Veritas NetBackup™ Appliance Commands Reference Guide
- Overview
- 付録 A. Main > Appliance commands
- 付録 B. Main > Manage > FibreChannel commands
- 付録 C. Main > Manage > HighAvailability commands
- 付録 D. Main > Manage > Libraries commands
- 付録 E. Main > Manage > Libraries > Advanced > ACS commands
- 付録 F. Main > Manage > License commands
- 付録 G. Main > Manage > MountPoints commands
- 付録 H. Main > Manage > NetBackup CLI commands
- 付録 I. Main > Manage > OpenStorage commands
- 付録 J. Main > Manage > Software commands
- 付録 K. Main > Manage > Storage commands
- 付録 L. Main > Manage > Tapes commands
- 付録 M. Main > Manage > Certificates commands
- 付録 N. Main > Monitor commands
- 付録 O. Main > Network commands
- 付録 P. Main > Network > Security (IPsec) commands
- 付録 Q. Main > Reports commands
- 付録 R. Main > Settings commands
- 付録 S. Main > Settings > Alerts commands
- 付録 T. Main > Settings > Notifications view commands
- 付録 U. Main > Settings > Security commands
- 付録 V. Main > Support commands
名前
Main > Settings > Security > Authentication > LDAP — アプライアンスで LDAP(Lightweight Directory Access Protocol)ユーザーの登録および認証を構成して管理します。
概要
Attribute
Certificate
ConfigParam
Configure
Disable
Enable
Export
Groups
Import
List
Map
Show
Status
Unconfigure
Users
説明
LDAP コマンドを使って次のタスクを実行できます。
LDAP 構成属性を追加または削除する。
信頼できる LDAP サーバーの証明書を設定または表示する。
さまざまな LDAP 構成パラメータを設定、設定解除、表示する。
LDAP ユーザー認証のためにアプライアンスを構成する。
LDAP ユーザー認証を無効にする。
LDAP ユーザー認証を有効にする。
LDAP 構成を XML ファイルとしてエクスポートする。
1 つ以上の LDAP ユーザーグループを追加または削除する。
XML ファイルから LDAP 構成をインポートする。
すべての LDAP ユーザーとユーザーグループを一覧表示する。
NSS マップの属性またはオブジェクトクラスを設定、削除、表示する。
LDAP 構成を表示する。
LDAP 認証の状態を表示する。
アプライアンスのために LDAP ユーザー認証を構成解除する。
1 人以上の LDAP ユーザーを追加または削除する。
オプション
次のコマンドおよびオプションは[認証 (Authentication)] > [LDAP]の下にあります。
- 属性
LDAP 構成属性を追加または削除する。
Attribute Add <attribute_name> <attribute> コマンドを使って新しい属性を追加します。
Attribute Delete <attribute_name> コマンドを使って既存の属性を削除します。
- Certificate
SSL 証明書を設定、表示、無効化する。
Certificate Set <filename> コマンドを使って SSL 証明書を有効化して追加します。SSL 証明書が /inst/patch/incoming ディレクトリに格納されている必要があります。
メモ:
アプライアンスで LDAP または AD を構成するとき、ssl=StartTLS および ssl=Yes オプションを使うと、非 SSL チャネル上で初回の設定が行われます。 LDAP 接続と初期検出フェーズが完了すると、SSL チャネルがオンになります。このフェーズでも、SSL チャネルの確立では、サーバー側の証明書検証は行われません。 LDAP > Certificate Set <path> オプションを使ってサーバーのルート証明書が明示的に設定された後にこの検証が開始します。
Certificate Show コマンドを使って LDAP サーバーに適用できる証明書を表示します。
Certificate Unset コマンドを使って SSL 証明書を無効にします。
- ConfigParam
LDAP 構成パラメータを設定、表示、設定解除する。
メモ:
ConfigParam コマンドは、さまざまな LDAP の構成パラメータを設定するためだけに使用します。必要なパラメータをすべて設定したら、Configure コマンドを使って LDAP 構成を有効にして LDAP サーバーとの接続を確立します。
ConfigParam Set コマンドを使って、次の LDAP 構成パラメータを追加または変更します。
* 必須パラメータ
* ConfigParam Set base <base_DN>
ベースディレクトリ(LDAP のディレクトリツリーの最上位レベル)の名前を入力します。
ConfigParam Set binddn <bind_DN>
結合ディレクトリの名前を入力します。バインド DN は、検索ベース内部の LDAP ディレクトリを外部的に検索するための認証として使われています。
ConfigParam Set bindpw <password>
LDAP サーバーにアクセスするためのパスワードを入力します。
ConfigParam Set directoryType <directoryType>
LDAP ディレクトリタイプを入力します。利用可能なオプションは OpenLDAP、ActiveDirectory、および Others です。
標準的な OpenLDAP ディレクトリサービスを使う場合、[OpenLDAP]を選択します。
AD を LDAP ディレクトリサービスとして使う場合、[ActiveDirectory]を選択します。
異なる種類の LDAP ディレクトリサービスを使う場合、[その他 (Others)]を選択します。
ConfigParam Set groupList <group_name(s)>
LDAP サーバー上の既存の LDAP ユーザーグループの名前を入力します。複数のグループを入力するには、各グループ名をカンマ(,)で区切ります。
アプライアンスは、LDAP 構成の ID マッピングを処理しません。アプライアンスユーザーの場合に限り、1000~1999 のグループ ID の範囲を予約することをお勧めします。
メモ:
ベストプラクティスとして、アプライアンスのローカルユーザーまたは NetBackupCLI ユーザーにすでに使われているグループ名は入力しないでください。
* ConfigParam Set host <server_name or IP>
LDAP サーバーの FQDN または IP アドレスを入力します。
メモ:
指定の LDAP サーバーは RFC2307bis に準拠している必要があります。RFC2307bis は、IPv6 アドレスを持つホストが望ましい形式で書かれるように指定します。たとえば、アドレスのすべてのコンポーネントが示され、先行のゼロが省略されるように指定します。
* ConfigParam Set ssl <No|Yes|StartTLS>
LDAP サーバーの SSL 証明書を有効にします。
メモ:
LDAP 構成で[TLS を開始 (Start TLS)]オプションと[はい (Yes)]オプションを使うとき、初期設定は SSL 以外のチャネルで行われます。LDAP 接続と初期検出フェーズが完了すると、SSL チャネルがオンになります。このフェーズでも、確立された SSL チャネルはサーバー側の証明書検証を行いません。 LDAP > Certificate Set コマンドを使ってサーバーのルート証明書が明示的に設定された後にこの検証が開始します。
ConfigParam Set userList <user_name(s)>
LDAP サーバー上の既存の LDAP ユーザーの名前を入力します。複数のユーザーを入力するには、各ユーザー名をカンマ(,)で区切ります。
アプライアンスは、LDAP 構成の ID マッピングを処理しません。アプライアンスユーザーの場合に限り、1000~1999 のユーザー ID の範囲を予約することをお勧めします。
メモ:
ベストプラクティスとして、アプライアンスのローカルユーザーまたは NetBackupCLI ユーザーにすでに使われているユーザー名は入力しないでください。また、LDAP ユーザーのアプライアンスのデフォルト名 admin または maintenance を使わないでください。
]>[ConfigParam Show コマンドを使って既存の LDAP 構成パラメータを表示します。
ConfigParam Unset <paramenters> コマンドを使って LDAP 構成パラメータを設定解除します。
- Configure
ConfigParam コマンドを使って LDAP パラメータを設定した後、Configure コマンドを実行して構成を完了し、アプライアンスの LDAP 認証を有効にします。
ValidateIDs オプションにより、LDAP ユーザー ID、グループ ID、ユーザー名、グループ名を作成するときに、アプライアンスが LDAP サーバーとローカルサーバーの競合をチェックするかどうかが決まります。デフォルトでは、アプライアンスは競合をチェックして ID を検証するように設定されています。競合があればすぐに報告され、LDAP 構成が停止します。
ValidateIDs を有効にするには、Configure Yes コマンドを使います。
ValidateIDs を無効にするには、Configure No コマンドを使います。
- Disable
アプライアンスの LDAP ユーザー認証を無効にする。このコマンドは構成を削除しません。Enable コマンドを使って構成を再び有効にすることができます。
- 有効化
アプライアンスの無効な LDAP 構成を有効にする。
- <file_name> のエクスポート
既存の LDAP 構成を XML ファイルとしてエクスポートする。 ファイルを
/inst/patch/incoming/<file_name>
で保存します。 このファイルをインポートし、他のアプライアンスで LDAP を構成できます。
- Groups
1 つ以上の LDAP ユーザーグループを追加または削除する。 LDAP サーバーにすでに存在するユーザーグループのみをアプライアンスに追加できます。
Groups Add <groupname> コマンドを使って、LDAP ユーザーグループのカンマで区切ったリストを追加します。
Groups Remove <groupname> コマンドを使って、LDAP ユーザーグループのカンマで区切ったリストを削除します。
- インポート <path>
XML ファイルから LDAP 構成をインポートする。 XML ファイルは
/inst/patch/incoming/<file_name>
にある必要があります。
- List
アプライアンスに追加されているすべての LDAP ユーザーとユーザーグループを一覧表示する。
- Map
NSS マップの属性を設定、削除、表示する。
NSS マップ属性を設定するには、Map Add Attribute <attribute type> <attribute value> コマンドを使用します。
NSS マップの属性を削除するには、Map Delete Attribute <attribute type> コマンドを使用します。
Map Show コマンドを使って NSS マップの属性を表示します。
- Show
LDAP 構成の詳細を表示します。
- 状態
アプライアンスの LDAP 認証の状態を表示します。
- Unconfigure
アプライアンスのために LDAP ユーザー認証を構成解除する。
メモ:
LDAP サーバーを構成解除する前に、アプライアンスに追加されているすべての LDAP ユーザーのロールを取り消す必要があります。 取り消し行わなかった場合、この操作は失敗します。
警告:
LDAP ユーザー認証を構成解除すると、現在の LDAP 構成が無効になり、削除されます。 LDAP ユーザーはアプライアンスから削除されますが、LDAP サーバーからは削除されません。
- ユーザー
1 人以上の LDAP ユーザーを追加または削除する。 LDAP サーバーにすでに存在するユーザーのみをアプライアンスに追加できます。
Users Add <username> コマンドを使って、LDAP ユーザーのカンマで区切ったリストを追加します。
Users Remove <username> コマンドを使って、LDAP ユーザーのカンマで区切ったリストを削除します。
メモ:
ベストプラクティスの問題として、登録したユーザーまたはユーザーグループを、LDAPサーバー、AD サーバー、または NIS サーバーから削除する前に、アプライアンスから削除する必要があります。 ユーザーが最初にリモートディレクトリサービスから削除された場合 (アプライアンスからは削除されていない)、そのユーザーは、アプライアンスの登録ユーザーとしてリストに登録されている場合でも、ログオンできません。
例
例 1 - アプライアンスと LDAP ディレクトリサーバー間の関連付けを構成し、アプライアンスを有効にしてユーザーおよびユーザーグループをインポートします。
appliance123.LDAP > ConfigParam Set host ldap.example.com appliance123.LDAP > ConfigParam Set base dc=sample,dc=com appliance123.LDAP > ConfigParam Set ssl no appliance123.LDAP > Configure - [Info] Configure Successful. Continuing with Post-Configure Processing! Configure Successful. Continuing with Post-Configure Processing! Command was successful!
例 2 - ユーザーがアプライアンスで認証や権限を受けられるように、LDAP ディレクトリサーバーのユーザーまたはユーザーグループを登録してください。
appliance123.LDAP> Users Add ldapuser1,ldapuser2 Command was successful! appliance123.LDAP> Groups Add ldapgroup01 Command was successful! appliance123.Authorization> List +----------------------------------------------------------+ |Principal Type|Name/login |Access | Role |Principal Source| |--------------+-----------+-------+------+----------------| |User |ldapuser1 |Allowed|NoRole|Ldap | |--------------+-----------+-------+------+----------------| |User |ldapuser2 |Allowed|NoRole|Ldap | |--------------+-----------+-------+------+----------------| |Group |ldapgroup01|Allowed|NoRole|Ldap | |--------------+-----------+-------+------+----------------| | -Member |ldapuser3 |Allowed| | | +----------------------------------------------------------+ Command was successful!
例 3 - 他のアプライアンスでインポートできるように、現在の LDAP 構成を XML ファイルにエクスポートします。
appliance123.LDAP> Export ldapconfig1 - [Info] Exporting LDAP configuration Exporting LDAP configuration Command was successful!
例 4 - XML ファイルから LDAP 構成をインポートします。
appliance123.LDAP> Export ldapconfig1 - [Info] Exporting LDAP configuration Exporting LDAP configuration Command was successful!