「連合セキュリティーのセットアップ」ウィザード: レジストリーの構成

変更の開始このページでは、PowerHA® SystemMirror ユーザーおよびグループの認証用レジストリーのタイプを選択します。 ローカル・レジストリーまたは Lightweight Directory Access Protocol (LDAP) サーバー・レジストリーを使用できます。変更の終了

変更の開始PowerHA SystemMirror 環境に適したレジストリー・モード変更の終了

変更の開始以下の 2 タイプのユーザー・レジストリー構成の 1 つを使用できます。 変更の終了

フィールド

レジストリー・タイプ
ユーザーおよびグループの認証情報を保管するために使用するレジストリーのタイプを選択します。 以下のレジストリー・タイプのいずれかを選択できます。
LDAP
すべての認証情報および資格情報を、LDAP サーバー上のディレクトリーに集中して保管します。

変更の開始このオプションを選択する場合は、LDAP サーバーとクラスター・ノード上のクライアントの構成情報を指定する必要があります。 さらに、サーバーとクライアント間の接続を確立するための情報も指定する必要があります。 構成される接続では、通信を保護するために鍵データベースおよび Secure Sockets Layer (SSL) が使用されます。 変更の終了

ローカル
クラスター内のノード上のローカル・ディレクトリーにすべての認証情報および資格情報を保管します。 このオプションを選択すると、PowerHA SystemMirror は、すべての情報および資格情報を、クラスター内の影響を受ける各ノードにローカルに保管します。 このオプションを選択した場合は、レジストリーのその他の構成情報を指定する必要はありません。

LDAP レジストリー・フィールド

新規または既存の LDAP サーバー
連合セキュリティーに新規 LDAP サーバーと既存の LDAP サーバーのどちらを使用するかを選択します。
変更の開始新規変更の終了
新規ピアツーピア LDAP サーバーをクラスター内で構成します。このオプションを使用するには、必要なファイルセットをインストールしておく必要があります。 スケーラビリティーを高めるために、ピアツーピア構成は最大 4 つのノードを持ちます。
既存
変更の開始1 つ以上の既存の LDAP サーバーをクラスターに追加します。 また、LDAP サーバーのホスト名を手動で指定できます。 PowerHA SystemMirror では、既存の LDAP サーバー上の現行構成を更新するために指定した情報が使用されます。 このオプションを選択する前に、選択する LDAP サーバーが、PowerHA SystemMirror で使用するための前提条件をすべて満たしていることを確認してください。 変更の終了
LDAP サーバーまたはホスト名
変更の開始LDAP サーバーを構成し、接続の作成先とするノードをリストから 1 つ以上選択します。 また、1 つ以上の LDAP サーバーの完全修飾ホスト名を指定できます。 既存の接続のホスト名はコンマで区切ります。 変更の終了
LDAP 管理者 DN
PowerHA SystemMirror が LDAP サーバーへのバインドに使用する必要がある LDAP 管理者識別名 (DN) を指定します。

指定する DN は LDAP サーバー上に存在していなければなりません。

LDAP クライアントが LDAP サーバー内のエントリーに対して操作を実行できるかどうかは、このバインディング DN のアクセス権限によって決まります。

例えば、cn=admin cn=proxy, o=ibm, cn=user, ou=people, cn=aixdata のようにバインド DN を指定します。 デフォルト値は cn=admin です。

LDAP 管理者パスワード
「LDAP 管理者 DN」プロパティーの LDAP 管理者パスワードを英数字のみで指定します。

使用するパスワードは、指定した DN の、LDAP サーバー上のパスワードと一致しなければなりません。

DB2 インスタンス・パスワード
クラスターのセキュリティー情報を保管するデータベース・インスタンスにアクセスするための DB2® インスタンス・パスワードを指定します。 パスワードは英数字のみで構成されていなければなりません。
サフィックス/ベース DN
LDAP サーバーでユーザー、グループ、および他のネットワーク情報エンティティーを検索するためのサフィックスまたはベース識別名 (DN) を指定します。 この DN は、クラスターの LDAP ディレクトリーに情報を保管する他のすべての DN の root です。

デフォルト値は cn=aixdata, o=ibm です。

サーバー・ポート番号
LDAP サーバーとの通信に使用する LDAP サーバー上のポート番号を指定します。

デフォルトのポート番号は 636 (LDAP サーバーでの SSL 通信の標準ポート) です。

鍵 stash ファイルの暗号化シード
LDAP サーバー用の鍵 stash ファイルを生成するための 12 文字以上の英数字を指定します。
スキーマ・タイプ
LDAP サーバーのユーザー・エントリーまたはグループ・エントリーを表すために PowerHA SystemMirror が必要とする LDAP スキーマを表示します。

デフォルト値は rfc2307aix です。 この値は、LDAP サーバーが、RFC 2307 および補助 AIX® スキーマを使用するように構成されている必要があることを示しています。 LDAP サーバーは、フル AIX 属性サポートを提供するためにこの構成を必要とします。

LDAP バージョン
指定された LDAP サーバーの LDAP バージョン番号を表示します。
認証タイプ
ユーザーを認証する方式を以下から 1 つ選択します。
unix_auth
LDAP サーバーからユーザー・パスワードを取得し、ユーザーをローカルで認証します。
ldap_auth
ユーザー・パスワードを取得し、ユーザーを認証します。 このオプションがデフォルト値です。
変更の開始サーバー SSL変更の終了
サーバー鍵パス
SSL 鍵サーバー・データベースへの絶対パスを指定します。
サーバー鍵パスワード
SSL サーバーの SSL 鍵パスワードを指定します。
変更の開始クライアント SSL変更の終了
クライアント鍵パス
SSL 鍵クライアント・データベースへの絶対パスを指定します。
クライアント鍵パスワード
SSL クライアントの SSL 鍵パスワードを指定します。

パスワードを指定しない場合は、パスワード stash ファイルが存在する必要があります。この既存の stash ファイルは、サーバーの SSL 鍵サーバー・データベースと同じパスにある必要があり、その拡張子は .sth でなければなりません。

連合セキュリティーについて詳しくは、AIX インフォメーション・センターのトピック『フェデレーテッド・セキュリティー』を参照してください。