プラットフォーム認証のための外部 LDAP サーバーの構成

アプライアンス管理者は、アプライアンス上で NodeOS ユーティリティーを使用して、プラットフォーム・ユーザー認証のための外部 LDAP サーバーを構成できます。

始める前に

アプライアンスで外部 LDAP を構成する前に、以下の情報を収集します。
LDAP サーバーのホストとポート
例: myserver.com および 389
重要: LDAP サーバーのホストがすべての IIAS ノードから ping 可能であることを確認してください。
LDAP ディレクトリーの識別名/ドメイン・ネーム (dn)
例: myldaporg.com
バインド・ユーザー情報
すべてのユーザー/グループ情報を照会するためのアクセス権限を持つ LDAP ドメイン・ユーザーのユーザー ID とパスワード。例: myuseradmin および myadminpasswd
さらに、LDAP サーバーへの接続に SSL と TLS のどちらを使用するかを決定する必要があります。SSL メソッドを選択した場合は、外部 LDAP サーバーとの通信を暗号化するためにアプライアンスによって使用される LDAP ドメインから CA 証明書をフェッチします。例: myca-cert.pem

手順

  1. IIAS システムの最初のノード (node0101) または 2 番目のノード (node0102) に apuser として、または ibmapadmin OS グループの別のメンバーとしてログインします。
  2. SSL ldaps または starttls メソッドを使用する場合は、scp コマンドを使用して、CA 証明書を外部マシンからアプライアンスにコピーし、それを /tmp ディレクトリーに保持します。
  3. デフォルトの SSL none メソッドを使用する場合は、以下の引数を使用して ap_external_ldap.pl ユーティリティーを実行します。 
    ap_external_ldap.pl enable
   --host myserver.com --port 389 --search-base-dn "dc=myldaporg,dc=com"
   --searcher-dn "cn=myuseradmin,dc=myldaporg,dc=com" --searcher-password "myadminpasswd"
    SSL ldaps メソッドを使用する場合は、以下の引数を使用して ap_external_ldap.pl ユーティリティーを実行します。LDAP サーバーの SSL ポートが port オプションに指定されていることを確認してください (例えば、636)。 
    ap_external_ldap.pl enable
   --host myserver.com --port 636 --search-base-dn "dc=myldaporg,dc=com"
   --searcher-dn "cn=myuseradmin,dc=myldaporg,dc=com" --searcher-password "myadminpasswd"
   --ssl-method ldaps --ca-cert /tmp/ myca-cert.pem
    SSL starttls メソッドを使用する場合は、以下の引数を使用して ap_external_ldap.pl ユーティリティーを実行します。LDAP サーバーの SSL ポートが port オプションに指定されていることを確認してください (例えば、389)。
    ap_external_ldap.pl enable
   --host myserver.com --port 389 --search-base-dn "dc=myldaporg,dc=com"
   --searcher-dn "cn=myuseradmin,dc=myldaporg,dc=com" --searcher-password "myadminpasswd"
   --ssl-method starttls --ca-cert /tmp/ myca-cert.pem
  4. コマンドが正常に実行されたら、id コマンドを使用して設定を検証します。
    例えば、user1 が LDAP データベースからのユーザー ID である場合、以下のコマンドにより、このユーザーの ID およびグループ情報が正常に返されます。
    id user1
  5. 外部 LDAP サーバーのユーザーが IIAS にログインするには、ディレクトリーのユーザーをアプライアンスの OS グループのいずれかに追加する必要があります (OS グループにまだ追加されていない場合)。 
    ap_external_ldap.pl usermod --group ibmapadmin|ibmapusers|none username

タスクの結果

これで、Integrated Analytics System が組織の LDAP ディレクトリーを使用するように構成されました。ディレクトリーのすべての有効なユーザーが、SSH を使用してアプライアンスの任意のノードにログインできます。IIAS の /tmp ディレクトリーにアップロードした証明書を削除できるようになりました。