Hitachi

 システム管理者 クイックリファレンス

3.5.6 認証サーバおよび認可サーバと接続するよう設定する

背景

認証サーバおよび認可サーバを使用するには、サーバへの接続設定やネットワークの設定が必要です。特にサーバへの接続設定には、利用する認証サーバと認可サーバの詳細な設定情報が必要です。サーバへの接続設定に使用するLDAP、RADIUS、およびKerberos用の設定値は各サーバの管理者にお問い合わせください。ネットワークの設定に関してはネットワークの管理者にお問い合わせください。

認証サーバおよび認可サーバに接続するための設定方法について説明します。

前提条件

操作手順

  1. コンフィグファイルを作成します。使用するプロトコルによって設定する項目が異なります。

  2. SVPへログインし、次のファイルを参照可能な場所に格納します。

    • 証明書(セキュア通信する場合)

    • コンフィグファイル

  3. SVPでWindowsのコマンドプロンプトを起動します。

  4. カレントディレクトリをMappSetExAuthConf.batがあるディレクトリ(例:C:\MAPP\wk\Supervisor\MappIniSet)に移動し、次に示すコマンドにコンフィグファイルパス(例C:\auth\auth.properties)と証明書ファイルパス(例:C:\auth\auth.cer)を指定して実行します。

    C:\MAPP\wk\Supervisor\MappIniSet>MappSetExAuthConf "C:\auth\auth.properties" "C:\auth\auth.cer"

  5. 認証サーバが使用できることを確認したら、認証サーバへの接続設定をバックアップしてください。

  6. 操作手順4.で指定したファイルを削除するためのメッセージが表示されます。

    Do you want to delete files("C:\auth\auth.properties" "C:\auth\auth.cer")?

    削除する場合は"y"を指定してください。"n"を指定すると、ファイルは削除されません。手動で削除してください。

設定をしたにも関わらず、認証サーバおよび認可サーバが使用できない場合は、サーバへの接続設定の内容やネットワークに問題があるおそれがあります。サーバの管理者およびネットワークの管理者にお問い合わせください。

設定完了後、認証サーバおよび認可サーバが使用できることを確認したら、認証サーバへの接続設定をバックアップしてください。

〈この項の構成〉

(1) LDAP用コンフィグファイルを作成する

認証サーバとしてLDAPサーバを使用するには、テキストエディタでコンフィグファイルを作成し、認証サーバの情報を次の形式で定義します。ファイル名および拡張子は任意です。

注意

コンフィグファイルをWindows標準のメモ帳アプリケーションで保存する場合は保存時に文字コード「ANSI」を指定してください。

メモ帳以外のエディタを使用しておりUTF-8のBOM設定がある場合は、「BOMなし」を指定して保存してください。

形式

#コメント
auth.server.type=ldap
auth.server.name=<サーバ識別名>
auth.group.mapping=<値>
auth.ldap.<サーバ識別名>.<属性>=<値>

auth.server.type=ldap
auth.server.name=PrimaryServer
auth.group.mapping=true
auth.ldap.PrimaryServer.protocol=ldaps
auth.ldap.PrimaryServer.host=ldaphost.domain.local
auth.ldap.PrimaryServer.port=636
auth.ldap.PrimaryServer.timeout=3
auth.ldap.PrimaryServer.attr=sAMAccountName
auth.ldap.PrimaryServer.searchdn=CN=sample1,CN=Users,DC=domain,DC=local
  
auth.ldap.PrimaryServer.searchpw=password
auth.ldap.PrimaryServer.basedn=CN=Users,DC=domain,DC=local
auth.ldap.PrimaryServer.retry.interval=1
auth.ldap.PrimaryServer.retry.times=3
auth.ldap.PrimaryServer.domain.name=EXAMPLE.COM

LDAP用設定項目

属性

説明

省略可否

デフォルト値

auth.server.type

認証サーバの種別。ldapを指定してください。

必須

なし

auth.server.name

認証サーバの識別名。正・副2台の認証サーバを登録する場合は、認証サーバの識別名をコンマ(,)で区切ってください。認証サーバの識別名は、正・副合わせて64バイト以下で指定します。複数の認証サーバを登録するときの区切り文字のコンマ(,)は、1バイトにカウントされます。

次の記号を除くASCIIコードを使用できます。\ / : , ; * ? “ < > | $ % & ‘ ~

これより以下の項目では、ここで設定した値を<サーバ識別名>といいます。

必須

なし

auth.group.mapping

認可サーバと連携するかどうか。

  • true:連携する

  • false:連携しない

省略可

false

auth.ldap.<サーバ識別名>.protocol

使用するLDAPプロトコル。

"ldaps"(LDAP over SSL/TLSを用いた認証)を指定してください。

"starttls"(StartTLSを用いた認証)は、指定しないでください。

必須

なし

auth.ldap.<サーバ識別名>.host

LDAPサーバのホスト名、IPv4アドレス、またはIPv6アドレス。IPv6アドレスは[]で囲んで指定してください。プロトコルとしてStartTLSを使用する場合、ホスト名を指定します。

この値を設定した場合、auth.ldap.<サーバ識別名>.dns_lookupを設定しても無視されます。

省略可※1

なし

auth.ldap.<サーバ識別名>.port

LDAPサーバのポート番号。1~65535の範囲で指定します。※2

省略可

389

auth.ldap.<サーバ識別名>.timeout

LDAPサーバとの接続タイムアウトを検出するまでの秒数。1~30の範囲で指定します。※2

省略可

10

auth.ldap.<サーバ識別名>.attr

ユーザを確定する属性名(ユーザIDなど)。

  • 階層モデルの場合

    ユーザを特定できる値が格納されている属性名

  • フラットモデルの場合

    ユーザエントリのRDNの属性名

Active DirectoryではsAMAccountNameが使用されます。

必須

なし

auth.ldap.<サーバ識別名>.searchdn

検索用ユーザのDN。省略した場合、[attr値]=[ログインID],[basedn値]で表されるDNにバインド認証します。※3

省略可

なし

auth.ldap.<サーバ識別名>.searchpw

検索用ユーザのパスワード。LDAPサーバに登録しているパスワードと同じ値を指定してください。

必須

なし

auth.ldap.<サーバ識別名>.basedn

認証するユーザを検索する際に基点となるDN(BaseDN)。※3

  • 階層モデルの場合

    すべての検索対象のユーザを含む階層のDN

  • フラットモデルの場合

    検索対象のユーザより1つ上の階層のDN

必須

なし

auth.ldap.<サーバ識別名>.retry.interval

LDAPサーバの通信に失敗した場合のリトライ間隔。1~5の範囲で指定します。単位は秒です。※2

省略可

1

auth.ldap.<サーバ識別名>.retry.times

LDAPサーバの通信に失敗した場合のリトライ回数。0~3の範囲で指定します。0を指定するとリトライしません。※2

省略可

3

auth.ldap.<サーバ識別名>.domain.name

LDAPサーバが管理するドメインの名称。

必須

なし

auth.ldap.<サーバ識別名>.dns_lookup

DNSサーバのSRVレコードに登録してある情報を使用してLDAPサーバを検索するかどうか。

"false"(ホスト名やポート番号で検索する)を指定してください。

"true"(DNSサーバのSRVレコードに登録してある情報で検索する)は、指定しないでください。

省略可

false
注※1

「auth.ldap.<サーバ識別名>.dns_lookup」に「true」を指定した場合に省略できます。

注※2

指定可能な値以外を指定した場合は、デフォルト値が設定されます。

注※3

属性値に記号(+ ; , < = >など)を入力する場合、記号の前に円記号(\)を入力してエスケープしてください。記号を複数入力する場合、1文字ごとに円記号(\)を入力してください。

例えば、searchdnに指定した値が「abc++」の場合は、次のように入力して「+」をエスケープしてください。

abc\+\+

ただし、\、/、または"を入力するときは、円記号(\)のあとにそれぞれの記号のASCIIコードを16進数で入力してください。

  • 「\」は、「\5c」と入力します。

  • 「/」は、「\2f」と入力します。

  • 「"」は、「\22」と入力します。

例えば、searchdnに指定した値が「abc\」の場合は、次のように入力してください。

abc\5c

ページの先頭へ

(2) RADIUS用コンフィグファイルを作成する

認証サーバとしてRADIUSサーバを使用するには、テキストエディタでコンフィグファイルを作成し、認証サーバおよび認可サーバの情報を次の形式で定義します。ファイル名および拡張子は任意です。なお、認可サーバを使用しない場合は、認可サーバについての項目の定義は不要です。

注意

コンフィグファイルをWindows標準のメモ帳アプリケーションで保存する場合は保存時に文字コード「ANSI」を指定してください。

メモ帳以外のエディタを使用しておりUTF-8のBOM設定がある場合は、「BOMなし」を指定して保存してください。

形式

#コメント
auth.server.type=radius
auth.server.name=<サーバ識別名>
auth.group.mapping=<値>
auth.radius.<サーバ識別名>.<属性>=<値>
auth.group.<ドメイン名>.<属性>=<値>

auth.server.type=radius
auth.server.name=PrimaryServer
auth.group.mapping=true
auth.radius.PrimaryServer.protocol=PAP
auth.radius.PrimaryServer.host=example.com
auth.radius.PrimaryServer.port=1812
auth.radius.PrimaryServer.timeout=3
auth.radius.PrimaryServer.secret=secretword
auth.radius.PrimaryServer.retry.times=3
auth.radius.PrimaryServer.domain.name=radius.example.com
auth.group.radius.example.com.protocol=ldaps
auth.group.radius.example.com.host=xxx.xxx.xxx.xxx
auth.group.radius.example.com.port=636
auth.group.radius.example.com.searchdn=CN=sample1,CN=Users,DC=domain,DC=local
auth.group.radius.example.com.searchpw=password
auth.group.radius.example.com.basedn=CN=Users,DC=domain,DC=local

RADIUS用設定項目(認証サーバ分)

属性

説明

省略可否

デフォルト値

auth.server.type

認証サーバの種別。radiusを指定してください。

必須

なし

auth.server.name

サーバの識別名。正・副2台の認証サーバを登録する場合は、認証サーバの識別名をコンマ(,)で区切ってください。認証サーバの識別名は、正・副合わせて64バイト以下で指定します。複数の認証サーバを登録するときの区切り文字のコンマ(,)は、1バイトにカウントされます。

次の記号を除くASCIIコードを使用できます。\ / : , ; * ? “ < > | $ % & ‘ ~

これより以下の項目では、ここで設定した値を<サーバ識別名>といいます。

必須

なし

auth.group.mapping

認可サーバと連携するかどうか。

  • true:連携する

  • false:連携しない

省略可

false

auth.radius.<サーバ識別名>.protocol

使用するRADIUSプロトコル。

  • PAP:ユーザIDとパスワードを平文で送る方式

  • CHAP:パスワードを暗号化して送る方式

必須

なし

auth.radius.<サーバ識別名>.host

RADIUSサーバのホスト名、IPv4アドレス、またはIPv6アドレス。IPv6アドレスは[]で囲んで指定してください。

必須※1

なし

auth.radius.<サーバ識別名>.port

RADIUSサーバのポート番号。1~65535の範囲で指定します。

省略可※2

1812

auth.radius.<サーバ識別名>.timeout

RADIUSサーバとの接続タイムアウトを検出するまでの時間。1~30の範囲で指定します。単位は秒です。

省略可※2

10

auth.radius.<サーバ識別名>.secret

PAPまたはCHAP認証で使用するRADIUSシークレット(共有鍵)。

必須

なし

auth.radius.<サーバ識別名>.retry.times

RADIUSサーバの通信に失敗した場合のリトライ回数。0~3の範囲で指定します。0を指定するとリトライしません。

省略可※2

3

auth.radius.<サーバ識別名>.attr.NAS-Identifier

RADIUSサーバがSVPを識別するための識別子。ユーザのRADIUS環境でattr.NAS-Identifier属性を使用している場合に、この項目を定義してください。ASCIIコードを使用できます。253バイトまでで指定してください。

省略可

なし

auth.radius.<サーバ識別名>.attr.NAS-IP-Address

SVPのIPv4アドレス。NAS-IP-Addressの属性値を指定します。認証要求時には、この値がRADIUSサーバに送信されます。

省略可

なし

auth.radius.<サーバ識別名>.attr.NAS-IPv6-Address

SVPのIPv6アドレス。NAS-IPv6-Addressの属性値を指定します。認証要求時には、この値がRADIUSサーバに送信されます。

省略可

なし
注※1

外部認可でDNS照会する場合、設定が不要になります。

注※2

指定可能な値以外を指定した場合は、デフォルト値が設定されます。

RADIUS用設定項目(認可サーバ分)

属性

説明

省略可否

デフォルト値

auth.radius.<サーバ識別名>.domain.name

LDAPサーバが管理するドメインの名称。

これより以下の項目では、ここで設定した値を<ドメイン名>といいます。

必須

なし

auth.radius.<サーバ識別名>.dns_lookup

DNSサーバのSRVレコードに登録してある情報を使用してLDAPサーバを検索するかどうか。

"false"(ホスト名やポート番号で検索する)を指定してください。

"true"(DNSサーバのSRVレコードに登録してある情報で検索する)は、指定しないでください。

省略可

false

auth.group.<ドメイン名>.protocol

使用するLDAPプロトコル。

"ldaps"(LDAP over SSL/TLSを用いた認証)を指定してください。

"starttls"(StartTLSを用いた認証)は、指定しないでください。

必須

なし

auth.group.<ドメイン名>.host

LDAPサーバのホスト名、IPv4アドレス、またはIPv6アドレス。IPv6アドレスは[]で囲んで指定してください。

省略可※1

なし

auth.group.<ドメイン名>.port

LDAPサーバのポート番号。1~65535の範囲で指定します。

省略可※2

389

auth.group.<ドメイン名>.searchdn

検索用ユーザのDN。

必須

なし

auth.group.<ドメイン名>.searchpw

検索用ユーザのパスワード。LDAPサーバに登録しているパスワードと同じ値を指定してください。

必須

なし

auth.group.<ドメイン名>.basedn

認証するユーザを検索する際に基点となるDN(BaseDN)。指定したDNより下の階層のユーザが検索の対象となるため、検索するユーザをすべて含む階層のDNを指定してください。

省略可※3

abbr

auth.group.<ドメイン名>.timeout

LDAPサーバとの接続タイムアウトを検出するまでの時間。1~30の範囲で指定します。単位は秒です。

省略可※2

10

auth.group.<ドメイン名>.retry.interval

LDAPサーバの通信に失敗した場合のリトライ間隔。1~5の範囲で指定します。単位は秒です。

省略可※2

1

auth.group.<ドメイン名>.retry.times

LDAPサーバの通信に失敗した場合のリトライ回数。0~3の範囲で指定します。0を指定するとリトライしません。

省略可※2

3
注※1

「auth.radius.<サーバ識別名>.dns_lookup」に「true」を指定した場合に省略できます。

注※2

指定可能な値以外を指定した場合は、デフォルト値が設定されます。

注※3

属性値に記号(+ ; , < = >など)を入力する場合、記号の前に円記号(\)を入力してエスケープしてください。記号を複数入力する場合、1文字ごとに円記号(\)を入力してください。

例えば、basednに指定した値が「abc++」の場合は、次のように入力して「+」をエスケープしてください。

abc\+\+

ただし、\、/、または"を入力するときは、円記号(\)のあとにそれぞれの記号のASCIIコードを16進数で入力してください。

  • 「\」は、「\5c」と入力します。

  • 「/」は、「\2f」と入力します。

  • 「"」は、「\22」と入力します。

例えば、basednに指定した値が「abc\」の場合は、次のように入力してください。

abc\5c

ページの先頭へ

(3) Kerberos用コンフィグファイルを作成する

認証サーバとしてKerberosサーバを使用するには、テキストエディタでコンフィグファイルを作成し、認証サーバおよび認可サーバの情報を次の形式で定義します。ファイル名および拡張子は任意です。なお、認可サーバを使用しない場合は、認可サーバについての項目の定義は不要です。

注意

コンフィグファイルをWindows標準のメモ帳アプリケーションで保存する場合は保存時に文字コード「ANSI」を指定してください。

メモ帳以外のエディタを使用しておりUTF-8のBOM設定がある場合は、「BOMなし」を指定して保存してください。

形式

#コメント
auth.server.type=kerberos
auth.group.mapping=<値>
auth.kerberos.<属性>=<値>
auth.group.<レルム名>.<属性>=<値>

auth.server.type=kerberos
auth.group.mapping=true
auth.kerberos.default_realm=example.com
auth.kerberos.dns_lookup_kdc=true
auth.kerberos.clockskew=300
auth.kerberos.timeout=10
auth.group.example.com.protocol=ldaps
auth.group.example.com.port=636
auth.group.example.com.searchdn=CN=sample1,CN=Users,DC=domain,DC=local
auth.group.example.com.searchpw=password
auth.group.example.com.basedn=CN=Users,DC=domain,DC=local

Kerberos用設定項目(認証サーバ分)

属性

説明

省略可否

デフォルト値

auth.server.type

認証サーバの種別。kerberosを指定してください。

必須

なし

auth.group.mapping

認可サーバと連携するかどうか。

  • true:連携する

  • false:連携しない

省略可

false

auth.kerberos.default_realm

デフォルトのレルム名。

必須

なし

auth.kerberos.dns_lookup_kdc

DNSサーバのSRVレコードに登録してある情報を使用してKerberosサーバを検索するかどうか。

"false"(ホスト名やポート番号で検索する)を指定してください。

"true"(DNSサーバのSRVレコードに登録してある情報で検索する)は、指定しないでください。

省略可

false

auth.kerberos.clockskew

SVPとKerberosサーバ間の時刻の差の許容範囲。

0~300の範囲で指定します。

省略可※1

300

auth.kerberos.timeout

Kerberosサーバとの接続タイムアウトを検出するまでの時間。1~30の範囲で指定します。単位は秒です。

省略可※1

10

auth.kerberos.realm_name

レルム識別名。レルムごとにKerberosサーバの情報を区別するための任意の名称。同じレルム名は重複登録はできません。複数登録する場合は、コンマ(,)で区切ってください。

これより以下の項目では、ここで設定した値を<レルム識別名>といいます。

省略可※2

なし

auth.kerberos.<レルム識別名>.realm

Kerberosサーバに設定してあるレルム名。

省略可※2

なし

auth.kerberos.<レルム識別名>.kdc

Kerberosサーバのホスト名またはIPv4アドレス、およびポート番号。

「<ホスト名またはIPアドレス>[:ポート番号]」の形式で指定してください。

省略可※2

なし
注※1

指定可能な値以外を指定した場合は、デフォルト値が設定されます。

注※2

「auth.kerberos.dns_lookup_kdc」で「true」を指定した場合に省略できます。

Kerberos用設定項目(認可サーバ分)

属性

説明

省略可否

デフォルト値

auth.group.<レルム識別名>.protocol

使用するLDAPプロトコル。

"ldaps"(LDAP over SSL/TLSを用いた認証)を指定してください。

"starttls"(StartTLSを用いた認証)は、指定しないでください。

必須

なし

auth.group.<レルム識別名>.port

LDAPサーバのポート番号。1~65535の範囲で指定します。

省略可※1

389

auth.group.<レルム識別名>.searchdn

検索用ユーザのDN。

必須※2

なし

auth.group.<レルム識別名>.searchpw

検索用ユーザのパスワード。LDAPサーバに登録しているパスワードと同じ値を指定してください。

必須

なし

auth.group.<レルム識別名>.timeout

LDAPサーバとの接続タイムアウトを検出するまでの時間。1~30の範囲で指定します。単位は秒です。

省略可※1

10

auth.group.<レルム識別名>.retry.interval

LDAPサーバの通信に失敗した場合のリトライ間隔。1~5の範囲で指定します。単位は秒です。

省略可※1

1

auth.group.<レルム識別名>.retry.times

LDAPサーバの通信に失敗した場合のリトライ回数。0~3の範囲で指定します。0を指定するとリトライしません。

省略可※1

3

auth.group.<レルム識別名>.basedn

認証するユーザを検索する際に基点となるDN(BaseDN)。指定したDNより下の階層のユーザが検索の対象となるため、検索するユーザをすべて含む階層のDNを指定してください。

省略可※2

abbr
注※1

指定可能な値以外を指定した場合は、デフォルト値が設定されます。

注※2

属性値に記号(+ ; , < = >など)を入力する場合、記号の前に円記号(\)を入力してエスケープしてください。記号を複数入力する場合、1文字ごとに円記号(\)を入力してください。

例えば、searchdnに指定した値が「abc++」の場合は、次のように入力して「+」をエスケープしてください。

abc\+\+

ただし、\、/、または"を入力するときは、円記号(\)のあとにそれぞれの記号のASCIIコードを16進数で入力してください。

  • 「\」は、「\5c」と入力します。

  • 「/」は、「\2f」と入力します。

  • 「"」は、「\22」と入力します。

例えば、searchdnに指定した値が「abc\」の場合は、次のように入力してください。

abc\5c

ページの先頭へ

Hitachi Virtual Storage Platform (VSP) E990 (SVOS RF 9.5)

Hitachi Virtual Storage Platform (VSP) F350, F370, F700, F900 (SVOS RF 9.5)

Hitachi Virtual Storage Platform (VSP) G130, G150, G350, G370, G700, G900 (SVOS RF 9.5)