リモート認証の構成
リモート認証により、外部認証サービスに保管された資格情報を使用するシステムに対してユーザーを認証することが可能になります。リモート認証を構成する場合、システム上でユーザーを構成したり、さらにパスワードを割り当てたりする必要はありません。代わりに、リモート・サービス上で定義された既存のパスワードおよびユーザー・グループを使用して、ユーザー管理とアクセスの単純化、パスワード・ポリシーの効率化、およびストレージ管理からのユーザー管理の分離を実現することができます。
リモート・ユーザーは、Lightweight Directory Access Protocol (LDAPv3) をサポートするリモート・サービスで認証されます。オプションの SSH 鍵を構成するために、リモート・ユーザーをシステム上のユーザーのリストに追加する必要はありません。リモート・サービスが起動していないときは、リモート・ユーザーはシステムにアクセスできません。その場合、リモート・サービスが復元されるまで、ローカル・ユーザー・アカウントを使用する必要があります。 リモート・ユーザーのグループは、リモート認証サービスによって定義されます。
管理 GUI を使用する場合
- 管理 GUI で、を選択します。
- を選択します。
- 「LDAP」を選択します。
- 認証に使用する LDAP サーバーのタイプを選択します。
- 以下のいずれかのセキュリティー・オプションを選択します。
- StartTLS を使用した LDAP
- 標準の LDAP ポート (389) を TLS または SSL を使用して暗号化されるポートにアップグレードする拡張機能を構成するには、このオプションを選択します。 ディレクトリー・サーバーへの初期接続は暗号化されませんが、ポート 636 が使用できないシステム上で使用できます。
- LDAPS
- デフォルトのセキュア・ポート (636) を使用して LDAP 通信を保護するには、このオプションを選択します。ディレクトリー・サーバーへのすべてのトランザクションで、接続が暗号化されます。
- セキュリティーなしの LDAP
- 暗号化を行わずに平文形式でデータを転送するには、このオプションを選択します。
- オプションのサービス資格情報を指定するか、拡張 LDAP 設定を変更します。
次の LDAP 属性を構成することができます。
- ユーザー属性
- すべてのサーバー・タイプで、LDAP ユーザー属性で定義されたユーザー名を使用してユーザーが認証されます。 この属性は、ご使用の LDAP スキーマ内に存在し、各ユーザーごとに固有である必要があります。 Active Directory ユーザーは、そのユーザーのユーザー・プリンシパル名 (UPN) または NT ログイン名を使用して認証することもできます。
- グループ属性
- 認証されたユーザーは、そのユーザーの LDAP グループ・メンバーシップに従って役割が割り当てられます。 ユーザーが属するグループは、LDAP グループ属性に保管されます。 この属性値は、各グループの識別名、あるいはユーザー・グループ名のコロン区切りリストです。
- 監査ログ属性
- LDAP ユーザーが監査アクションを実行すると、監査ログ属性の内容が監査ログに記録されます。
- 認証に使用する最大 6 個の LDAP サーバーを定義します。複数のサーバーを構成することで、さまざまなユーザー・セットへのアクセスや冗長性を提供することができます。 どのサーバーがユーザーの認証に優先されるかを構成することもできます。
- ご使用の LDAP 構成を確認します。LDAP サーバーへの接続をテストするには、を選択します。LDAP サーバーへの認証をテストするには、を選択し、ユーザーの対応する資格情報を入力します。
- パスワードを使用しないアクセスが必要なリモート・ユーザーは、システム上にセキュア・シェル (SSH) 鍵を構成する必要があります。SSH 鍵アクセス用のリモート・ユーザーを構成するには、以下の手順を実行してください。
- を選択します。
- 「新規ユーザー」を選択するか、を選択して既存のユーザーを変更します。
- リモート認証モードを選択し、SSH 公開鍵を指定します。パスワードを入力しないコマンド・ライン・アクセスが必要な場合は、SSH 公開鍵を使用します。
システムからユーザーを削除するには、以下の手順を実行してください。
- を選択します。
- ユーザーを右クリックし、を選択します。
コマンド・ライン・インターフェースの使用
コマンド・ライン・インターフェースを使用して、LDAP でのユーザー認証を有効にするには、以下のステップを実行します。- chldap コマンドを入力して LDAP を構成します。このコマンドは、IBM Security Directory Server と AD の両方のデフォルト設定値を提供します。例えば、IBM Security Directory Server スキーマのデフォルトとトランスポート層セキュリティー (TLS) を使用して認証を構成するには、次のコマンドを入力します。
chldap -type itds -security tlsLDAP 構成を検査するには、lsldap コマンドを使用します。注: TLS を使用して、送信されるパスワードが暗号化されるようにします。 - mkldapserver コマンドを指定して、認証に使用する最大 6 つの LDAP サーバーを定義します。さまざまなユーザー・セットへのアクセスを提供するため、または冗長性を確保するために、複数のサーバーを構成できます。すべてのサーバーが、chldap で構成された設定値を共有する必要があります。例えば、SSL 証明書と
cn=users,dc=company,dc=comサブツリーのユーザーを使用して LDAP サーバーを構成するには、次のコマンドを入力します。mkldapserver -ip 9.71.45.108 -basedn cn=users,dc=company,dc=com -sslcert /tmp/sslcert.pemまた、ユーザーを認証するために優先的に使用されるサーバーを構成することもできます。
LDAP サーバー構成情報を見るには、lsldapserver を指定します。構成済み LDAP サーバーを変更するには、chldapserver および rmldapserver を指定します。
- 認証サービスで使用されているユーザー・グループとの突き合わせを行って、システム上にユーザー・グループを構成します。
認証サービスに認識されているそれぞれのインタレストのグループごとに、同じ名前および使用可能になっているリモート設定値を使用して、システムのユーザー・グループを作成する必要があります。 例えば、
sysadminsというグループのメンバーにシステム管理者 (admin) の役割が必要な場合は、次のコマンドを入力します。mkusergrp -name sysadmins -remote -role Administratorいずれのユーザー・グループもシステム・ユーザー・グループと一致しない場合、ユーザーはシステムにアクセスできません。
- testldapserver コマンドを使用して、LDAP 構成を検査します。LDAP サーバーへの接続をテストするには、オプションを指定せずにコマンドを入力します。構成エラーがないかをテストするには、ユーザー名を指定する際にパスワードを指定しても指定しなくてもかまいません。各サーバーに対する完全な認証の試行を処理するには、以下のコマンドを入力します。
testldapserver -username username -password 'password' - LDAP 認証を有効にするには、次のコマンドを入力します。
chauthservice -type ldap -enable yes - セキュア・シェル (SSH) 鍵アクセスを必要としないユーザーを構成します。リモート認証サービスを使用する必要があり、SSH 鍵アクセスを必要としないシステム・ユーザーを削除します。要確認: スーパーユーザーは削除できず、また、リモート認証サービスを使用できません。
- SSH 鍵アクセスを必要とするユーザーを構成します。
リモート認証サービスを使用し、SSH 鍵アクセスを必要とするすべてのシステム・ユーザーは、リモート設定値を使用可能にし、有効な SSH 鍵をシステムで構成する必要があります。
- LDAP サーバーとの通信時に使用するセキュリティーのタイプを指定します。
TLS を使用可能にするには、tls を指定します。標準の LDAP ポート (389) を TLS を使用して暗号化されるポートにアップグレードする拡張機能を構成するには、このオプションを選択します。ディレクトリー・サーバーへの初期接続は暗号化されませんが、ポート 636 が使用できないシステム上で使用できます。
SSL セキュリティーを有効にするには、ssl を指定します。このオプションは、デフォルトのセキュア・ポート (636) を使用して LDAP 通信を保護します。ディレクトリー・サーバーへのすべてのトランザクションで、接続が暗号化されます。 デフォルト値は none です。