12.2.3 タスク3:ディレクトリサービスからのユーザーアクセスを設定する
「混合モード」および「外部モード」の場合のみ次のタスクを実行します。ディレクトリサービスに応じた適切な手順に従ってください。このタスクには,次のセクションが含まれます。
- 重要
環境または設定に応じて,どちらかを実行します。
設定の詳細な手順については,「12.4.4 ユーザー識別」を参照してください。
(1) nms-auth-config.xmlファイルの使用
- 次のディレクトリに移動します。
- Windowsの場合:%NnmDataDir%nmsas\NNM\conf
- Linuxの場合:$NnmDataDir/nmsas/NNM/conf
- NNMiに付属するnms-auth-config.xmlファイルをバックアップしてから,そのファイルを任意のテキストエディタで開きます。
- 次のエレメントの値を指定します。
- ヒント
-
NNMiによって,参照用のサンプルnms-auth-config.xmlファイルが別の場所に格納されます。 サンプルnms-auth-config.xmlファイルは次の場所にあります。
- Windowsの場合:%NnmInstallDir%newconfig\HPOvNnmAS\nmsas\conf
- Linuxの場合:$NnmInstallDir/newconfig/HPOvNnmAS/nmsas/conf
サンプルnms-auth-config.xmlファイルから<ldapLogin>エレメント全体をコピーし,必要な変更を加えることもできます。
表12‒2 nms-auth-config.xmlファイルのldapLoginセクションのエレメント <enabled>
</enabled>
trueに設定してnms-auth-config.xmlファイルの使用を指定します。デフォルトでは,falseに設定されています。
<userRoleFilterList>
</userRoleFilterList>
NNMiユーザーがインシデントを割り当てることのできるNNMiロールを指定します。
すべてのオペレータ,管理者,およびゲストにインシデントを 割り当てるには,次を追加します。<userRoleFilterList> admin guest level2 level1 </userRoleFilterList>
<connectTimeLimit>
</connectTimeLimit>
接続のタイムアウト値をミリ秒単位で指定します。デフォルト値は10000(10秒)です。NNMiユーザーのサインイン中にタイムアウトになる場合は,この値を増やします。
例:<connectTimeLimit>10000</connectTimeLimit>
<searchTimeLimit>
</searchTimeLimit>
検索のタイムアウト値をミリ秒単位で指定します。デフォルト値は30000(30秒)です。NNMiユーザーのサインイン中にタイムアウトになる場合は,この値を増やします。
例:<searchTimeLimit>30000</searchTimeLimit>
<server>
すべてのLDAP設定情報を含むコンテナエレメント。
<host>
</host>
LDAPサーバーのURLとポート番号。
例:
- HTTPを使用する場合:
ldap://hostname.domain.com:389
- HTTPSを使用する場合:
ldaps://hostname.domain.com:636
注:HTTPを使用する場合は,ldap://と指定してください。HTTPSを使用する場合は,ldap://またはldaps://と指定してください。
<secure>
</secure>
HTTPSを使用する場合は,trueに設定します。HTTPSを使用しない場合は,falseに設定します。
</server>
注:serverエレメントは1つだけ指定してください。2つ以上記載することはサポートしていません。
<bindCredential>
バインド資格証明が含まれているコンテナエレメント(匿名ログオンをサポートしていないディレクトリサービスでは必須)。
<bindDN>
</bindDN>
バインドDNを指定します。
<bindCredential>
</bindCredential>
バインドDNのパスワードを暗号化された形式で指定します。
"nnmldap.ovpl -encrypt <mypassword>"コマンドを実行してパスワードを暗号化します。
</bindCredential>
<users>
すべてのユーザー設定情報が含まれているコンテナエレメント。
<userSearch>
ユーザーを検索するための設定情報が含まれているコンテナエレメント。
<userSearch></userSearch>の設定は1つだけ設定してください。複数設定することはサポートしていません。
<base>
</base>
例:
- Active Directoryの場合:
<base> CN={0} </base>
- その他のLDAP技術の場合:
<base> SAMAccountName={0} </base>
<baseContextDN>
</baseContextDN>
Active Directoryの場合,ディレクトリサービスのドメインでユーザーレコードを保存する部分を指定します。
例:
- Active Directoryの場合:
OU=Users,OU=Accounts,DC=mycompany,DC=com
- その他のLDAP技術の場合:
ou=People,o=example.com
</userSearch>
</users>
注:混合モードの場合は,<roleSearch></roleSearch>を次のように1つだけ設定してから,手順4を実行してください。
<roleSearch> <roleBase></roleBase> <roleContextDN></roleContextDN> </roleSearch>
- nms-auth-config.xmlファイル(%NnmDataDir%nmsas\NNM\conf(Windows)または$NnmDataDir/nmsas/NNM/conf(Linux))の編集後,次のコマンドを実行します。
- Windowsの場合:
%NnmInstallDir%bin\nnmldap.ovpl -reload
- Linuxの場合:
$NnmInstallDir/bin/nnmldap.ovpl -reload
- Windowsの場合:
(2) ldap.propertiesファイルの使用
- NNMiに付属するldap.propertiesファイルをバックアップしてから,そのファイルを任意のテキストエディタで開きます。
- ディレクトリサービスにアクセスするときのURLを指定します。
- 次の行のコメントを外します。
java.naming.provider.url
- このプロパティをldap://<myldapserver>:<port>/に設定します。
このインスタンスで,<myldapserver>はディレクトリサーバーの完全修飾ホスト名で,<port>はディレクトリサーバーの通信ポートです。
例:java.naming.provider.url=ldap://testsystem.example.com:636
- 次の行のコメントを外します。
- セキュリティモードを指定します。
- 次の行のコメントを外します。
java.naming.security.provider
- NNMiとディレクトリサーバー間でセキュアな通信を確立する場合は,このプロパティをSSLに設定します。
例:java.naming.security.provider=SSL
- 次の行のコメントを外します。
- インストールされているディレクトリサービスが匿名アクセスをサポートしていない場合は,有効なディレクトリサービスユーザーの資格証明を指定します。
- 次の行のコメントを外します。
bindDN
bindCredential
- これらのプロパティの値を次のように設定します。
bindDN=<mydomain>\\<myusername>
bindCredential=<mypassword>
このインスタンスで,<mydomain>はディレクトリサーバーのドメイン名,<myusername>と<mypassword>は,ディレクトリサーバーにアクセスするためのユーザー名とパスワードです。
- メモ
-
平文のパスワードを保存する場合は,ディレクトリサービスへの読み取り専用アクセス権を付与してユーザー名を指定してください。暗号化されたパスワードを指定する場合は,ldap.propertiesファイルに保存する前に平文のパスワードを次のコマンドで暗号化します。
nnmldap.ovpl -encrypt <mypassword>
この暗号化パスワードは,その作成先のNNMiインスタンスでのみ機能します。ほかのNNMiインスタンスには使用しないでください。
詳細については,nnmldap.ovplのリファレンスページ,またはLinuxのmanページを参照してください。
- 次の行のコメントを外します。
- ディレクトリサーバードメインの中でユーザーレコードを保存する部分を指定します。
- 次の行のコメントを外します。
baseCtxDN
- このプロパティにはディレクトリサーバーのドメインでユーザーレコードを保存する部分を指定します。例:
- Active Directoryの場合:
baseCtxDN=CN=Users,DC=hostname,DC=example,DC=com
- その他のLDAPの場合:
baseCtxDN=ou=People,o=example.com
- Active Directoryの場合:
- 次の行のコメントを外します。
- インシデントを割り当てることができるNNMiロールをNNMiオペレータが指定するように,userRoleFilterListパラメーター値を変更します。