Hitachi Global Link Manager 導入・設定ガイド
Kerberosサーバでユーザー認証するために,Hitachi Command Suite製品では次の設定が必要です。
ここでは,管理サーバで必要な作業について説明します。Global Link Manager GUIでの操作方法については,マニュアル「Hitachi Global Link Manager ユーザーズガイド」を参照してください。
ここでは,Kerberosサーバでユーザー認証する場合にexauth.propertiesファイルで必要な設定について説明します。
<Hitachi Command Suite共通コンポーネントのインストールフォルダ>\sample\conf\exauth.properties
<Hitachi Command Suite共通コンポーネントのインストールフォルダ>\conf\exauth.propertiesexauth.propertiesファイルの設定値を変更した場合は,直ちに変更後の値が有効になります。
exauth.propertiesファイルの設定項目を「表3-32 Kerberosサーバで認証する場合のexauth.propertiesファイルの設定項目(共通項目)」~「表3-35 Kerberosサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認可サーバの設定)」に示します。
表3-32 Kerberosサーバで認証する場合のexauth.propertiesファイルの設定項目(共通項目)
プロパティ名 | 説明 |
---|---|
auth.server.type | 外部認証サーバの種類です。kerberosを指定します。 デフォルト値:internal(外部認証サーバと連携しない場合) |
auth.group.mapping | 外部認可サーバとも連携するかどうかを指定します。 連携する場合はtrueを指定します。 連携しない場合はfalseを指定します。 デフォルト値:false |
表3-33 Kerberosサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認証サーバの情報を直接指定するとき)
属性 | 説明 |
---|---|
default_realm | デフォルトのレルム名を指定します。Global Link Manager GUIのログイン画面でレルム名を省略してユーザーIDを入力した場合に,この項目で指定したレルムに所属するユーザーとして認証されます。この項目は必須です。 デフォルト値:なし |
dns_lookup_kdc | falseを指定します。 デフォルト値:false |
clockskew | 管理サーバとKerberosサーバ間の時刻の差の許容範囲を指定します。この値よりも時刻に差がある場合,認証エラーになります。 指定できる値:0~300(秒) デフォルト値:300 |
timeout | Kerberosサーバと接続するときの接続待ち時間です。この値を0にした場合,タイムアウトしないで,通信エラーが発生するまで待ち続けます。 指定できる値:0~120(秒) デフォルト値:3 |
realm_name | レルム識別名を指定します。レルムごとにKerberosサーバの情報を区別するために付ける任意の名称です。必ず1つ以上のレルム識別名を指定してください。レルム識別名を複数指定する場合は,レルム識別名をコンマ(,)で区切って指定します。同じレルム識別名は重複して登録しないでください。 デフォルト値:なし |
<realm_nameに指定した値>.realm | Kerberosサーバに設定してあるレルム名を指定します。この項目は必須です。 デフォルト値:なし |
<realm_nameに指定した値>.kdc | Kerberosサーバの情報を次の形式で指定します。 <ホスト名またはIPアドレス>[:<ポート番号>] この項目は必須です。
<ホスト名またはIPアドレス>[:<ポート番号>],<ホスト名またはIPアドレス>[:<ポート番号>],... |
表3-34 Kerberosサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認証サーバの情報をDNSサーバに照会するとき)
属性 | 説明 |
---|---|
default_realm | デフォルトのレルム名を指定します。Global Link Manager GUIのログイン画面でレルム名を省略してユーザーIDを入力した場合に,この項目で指定したレルムに所属するユーザーとして認証されます。この項目は必須です。 デフォルト値:なし |
dns_lookup_kdc | trueを指定します。この項目は必須です。 ただし,次のすべての属性に値を設定していると,KerberosサーバはDNSサーバに照会されません。
|
clockskew | 管理サーバとKerberosサーバ間の時刻の差の許容範囲を指定します。この値よりも時刻に差がある場合,認証エラーになります。 指定できる値:0~300(秒) デフォルト値:300 |
timeout | Kerberosサーバと接続するときの接続待ち時間です。この値を0にした場合,タイムアウトしないで,通信エラーが発生するまで待ち続けます。 指定できる値:0~120(秒) デフォルト値:3 |
表3-35 Kerberosサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認可サーバの設定)
属性 | 説明 |
---|---|
protocol※ | LDAPディレクトリサーバ接続のプロトコルです。 平文による通信の場合はldap,StartTLSによる通信の場合はtlsを指定します。Kerberosサーバの情報を直接指定する場合にだけ,StartTLSで通信できます。 tlsを指定する場合には,LDAPディレクトリサーバで次のどれかの暗号方式を使用できることを事前に確認してください。
デフォルト値:ldap |
port | LDAPディレクトリサーバのポート番号です。指定するポートが,LDAPディレクトリサーバで待ち受けポート番号として設定されていることを事前に確認してください。 指定できる値:1~65535 デフォルト値:389 |
basedn | LDAPディレクトリサーバの情報を検索する際に,起点となるエントリーのDN(BaseDN)です。このDNより下の階層のユーザーエントリーが認可の対象となります。検索対象のユーザーエントリーをすべて含む階層のDNを指定してください。 DNはRFC4514の規約に従って指定してください。例えば,次の文字がDNに含まれる場合は,1文字ごとに円記号(\)でエスケープする必要があります。 空白文字 # + ; , < = > \ 指定した値はLDAPディレクトリサーバにそのまま渡されるため,BaseDNにエスケープが必要な文字が含まれる場合は,正しくエスケープしてください。 省略した場合は,Active DirectoryのdefaultNamingContext属性に指定されている値がBaseDNと見なされます。 デフォルト値:なし |
timeout | LDAPディレクトリサーバと接続するときの接続待ち時間です。この値を0にした場合,タイムアウトしないで,通信エラーが発生するまで待ち続けます。 指定できる値:0~120(秒) デフォルト値:15 |
retry.interval | LDAPディレクトリサーバとの通信に失敗した場合のリトライ間隔となる秒数です。 指定できる値:1~60(秒) デフォルト値:1 |
retry.times | LDAPディレクトリサーバとの通信に失敗した場合のリトライ回数です。この値を0にした場合,リトライされません。 指定できる値:0~50 デフォルト値:20 |
設定例を次に示します。
auth.server.type=kerberos auth.group.mapping=false auth.kerberos.default_realm=EXAMPLE.COM auth.kerberos.dns_lookup_kdc=false auth.kerberos.clockskew=300 auth.kerberos.timeout=3 auth.kerberos.realm_name=RealmName auth.kerberos.RealmName.realm=EXAMPLE.COM auth.kerberos.RealmName.kdc=kerberos.example.com:88 |
auth.server.type=kerberos auth.group.mapping=false auth.kerberos.default_realm=EXAMPLE.COM auth.kerberos.dns_lookup_kdc=true auth.kerberos.clockskew=300 auth.kerberos.timeout=3 |
auth.server.type=kerberos auth.group.mapping=true auth.ocsp.enable=false auth.ocsp.responderURL= auth.kerberos.default_realm=EXAMPLE.COM auth.kerberos.dns_lookup_kdc=false auth.kerberos.clockskew=300 auth.kerberos.timeout=3 auth.kerberos.realm_name=RealmName auth.kerberos.RealmName.realm=EXAMPLE.COM auth.kerberos.RealmName.kdc=kerberos.example.com:88 auth.group.EXAMPLE.COM.protocol=ldap auth.group.EXAMPLE.COM.port=389 auth.group.EXAMPLE.COM.basedn=dc=Example,dc=com auth.group.EXAMPLE.COM.timeout=15 auth.group.EXAMPLE.COM.retry.interval=1 auth.group.EXAMPLE.COM.retry.times=20 |
auth.server.type=kerberos auth.group.mapping=true auth.kerberos.default_realm=EXAMPLE.COM auth.kerberos.dns_lookup_kdc=true auth.kerberos.clockskew=300 auth.kerberos.timeout=3 |
auth.server.type=kerberos auth.group.mapping=false auth.kerberos.default_realm=EXAMPLE.COM auth.kerberos.dns_lookup_kdc=false auth.kerberos.clockskew=300 auth.kerberos.timeout=3 auth.kerberos.realm_name=S1 auth.kerberos.S1.realm=EXAMPLE.COM auth.kerberos.S1.kdc=kerberos.example.com:88,kerberos.example.net:88 |
auth.server.type=kerberos auth.group.mapping=false auth.kerberos.default_realm=EXAMPLE.COM auth.kerberos.dns_lookup_kdc=false auth.kerberos.clockskew=300 auth.kerberos.timeout=3 auth.kerberos.realm_name=S1,S2 auth.kerberos.S1.realm=EXAMPLE.COM auth.kerberos.S1.kdc=kerberos1.example.com:88,kerberos1.example.net:88 auth.kerberos.S2.realm=EXAMPLE.NET auth.kerberos.S2.kdc=kerberos2.example.com:88,kerberos2.example.net:88 |
LDAPディレクトリサーバを外部認可サーバとして利用する場合に,hcmds64ldapuserコマンドを使用して,情報検索用のユーザーアカウントを管理サーバに登録します。登録後は,hcmds64ldapuserコマンドで,情報検索用のユーザーアカウントを削除したり,管理サーバに情報検索用のユーザーアカウントを登録済みのLDAPディレクトリサーバを確認したりできます。
hcmds64ldapuserコマンドで情報検索用のユーザーアカウントを登録します。
情報検索用のユーザーアカウントには,次の条件を満たすユーザーアカウントを登録してください。
hcmds64ldapuserコマンドの書式は次のとおりです。
<Hitachi Command Suite共通コンポーネントのインストールフォルダ>\bin\hcmds64ldapuser /set /dn <情報検索用ユーザーのDN> /pass <情報検索用ユーザーのパスワード> /name <レルム名>
dsquery user -name administrator "CN=administrator,CN=admin,DC=example,DC=com"
hcmds64ldapuser /set /dn "cn=administrator,cn=admin,dc=example\,com" /pass administrator_pass /name ServerName
情報検索用のユーザーアカウントを削除するには,次のコマンドを実行してください。
<Hitachi Command Suite共通コンポーネントのインストールフォルダ>\bin\hcmds64ldapuser /delete /name <レルム名>
どのLDAPディレクトリサーバの情報検索用ユーザーアカウントが管理サーバに登録されているかを確認する場合は,次のコマンドを実行してください。
<Hitachi Command Suite共通コンポーネントのインストールフォルダ>\bin\hcmds64ldapuser /list
hcmds64checkauthコマンドを使用して,Kerberosサーバに正しく接続できるか確認します。exauth.propertiesファイルでレルム名を複数指定した場合は,レルムごとに接続確認してください。
<Hitachi Command Suite共通コンポーネントのインストールフォルダ>\bin\hcmds64checkauth /user <ユーザーID> /pass <パスワード> [/summary]
外部認証サーバとだけ連携する場合と,外部認可サーバとも連携する場合で,<ユーザーID>,<パスワード>に指定するユーザーアカウントが異なります。
exauth.propertiesファイルのdefault_realmで設定したレルム名とは異なるレルムに所属するユーザーを指定する場合,ユーザーが所属するレルムも確認してください。exauth.propertiesファイルでレルム名を複数指定した場合,指定したレルム名をすべて確認してください。また,<ユーザーID>,<パスワード>の先頭に,スラント(/)が含まれるユーザーアカウントは指定できません。
/summaryオプションを指定すると,コマンド実行時に表示される確認メッセージが簡略化されます。
hcmds64checkauthコマンドでは,次の4フェーズに分けて確認が行われます。フェーズごとに確認結果が表示されます。
各フェーズでの確認が正常に終了した場合,次のメッセージが表示されます。
KAPM15004-I The result of the configuration check of Phase X※ was normal.
注※ 「X」にはフェーズ番号が入ります。
Hitachi Command Suite製品で,Kerberos認証に使用できる暗号タイプ(encryption types)は次のとおりです。どれかの暗号タイプを使用できるようにKerberosサーバを構築してください。
All Rights Reserved. Copyright© 2014, 2023, Hitachi, Ltd.