Hitachi

 システム管理者 クイックリファレンス


3.5.4 認証サーバを用いた外部認証の要件

認証サーバのプロトコルには、LDAP、RADIUS、またはKerberosが使用できます。LDAPRADIUSKerberos

LDAPの場合

項目

要件

認証形式

  • LDAPv3 Simple bind認証

Storage Navigatorに設定するルート証明書ファイルの形式

  • X509 DER形式

  • X509 PEM形式

Storage Navigatorに設定するルート証明書の要件

  • X.509証明書の拡張プロファイルのフィールドについては、RFC5280に規定される「基本制限(BasicConstraints)」、「キー使用法(KeyUsage)」、「サブジェクトキー識別子(Subject Key Identifier)」以外が使用されていないこと。

接続先のサーバに設定されている証明書の要件

  • X.509証明書の拡張プロファイルのフィールドについては、RFC5280に規定される「基本制限(BasicConstraints)」、「キー使用法(KeyUsage)」、「サブジェクトキー識別子(Subject Key Identifier)」以外が使用されていないこと。

  • サーバ証明書の公開鍵暗号方式がRSAであること。

  • DNSサーバを使用しない場合は、証明書のコモンネームに 認証サーバのIPアドレスを入力すること。

  • 証明書チェーンの階層数を確認してください。階層の上限は5です。証明書チェーンの階層数が5以下の証明書を使用してください。

注※

Bind DNを使用して認証します。

RADIUSの場合

項目

要件

認証形式

  • RFC2865準拠RADIUS

    • PAP認証

    • CHAP認証

Kerberosの場合

項目

要件

認証形式

  • Kerberos v5

暗号タイプ

Windowsの場合

  • AES128-CTS-HMAC-SHA1-96

  • RC4-HMAC

  • DES3-CBC-SHA1

  • DES-CBC-CRC

  • DES-CBC-MD5

SolarisまたはLinuxの場合

  • DES-CBC-MD5

注意
  • 接続できる認証サーバは正・副2台です。正サーバと副サーバでは、IPアドレスおよびポート以外は同一の設定にしてください。副サーバは、ホスト名とポート番号以外は正サーバのものを使用します。

  • DNSサーバのSRVレコードに登録してある情報を使用してサーバを検索する場合は、次の条件を満たしていることを確認してください。なお、RADIUSサーバの場合は、SRVレコードを使用できません。

    LDAPサーバの場合

    • LDAPサーバで、DNSサーバの環境設定が完了していること。

    • DNSサーバに、LDAPサーバのホスト名、ポート番号、ドメイン名などが登録してあること。

    Kerberosサーバの場合

    • DNSサーバに、Kerberosサーバのホスト名、ポート番号、ドメイン名などが登録してあること。

  • RADIUSサーバへのアクセスにはUDP/IPが使われるため、プロセス間でネゴシエーションした上での暗号通信ができません。セキュアな環境でRADIUSサーバにアクセスするには、IPsecなどの通信のパケットレベルでの暗号化が必要です。