Hitachi Global Link Manager 導入・設定ガイド

[目次][索引][前へ][次へ]

3.15.4 Kerberosサーバで認証する場合に必要な設定

Kerberosサーバでユーザー認証するために,Hitachi Command Suite製品では次の設定が必要です。

  1. 管理サーバのexauth.propertiesファイルに必要な情報を設定します。
    外部認証サーバとだけ連携する場合と,外部認可サーバとも連携する場合で設定が異なります。
    また,外部認証サーバとして使用するKerberosサーバは,次のどちらかの方法で定義できます。
    • exauth.propertiesファイルに接続先のKerberosサーバの情報を直接指定する
      レルムごとに,IPアドレスやポート番号などのKerberosサーバの情報をexauth.propertiesファイルに指定します。
    • DNSサーバに接続先のKerberosサーバを照会する
      Kerberosサーバを管理するDNSサーバの情報をexauth.propertiesファイルに指定します。また,DNSサーバのSRVレコードに,Kerberosサーバのホスト名やポート番号,レルム名などを登録しておく必要があります。

    参考:
    管理サーバとLDAPディレクトリサーバとの間の通信にStartTLSを使用する場合は,exauth.propertiesファイルに接続先のLDAPディレクトリサーバの情報を直接指定する必要があります。
    また,DNSサーバに接続先のLDAPディレクトリサーバを照会する場合は,ユーザーがログインする際に処理に時間が掛かることがあります。

  2. 外部認可サーバとも連携する場合は,LDAPディレクトリサーバ内のユーザー情報を検索するためのユーザーアカウント(情報検索用のユーザーアカウント)を管理サーバに登録します。

  3. Kerberosサーバに,Hitachi Command Suite製品を使用するユーザーのアカウントを登録します。
    ユーザーIDおよびパスワードは,Hitachi Command Suite製品で使用できる文字で構成されている必要があります。1バイト以上256バイト以内で次の文字を使用できます。
    A~Z a~z 0~9 ! # $ % & ' ( ) * + - . = @ \ ^ _ |
    Hitachi Command Suite製品では,ユーザーIDの大文字と小文字の違いは区別されません。また,パスワードの文字種の組み合わせは,外部認証サーバでの設定に従ってください。

  4. Global Link Manager GUIで,アカウントの登録や権限の設定などを実施します。

    外部認証サーバとだけ連携する場合
    ユーザーの登録
    ユーザーの認証方式の変更
    ユーザーに対する権限の設定
    ユーザーに対するリソースグループの割り当て
    注※ 既存のユーザーの認証方式を変更する場合に必要です。

    外部認可サーバとも連携する場合
    認可グループの登録
    認可グループに対する権限の設定
    なお,認可グループに対するリソースグループの割り当ては不要です。認可グループに所属するユーザーにはリソースグループに「All Resources」が割り当てられます。

  5. 管理サーバでhcmds64checkauthコマンドを使用して,外部認証サーバおよび外部認可サーバに正しく接続できるか確認します。

ここでは,管理サーバで必要な作業について説明します。Global Link Manager GUIでの操作方法については,マニュアル「Hitachi Global Link Manager ユーザーズガイド」を参照してください。

この項の構成
(1) exauth.propertiesファイルの設定(認証方式がKerberosの場合)
(2) 情報検索用のユーザーアカウントの登録(認証方式がKerberosの場合)
(3) 外部認証サーバおよび外部認可サーバとの接続確認(認証方式がKerberosの場合)
(4) Kerberos認証に使用できる暗号タイプ

(1) exauth.propertiesファイルの設定(認証方式がKerberosの場合)

ここでは,Kerberosサーバでユーザー認証する場合にexauth.propertiesファイルで必要な設定について説明します。

  1. exauth.propertiesファイルで,必要なプロパティに値を設定します。
    exauth.propertiesファイルのひな形は次の場所に格納されています。
    Hitachi Command Suite共通コンポーネントのインストールフォルダ>\sample\conf\exauth.properties

    注意事項
    設定値の先頭および末尾には空白文字を指定しないでください。また,設定値は「"」で囲まないでください。指定した場合,値は無視され,デフォルト値が採用されます。

  2. exauth.propertiesファイルを次の場所に格納します。
    Hitachi Command Suite共通コンポーネントのインストールフォルダ>\conf\exauth.properties
    exauth.propertiesファイルの設定値を変更した場合は,直ちに変更後の値が有効になります。

exauth.propertiesファイルの設定項目を「表3-32 Kerberosサーバで認証する場合のexauth.propertiesファイルの設定項目(共通項目)」~「表3-35 Kerberosサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認可サーバの設定)」に示します。

表3-32 Kerberosサーバで認証する場合のexauth.propertiesファイルの設定項目(共通項目)

プロパティ名 説明
auth.server.type 外部認証サーバの種類です。kerberosを指定します。
デフォルト値:internal(外部認証サーバと連携しない場合)
auth.group.mapping 外部認可サーバとも連携するかどうかを指定します。
連携する場合はtrueを指定します。
連携しない場合はfalseを指定します。
デフォルト値:false

表3-33 Kerberosサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認証サーバの情報を直接指定するとき)

属性 説明
default_realm デフォルトのレルム名を指定します。Global Link Manager GUIのログイン画面でレルム名を省略してユーザーIDを入力した場合に,この項目で指定したレルムに所属するユーザーとして認証されます。この項目は必須です。
デフォルト値:なし
dns_lookup_kdc falseを指定します。
デフォルト値:false
clockskew 管理サーバとKerberosサーバ間の時刻の差の許容範囲を指定します。この値よりも時刻に差がある場合,認証エラーになります。
指定できる値:0~300(秒)
デフォルト値:300
timeout Kerberosサーバと接続するときの接続待ち時間です。この値を0にした場合,タイムアウトしないで,通信エラーが発生するまで待ち続けます。
指定できる値:0~120(秒)
デフォルト値:3
realm_name レルム識別名を指定します。レルムごとにKerberosサーバの情報を区別するために付ける任意の名称です。必ず1つ以上のレルム識別名を指定してください。レルム識別名を複数指定する場合は,レルム識別名をコンマ(,)で区切って指定します。同じレルム識別名は重複して登録しないでください。
デフォルト値:なし
realm_nameに指定した値.realm Kerberosサーバに設定してあるレルム名を指定します。この項目は必須です。
デフォルト値:なし
realm_nameに指定した値.kdc Kerberosサーバの情報を次の形式で指定します。
ホスト名またはIPアドレス[:<ポート番号>]
この項目は必須です。

<ホスト名またはIPアドレス>
ホスト名を指定する場合,IPアドレスへの名前解決ができることを事前に確認してください。
IPアドレスは,IPv4アドレスで指定してください。IPv6環境では,ホスト名で指定してください。
ただし,ループバックアドレス(localhostまたは127.0.0.1)を指定しないでください。

<ポート番号>
指定するポートがKerberosサーバで待ち受けポート番号として設定されていることを事前に確認してください。ポート番号を省略した場合,または指定したポート番号がKerberosサーバで使用できない場合は,「88」を指定したと見なされます。
Kerberosサーバを冗長構成にする場合は,次のように「,(コンマ)」で区切って指定します。
ホスト名またはIPアドレス[:ポート番号],ホスト名またはIPアドレス[:ポート番号],...

各属性は,次のように指定します。
auth.kerberos.属性=

表3-34 Kerberosサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認証サーバの情報をDNSサーバに照会するとき)

属性 説明
default_realm デフォルトのレルム名を指定します。Global Link Manager GUIのログイン画面でレルム名を省略してユーザーIDを入力した場合に,この項目で指定したレルムに所属するユーザーとして認証されます。この項目は必須です。
デフォルト値:なし
dns_lookup_kdc trueを指定します。この項目は必須です。
ただし,次のすべての属性に値を設定していると,KerberosサーバはDNSサーバに照会されません。
  • realm_name
  • realm_nameに指定した値.realm
  • realm_nameに指定した値.kdc
clockskew 管理サーバとKerberosサーバ間の時刻の差の許容範囲を指定します。この値よりも時刻に差がある場合,認証エラーになります。
指定できる値:0~300(秒)
デフォルト値:300
timeout Kerberosサーバと接続するときの接続待ち時間です。この値を0にした場合,タイムアウトしないで,通信エラーが発生するまで待ち続けます。
指定できる値:0~120(秒)
デフォルト値:3

各属性は,次のように指定します。
auth.kerberos.属性=

表3-35 Kerberosサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認可サーバの設定)

属性 説明
protocol LDAPディレクトリサーバ接続のプロトコルです。
平文による通信の場合はldap,StartTLSによる通信の場合はtlsを指定します。Kerberosサーバの情報を直接指定する場合にだけ,StartTLSで通信できます。
tlsを指定する場合には,LDAPディレクトリサーバで次のどれかの暗号方式を使用できることを事前に確認してください。
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
指定できる値:ldapまたはtls
デフォルト値:ldap
port LDAPディレクトリサーバのポート番号です。指定するポートが,LDAPディレクトリサーバで待ち受けポート番号として設定されていることを事前に確認してください。
指定できる値:1~65535
デフォルト値:389
basedn LDAPディレクトリサーバの情報を検索する際に,起点となるエントリーのDN(BaseDN)です。このDNより下の階層のユーザーエントリーが認可の対象となります。検索対象のユーザーエントリーをすべて含む階層のDNを指定してください。
DNはRFC4514の規約に従って指定してください。例えば,次の文字がDNに含まれる場合は,1文字ごとに円記号(\)でエスケープする必要があります。
空白文字 # + ; , < = > \
指定した値はLDAPディレクトリサーバにそのまま渡されるため,BaseDNにエスケープが必要な文字が含まれる場合は,正しくエスケープしてください。
省略した場合は,Active DirectoryのdefaultNamingContext属性に指定されている値がBaseDNと見なされます。
デフォルト値:なし
timeout LDAPディレクトリサーバと接続するときの接続待ち時間です。この値を0にした場合,タイムアウトしないで,通信エラーが発生するまで待ち続けます。
指定できる値:0~120(秒)
デフォルト値:15
retry.interval LDAPディレクトリサーバとの通信に失敗した場合のリトライ間隔となる秒数です。
指定できる値:1~60(秒)
デフォルト値:1
retry.times LDAPディレクトリサーバとの通信に失敗した場合のリトライ回数です。この値を0にした場合,リトライされません。
指定できる値:0~50
デフォルト値:20

各属性は,次のように指定します。
auth.group.レルム名.属性=
レルム名>にはauth.kerberos.realm_nameに指定した値.realmの値を指定します。

注※
LDAPディレクトリサーバの接続プロトコルにStartTLSを使用する場合には,Hitachi Command Suite共通コンポーネントのセキュリティ設定が必要です。StartTLSを使用する場合の設定については,「5.2 サーバとLDAPディレクトリサーバ間のセキュリティ設定」を参照してください。

設定例を次に示します。

(2) 情報検索用のユーザーアカウントの登録(認証方式がKerberosの場合)

LDAPディレクトリサーバを外部認可サーバとして利用する場合に,hcmds64ldapuserコマンドを使用して,情報検索用のユーザーアカウントを管理サーバに登録します。登録後は,hcmds64ldapuserコマンドで,情報検索用のユーザーアカウントを削除したり,管理サーバに情報検索用のユーザーアカウントを登録済みのLDAPディレクトリサーバを確認したりできます。

情報検索用のユーザーアカウントを登録する

hcmds64ldapuserコマンドで情報検索用のユーザーアカウントを登録します。

情報検索用のユーザーアカウントには,次の条件を満たすユーザーアカウントを登録してください。

hcmds64ldapuserコマンドの書式は次のとおりです。 

Hitachi Command Suite共通コンポーネントのインストールフォルダ>\bin\hcmds64ldapuser /set /dn <情報検索用ユーザーのDN> /pass <情報検索用ユーザーのパスワード> /name <レルム名

注意事項
LDAPディレクトリサーバではDNやパスワードに「"」を使用できますが,管理サーバにはDNおよびパスワードに「"」が含まれていないユーザーアカウントを登録してください。

参考
Active Directoryを使用している場合は,Active Directoryが提供するdsqueryコマンドでユーザーのDNを確認できます。dsqueryコマンドを使用して,ユーザー「administrator」のDNを確認する場合の実行例と実行結果を次に示します。 
dsquery user -name administrator
"CN=administrator,CN=admin,DC=example,DC=com"
なお,DNが「cn=administrator,cn=admin,dc=example,com」の場合など,DNに「,(コンマ)」が含まれる場合は次のように指定します。 
hcmds64ldapuser /set /dn "cn=administrator,cn=admin,dc=example\,com" /pass administrator_pass /name ServerName

情報検索用のユーザーアカウントを削除する

情報検索用のユーザーアカウントを削除するには,次のコマンドを実行してください。

Hitachi Command Suite共通コンポーネントのインストールフォルダ>\bin\hcmds64ldapuser /delete /name <レルム名

情報検索用ユーザーアカウントを登録済みのLDAPディレクトリサーバを確認する

どのLDAPディレクトリサーバの情報検索用ユーザーアカウントが管理サーバに登録されているかを確認する場合は,次のコマンドを実行してください。

Hitachi Command Suite共通コンポーネントのインストールフォルダ>\bin\hcmds64ldapuser /list

(3) 外部認証サーバおよび外部認可サーバとの接続確認(認証方式がKerberosの場合)

hcmds64checkauthコマンドを使用して,Kerberosサーバに正しく接続できるか確認します。exauth.propertiesファイルでレルム名を複数指定した場合は,レルムごとに接続確認してください。 

Hitachi Command Suite共通コンポーネントのインストールフォルダ>\bin\hcmds64checkauth /user <ユーザーID> /pass <パスワード> [/summary]

外部認証サーバとだけ連携する場合と,外部認可サーバとも連携する場合で,<ユーザーID>,<パスワード>に指定するユーザーアカウントが異なります。

外部認証サーバとだけ連携する場合:
Hitachi Command Suite製品に登録されていて,かつ認証方式がKerberosのユーザーアカウントを指定してください。

外部認可サーバとも連携する場合:
Hitachi Command Suite製品に登録されていないユーザーアカウントを指定してください。

exauth.propertiesファイルのdefault_realmで設定したレルム名とは異なるレルムに所属するユーザーを指定する場合,ユーザーが所属するレルムも確認してください。exauth.propertiesファイルでレルム名を複数指定した場合,指定したレルム名をすべて確認してください。また,<ユーザーID>,<パスワード>の先頭に,スラント(/)が含まれるユーザーアカウントは指定できません。

/summaryオプションを指定すると,コマンド実行時に表示される確認メッセージが簡略化されます。

重要
exauth.propertiesファイルでレルム名を複数指定したときは,ユーザーIDは次の形式で指定してください。
  • exauth.propertiesファイルのdefault_realmで設定したレルム名とは異なるレルムに所属するユーザーを指定する場合:
    ユーザーID@レルム名
  • exauth.propertiesファイルのdefault_realmで設定したレルムに所属するユーザーを指定する場合:
    レルム名を省略して入力できます。

hcmds64checkauthコマンドでは,次の4フェーズに分けて確認が行われます。フェーズごとに確認結果が表示されます。

フェーズ1
exauth.propertiesファイルの共通のプロパティ(「表3-32 Kerberosサーバで認証する場合のexauth.propertiesファイルの設定項目(共通項目)」)が正しく設定されているかチェックします。

フェーズ2
exauth.propertiesファイルの外部認証サーバのプロパティ(「表3-33 Kerberosサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認証サーバの情報を直接指定するとき)」または「表3-34 Kerberosサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認証サーバの情報をDNSサーバに照会するとき)」)と,外部認可サーバのプロパティ(「表3-35 Kerberosサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認可サーバの設定)」)が正しく設定されているかチェックします。

フェーズ3
Kerberosサーバと接続できるかどうかを確認します。

フェーズ4
外部認可サーバとも連携するよう設定されている場合に,外部認可サーバに接続できるか,および認可グループを検索できるかをチェックします。

各フェーズでの確認が正常に終了した場合,次のメッセージが表示されます。

KAPM15004-I The result of the configuration check of Phase X was normal.

注※ 「X」にはフェーズ番号が入ります。

(4) Kerberos認証に使用できる暗号タイプ

Hitachi Command Suite製品で,Kerberos認証に使用できる暗号タイプ(encryption types)は次のとおりです。どれかの暗号タイプを使用できるようにKerberosサーバを構築してください。

[目次] [前へ] [次へ]

[マニュアル発行元]

All Rights Reserved. Copyright© 2014, 2021, Hitachi, Ltd.