プラットフォーム認証用の Windows Active Directory の構成

Integrated Analytics System (IIAS) バージョン 1.0.6 以降を実行している場合は、Microsoft Windows Active Directory を使用して認証をセットアップし、Active Directory ユーザーが IIAS プラットフォームにログインできるようにすることができます。

始める前に

アプライアンスで Active Directory を使用して認証を構成する前に、以下の情報を準備します。
Windows Active Directory 属性
IIAS にアクセスする必要があるすべての Active Directory ユーザーは、Active Directory サーバーで以下の属性を設定する必要があります。
  • objectclass: posixAccount
  • uid: username
  • uidNumber: user id number (1000 より大きい必要があります)
  • gidNumber: group id number
  • loginShell: /bin/bash
  • homeDirectory: /home/username
Active Directory サーバーのホストとポート
例: myadserver.com および 389
重要: Active Directory サーバーのホストがすべての IIAS ノードから ping 可能であることを確認してください。
Active Directory サーバーの識別名/ドメイン・ネーム (dn)
例: myadserver.org.com
バインド・ユーザー情報
すべてのユーザー/グループ情報を照会するためのアクセス権限を持つ LDAP ドメイン・ユーザーのユーザー ID とパスワード。例: myuseradmin および myadminpasswd

さらに、Active Directory サーバーへの接続に SSL と TLS のどちらを使用するかを決定する必要があります。SSL メソッドを選択した場合は、サーバーとの通信を暗号化するためにアプライアンスによって使用される Active Directory サーバーから CA 証明書をフェッチします。例: myca-cert.crt

手順

  1. IIAS システムの最初のノード (node0101) または 2 番目のノード (node0102) に apuser として、または ibmapadmin OS グループの別のメンバーとしてログインします。
  2. SSL ldaps または starttls メソッドを使用する場合は、scp コマンドを使用して、CA 証明書を外部マシンからアプライアンスにコピーし、それを /tmp ディレクトリーに保持します。
  3. デフォルトの SSL none メソッドを使用する場合は、以下の引数を使用して ap_external_ldap.pl ユーティリティーを実行します。 
    ap_external_ldap.pl enable
   --host myserver.com --port 389 --ldap-type ad --search-base-dn "dc=myldaporg,dc=com"
   --searcher-dn "myuseradmin" --searcher-password "myadminpasswd"
    SSL ldaps メソッドを使用する場合は、以下の引数を使用して ap_external_ldap.pl ユーティリティーを実行します。LDAP サーバーの SSL ポートが port オプションに指定されていることを確認してください (例えば、636)。 
    ap_external_ldap.pl enable
   --host myserver.com --port 636 --ldap-type ad --search-base-dn "dc=myldaporg,dc=com"
   --searcher-dn "myuseradmin" --searcher-password "myadminpasswd"
   --ssl-method ldaps --ca-cert /tmp/ myca-cert.pem
    SSL starttls メソッドを使用する場合は、以下の引数を使用して ap_external_ldap.pl ユーティリティーを実行します。LDAP サーバーの非 SSL ポートが port オプションに指定されていることを確認してください (例えば、389)。 
    ap_external_ldap.pl enable
   --host myserver.com -port 389 --ldap-type ad --search-base-dn "dc=myldaporg,dc=com"
   --searcher-dn "myuseradmin" --searcher-password "myadminpasswd"
   --ssl-method starttls --ca-cert /tmp/ myca-cert.pem
  4. コマンドが正常に実行されたら、id コマンドを使用して設定を検証します。
    例えば、user1 が LDAP データベースからのユーザー ID である場合、以下のコマンドにより、このユーザーの ID およびグループ情報が正常に返されます。
    id user1
  5. Active Directory サーバーのユーザーが IIAS にログインするには、ディレクトリーのユーザーをアプライアンスの OS グループのいずれかに追加する必要があります (OS グループにまだ追加されていない場合)。 
    ap_external_ldap.pl usermod --group ibmapadmin|ibmapusers|none username
    例えば、myaduser という名前のユーザーを OS ローカル・グループ ibmadmin に追加するには、以下のコマンドを実行します。
    ap_external_ldap.pl usermod --group ibmapadmin myaduser

タスクの結果

これで、Integrated Analytics System が組織の Active Directory サーバーを使用するように構成されました。ディレクトリーのすべての有効なユーザーが、SSH を使用してアプライアンスの任意のノードにログインできます。IIAS の /tmp ディレクトリーにアップロードした証明書を削除できるようになりました。