメッセージが表示された場合は,<group_search_string>の値を確認してから,手順1.の操作を繰り返してください。

    • 該当するグループのリストが表示された場合,そのアクセス情報は正しいことになります。

  3. グループのプロパティを調べ,そのグループに関連づけられているユーザーの名前の形式を判断する。

ページの先頭へ

他社商品名称に関する表示

All Rights Reserved. Copyright (C) 2012, 2014, Hitachi, Ltd.

Copyright (C) 2009 Hewlett-Packard Development Company, L.P.

This software and documentation are based in part on software and documentation under license from Hewlett-Packard Company.