Lightweight Directory Access Protocol を使用したリモート認証の構成

リモート認証により、外部認証サービスに保管された資格情報を使用して、ユーザーをシステムに対して認証することが可能になります。リモート認証を構成する場合、システム上でユーザーを構成したり、追加パスワードを割り当てたりする必要はありません。代わりに、リモート・サービス上で定義された既存のパスワードおよびユーザー・グループを使用して、ユーザー管理とアクセスの単純化、パスワード・ポリシーの効率化、およびストレージ管理からのユーザー管理の分離を実現することができます。

管理 GUI を使用する場合

LDAP を使用したリモート認証を構成するには、以下の手順を実行してください。

管理 GUI で、「設定」 > 「セキュリティー」 > 「リモート認証」を選択します。
「リモート認証の構成」を選択します。
「LDAP」を選択します。
認証に使用する LDAP サーバーのタイプを選択します。
以下のいずれかのセキュリティー・オプションを選択します。
トランスポート層セキュリティー (TLS)

標準の LDAP ポート (389) を TLS または SSL を使用して暗号化されるポートにアップグレードする拡張機能を構成するには、このオプションを選択します。ディレクトリー・サーバーへの初期接続は暗号化されませんが、ポート 636 が使用できないシステム上で使用できます。

Secure Sockets Layer (SSL)

デフォルトのセキュア・ポート (636) を使用して LDAP 通信を保護するには、このオプションを選択します。ディレクトリー・サーバーへのすべてのトランザクションで、接続が暗号化されます。

なし

暗号化を行わずに平文形式でデータを転送するには、このオプションを選択します。
オプションのサービス資格情報を指定するか、拡張 LDAP 設定を変更します。次の LDAP 属性を構成することができます。
ユーザー属性

すべてのサーバー・タイプで、LDAP ユーザー属性で定義されたユーザー名を使用してユーザーが認証されます。この属性は、ご使用の LDAP スキーマ内に存在し、各ユーザーごとに固有である必要があります。 Active Directory ユーザーは、そのユーザーのユーザー・プリンシパル名 (UPN) または NT ログイン名を使用して認証することもできます。

グループ属性

認証されたユーザーは、そのユーザーの LDAP グループ・メンバーシップに従って役割が割り当てられます。ユーザーが属するグループは、LDAP グループ属性に保管されます。この属性値は、各グループの識別名、あるいはユーザー・グループ名のコロン区切りリストです。

監査ログ属性

LDAP ユーザーが監査アクションを実行すると、監査ログ属性の内容が監査ログに記録されます。
認証に使用する最大 6 個の LDAP サーバーを定義します。複数のサーバーを構成することで、さまざまなユーザー・セットへのアクセスや冗長性を提供することができます。どのサーバーがユーザーの認証に優先されるかを構成することもできます。
ご使用の LDAP 構成を確認します。LDAP サーバーへの接続をテストするには、「グローバル・アクション」 > 「LDAP 接続のテスト」を選択します。LDAP サーバーへの認証をテストするには、「グローバル・アクション」 > 「LDAP 認証のテスト」を選択し、ユーザーの対応する資格情報を入力します。
パスワードを使用しないアクセスが必要なリモート・ユーザーは、システム上にセキュア・シェル (SSH) 鍵を構成する必要があります。SSH 鍵アクセス用のリモート・ユーザーを構成するには、以下の手順を実行してください。
1. 「アクセス」 > 「ユーザー」を選択します。
2. 「新規ユーザー」を選択するか、「アクション」 > 「プロパティー」を選択して既存のユーザーを変更します。
3. リモート認証モードを選択し、SSH 公開鍵を指定します。また、パスワードを入力しないコマンド・ライン・アクセスが必要な場合は、SSH 公開鍵を使用します。
システムからユーザーを削除するには、以下の手順を実行してください。
1. 「アクセス」 > 「ユーザー」を選択します。
2. ユーザーを右クリックし、「アクション」 > 「削除」を選択します。

コマンド・ライン・インターフェースの使用

コマンド・ライン・インターフェースを使用して、LDAP でのユーザー認証を有効にするには、以下のステップを実行します。

chldap コマンドを入力して LDAP を構成します。
このコマンドは、IBM Security Directory Server と AD の両方のデフォルト設定値を提供します。例えば、IBM Security Directory Server スキーマのデフォルトとトランスポート層セキュリティー (TLS) を使用して認証を構成するには、次のコマンドを入力します。
```
chldap -type itds -security tls
```
LDAP 構成を検査するには、lsldap コマンドを使用します。
注: TLS を使用して、送信されるパスワードが暗号化されるようにします。
mkldapserver コマンドを指定して、認証に使用する最大 6 つの LDAP サーバーを定義します。
さまざまなユーザー・セットへのアクセスを提供するため、または冗長性を確保するために、複数のサーバーを構成できます。すべてのサーバーが、chldap で構成された設定値を共有する必要があります。例えば、SSL 証明書と cn=users,dc=company,dc=com サブツリーのユーザーを使用して LDAP サーバーを構成するには、次のコマンドを入力します。
```
mkldapserver -ip 9.71.45.108 -basedn cn=users,dc=company,dc=com -sslcert /tmp/sslcert.pem
```
また、ユーザーを認証するために優先的に使用されるサーバーを構成することもできます。

LDAP サーバー構成情報を見るには、lsldapserver を指定します。構成済み LDAP サーバーを変更するには、chldapserver および rmldapserver を指定します。
認証サービスで使用されているユーザー・グループとの突き合わせを行って、システム上にユーザー・グループを構成します。
認証サービスに認識されているそれぞれのインタレストのグループごとに、同じ名前および使用可能になっているリモート設定値を使用して、システムのユーザー・グループを作成する必要があります。例えば、sysadmins というグループのメンバーにシステム管理者 (admin) の役割が必要な場合は、次のコマンドを入力します。
```
mkusergrp -name sysadmins -remote -role Administrator
```
いずれのユーザー・グループもシステム・ユーザー・グループと一致しない場合、ユーザーはシステムにアクセスできません。
testldapserver コマンドを使用して、LDAP 構成を検査します。
LDAP サーバーへの接続をテストするには、オプションを指定せずにコマンドを入力します。構成エラーがないかをテストするには、ユーザー名を指定する際にパスワードを指定しても指定しなくてもかまいません。各サーバーに対する完全な認証の試行を処理するには、以下のコマンドを入力します。
```
testldapserver -username username -password password
```
LDAP 認証を有効にするには、次のコマンドを入力します。
```
chauthservice -type ldap -enable yes
```
セキュア・シェル (SSH) 鍵アクセスを必要としないユーザーを構成します。
リモート認証サービスを使用する必要があり、SSH 鍵アクセスを必要としないシステム・ユーザーを削除します。
要確認: スーパーユーザーは削除できず、また、リモート認証サービスを使用できません。
SSH 鍵アクセスを必要とするユーザーを構成します。
リモート認証サービスを使用し、SSH 鍵アクセスを必要とするすべてのシステム・ユーザーは、リモート設定値を使用可能にし、有効な SSH 鍵をシステムで構成する必要があります。
LDAP サーバーとの通信時に使用するセキュリティーのタイプを指定します。
TLS を使用可能にするには、tls を指定します。標準の LDAP ポート (389) を TLS を使用して暗号化されるポートにアップグレードする拡張機能を構成するには、このオプションを選択します。ディレクトリー・サーバーへの初期接続は暗号化されませんが、ポート 636 が使用できないシステム上で使用できます。

SSL セキュリティーを有効にするには、ssl を指定します。このオプションは、デフォルトのセキュア・ポート (636) を使用して LDAP 通信を保護します。ディレクトリー・サーバーへのすべてのトランザクションで、接続が暗号化されます。デフォルト値は none です。