ここでは、ディレクトリサービスを利用したユーザー管理のための導入方法を説明します。
ディレクトリサービスを構築します。
すでにディレクトリサービスを構築済みの場合、構築作業は必要ありません。
本製品のマネージャーを停止します。
マネージャーの停止方法は、「ServerView Resource Coordinator VE 導入ガイド」の「5.1 マネージャ」を参照してください。
ディレクトリサービスに対して、本製品のリソース情報および標準ロールを登録します。
ldifファイルをディレクトリサービスに登録します。
ldifファイルは以下に格納されています。
【Windows】
インストールフォルダー\Manager\etc\files
【Linux】
/etc/opt/FJSVrcvmr/files
以下の表を参照し、必要なldifファイルを確認してください。
ディレクトリサービス | ldifファイル名 |
---|---|
Active Directory | RORActiveDirectory.ldif |
OpenDS | ROROpenDS.ldif |
OpenLDAP | ROROpenLDAP.ldif |
ldifファイルを以下の手順でディレクトリサービスに登録します。
Active Directoryの場合
Active Directoryとマネージャーの間の通信をSSL暗号化する場合、SSL通信環境を作成してください。なお、Active Directoryのldifdeコマンドを使ってユーザー情報を登録するためには、SSL通信環境が必要です。ServerView Operations Managerとシングルサインオン運用をする場合もSSL通信環境が必要です。
Active Directoryのサーバ証明書インポート方法については、「ServerView Resource Coordinator VE 導入ガイド」の「H.3 シングルサインオン」を参照してください。
Active Directoryを運用するWindows上の作業フォルダーにRORActiveDirectory.ldifファイルをコピーします。
ldifファイルのベース名(dc=example,dc=local)がActive Directoryのベース名と異なる場合、エディタを使用してベース名を修正してください。
ldifファイルのマネージャーのホスト名を修正します。
"ManagerHostname"の部分をマネージャーのホスト名に変更してください。ホスト名とは、hostnameコマンドで表示される名前です。
ldifファイル中の"RcxManager"の部分を、本製品インストール時に指定した特権ユーザーの名前に書き換えます。
Windowsのコマンド プロンプトを開き、RORActiveDirectory.ldifを格納した作業フォルダーに移動します。
Windowsのldifdeコマンドを実行し、ldifファイルのデータをインポートします。
例
>ldifde -i -e -k -t 636 -f RORActiveDirectory.ldif <RETURN> |
ldifdeコマンドの詳細は、Active Directoryのマニュアルを参照してください。
特権ユーザーの初期パスワードは、"rcxman@123"です。
適切なパスワードに変更してください。
ServerView Operations Managerとシングルサインオン運用をする場合、ServerView Operations Managerにもユーザー定義が必要です。ServerView Operations Managerへのユーザー定義の追加については、以下のマニュアルを参照してシングルサインオンの設定をしてください。
- 「ServerView Suite ServerView でのユーザ管理」の「ServerView ユーザ管理の Microsoft Active Directory への統合」の記述
OpenDSの場合
SSL証明書をインポートします。
インポートについては、「ServerView Resource Coordinator VE 導入ガイド」の「H.3 シングルサインオン」を参照してください。
OpenDSを運用するシステム上の作業ディレクトリに、ROROpenDS.ldifをコピーします。
ldifファイルのマネージャーのホスト名を修正します。
"ManagerHostname"の部分をマネージャーのホスト名に変更してください。ホスト名とは、hostnameコマンドで表示される名前です。
ldifファイル中の"RcxManager"の部分を、本製品インストール時に指定した特権ユーザーの名前で書き換えます。
ldifファイル中の製品特権ユーザーのエントリー(dn: cn=製品特権ユーザー名,ou=users,dc=fujitsu,dc=comのブロック)にある、userPassword属性の値を、製品特権ユーザーのパスワードに変更します。
ldapmodifyコマンドを実行し、ROROpenDS.ldifをインポートします。
【Windows】
>"OpenDSインストールフォルダー\bat\ldapmodify.bat" -p ポート番号 -f ldifファイル -D 管理者ユーザーDN -w パスワード -c <RETURN> |
【Linux】
# "OpenDSインストールディレクトリ/bin/ldapmodify" -p ポート番号 -f ldifファイル -D 管理者ユーザーDN -w パスワード -c <RETURN> |
例
>"C:\Program Files\Fujitsu\ServerView Suite\opends\bat\ldapmodify.bat" -p 1473 -f ROROpenDS.ldif -D "cn=Directory Manager" -w admin -c <RETURN> |
ldapmodifyコマンドの詳細は、OpenDSのマニュアルを参照してください。
ServerView Operations Managerとシングルサインオン運用をする場合、ServerView Operations Managerにすでに定義されているユーザーを、本製品のユーザー情報として設定します。
ldifファイルの例を示します。
例
dn: cn=administrator,ou=AuthorizationRoles,ou=OrchestrationTree,ou=myhost,ou=ROR,ou=Departments,ou=SVS,dc=fujitsu,dc=com changetype: add objectclass: top objectclass: groupofnames cn: administrator member: cn=ServerView Administrator,ou=users,dc=fujitsu,dc=com dn: cn=operator,ou=AuthorizationRoles,ou=OrchestrationTree,ou=myhost,ou=ROR,ou=Departments,ou=SVS,dc=fujitsu,dc=com changetype: add objectclass: top objectclass: groupofnames cn: operator member: cn=ServerView Operator,ou=users,dc=fujitsu,dc=com dn: cn=monitor,ou=AuthorizationRoles,ou=OrchestrationTree,ou=myhost,ou=ROR,ou=Departments,ou=SVS,dc=fujitsu,dc=com changetype: add objectclass: top objectclass: groupofnames cn: monitor member: cn=ServerView Monitor,ou=users,dc=fujitsu,dc=com dn: cn=administrators,ou=ROR,ou=UserGroups,ou=SVS,dc=fujitsu,dc=com changetype: add objectclass: top objectclass: groupofnames cn: administrators member: cn=ServerView Administrator,ou=users,dc=fujitsu,dc=com dn: cn=operators,ou=ROR,ou=UserGroups,ou=SVS,dc=fujitsu,dc=com changetype: add objectclass: top objectclass: groupofnames cn: operators member: cn=ServerView Operator,ou=users,dc=fujitsu,dc=com dn: cn=monitors,ou=ROR,ou=UserGroups,ou=SVS,dc=fujitsu,dc=com changetype: add objectclass: top objectclass: groupofnames cn: monitors member: cn=ServerView Monitor,ou=users,dc=fujitsu,dc=com |
本製品のユーザーが、ServerView Operations Managerにログインする場合、ServerView Operations Managerにもユーザー定義が必要です。ServerView Operations Managerへのユーザー定義の追加については、以下のマニュアルを参照してシングルサインオンの設定をしてください。
- 「ServerView Suite ServerView でのユーザ管理」の「ServerView ユーザ管理の Microsoft Active Directory への統合」の記述
Active Directoryでの設定手順を参照して、OpenDSに対して、同様に設定してください。
OpenLDAPの場合
OpenLDAP構築時に以下のエントリーを作成していない場合、エントリーを作成してください。
- ベース(ルート)エントリー
(dc=example,dc=local)
- ユーザー情報を配置する組織単位(ou)のエントリー
(ou=Users,dc=example,dc=local)
"dc=example,dc=local"の部分はベース名です。実際の環境に合わせて読み替えてください。
OpenLDAPを運用するLinuxシステム上の作業ディレクトリに、ROROpenLDAP.ldifをコピーします。
ldifファイルのベース名(dc=example,dc=local)がOpenLDAPのベース名(suffix)と異なる場合、エディタを使用してベース名を修正してください。
ldifファイルのマネージャーのホスト名を修正します。
"ManagerHostname"の部分をマネージャーのホスト名に変更してください。ホスト名とは、hostnameコマンドで表示される名前です。
ldifファイル中の"RcxManager"の部分を、本製品インストール時に指定した特権ユーザーの名前に書き換えます。同時にパスワードも書き換えます。
OpenLDAPのldapaddコマンドを使って、LDIFをインポートします。
例
>ldapadd -f ROROpenLDAP.ldif -x -D "cn=Manager,dc=example,dc=local" -w mypasswd -c <RETURN> |
ldapaddコマンドの詳細は、OpenLDAPのマニュアルを参照してください。
以下の情報がディレクトリサービスに登録されます。
インストール時に指定する特権ユーザー
ロール情報
administrator(*1)
operator(*1)
monitor(*1)
service_admin
lserver_operator
lserver_monitor
infra_admin
infra_operator
権限情報
リソース情報
デフォルトユーザーグループ情報
supervisor
Administrative
*1: ServerView Operations Manager for Windowsと共用です。登録済みの場合は、登録されません。
本製品インストール時に指定した特権ユーザーに、アクセス権を設定します。
ユーザー情報を登録します。
ユーザー情報をディレクトリサービスのクライアント機能を利用してディレクトリサービスに登録します。
ディレクトリサービスを導入済みの場合、本製品の操作に必要なユーザー情報がなければ、追加で登録します。
以下のオブジェクトクラスを利用します。
ディレクトリサービス | オブジェクトクラス | ログインユーザーIDに使用する属性 |
---|---|---|
Active Directory | user | cnまたはuid ServerView Operations Managerとシングルサインオン運用をする場合、samAccountName |
OpenDS | inetOrgPerson | cnまたはuid ServerView Operations Managerとシングルサインオン運用をする場合、uid |
OpenLDAP | inetOrgPerson | cnまたはuid |
本製品の外部認証機構としてディレクトリサービスを登録します。
ディレクトリサービスの登録は、rcxadm authctlコマンドを実行します。
rcxadm authctlコマンドは、「ServerView Resource Orchestrator リファレンスガイド」の「1.7.10 rcxadm authctl」を参照してください。
例
Active Directoryの場合
>rcxadm authctl register -ip 192.168.1.1 -port 636 -base dc=example,dc=local -bind cn=Administrator,cn=Users,dc=example,dc=local -method SSL -passwd mypasswd -auth ldap <RETURN> |
OpenDSの場合
>rcxadm authctl register -ip 192.168.1.1 -port 1474 -base dc=fujitsu,dc=com -bind "cn=Directory Manager" -method SSL -passwd admin -auth serverview <RETURN> |
OpenLDAPの場合
>rcxadm authctl register -ip 192.168.1.1 -port 636 -base dc=example,dc=local -bind cn=manager,dc=example,dc=local -method SSL -passwd mypasswd -auth ldap <RETURN> |
本製品のマネージャーを起動します。
マネージャーの起動方法は、「ServerView Resource Coordinator VE 導入ガイド」の「5.1 マネージャ」を参照してください。
ディレクトリサーバのリソース情報に本製品で管理しているリソース情報を反映します。
リソース情報を反映するには、rcxadm authctl syncコマンドを実行します。
rcxadm authctl syncコマンドは、「ServerView Resource Orchestrator リファレンスガイド」の「1.7.10 rcxadm authctl」を参照してください。
ユーザーグループを作成します。
以下の場所にユーザーグループを作成します。
ou=ROR,ou=Usergroup,ou=SVS,dc=fujitsu,dc=com
(dc=fujitsu,dc=comの部分はBase DNに読み替えてください。)
ユーザーグループのメンバーとして、ディレクトリサービスに登録済みのユーザーを割り当てます。
注意
OpenDSまたはOpenLDAPの場合、ユーザーグループ作成時に、ユーザーグループのメンバーを1人以上登録する必要があります。
ユーザーに対してロールを設定します。
ユーザーに対してロールを設定します。Active Directoryで、ユーザーmyuser001に、スコープ範囲Folder1のMonitorロールを割り当てる場合を例に説明します。
Windowsのコントロール パネルで"管理ツール"から[Active Directory ユーザーとコンピュータ]画面を表示します。
SVS(ou=SVS,dc=example,dc=local)ツリーを展開し、Departments - ROR - マネージャーのホスト名の、配下の階層を展開します。
オーケストレーションツリーの下の階層に、リソースFolder1を示す"Folder1"があり、その下の階層に、"AuthorizationRoles"というユーザーグループエントリーがあります。
"AuthorizationRoles"の下に、"monitor"という名前のユーザーグループエントリーを作成します。グループ名は、ユニークな値を指定してください。
このメンバーとして、ユーザー"cn=myuser001,cn=Users,dc=example,dc=local"を設定します。
ユーザーグループにロールを設定するには、本手順でユーザーグループを設定します。