Hitachi Command Suite システム構成ガイド
exauth.propertiesファイルには,使用する外部認証サーバの種類やサーバ識別名,外部認証サーバのマシン情報などを設定します。
- 共通のプロパティ
表4-6 RADIUSサーバで認証する場合のexauth.propertiesファイルの設定項目(共通項目)- 外部認証サーバのプロパティ
RADIUSサーバごとに設定します。
表4-7 RADIUSサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認証サーバの設定)- 外部認可サーバのプロパティ
外部認可サーバとも連携する場合に必要な設定です。LDAPディレクトリサーバの情報をドメインごとに設定します。
接続先のLDAPディレクトリサーバの情報を直接指定する場合と,DNSサーバに照会する場合とでexauth.propertiesファイルに設定する項目が異なります。
- LDAPディレクトリサーバの情報を直接指定する場合
表4-8 RADIUSサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認可サーバの共通設定)
表4-9 RADIUSサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認可サーバの情報を直接指定するとき)
表4-10 RADIUSサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認可サーバとStartTLSで通信するとき)- LDAPディレクトリサーバの情報をDNSサーバに照会する場合
表4-8 RADIUSサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認可サーバの共通設定)
表4-11 RADIUSサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認可サーバの情報をDNSサーバに照会するとき)
重要
- プロパティの設定値は,大文字と小文字を区別してください。
- 管理サーバとLDAPディレクトリサーバとの間の通信にStartTLSを使用する場合は,exauth.propertiesファイルに接続先のLDAPディレクトリサーバの情報を直接指定する必要があります。
- DNSサーバに接続先のLDAPディレクトリサーバを照会する場合は,ユーザーがログインする際に処理に時間が掛かることがあります。
表4-6 RADIUSサーバで認証する場合のexauth.propertiesファイルの設定項目(共通項目)
プロパティ名 説明 auth.server.type 外部認証サーバの種類です。radiusを指定します。
デフォルト値:internal(外部認証サーバと連携しない場合)auth.server.name RADIUSサーバのサーバ識別名を指定します。接続プロトコルやポート番号などの設定(表4-7 RADIUSサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認証サーバの設定))をRADIUSサーバごとに区別するために付ける任意の名称です。初期値として「ServerName」が設定されています。必ず1つ以上のサーバ識別名を指定してください。RADIUSサーバを冗長構成にする場合は,各サーバのサーバ識別名をコンマ(,)で区切って指定しま す。サーバ識別名は重複して登録しないでください。
指定できる値:64バイト以内の次の文字列
0~9 A~Z a~z ! # ( ) + - . = @ [ ] ^ _ { } ~
デフォルト値:なしauth.group.mapping 外部認可サーバとも連携するかどうかを指定します。
連携する場合はtrueを指定します。
連携しない場合はfalseを指定します。
デフォルト値:false表4-7 RADIUSサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認証サーバの設定)
属性 説明 protocol RADIUSサーバ認証に使用する認証プロトコルです。この項目は必須です。
指定できる値:PAPまたはCHAP
デフォルト値:なしhost※1 RADIUSサーバのホスト名またはIPアドレスを指定します。ホスト名を指定する場合,IPアドレスへの名前解決ができることを事前に確認してください。IPアドレスには,IPv4アドレスとIPv6アドレスの両方を使用できます。IPv6アドレスは必ず角括弧([ ])で囲んでください。この項目は必須です。
デフォルト値:なしport RADIUSサーバの認証用ポート番号です。指定するポートがRADIUSサーバで待ち受けポート番号として設定されていることを事前に確認してください。
指定できる値:1~65535
デフォルト値:1812timeout RADIUSサーバと接続するときの接続待ち時間です。
指定できる値:1~65535(秒)
デフォルト値:1retry.times RADIUSサーバとの通信に失敗した場合のリトライ回数です。この値を0にした場合,リトライされません。
指定できる値:0~50
デフォルト値:3attr.NAS-Identifier※2 Device Managerの管理サーバのホスト名です。RADIUSサーバが管理サーバを識別するために使用します。初期値として,管理サーバのホスト名が設定されています。
指定できる値:253バイト以内の次の文字列
0~9 A~Z a~z ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
デフォルト値:なしattr.NAS-IP-Address※2 Device Managerの管理サーバのIPv4アドレスです。RADIUSサーバが管理サーバを識別するために使用します。
IPv4アドレスの形式が不正な場合,この属性は無効です。
デフォルト値:なしattr.NAS-IPv6-Address※2 Device Managerの管理サーバのIPv6アドレスです。RADIUSサーバが管理サーバを識別するために使用します。IPv6アドレスは必ず角括弧([ ])で囲んでください。
IPv6アドレスの形式が不正な場合,この属性は無効です。
デフォルト値:なし
- 注
- 各属性は,次のように指定します。
- auth.radius.<auth.server.nameに指定した値>.<属性>=<値>
- 注※1
- 同一マシンで稼働する外部認可サーバとも連携し,かつLDAPディレクトリサーバの接続プロトコルにStartTLSを使用する場合は,host属性にはLDAPディレクトリサーバの証明書のCNと同じホスト名を設定してください。IPアドレスは使用できません。
- 注※2
- attr.NAS-Identifier,attr.NAS-IP-Address,attr.NAS-IPv6-Addressはどれか1つを必ず指定してください。
表4-8 RADIUSサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認可サーバの共通設定)
属性 説明 domain.name LDAPディレクトリサーバが管理するドメインの名称です。外部認可サーバとも連携する場合,この項目は必須です。
デフォルト値:なしdns_lookup LDAPディレクトリサーバの情報をDNSサーバに照会するかどうかを指定します。
exauth.propertiesファイルにLDAPディレクトリサーバの情報を直接指定する場合はfalseを指定します。
DNSサーバに照会する場合は,trueを指定します。
ただし,次の属性に値が設定されている場合は,DNSサーバには照会されず,ユーザーが指定した値を使用してLDAPディレクトリサーバに接続されます。デフォルト値:false
- auth.group.<ドメイン名>.host
- auth.group.<ドメイン名>.port
- 注
- 各属性は,次のように指定します。
- auth.radius.<auth.server.nameに指定した値>.<属性>=<値>
表4-9 RADIUSサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認可サーバの情報を直接指定するとき)
属性 説明 protocol※1 LDAPディレクトリサーバ接続のプロトコルです。
平文による通信の場合はldap,StartTLSによる通信の場合はtlsを指定します。
tlsを指定する場合には,LDAPディレクトリサーバで次のどれかの暗号方式を使用できることを事前に確認してください。指定できる値:ldapまたはtls
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA
- SSL_RSA_WITH_3DES_EDE_CBC_SHA
デフォルト値:ldaphost※2 外部認証サーバと外部認可サーバが異なるマシンで稼働している場合に,LDAPディレクトリサーバのホスト名またはIPアドレスを指定します。ホスト名を指定する場合,IPアドレスへの名前解決ができることを事前に確認してください。IPアドレスには,IPv4アドレスとIPv6アドレスの両方を使用できます。IPv6アドレスは必ず角括弧([ ])で囲んでください。
省略した場合は,外部認証サーバと外部認可サーバが同一マシンで稼働しているものと見なされます。
デフォルト値:なしport LDAPディレクトリサーバのポート番号です。指定するポートが,LDAPディレクトリサーバで待ち受けポート番号として設定されていることを事前に確認してください。
指定できる値:1~65535
デフォルト値:389basedn LDAPディレクトリサーバの情報を検索する際に,起点となるエントリーのDN(BaseDN)です。このDNより下の階層のユーザーエントリーが認可の対象となります。検索対象のユーザーエントリーをすべて含む階層のDNを指定してください。
DNはRFC4514の規約に従って指定してください。例えば,次の文字がDNに含まれる場合は,1文字ごとに円記号(\)でエスケープする必要があります。
空白文字 # + ; , < = > \
指定した値はLDAPディレクトリサーバにそのまま渡されるため,BaseDNにエスケープが必要な文字が含まれる場合は,正しくエスケープしてください。
省略した場合は,Active DirectoryのdefaultNamingContext属性に指定されている値がBaseDNと見なされます。
デフォルト値:なしtimeout LDAPディレクトリサーバと接続するときの接続待ち時間です。この値を0にした場合,タイムアウトしないで,通信エラーが発生するまで待ち続けます。
指定できる値:0~120(秒)
デフォルト値:15retry.interval LDAPディレクトリサーバとの通信に失敗した場合のリトライ間隔となる秒数です。
指定できる値:1~60(秒)
デフォルト値:1retry.times LDAPディレクトリサーバとの通信に失敗した場合のリトライ回数です。この値を0にした場合,リトライされません。
指定できる値:0~50
デフォルト値:20
- 注
- 各属性は,次のように指定します。
- auth.group.<ドメイン名>.<属性>=<値>
- <ドメイン名>には,auth.radius.<auth.server.nameに指定した値>.domain.nameの値を指定します。
- 注※1
- LDAPディレクトリサーバの接続プロトコルにStartTLSを使用する場合には,Hitachi Command Suite共通コンポーネントのセキュリティ設定が必要です。
- 注※2
- 外部認証サーバと外部認可サーバが別のマシンで稼働していて,かつLDAPディレクトリサーバの接続プロトコルにStartTLSを使用する場合は,host属性にはLDAPディレクトリサーバの証明書のCNと同じホスト名を設定してください。IPアドレスは使用できません。
表4-10 RADIUSサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認可サーバとStartTLSで通信するとき)
プロパティ名 説明 auth.ocsp.enable LDAPディレクトリサーバとStartTLSで通信する場合に,OCSPレスポンダーを使用してLDAPディレクトリサーバの電子署名証明書の有効性を検証するかどうかを指定します。
検証する場合はtrueを,検証しない場合はfalseを指定します。
デフォルト値:falseauth.ocsp.responderURL 電子署名証明書のAIAフィールドに記載されたOCSPレスポンダー以外のOCSPレスポンダーで電子署名証明書の有効性を検証する場合に,OCSPレスポンダーのURLを指定します。省略した場合は,AIAフィールドに記載されたOCSPレスポンダーに問い合わせます。
デフォルト値:なし表4-11 RADIUSサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認可サーバの情報をDNSサーバに照会するとき)
属性 説明 protocol LDAPディレクトリサーバ接続のプロトコルです。
指定できる値:ldap
デフォルト値:ldapport LDAPディレクトリサーバのポート番号です。指定するポートが,LDAPディレクトリサーバで待ち受けポート番号として設定されていることを事前に確認してください。
指定できる値:1~65535
デフォルト値:389basedn LDAPディレクトリサーバの情報を検索する際に,起点となるエントリーのDN(BaseDN)です。このDNより下の階層のユーザーエントリーが認可の対象となります。検索対象のユーザーエントリーをすべて含む階層のDNを指定してください。
DNはRFC4514の規約に従って指定してください。例えば,次の文字がDNに含まれる場合は,1文字ごとに円記号(\)でエスケープする必要があります。
空白文字 # + ; , < = > \
指定した値はLDAPディレクトリサーバにそのまま渡されるため,BaseDNにエスケープが必要な文字が含まれる場合は,正しくエスケープしてください。
省略した場合は,Active DirectoryのdefaultNamingContext属性に指定されている値がBaseDNと見なされます。
デフォルト値:なしtimeout LDAPディレクトリサーバと接続するときの接続待ち時間です。この値を0にした場合,タイムアウトしないで,通信エラーが発生するまで待ち続けます。
指定できる値:0~120(秒)
デフォルト値:15retry.interval LDAPディレクトリサーバとの通信に失敗した場合のリトライ間隔となる秒数です。
指定できる値:1~60(秒)
デフォルト値:1retry.times LDAPディレクトリサーバとの通信に失敗した場合のリトライ回数です。この値を0にした場合,リトライされません。
指定できる値:0~50
デフォルト値:20
- 注
- 各属性は,次のように指定します。
- auth.group.<ドメイン名>.<属性>=<値>
- <ドメイン名>には,auth.radius.<auth.server.nameに指定した値>.domain.nameの値を指定します。
All Rights Reserved. Copyright© 2014, 2020, Hitachi, Ltd.