Hitachi Global Link Manager 導入・設定ガイド
RADIUSサーバでユーザー認証するために,Hitachi Command Suite製品では次の設定が必要です。
ここでは,管理サーバで必要な作業について説明します。Global Link Manager GUIでの操作方法については,マニュアル「Hitachi Global Link Manager ユーザーズガイド」を参照してください。
ここでは,RADIUSサーバでユーザー認証する場合にexauth.propertiesファイルで必要な設定について説明します。
<Hitachi Command Suite共通コンポーネントのインストールフォルダ>\sample\conf\exauth.properties
<Hitachi Command Suite共通コンポーネントのインストールフォルダ>\conf\exauth.propertiesexauth.propertiesファイルの設定値を変更した場合は,直ちに変更後の値が有効になります。
exauth.propertiesファイルの設定項目を「表3-27 RADIUSサーバで認証する場合のexauth.propertiesファイルの設定項目(共通項目)」~「表3-31 RADIUSサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認可サーバの情報をDNSサーバに照会するとき)」に示します。
表3-27 RADIUSサーバで認証する場合のexauth.propertiesファイルの設定項目(共通項目)
プロパティ名 | 説明 |
---|---|
auth.server.type | 外部認証サーバの種類です。radiusを指定します。 デフォルト値:internal(外部認証サーバと連携しない場合) |
auth.server.name | RADIUSサーバのサーバ識別名を指定します。接続プロトコルやポート番号などの設定(「表3-28 RADIUSサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認証サーバの設定)」)をRADIUSサーバごとに区別するために付ける任意の名称です。初期値として「ServerName」が設定されています。必ず1つ以上のサーバ識別名を指定してください。RADIUSサーバを冗長構成にする場合は,各サーバのサーバ識別名を「,(コンマ)」で区切って指定します。サーバ識別名は重複して登録しないでください。 指定できる値:64バイト以内の次の文字列 0~9 A~Z a~z ! # ( ) + - . = @ [ ] ^ _ { } ~ デフォルト値:なし |
auth.group.mapping | 外部認可サーバとも連携するかどうかを指定します。 連携する場合はtrueを指定します。 連携しない場合はfalseを指定します。 デフォルト値:false |
表3-28 RADIUSサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認証サーバの設定)
属性 | 説明 |
---|---|
protocol | RADIUSサーバ認証に使用する認証プロトコルです。この項目は必須です。 指定できる値:PAPまたはCHAP デフォルト値:なし |
host※1 | RADIUSサーバのホスト名またはIPアドレスを指定します。ホスト名を指定する場合,IPアドレスへの名前解決ができることを事前に確認してください。IPアドレスには,IPv4アドレスとIPv6アドレスの両方を使用できます。IPv6アドレスは必ず[ ]で囲んでください。この項目は必須です。 デフォルト値:なし |
port | RADIUSサーバの認証用ポート番号です。指定するポートがRADIUSサーバで待ち受けポート番号として設定されていることを事前に確認してください。 指定できる値:1~65535 デフォルト値:1812 |
timeout | RADIUSサーバと接続するときの接続待ち時間です。 指定できる値:1~65535(秒) デフォルト値:1 |
retry.times | RADIUSサーバとの通信に失敗した場合のリトライ回数です。この値を0にした場合,リトライされません。 指定できる値:0~50 デフォルト値:3 |
attr.NAS-Identifier※2 | Global Link Managerの管理サーバのホスト名です。RADIUSサーバが管理サーバを識別するために使用します。初期値として,管理サーバのホスト名が設定されています。 指定できる値:253バイト以内の次の文字列 0~9 A~Z a~z ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ デフォルト値:なし |
attr.NAS-IP-Address※2 | Global Link Managerの管理サーバのIPv4アドレスです。RADIUSサーバが管理サーバを識別するために使用します。 IPv4アドレスの形式が不正な場合,この属性は無効です。 デフォルト値:なし |
attr.NAS-IPv6-Address※2 | Global Link Managerの管理サーバのIPv6アドレスです。RADIUSサーバが管理サーバを識別するために使用します。IPv6アドレスは必ず[ ]で囲んでください。 IPv6アドレスの形式が不正な場合,この属性は無効です。 デフォルト値:なし |
表3-29 RADIUSサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認可サーバの共通設定)
プロパティ名 | 説明 |
---|---|
domain.name | LDAPディレクトリサーバが管理するドメインの名称です。外部認可サーバとも連携する場合,この項目は必須です。 デフォルト値:なし |
dns_lookup | LDAPディレクトリサーバの情報をDNSサーバに照会するかどうかの設定です。 exauth.propertiesファイルにLDAPディレクトリサーバの情報を直接指定する場合はfalseを指定します。 DNSサーバに照会する場合は,trueを指定します。ただし,次の属性に値が設定されている場合は,DNSサーバには照会されず,ユーザーが指定した値を使用してLDAPディレクトリサーバに接続されます。
|
表3-30 RADIUSサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認可サーバの情報を直接指定するとき)
属性 | 説明 |
---|---|
protocol※1 | LDAPディレクトリサーバ接続のプロトコルです。 平文による通信の場合はldap,StartTLSによる通信の場合はtlsを指定します。 tlsを指定する場合には,LDAPディレクトリサーバで次のどれかの暗号方式を使用できることを事前に確認してください。
デフォルト値:ldap |
host※2 | LDAPディレクトリサーバのホスト名またはIPアドレスを指定します。ホスト名を指定する場合,IPアドレスへの名前解決ができることを事前に確認してください。IPアドレスには,IPv4アドレスとIPv6アドレスの両方を使用できます。IPv6アドレスは必ず角括弧([ ])で囲んでください。この項目は必須です。 デフォルト値:なし |
port | LDAPディレクトリサーバのポート番号です。指定するポートが,LDAPディレクトリサーバで待ち受けポート番号として設定されていることを事前に確認してください。 指定できる値:1~65535 デフォルト値:389 |
basedn | LDAPディレクトリサーバの情報を検索する際に,起点となるエントリーのDN(BaseDN)です。このDNより下の階層のユーザーエントリーが認可の対象となります。検索対象のユーザーエントリーをすべて含む階層のDNを指定してください。 DNはRFC4514の規約に従って指定してください。例えば,次の文字がDNに含まれる場合は,1文字ごとに円記号(\)でエスケープする必要があります。 空白文字 # + ; , < = > \ 指定した値はLDAPディレクトリサーバにそのまま渡されるため,BaseDNにエスケープが必要な文字が含まれる場合は,正しくエスケープしてください。 省略した場合は,Active DirectoryのdefaultNamingContext属性に指定されている値がBaseDNと見なされます。 デフォルト値:なし |
timeout | LDAPディレクトリサーバと接続するときの接続待ち時間です。この値を0にした場合,タイムアウトしないで,通信エラーが発生するまで待ち続けます。 指定できる値:0~120(秒) デフォルト値:15 |
retry.interval | LDAPディレクトリサーバとの通信に失敗した場合のリトライ間隔となる秒数です。 指定できる値:1~60(秒) デフォルト値:1 |
retry.times | LDAPディレクトリサーバとの通信に失敗した場合のリトライ回数です。この値を0にした場合,リトライされません。 指定できる値:0~50 デフォルト値:20 |
表3-31 RADIUSサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認可サーバの情報をDNSサーバに照会するとき)
属性 | 説明 |
---|---|
protocol | LDAPディレクトリサーバ接続のプロトコルです。 指定できる値:ldap デフォルト値:ldap |
port | LDAPディレクトリサーバのポート番号です。指定するポートが,LDAPディレクトリサーバで待ち受けポート番号として設定されていることを事前に確認してください。 指定できる値:1~65535 デフォルト値:389 |
basedn | LDAPディレクトリサーバの情報を検索する際に,起点となるエントリーのDN(BaseDN)です。このDNより下の階層のユーザーエントリーが認可の対象となります。検索対象のユーザーエントリーをすべて含む階層のDNを指定してください。 DNはRFC4514の規約に従って指定してください。例えば,次の文字がDNに含まれる場合は,1文字ごとに円記号(\)でエスケープする必要があります。 空白文字 # + ; , < = > \ 指定した値はLDAPディレクトリサーバにそのまま渡されるため,BaseDNにエスケープが必要な文字が含まれる場合は,正しくエスケープしてください。 省略した場合は,Active DirectoryのdefaultNamingContext属性に指定されている値がBaseDNと見なされます。 デフォルト値:なし |
timeout | LDAPディレクトリサーバと接続するときの接続待ち時間です。この値を0にした場合,タイムアウトしないで,通信エラーが発生するまで待ち続けます。 指定できる値:0~120(秒) デフォルト値:15 |
retry.interval | LDAPディレクトリサーバとの通信に失敗した場合のリトライ間隔となる秒数です。 指定できる値:1~60(秒) デフォルト値:1 |
retry.times | LDAPディレクトリサーバとの通信に失敗した場合のリトライ回数です。この値を0にした場合,リトライされません。 指定できる値:0~50 デフォルト値:20 |
設定例を次に示します。
auth.server.type=radius auth.server.name=ServerName auth.group.mapping=false auth.radius.ServerName.protocol=PAP auth.radius.ServerName.host=radius.example.com auth.radius.ServerName.port=1812 auth.radius.ServerName.timeout=1 auth.radius.ServerName.retry.times=3 auth.radius.ServerName.attr.NAS-Identifier=host_A |
auth.server.type=radius auth.server.name=ServerName auth.group.mapping=true auth.ocsp.enable=false auth.ocsp.responderURL= auth.radius.ServerName.protocol=PAP auth.radius.ServerName.host=radius.example.com auth.radius.ServerName.port=1812 auth.radius.ServerName.timeout=1 auth.radius.ServerName.retry.times=3 auth.radius.ServerName.attr.NAS-Identifier=host_A auth.radius.ServerName.domain.name=EXAMPLE.COM auth.radius.ServerName.dns_lookup=false auth.group.EXAMPLE.COM.protocol=ldap auth.group.EXAMPLE.COM.host=ldap.example.com auth.group.EXAMPLE.COM.port=389 auth.group.EXAMPLE.COM.basedn=dc=Example,dc=com auth.group.EXAMPLE.COM.timeout=15 auth.group.EXAMPLE.COM.retry.interval=1 auth.group.EXAMPLE.COM.retry.times=20 |
auth.server.type=radius auth.server.name=ServerName auth.group.mapping=true auth.radius.ServerName.protocol=PAP auth.radius.ServerName.host=radius.example.com auth.radius.ServerName.port=1812 auth.radius.ServerName.timeout=1 auth.radius.ServerName.retry.times=3 auth.radius.ServerName.attr.NAS-Identifier=host_A auth.radius.ServerName.domain.name=EXAMPLE.COM auth.radius.ServerName.dns_lookup=true auth.group.EXAMPLE.COM.protocol=ldap auth.group.EXAMPLE.COM.basedn=dc=Example,dc=com auth.group.EXAMPLE.COM.timeout=15 auth.group.EXAMPLE.COM.retry.interval=1 auth.group.EXAMPLE.COM.retry.times=20 |
auth.server.type=radius auth.server.name=ServerName1,ServerName2 auth.group.mapping=false auth.radius.ServerName1.protocol=PAP auth.radius.ServerName1.host=radius1.example.com auth.radius.ServerName1.port=1812 auth.radius.ServerName1.timeout=1 auth.radius.ServerName1.retry.times=3 auth.radius.ServerName1.attr.NAS-IP-Address=127.0.0.1 auth.radius.ServerName2.protocol=PAP auth.radius.ServerName2.host=radius2.example.com auth.radius.ServerName2.port=1812 auth.radius.ServerName2.timeout=1 auth.radius.ServerName2.retry.times=3 auth.radius.ServerName2.attr.NAS-IP-Address=127.0.0.1 |
LDAPディレクトリサーバを外部認可サーバとして利用する場合に,hcmds64ldapuserコマンドを使用して,情報検索用のユーザーアカウントを管理サーバに登録します。登録後は,hcmds64ldapuserコマンドで,情報検索用のユーザーアカウントを削除したり,管理サーバに情報検索用のユーザーアカウントを登録済みのLDAPディレクトリサーバを確認したりできます。
hcmds64ldapuserコマンドで情報検索用のユーザーアカウントを登録します。
情報検索用のユーザーアカウントには,次の条件を満たすユーザーアカウントを登録してください。
hcmds64ldapuserコマンドの書式は次のとおりです。
<Hitachi Command Suite共通コンポーネントのインストールフォルダ>\bin\hcmds64ldapuser /set /dn <情報検索用ユーザーのDN> /pass <情報検索用ユーザーのパスワード> /name <ドメイン名>
dsquery user -name administrator "CN=administrator,CN=admin,DC=example,DC=com"
hcmds64ldapuser /set /dn "cn=administrator,cn=admin,dc=example\,com" /pass administrator_pass /name ServerName
情報検索用のユーザーアカウントを削除するには,次のコマンドを実行してください。
<Hitachi Command Suite共通コンポーネントのインストールフォルダ>\bin\hcmds64ldapuser /delete /name <ドメイン名>
どのLDAPディレクトリサーバの情報検索用ユーザーアカウントが管理サーバに登録されているかを確認する場合は,次のコマンドを実行してください。
<Hitachi Command Suite共通コンポーネントのインストールフォルダ>\bin\hcmds64ldapuser /list
RADIUSサーバと通信するための共有秘密鍵を,hcmds64radiussecretコマンドを使用して管理サーバに設定します。設定後は,hcmds64radiussecretコマンドで,共有秘密鍵を削除したり,共有秘密鍵が設定されている外部認証サーバのサーバ識別名を一覧表示したりできます。
hcmds64radiussecretコマンドで共有秘密鍵を設定するには,次のコマンドを実行してください。
<Hitachi Command Suite共通コンポーネントのインストールフォルダ>\bin\hcmds64radiussecret /set <共有秘密鍵> /name <RADIUSサーバのサーバ識別名>
<RADIUSサーバのサーバ識別名>は,exauth.propertiesファイルのauth.server.nameプロパティに指定するサーバ識別名と一致している必要があります。
共有秘密鍵が「secret01」で,RADIUSサーバのサーバ識別名が「ServerName」の場合のhcmds64radiussecretコマンドの実行例を次に示します。
hcmds64radiussecret /set secret01 /name ServerName
共有秘密鍵を削除するには,次のコマンドを実行してください。
<Hitachi Command Suite共通コンポーネントのインストールフォルダ>\bin\hcmds64radiussecret /delete /name <RADIUSサーバのサーバ識別名>
共有秘密鍵が設定されているRADIUSサーバのサーバ識別名を一覧表示するには,次のコマンドを実行してください。
<Hitachi Command Suite共通コンポーネントのインストールフォルダ>\bin\hcmds64radiussecret /list
hcmds64checkauthコマンドを使用して,RADIUSサーバに正しく接続できるか確認します。
<Hitachi Command Suite共通コンポーネントのインストールフォルダ>\bin\hcmds64checkauth /user <ユーザーID> /pass <パスワード> [/summary]
<ユーザーID>,<パスワード>には,RADIUSサーバに登録されているユーザーアカウントのものを指定してください。ただし,<ユーザーID>,<パスワード>の先頭に,「/」は指定できません。
/summaryオプションを指定すると,コマンド実行時に表示される確認メッセージが簡略化されます。
hcmds64checkauthコマンドでは,次の4フェーズに分けて確認が行われます。フェーズごとに確認結果が表示されます。
各フェーズでの確認が正常に終了した場合,次のメッセージが表示されます。
KAPM15004-I The result of the configuration check of Phase X※ was normal.
注※ 「X」にはフェーズ番号が入ります。
All Rights Reserved. Copyright© 2014, 2023, Hitachi, Ltd.