このページでは、PowerHA® SystemMirror ユーザーおよびグループの認証用レジストリーのタイプを選択します。
ローカル・レジストリーまたは Lightweight Directory Access Protocol (LDAP) サーバー・レジストリーを使用できます。
PowerHA SystemMirror 環境に適したレジストリー・モード

以下の 2 タイプのユーザー・レジストリー構成の 1 つを使用できます。
- 「ローカル」レジストリーを使用すると、単一クラスター専用の認証方式が提供されます。
ローカル・レジストリー・オプションは集中化認証方式ではなく、通信の保護に Secure Sockets Layer (SSL) は使用されません。
代わりに PowerHA SystemMirror は、すべての情報および資格情報を、クラスター内の影響を受ける各ノードにローカルに保管します。
ローカル・レジストリーを使用することを選択した場合は、レジストリーの構成情報を指定する必要はありません。
- LDAP レジストリーを使用すると、PowerHA SystemMirror の安全な認証を行うために最適な手段が提供され、すべてのクラスターおよびサイト全体での認証の保守が容易になります。
LDAP は、中央にあるディレクトリー内の情報にアクセスおよび更新するための標準的な方式です。
PowerHA SystemMirror は、LDAP を使用して、複数のクラスター間で共通の認証、グループ、およびユーザーの情報を保持します。
LDAP サーバー・レジストリーを使用することを選択した場合は、構成情報を指定して、PowerHA SystemMirror が LDAP サーバーをアクセスおよび使用できるようにする必要があります。

フィールド
- レジストリー・タイプ
- ユーザーおよびグループの認証情報を保管するために使用するレジストリーのタイプを選択します。
以下のレジストリー・タイプのいずれかを選択できます。
- LDAP
- すべての認証情報および資格情報を、LDAP サーバー上のディレクトリーに集中して保管します。
このオプションを選択する場合は、LDAP サーバーとクラスター・ノード上のクライアントの構成情報を指定する必要があります。
さらに、サーバーとクライアント間の接続を確立するための情報も指定する必要があります。
構成される接続では、通信を保護するために鍵データベースおよび Secure Sockets Layer (SSL) が使用されます。

- ローカル
- クラスター内のノード上のローカル・ディレクトリーにすべての認証情報および資格情報を保管します。
このオプションを選択すると、PowerHA SystemMirror は、すべての情報および資格情報を、クラスター内の影響を受ける各ノードにローカルに保管します。
このオプションを選択した場合は、レジストリーのその他の構成情報を指定する必要はありません。
LDAP レジストリー・フィールド
- 新規または既存の LDAP サーバー
- 連合セキュリティーに新規 LDAP サーバーと既存の LDAP サーバーのどちらを使用するかを選択します。
新規
- 新規ピアツーピア LDAP サーバーをクラスター内で構成します。このオプションを使用するには、必要なファイルセットをインストールしておく必要があります。
スケーラビリティーを高めるために、ピアツーピア構成は最大 4 つのノードを持ちます。
- 既存
1 つ以上の既存の LDAP サーバーをクラスターに追加します。
また、LDAP サーバーのホスト名を手動で指定できます。
PowerHA SystemMirror では、既存の LDAP サーバー上の現行構成を更新するために指定した情報が使用されます。
このオプションを選択する前に、選択する LDAP サーバーが、PowerHA SystemMirror で使用するための前提条件をすべて満たしていることを確認してください。

- LDAP サーバーまたはホスト名
LDAP サーバーを構成し、接続の作成先とするノードをリストから 1 つ以上選択します。
また、1 つ以上の LDAP サーバーの完全修飾ホスト名を指定できます。
既存の接続のホスト名はコンマで区切ります。

- LDAP 管理者 DN
- PowerHA SystemMirror が LDAP サーバーへのバインドに使用する必要がある LDAP 管理者識別名 (DN) を指定します。
指定する DN は LDAP サーバー上に存在していなければなりません。
LDAP クライアントが LDAP サーバー内のエントリーに対して操作を実行できるかどうかは、このバインディング DN のアクセス権限によって決まります。
例えば、cn=admin cn=proxy, o=ibm, cn=user, ou=people, cn=aixdata のようにバインド DN を指定します。
デフォルト値は cn=admin です。
- LDAP 管理者パスワード
- 「LDAP 管理者 DN」プロパティーの LDAP 管理者パスワードを英数字のみで指定します。
使用するパスワードは、指定した DN の、LDAP サーバー上のパスワードと一致しなければなりません。
- DB2 インスタンス・パスワード
- クラスターのセキュリティー情報を保管するデータベース・インスタンスにアクセスするための DB2® インスタンス・パスワードを指定します。
パスワードは英数字のみで構成されていなければなりません。
- サフィックス/ベース DN
- LDAP サーバーでユーザー、グループ、および他のネットワーク情報エンティティーを検索するためのサフィックスまたはベース識別名 (DN) を指定します。
この DN は、クラスターの LDAP ディレクトリーに情報を保管する他のすべての DN の root です。
デフォルト値は cn=aixdata,
o=ibm です。
- サーバー・ポート番号
- LDAP サーバーとの通信に使用する LDAP サーバー上のポート番号を指定します。
デフォルトのポート番号は 636 (LDAP サーバーでの SSL 通信の標準ポート) です。
- 鍵 stash ファイルの暗号化シード
- LDAP サーバー用の鍵 stash ファイルを生成するための 12 文字以上の英数字を指定します。
- スキーマ・タイプ
- LDAP サーバーのユーザー・エントリーまたはグループ・エントリーを表すために PowerHA SystemMirror が必要とする LDAP スキーマを表示します。
デフォルト値は rfc2307aix です。
この値は、LDAP サーバーが、RFC 2307 および補助 AIX® スキーマを使用するように構成されている必要があることを示しています。
LDAP サーバーは、フル AIX 属性サポートを提供するためにこの構成を必要とします。
- LDAP バージョン
- 指定された LDAP サーバーの LDAP バージョン番号を表示します。
- 認証タイプ
- ユーザーを認証する方式を以下から 1 つ選択します。
- unix_auth
- LDAP サーバーからユーザー・パスワードを取得し、ユーザーをローカルで認証します。
- ldap_auth
- ユーザー・パスワードを取得し、ユーザーを認証します。
このオプションがデフォルト値です。
サーバー SSL
- サーバー鍵パス
- SSL 鍵サーバー・データベースへの絶対パスを指定します。
- サーバー鍵パスワード
- SSL サーバーの SSL 鍵パスワードを指定します。
クライアント SSL
- クライアント鍵パス
- SSL 鍵クライアント・データベースへの絶対パスを指定します。
- クライアント鍵パスワード
- SSL クライアントの SSL 鍵パスワードを指定します。
パスワードを指定しない場合は、パスワード stash ファイルが存在する必要があります。この既存の stash ファイルは、サーバーの SSL 鍵サーバー・データベースと同じパスにある必要があり、その拡張子は .sth でなければなりません。
連合セキュリティーについて詳しくは、AIX インフォメーション・センターのトピック『フェデレーテッド・セキュリティー』を参照してください。