...

VNX ネーム サービスの構成 - EMC Japan

by user

on
Category: Documents
19

views

Report

Comments

Transcript

VNX ネーム サービスの構成 - EMC Japan
EMC® VNX® シリーズ
リリース 8.1
VNX® ネーム サービスの構成
P/N 300-014-566 リビジョン A01
EMC ジャパン株式会社
〒 151-0053
東京都渋谷区代々木 2-1-1
新宿マインズタワー
http://japan.emc.com
お問い合わせは
http://japan.emc.com/contact
2/81 リリース 8.1
VNX® ネーム サービスの構成
目次
はじめに. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
システム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
制限事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
ユーザー インタフェースの選択 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
用語. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7
関連情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9
概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11
ローカル ファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11
NIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13
LDAP ベースのディレクトリ サービス . . . . . . . . . . . . . . . . . . . . . . . . .13
Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20
WINS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20
nsswitch.conf ファイル. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
プロトコル ユーザー認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
ローカル ファイルの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22
前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22
Data Mover 上でのローカル ファイルの構成 . . . . . . . . . . . . . . . . . . . .24
NIS の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26
前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26
NIS クライアントとしての Data Mover の構成 . . . . . . . . . . . . . . . . . .26
DNS の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
DNS クライアントとしての Data Mover の構成 . . . . . . . . . . . . . . . . .27
LDAP ベースのディレクトリ サービス クライアントとしての
Data Mover の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28
前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28
ドメイン名を使用した LDAP ベースのディレクトリ クライアントの
構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
基本識別名を使用した LDAP ベースのディレクトリ クライアントの
構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
LDAP ベースの追加ディレクトリ オプションの構成 . . . . . . . . . . . . . . . . . .31
単純(パスワード)認証の使用の指定. . . . . . . . . . . . . . . . . . . . . . . . . .31
Kerberos 認証の使用の指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32
LDAP ベースのディレクトリに対する SSL の有効化 . . . . . . . . . . . . . .33
SSL ペルソナの指定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34
SSL 暗号スイートの指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35
iPlanet クライアント構成プロファイルの指定 . . . . . . . . . . . . . . . . . . .37
ldap.conf ファイルのコピー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37
NIS ドメインの指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39
nsswitch.conf ファイルの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40
前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40
nsswitch.conf ファイルの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40
ローカル ファイルの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42
NIS の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43
NIS 構成の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43
NIS 構成のステータスの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43
NIS 構成の削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44
VNX® ネーム サービスの構成
リリース 8.1
3/81
DNS の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45
DNS 構成の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45
DNS 構成の削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45
DNS サーバ プロトコルの設定または変更. . . . . . . . . . . . . . . . . . . . . . .46
DNS キャッシュのクリア . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46
DNS サーバへのアクセスの無効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . .47
DNS サーバへのアクセスの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . .47
LDAP ベースのディレクトリの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48
LDAP ベースのディレクトリ サービスのステータス確認 . . . . . . . . .48
LDAP ベースのディレクトリ構成の削除 . . . . . . . . . . . . . . . . . . . . . . .48
LDAP ベースのディレクトリ構成に関する情報の表示 . . . . . . . . . . . . .49
LDAP ベースのディレクトリ サービスの一時的な無効化 . . . . . . . . . .50
LDAP ベースのディレクトリ サービスの有効化 . . . . . . . . . . . . . . . . .51
LDAP ベースのディレクトリに対する SSL の無効化 . . . . . . . . . . . . .51
LDAP ベースのディレクトリ サーバでの情報の検索 . . . . . . . . . . . . . .52
トラブル シューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56
情報の入手方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56
E-Lab Interoperability Navigator . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56
server_ping を使用したネットワーク接続の確認 . . . . . . . . . . . . . . . . .56
Control Station からネーム サービスへのアクセス . . . . . . . . . . . . . . .57
DNS との通信の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57
LDAP ベースのディレクトリの動作の確認 . . . . . . . . . . . . . . . . . . . . . .58
iPlanet クライアント プロファイルのダウンロードの確認 . . . . . . . . . .59
Linux の OpenLDAP スキーマの編集 . . . . . . . . . . . . . . . . . . . . . . . . . .60
識別名シンタクスによるグループのメンバーシップの使用 . . . . . . . . .60
マルチプロトコル環境での CIFS ユーザー マッピング . . . . . . . . . . . . .61
エラー メッセージ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .61
LDAP のエラー メッセージ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .62
トレーニングおよびプロフェッショナル サービス . . . . . . . . . . . . . . . .64
付録 A:iPlanet クライアントのプロファイル属性 . . . . . . . . . . . . . . . . . . .65
付録 B:OpenLDAP の構成ファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .68
付録 C:IdMU 構成ファイルのテンプレート . . . . . . . . . . . . . . . . . . . . . . . .69
付録 D:SFU 3.5 構成ファイルのテンプレート . . . . . . . . . . . . . . . . . . . . . .70
付録 E:LDAP ベースのディレクトリ サービス クライアントとしての
Data Mover の構成例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .71
匿名認証を使用した iPlanet への接続 . . . . . . . . . . . . . . . . . . . . . . . . .71
単純パスワード認証を使用した OpenLDAP への接続 . . . . . . . . . . . . .71
単純パスワード認証を使用した SFU 利用 Active Directory への接続 .72
Kerberos 認証を使用した IdMU 利用 Active Directory への接続 . . . .73
SSL 認証を使用した IdMU 利用 Active Directory への接続 . . . . . . . .75
インデックス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .77
4/81
リリース 8.1
VNX® ネーム サービスの構成
はじめに
このドキュメントでは、ユーザー名、パスワード、ホーム ディレクトリ、グルー
プ、ホスト名、IP アドレス、ネットグループ定義などのユーザーおよびシステム
の情報を検索するメカニズムを Data Mover に提供する、ネーム サービスについ
て説明します。各 Data Mover を 1 個以上のネーム サービスにアクセスできるよ
うに構成することは、EMC® VNX™ を正常に動作させるために実行する必要のあ
る基本的なタスクです。
Control Station は、システムの初期化中にネーム サービス(特に DNS)を使用
するように構成されます。Configuring and Managing VNX Networking および
Unisphere Control Station のオンライン ヘルプ トピックで詳細を参照してくだ
さい。
Windows のユーザーが使用する SID(セキュリティ識別子)を VNX が使用する
UNIX スタイルの UID(ユーザー識別子)および GID(グループ識別子)にマッピ
ングするユーザー マッピングは、このドキュメントで説明するいくつかのネーム
サービス(特にローカル ファイル、NIS、SFU/IdMU 利用 Active Directory などの
LDAP ベースのディレクトリ サーバ、VNX CIFS Microsoft 管理コンソール スナッ
プインを使用する Active Directory)で提供されます。VNX ユーザー マッピングの
構成で、VNX がこれらの方法をどのように使用してユーザーをマッピングするか
参照してください。
このドキュメントは、VNX のマニュアル セットに含まれており、ファイル スト
レージとネットワーク検索インフラストラクチャの構成および管理を担当するシ
ステム管理者を対象としています。
システム要件
5 ページの表 1 に、VNX のソフトウェア構成、ハードウェア構成、ネットワーク
構成、ストレージ構成を示します。
表1
VNX® ネーム サービスの構成
ネーム サービスのシステム要件
ソフトウェア
VNX バージョン 8.0。
ハードウェア
固有のハードウェア要件なし。
ネットワーク
NIS、DNS、LDAP ベースのディレクトリ、WINS を使用するには、ファイ
ル サーバにアクセスできるネットワーク上で、それぞれ NIS、DNS、LDAP
ベースのディレクトリ、WINS サーバが 1 個以上必要です。
ストレージ
固有のストレージ要件なし。
リリース 8.1
5/81
制限事項
次の制限事項が適用されます。
◆
標準の NIS とは異なるプロトコルを使用する NIS+ は、
VNX ではサポートされて
いません。
◆
既存の非 SSL LDAP 接続(例:ポート 389 経由)で TLS 接続を開始する start_tls
モードは、SSL を使用した LDAP ではサポートされていません。
ユーザー インタフェースの選択
VNX では、サポート環境やインタフェース設定に応じてネットワーク ストレージ
を柔軟に管理することができます。このドキュメントでは、CLI(コマンド ライ
ン インタフェース)を使用してネーム サービスを構成する方法について説明しま
す。こうしたタスクの多くは、以下の VNX 管理アプリケーションのいずれかを使
用して実行することもできます。
◆
EMC Unisphere™ ソフトウェア
◆
MMC(Microsoft 管理コンソール)スナップイン
◆
ADUC(Active Directory のユーザーとコンピュータ)の拡張機能
Unisphere オンライン ヘルプには、VNX の管理に関する追加情報が記載されてい
ます。
VNX の管理アプリケーションに関する最新の追加情報については、「VNX
Release Notes」を参照してください。
Unisphere を使用したネーム サービスの構成
Unisphere を使用して、6 ページの表 2 に示したネーム サービスを使用するよう
に Data Mover を構成できます。
表2
Unisphere を使用して構成されるネーム サービス
ネーム
サービス
Unisphere の手順
NIS
Data Mover を NIS クライアントとして構成するには、[システム]>[ネットワー
ク](ネットワーク タスク)>[NIS 設定の管理]を選択します。
DNS
Data Mover を DNS クライアントとして構成するには、[システム]>[ネットワー
ク]>[DNS]を選択するか、[共有]>[CIFS]>[DNS]を選択します。
注:Unisphere を使用して DNS サーバ プロトコルを変更したり、DNS キャッシュ
をクリアしたりすることはできません。
WINS
6/81 リリース 8.1
Data Mover を WINS クライアントとして構成するには、[共有]>[CIFS](CIFS
タスク)>[CIFS の構成]を選択します。
VNX® ネーム サービスの構成
Unisphere を使用して nsswitch.conf ファイルなどのローカル ファイルを管理した
り、Data Mover を LDAP ベースのディレクトリ クライアントとして構成したり
することはできません。
ネーム サービスの構成に関する詳細については、Unisphere オンライン ヘルプを
参照してください。
注: また、Unisphere 構成ウィザードを使用して NIS、DNS、WINS の使用をセットアッ
プすることもできます。
用語
VNX の用語のリストについては、「VNX 用語集 」を参照してください。
Active Directory: Windows オペレーティング システムに含まれている、高度な
ディレクトリ サービス。ネットワーク上のオブジェクトに関する情報を格納し、
LDAP などのプロトコルを通じて、この情報をユーザーやネットワーク管理者が
利用できるようにします。
CA(認証局): 公開鍵証明書を作成してデジタル署名を行う、信頼できる第三者
機関。
CIFS(Common Internet File System): Microsoft SMB(Server Message Block)に
基づいたファイル共有プロトコル。インターネットおよびイントラネットを介し
てファイル システムを共有できます。
DNS(ドメイン ネーム システム): UNIX ネットワークまたは TCP/IP ネットワーク
上のコンピュータをドメイン名で参照できる、名前解決ソフトウェア。DNS サー
バは、ドメイン名、ホスト名、それらに対応する IP アドレスのデータベース、こ
れらのホストによって提供されるサービスを保持します。
FTP(File Transfer Protocol): マシン間でのファイルの転送に使用する高水準のプ
ロトコル。FTP は、(OSI モデルをベースとする)アプリケーションレベルのプロ
グラムとして実装され、Telnet および TCP プロトコルを使用します。
IdMU(Identity Management for UNIX): Windows 上で UNIX 環境、特に UNIX の
ID サービスおよびセキュリティ サービスを提供する Microsoft ソフトウェア。
Kerberos: 認証、データの整合性、データ プライバシーの暗号化メカニズム。認
証情報をエンコードするために使用されます。Kerberos は NTLM(Netlogon サー
ビス)と共存し、ソケット キー暗号形式を使用して、クライアント / サーバ アプ
リケーションに対する認証を行います。
Kerberos KDC(キー配布センター): Active Directory データベースで、セキュリ
ティ原則に関する情報の格納および取得を行います。Windows 2000 以降の各ド
メイン コントローラは、クライアントとサーバ間の信頼された仲介者として動作
する Kerberos KDC です。
LDAP(Lightweight Directory Access Protocol): TCP/IP を使用して直接実行され
る業界標準の情報アクセス プロトコル。Active Directory および LDAP ベースの
ディレクトリ サーバのプライマリ アクセス プロトコルです。LDAP バージョン 3
は、IETF(Internet Engineering Task Force)の RFC 2251 において Proposed
Standard の一連の文書で定義されています。
VNX® ネーム サービスの構成
リリース 8.1
7/81
LDAP ベースのディレクトリ : LDAP(IdMU/SFU 利用 Active Directory、
OpenLDAP、Sun Java System Directory Server および ONE Directory Server とし
ても知られる iPlanet を含む)をサポートするディレクトリ サーバ。
NFS(Network File System): リモート ファイル システムへの透過的なアクセスを
提供する分散ファイル システム。NFS を使用すると、すべてのネットワーク シ
ステムでディレクトリの単一コピーを共有できます。
NIS(Network Information Service): ユーザー名、パスワード、ホーム ディレクト
リ、グループ、ホスト名、IP アドレス、ネットグループの定義を含む、ユーザー
およびシステムの情報をネットワーク上で共有する分散データ検索サービス。
OpenLDAP: LDAP ベースのディレクトリ サービスのオープン ソース実装。
PKI(公開鍵基盤): 秘密鍵と対応する公開鍵証明書を公開鍵暗号形式で使用できる
ように管理する手段。SSL によって使用される証明書の作成が可能なフレーム
ワークです。
SFU(Microsoft Windows Services for UNIX): Windows 上で UNIX 環境を提供する
Microsoft ソフトウェア。
SFU、「Microsoft Windows Services for UNIX」を参照。
SSL(Secure Socket Layer): 暗号化と認証を提供するセキュリティ プロトコル。
データを暗号化し、メッセージとサーバの認証を行います。サーバから要求され
た場合、クライアント認証もサポートします。
Sun Java System Directory Server:(Sun ONE Directory Server および iPlanet とも
呼ばれる)LDAP を使用してアクセスできる分散ディレクトリ サービス。
TLS(Transport Layer Security): SSL の後継プロトコル。一般的な通信認証と
TCP/IP ネットワークを使用した暗号化に対応しています。TLS バージョン 1 は、
SSL バージョン 3 とほぼ同等です。
Windows NT ドメイン : Microsoft Windows NT サーバが制御および管理している
Microsoft Windows のドメイン。ユーザーとグループ アカウントおよび NetBIOS
ネームスペースを管理する SAM データベースを使用します。Windows NT ドメイ
ンには、SAM の読み取り / 書き込みコピーを持つ PDC(プライマリ ドメイン コ
ントローラ)が 1 台と、SAM の読み取り専用コピーを持つ BDC(バックアップ
ドメイン コントローラ)が場合により複数存在します。
Windows ドメイン : Microsoft Windows Server が制御および管理している、
Microsoft Windows のドメイン。すべてのシステム リソースを管理する Active
Directory と、名前解決のための DNS を使用します。
WINS(Windows インターネット ネーム サービス): 特定のネットワーク ノードと関
連する IP アドレスを決定する Microsoft の名前解決システム。WINS は、マシン
名とインターネット アドレスの間のマッピングを提供し、Microsoft ネットワーク
が TCP/IP ネットワーク上で機能できるようにします。
ディレクトリ サーバ : コンピュータ ネットワークのユーザーとネットワーク リ
ソースに関する情報を格納および整理するサーバ。ネットワーク管理者は、この
サーバでリソースに対するユーザーのアクセスを管理できます。最も有名なオー
プン ディレクトリ サービスは X.500 です。企業独自のディレクトリ サービスと
しては、Microsoft の Active Directory があります。
8/81 リリース 8.1
VNX® ネーム サービスの構成
ドメイン : 共通のセキュリティおよびユーザー アカウント情報を共有している
Microsoft Windows サーバとその他のコンピュータとで構成される、論理グルー
プ。コンピュータやユーザーなどのすべてのリソースは、ドメイン メンバーであ
り、一意に識別されるドメイン内にアカウントを持ちます。ドメイン管理者はド
メイン内の各ユーザーに 1 つのアカウントを作成し、ユーザーはドメインに一度
ログインします。ユーザーは、個々のサーバにはログインしません。
認証局の証明書 : ID(認証局)と公開鍵の間のデジタル署名された関連性。公開鍵
証明書のデジタル署名を検証するためにホストで使用されます。
ネットグループ : 単一の名前で管理される、ネットワーク上のコンピュータのグ
ループ。ネットグループは、ネットグループ内のホスト一覧が列挙されたローカ
ル テキスト ファイル、または NIS、または LDAP ベースのディレクトリ サーバ
を使用して定義できます。
ペルソナ : 秘密鍵と対応する公開鍵証明書を使用して、Data Mover の ID をサーバ
またはクライアントとして提供する手段。各ペルソナには最大で 2 個の鍵セット
(現在のものと次のもの)を保持でき、現在の証明書の有効期限が切れる前に、新
しい鍵と証明書を生成できるようになっています。
関連情報
このドキュメントで解説されている機能に関連する具体的な情報については、次
の資料を参照してください。
◆
VNX Command Reference Manual
◆
オンラインの VNX for file man ページ
◆
VNX Parameters Guide
◆
VNX 用語集
◆
Configuring and Managing VNX Networking
◆
VNX ユーザー マッピングの構成
◆
VNX Security Configuration Guide
◆
Managing VNXfor a Multiprotocol Environment
◆
VNX CIFS の構成と管理
RFC:
◆
RFC 2307、「An Approach for Using LDAP as a Network Information Service」
◆
RFC ドラフト(Joslin)、「A Configuration Profile Schema for LDAP-based
Agents」
EMC オンライン サポート Web サイトの EMC VNX のマニュアル
EMC VNX シリーズのカスタマー向け資料一式は、EMC オンライン サポート
Web サイトから入手できます。テクニカル ドキュメントを検索するには、
http://Support.EMC.com にアクセスします。Web サイトにログインした後、VNX
の[Support by Product]ページをクリックして必要な特定の機能に関する情報を
見つけます。
VNX® ネーム サービスの構成
リリース 8.1
9/81
VNX for File ウィザード
Unisphere ソフトウェアでは、セットアップおよび構成タスクを実行するウィ
ザードが提供されています。ウィザードの詳細については、Unisphere のオンラ
イン ヘルプを参照してください。
10/81 リリース 8.1
VNX® ネーム サービスの構成
概念
VNX for File システム上の各 Data Mover には、ユーザー名、パスワード、ホー
ム ディレクトリ、グループ、ホスト名、IP アドレス、ネットグループの定義を
含む、ユーザーおよびシステムの情報を検索するメカニズムが必要です。Data
Mover は、ネーム サービスにクエリーを実行してこの情報を取得します。ネー
ム サービスは、VNX for File でサポートされている複数のプロトコルで使用され
ます。
システムの各 Data Mover には、次のネーム サービスのうち 1 個以上を構成でき
ます。
◆
ローカル ファイル(パスワード、グループ、ホスト、ネットグループ)
◆
NIS(Network Information Service)
◆
DNS(ドメイン ネーム システム)
◆
SFU(Microsoft Windows Services for UNIX)または IdMU(Identity
Management for UNIX)を利用する Active Directory
◆
OpenLDAPOpenLDAP
◆
Sun Java System Directory Server(iPlanet)
注: Sun Java System Directory Server は、以前は Sun ONE Directory Server および
iPlanet と呼ばれていました。多くのユーザーは依然としてこの製品を iPlanet と呼ん
でいるため、ここでは iPlanet という名前を使用します。
◆
Active Directory(VNX CIFS Microsoft 管理コンソール [MMC] スナップインを
使用)
◆
WINS(Windows インターネット ネーム サービス)
ネーム サービスが必要になった場合、Data Mover は最初にローカル キャッシュ
を確認します。その後、要求されたエンティティを見つけるか、すべてのネーム
サービスをクエリーするまで、すべての構成されたネーム サービスに対して事前
に定義された順序でクエリーを実行します。検索順序は nsswitch(ネーム サービ
ス スイッチ)によって定義されています。nsswitch は nsswitch.conf ファイルを
使用して構成します。
ローカル ファイル
ローカル ファイルとは、Data Mover 上に存在するテキスト ファイルです。これ
らのファイルは、含まれる情報のタイプに応じて、パスワード ファイル、グルー
プ ファイル、ホスト ファイル、ネットグループ ファイルのいずれかに分類され
ます。
VNX® ネーム サービスの構成
◆
パスワード ファイルには、Data Mover にアクセスできるユーザーが含まれます。
◆
グループ ファイルにより、ユーザーが属するグループが定義されます。
◆
ホスト ファイルには、IP アドレスおよび対応するホスト名のリストが含まれ
ます。
リリース 8.1
11/81
注: Windows 環境で CIFS を実行する場合は、DNS が必要です。
◆
ネットグループ ファイルには、ネットワーク グループ名のリストと、そのグ
ループに属するホストのホスト名のリストが含まれます。ネットグループ
ファイルは、ホストをネットワーク グループにマップするだけでなく、ユー
ザーもネットワーク グループにマップします。
ローカル ファイルは、ネットワーク上のその他のサーバから情報を取得する必要
がないため、エンティティを検索するうえで最も効率的な方法です。ただし、
ローカル ファイルを使用する場合は、ネットワーク上のエンティティの変更にあ
わせて、各 Data Mover 上のエンティティ情報を手動で変更する必要があります。
デフォルトでは、ローカル ファイルは Data Mover 上に提供されていません。
ローカル ファイルを使用するには、これらのファイルを作成し、Data Mover にコ
ピーする必要があります。既存のファイル内の情報を更新するには、Data Mover
からファイルを取得し、変更してから Data Mover にコピーを戻す必要がありま
す。これらのタスクは、CLI を使用してのみ実行できます。
ネーム サービスにローカル ファイルを使用するように Data Mover を構成する方
法については、22 ページの「ローカル ファイルの構成」を参照してください。
NIS
NIS は、ユーザー名、パスワード、ホーム ディレクトリ、グループ、ホスト名、
IP アドレス、ネットグループの定義を含む、ユーザーおよびシステムの情報を
ネットワーク上で共有する、分散データ検索サービスです。
各 Data Mover 上で個別に管理する必要があるローカル ファイルとは異なり、NIS
では、セントラル リポジトリに格納され専用の NIS サーバ上で管理されたドメイ
ン構造内で情報を整理できます。NIS ドメイン情報は、構成すればネットワーク
上で使用できます。
Data Mover を NIS サーバのクライアントとして構成するには、NIS サーバの NIS
ドメイン名および IP アドレスの情報が必要です。可能であれば、複数の NIS サー
バを構成します。そうすれば、最初のサーバが使用不可の場合に、Data Mover は
代替サーバの使用を試行します。Data Mover 上の 1 個の NIS ドメイン内に、最大
10 台の NIS サーバを構成できます。
注: IPv4 および IPv6 の両方をサポートする NIS サーバにアクセスする場合は、各 Data
Mover 上のドメイン内で各アドレス タイプに少なくとも 1 個のインタフェースを構成す
る必要があります。
ネーム サービスに NIS を使用するように Data Mover を構成する方法については、
26 ページの「NIS の構成」を参照してください。
12/81 リリース 8.1
VNX® ネーム サービスの構成
DNS
DNS は、ユーザーが UNIX または TCP/IP ネットワーク上のコンピュータおよび
サービスを名前で参照できるようにする、名前解決システムです。DNS サーバ
は、ドメイン名、ホスト名、それらに対応する IP アドレスのデータベース、これ
らのホストによって提供されるサービスを保持します。
Data Mover を DNS サーバのクライアントとして構成するには、DNS サーバの
DNS ドメイン名および IP アドレスの情報が必要です。可能であれば、複数の
DNS サーバを構成します。そうすれば、最初のサーバが使用不可の場合に、Data
Mover は代替サーバの使用を試行します。Data Mover 上の単一の DNS ドメイン
内に、最大 3 台の DNS サーバを構成できます。さらに、おのおのが独自の DNS
サーバのセットを持った DNS ドメインを、同一の Data Mover に複数構成でき
ます。
注: Windows 2000 以降のドメインには、DNS が必要です。DNS サーバは動的な更新
(DDNS)をサポートする必要があります。DDNS がサポートされていない場合は、DNS
サーバを手動で更新する必要があります。また、IPv4 および IPv6 の両方をサポートする
DNS サーバにアクセスする場合は、各 Data Mover のドメイン内で、すべての CIFS サー
バの各アドレス タイプに少なくとも 1 個のインタフェースを構成する必要があります。
VNX CIFS の構成と管理で、DNS および Windows ドメインの詳細を参照してください。
ネーム サービスに DNS を使用するように Data Mover を構成する方法について
は、27 ページの「DNS の構成」を参照してください。
LDAP ベースのディレクトリ サービス
VNX for File は、次の 3 種類の LDAP ベースのディレクトリ サービスをサポート
しています。
◆
SFU(Microsoft Windows Services for UNIX)または IdMU(Identity
Management for UNIX)を利用する Active Directory
◆
OpenLDAPOpenLDAP
◆
iPlanet
SFU/IdMU 利用 Active Directory、OpenLDAP、Sun Java System Directory Server
および ONE Directory Server としても知られる iPlanet(以降、まとめて LDAP
ベースのディレクトリと呼ぶ)は、分散ディレクトリ サーバであり、ID プロファ
イル、アクセス権限、アプリケーションとネットワークのリソース情報を格納し
て管理するためのセントラル リポジトリを提供します。VNX 環境では、ユーザー
アカウント情報、グループ情報、ホスト、ネットグループを提供するために、
LDAP ベースのディレクトリが使用されることがあります。
LDAP ベースのディレクトリは、NIS に格納されるものと同じ情報を格納するレ
ポジトリを提供しますが、データベース テーブルを編集し、更新された情報を明
示的に伝播させる必要のある NIS とは異なり、LDAP ベースのディレクトリでは、
リアルタイムで一元管理が可能です。
Data Mover を LDAP ベースのディレクトリ サーバのクライアントとして構成す
るには、構成サーバまたはサービス サーバの LDAP ベースのディレクトリ ドメイ
VNX® ネーム サービスの構成
リリース 8.1
13/81
ン名または基本識別名と IP アドレスの情報が必要です。可能であれば、複数の
LDAP ベースのディレクトリ サーバを構成します。そうすれば、最初のサーバが
使用不可の場合に、Data Mover は追加サーバの使用を試行します。1 台の Data
Mover は単一の LDAP ベースのディレクトリ ドメインのみをサポートします。
注: EMC は、DNS を使用したホスト名および IP アドレスの取得を継続することを推奨し
ます。
ネーム サービスに LDAP ベースのディレクトリ サーバを使用するように Data
Mover を構成する方法については、28 ページの「LDAP ベースのディレクトリ
サービス クライアントとしての Data Mover の構成」を参照してください。
OpenLDAP を使用しており、NFS ファイル システムをエクスポートする予定の
場合の追加情報については、60 ページの「Linux の OpenLDAP スキーマの編集」
を参照してください。
LDAP ベースのディレクトリ構造
LDAP ベースのディレクトリ サーバでは、特定組織のニーズに固有の階層ディレ
クトリ構造で情報が整理されます。ディレクトリに格納された各オブジェクトは、
ディレクトリ エントリーで表されます。エントリーは、1 個以上の属性で形成さ
れます。エントリーは、ディレクトリ ツリーに階層的に格納されます。各エント
リーは、ツリー内のこのエントリーの位置を列挙した DN(識別名)により一意
に定義されます。たとえば、管理者グループの識別名は
「cn=admin,ou=group,dc=mycompany,dc=com」です。LDAP を使用すると、エン
トリーに対するクエリーを実行したり、要求エントリーの下位にあるすべてのエ
ントリーとその属性を要求したりすることができます。
LDAP ベースのディレクトリ構造の例を次に示します。
dc=mycompany,dc=com
ou=people
ou=group
ou=hosts
ou=netgroup
dc= はドメイン コンポーネント、ou= は組織単位(人、グループ、ホスト、ネッ
トグループで構成される)を示します。通常、特定のエントリーの一般的に知ら
れている名前を示す場合は、cn 属性を使用します。ディレクトリ構造は変更可能
です。カスタム クライアント構成プロファイルまたは構成ファイルをアップロー
ドすることにより、Data Mover に組織のディレクトリ構造を知らせることができ
ます。たとえば、組織のユーザー情報を people ではなく users というコンテナに
格納し、ホストを hosts ではなく computers というコンテナに格納することもで
きます。同じオブジェクト クラスに対して複数のコンテナを定義することもでき
ます。LDAP ベースのディレクトリ構造を構成するコンテナは、次のオブジェク
ト タイプを使用します。
14/81 リリース 8.1
VNX® ネーム サービスの構成
iPlanet/OpenLDAP
コンテナ
iPlanet/OpenLDAP
オブジェクト クラス
IdMU コンテナ
IdMU オブジェクト
クラス
ou=People
posixAccount
cn=Users
User
ou=Group
posixGroup
cn=Group
Group
ou=Hosts
ipHost
cn=Computers
Computer
ou=Netgroup
nisNetgroup
cn=Netgroup
nisNetgroup
ディレクトリ サーバの違い
LDAP ベースのディレクトリ サーバ間の主な違いは、ディレクトリ サービスの構
成方法です。ディレクトリ サービスは server_ldap コマンドを使用して構成およ
び管理します。
◆
iPlanet は、基本構成中に指定される構成属性以外の追加構成属性を含む、オ
プションのダウンロード可能クライアント構成プロファイルを使用します。
LDAP 構成属性の詳細については、65 ページの「付録 A:iPlanet クライアン
トのプロファイル属性」を参照してください。
iPlanet サービスに接続するとき、(指定されていれば)この属性が
server_ldap 構成設定よりも優先されます。有効なクライアント構成プロファ
イルを指定すると、即座に iPlanet サービスにインパクトがあります。つま
り、クライアント構成プロファイルが取得され、読み取られます。
◆
SFU/IdMU 利用 Active Directory や OpenLDAP は、Data Mover の /.etc ディレクト
リに存在するファイルベースの構成を使用します。
• OpenLDAP の場合、使用可能なあらゆる UNIX/Linux クライアントから
ASCII 構成ファイル(ldap.conf)をコピーできます。Data Mover は、サ
ポートしていないキーワードは無視します。ファイルベースの構成をセッ
トアップすることが、一番早い方法です。詳細については、PADL ソフト
ウェアの Web サイトを参照してください。関連する LDAP 構成属性の例に
ついては、 68 ページの「付録 B:OpenLDAP の構成ファイル」を参照して
ください。
• SFU/IdMU 利用 Active Directory の場合、VNX for File は 2 個の異なる構成
ファイルのテンプレート(ldap.conf.idmu_template_v1 と
ldap.conf.sfu35_template_v1)を提供します。これらのテンプレートは、
各スキーマに対して関連する LDAP 構成属性を指定します(SFU 3.5 LDAP
スキーマには、IdMU LDAP スキーマよりも多くの再マッピング ディレク
ティブが必要です)。選択したテンプレート ファイルを「ldap.conf」に名
称変更します。これらのテンプレート ファイルの例については、69 ページ
の「付録 C:IdMU 構成ファイルのテンプレート」および 70 ページの「付
録 D:SFU 3.5 構成ファイルのテンプレート」を参照してください。
ディレクトリ サーバにネットグループ専用のコンテナが構成されていな
かった場合、IdMU テンプレート ファイルにより正しい LDAP 設定が指定
されます。通常、IdMU ソフトウェアの一部である NIS データ移行ウィ
ザードにより、ネットグループのデフォルト コンテナが作成されます。
ネットグループは、SFU 3.5 スキーマではサポートされていません。
VNX® ネーム サービスの構成
リリース 8.1
15/81
以前に ldap.conf ファイルを使用して LDAP ベースのディレクトリ サービスを
構成している場合、別の ldap.conf ファイルに置き換えても、即座にサービス
にインパクトを与えることはありません。サービスを再起動すると、ldap.conf
ファイルの読み取りが実行され、該当する設定が適用されます。サービスを再
起動しない場合は、20 分ごとに構成が自動的に更新されるタイミングで
ldap.conf ファイルの読み取りが実行されます。同様に、ldap.conf ファイルを
使用して LDAP ベースのディレクトリ サービスを構成している場合、ファイ
ルを削除しても、サービスを再起動したり、構成が(20 分ごとに)更新され
たりしない限り、即座にサービスにインパクトを与えることはありません。
以前に ldap.conf ファイルを使用して LDAP ベースのディレクトリ サービスを
構成していない場合は、ldap.conf ファイルを追加する際、新しい ldap.conf
ファイルの読み取りが実行され、適用されるようにするために、以前の構成を
クリアし、Data Mover を再構成する必要があります。
ldap.conf ファイル
ldap.conf ファイルには、次のフィールドが含まれます。
◆
nss_base_passwd
◆
nss_base_group
◆
nss_base_hosts
◆
nss_base_netgroup(OpenLDAP および IdMU のみ)
◆
nss_map_objectclass
◆
nss_map_attribute
最初の 4 個のフィールドは、ユーザー、グループ、ホスト、ネットグループのコ
ンテナを定義します。コンテナは、識別名により識別されます。
nss_base_passwd
nss_base_hosts
ou=Users,dc=mycompany,dc=com
ou=Computers,dc=mycompany,dc=com
コンテナは、ツリー内のいずれのディレクトリにも指定できます。また、同一の
オブジェクト クラスに対して複数のコンテナを定義することも可能です。たとえ
ば、組織のユーザーが複数のグループ(セールス、エンジニアリング、製造など)
に分かれている場合、ユーザー コンテナを 3 個定義できます。
nss_base_passwd
nss_base_passwd
nss_base_passwd
ou=sales,dc=mycompany,dc=com
ou=engineering,dc=mycompany,dc=com
ou=manufacturing,dc=mycompany,dc=com
デフォルトの検索スコープは one(つまり単一のレベル)です。検索要求はこの
タイプの検索で最適化されるため、EMC はデフォルト値の使用を推奨します。
nss_base_passwd
ou=sales,dc=mycompany,dc=com?one
次の構文を使用して検索スコープを変更できます。
nss_base_XXX base?scope?filter
◆
スコープは {base,one,sub}
◆
VNX for File ではフィルタ フィールドはサポートされていない
sub のスコープ値(例:nss_base_passwd ou=sales,dc=mycompany,dc=com?sub)
があると、要求された UID またはユーザー名を持つ posixAccount オブジェクト
16/81 リリース 8.1
VNX® ネーム サービスの構成
が、サブツリー全体で検索されます。このタイプの検索は、スキャンする必要の
あるオブジェクトが数万件ある場合は非常に時間がかかる場合があります。
nss_map_objectclass <rfc 2307 class> <class used in the ldap tree> のフィールド
は、Data Mover に対して、RFC 2307 で定義されたデフォルトのクラスではなく、
顧客固有のクラスに対してクエリーを実行するように指示します。IdMU には次の
定義が必要です。
nss_map_objectclass posixAccount User
nss_map_attribute <rfc 2307 attribute> <attribute used in the ldap object> のフィー
ルドは、Data Mover に対して、RFC 2307 で定義されたデフォルトの属性ではな
く、顧客固有の属性に対してクエリーを実行するように指示します。
nss_map_attribute homeDirectory unixHomeDirectory
構成シーケンス
LDAP ベースのディレクトリ サービスを開始するときに、クライアント構成プロ
ファイルを指定した場合は、Data Mover はプロファイルのダウンロードを試行し
ます。プロファイルがダウンロードされると、iPlanet ディレクトリ サービスが実
行されます。指定したプロファイルが存在しない場合は、構成は失敗します。構
成ファイルを指定しなかった場合は、Data Mover は /.etc/ldap.conf ファイルを確
認します。このファイルが存在すれば、セットアップを完了するために使用され
ます。
クライアント構成プロファイルが指定されていない、かつ構成ファイルが存在し
ない場合は、デフォルトのパラメータを使用してディレクトリ サービスが実行さ
れます。
SSL を使用する場合、クライアント構成プロファイルおよびファイルベースの構
成で指定された SSL 構成設定は、server_ldap コマンドで構成された SSL 設定よ
りも優先されます。
認証方法
Data Mover のディレクトリ クライアントは複数の異なる認証方法をサポートして
います。LDAP を構成する際に選択するオプションによって、使用される認証方
法が決定します。
◆
匿名
◆
単純(パスワード)
◆
Kerberos
◆
SSL:
• 匿名
• 単純(パスワード)
• SSL ベースのクライアント認証(LDAP ベースのディレクトリ サーバがク
ライアント証明書を必要とするように構成されている場合)
注: SFU/IdMU 利用 Active Directory では、パスワード、Kerberos、SSL のいずれかを使
用する認証方法が必要です。匿名認証は許可されていません。
VNX® ネーム サービスの構成
リリース 8.1
17/81
匿名認証
匿名認証は、認証が行われず、Data Mover から LDAP ベースのディレクトリ
サーバへのアクセスに匿名ログインが使用されることを意味します。
注: 匿名認証は、OpenLDAP または iPlanet を使用する場合に限り使用できます。
単純認証
単純認証またはプロキシ認証は、LDAP ベースのディレクトリ サーバにアクセス
する際に Data Mover からバインド識別名とパスワードを指定する必要があること
を意味します。
バインド DN は、サービスにバインドするために使用される ID の識別名です。
サービスにバインドするために使用される ID は、通常はドメイン マネージャで
す。通常、Active Directory では、cn=<acctname>,cn=users,dc=<domain
component>,dc=<domain component> の形式のバインド識別名が想定されます。
ただし、Active Directory の管理者は、Active Directory 内の他の場所にユーザーを
作成できます。その場合、バインド識別名のパスが異なることがあります。
OpenLDAP ディレクトリ サーバでは、異なる形式のバインド識別名が許容されま
す。通常、ドメイン マネージャはデフォルトのユーザー用コンテナ
(cn=administrator,ou=people,dc=<domain component>,dc=<domain
component>)。
Kerberos 認証
Kerberos 認証は、Active Directory にアクセスする際に、CIFS サーバとして構成
された Data Mover が KDC を使用して Data Mover の ID を確認することを意味し
ます。
CIFS サーバをドメインに参加させると、Kerberos はドメイン コントローラと共
有する、一連の暗号化および復号化キーを生成します。KDC は、CIFS サーバか
ら認証要求を受け取ると、Data Mover から送信された事前認証データを復号化
キーで復号化して認証を行います。復号化に成功し事前認証データが正確であれ
ば、CIFS サーバが認証されます。CIFS サーバが認証されると、KDC は TGT
(Ticket-Granting Ticket)と呼ばれる初期チケットを発行します。TGT は、CIFS
サーバが KDC にサービスをリクエストできるようにするための特別なチケット
です。
注: Data Mover が Kerberos 認証を使用している場合、関連する CIFS サーバが LDAP
サービスに使用されている間は、VNX for File 管理者はそのサーバを削除してはいけま
せん。
SSL 認証
SSL 認証は、SSL クライアントを基盤として、Data Mover のディレクトリ クラ
イアントが LDAP ベースのディレクトリ サーバから受け取った証明書を検証する
ことを意味します。証明書の検証の成功条件として、CA 証明書(ディレクトリ
サーバの証明書に署名を行った CA からの証明書)が Data Mover にインポートさ
れている必要があります。
LDAP ベースのディレクトリ サーバで SSL ベースのクライアント認証が必要とさ
れる場合は、秘密鍵と有効な証明書を、Data Mover 内の指定されたペルソナに関
18/81 リリース 8.1
VNX® ネーム サービスの構成
連づけてクライアントを認証する必要があります。認証を成功させるために、
Data Mover の証明書のサブジェクトは、ディレクトリ サーバの既存ユーザー(ア
カウント)の識別名と一致する必要があります (一部のディレクトリ サーバは、
予想されるクライアント証明書のサブジェクトと目的のユーザー アカウントとの
マッピングをサポートします)
。
SSL ベースのクライアント認証を必要とする LDAP ベースのディレクトリ サーバ
とのセキュリティで保護された接続をネゴシエートする場合、ペルソナは Data
Mover(クライアント)に対して秘密鍵と証明書を指定します。この証明書によ
り、サーバはクライアントを識別し、認証できます。おのおのが独自の鍵と証明
書を持つサービスが複数存在し、単一の Data Mover で 1 個以上のクライアント
接続が実行されている場合があるため、Data Mover のアプリケーションは秘密鍵
と対応する公開鍵の証明書を識別するために使用するペルソナを指定する必要が
あります。
SSL および PKI の詳細については、「VNX Security Configuration Guide」を参照
してください。
認証の構成ルール
使用される認証方法は次のルールによって決定されます。
◆
バインド DN オプションを指定していない、または SSL を有効化していない場
合は、匿名バインドが使用されます。
◆
バインド DN オプションおよびパスワード オプションを指定し、SSL を有効化
していない場合は、パスワード ベースのバインドが使用されます。
◆
バインド DN オプションおよびパスワード オプションを指定し、SSL を有効化
している場合は、sslpersona の構成の有無を問わず、パスワード ベースのバ
インドが使用されます。
◆
バインド DN オプションを指定せず、sslpersona を構成せず、SSL を有効化し
ている場合は、SSL 接続が確立した後に匿名バインドが使用されます。
◆
バインド DN オプションを指定せず、sslpersona を構成し、SSL を有効化して
いる場合は、LDAP ベースのディレクトリ サーバがクライアント証明書を要求
するように構成されていない限り、SSL なしの匿名バインドが使用されます。
注: sslpersona が構成されている場合(使用の有無を問わない)、鍵および特定のペルソ
ナに関連づけられた有効な公開鍵証明書がなければ、SSL 接続に失敗します。クライアン
ト証明書を要求するように LDAP ベースのディレクトリ サーバを構成する場合は、常に
sslpersona を指定する必要があります。指定しなければ、LDAP ベースのディレクトリ
サーバから拒否されるため、SSL 接続に失敗します。
暗号スイート
暗号スイートは、LDAP 通信をセキュリティで保護するための一連のテクノロ
ジーを定義します。
VNX® ネーム サービスの構成
◆
鍵交換アルゴリズム(データの暗号化に使用される秘密鍵がクライアントから
サーバに伝達される仕組み)。例:RSA 鍵または DH(Diffie-Hellman)
◆
認証方法(ホストでリモート ホストの ID が正しいことを確認する仕組み)
。
例:RSA 証明書、DSS 証明書、認証なし
リリース 8.1
19/81
◆
暗号化サイファ(データを暗号化する仕組み)。例:AES(256 または 128 ビッ
ト)
、RC4(128 または 56 ビット)
、3DES(168 ビット)
、DES(56 または
40 ビット)
、NULL 暗号化
◆
ハッシュ アルゴリズム(不正なユーザーによるデータの改ざんを確実に防ぐ
仕組み)。例:SHA-1 または MD5
サポートされている暗号スイートは、これらすべての仕組みを兼ね備えています。
「 VNX Security Configuration Guide」に、VNX for File でサポートされている暗号
スイートのリストを示します。
セキュリティで保護された LDAP ベースのディレクトリ通信を使用するように
Data Mover を構成する方法については、31 ページの「LDAP ベースの追加ディレ
クトリ オプションの構成」を参照してください。
Active Directory
Windows 上の UNIX 環境を提供する Microsoft 製ソフトウェア(SFU/IdMU 利用
Active Directory)が登場する前は、Active Directory は主に Windows 2000 および
Windows Server 2003 環境で Windows ユーザーへの認証と許可を提供するために
使用されていました。
しかし、Windows ユーザーとグループ向けの UNIX 属性を含めるために Active
Directory スキーマが EMC 独自のスキーマで拡張されていた場合、ユーザーと
ユーザーがメンバーになっているグループに UNIX 属性が割り当てられているか
どうかを Active Directory に問い合わせるよう Data Mover を構成できました。割
り当てられている場合、これらの属性に保存されている情報がファイル アクセス
の認証に使用されます。
Active Directory に UNIX 属性の問い合わせを行うよう Data Mover を構成するには、
VNX CIFS 管理 MMC スナップインの UNIX ユーザー管理コンポーネントをインス
トールする必要があります。また、cifs useADMap パラメータの設定も必要です。
Installing VNX Management Applications、VNX ユーザー マッピングの構成、VNX
UNIX ユーザー管理、VNX UNIX 属性移行のオンライン ヘルプ システムで詳細を
参照してください。
注: EMC では、Active Directory を VNX CIFS MMC スナップインで利用する代わりに、
SFU または IdMU と一緒に使用することを推奨します。SFU/IdMU 利用 Active Directory
の詳細については、 13 ページの「LDAP ベースのディレクトリ サービス」を参照してく
ださい。
WINS
WINS は、特定のネットワーク ノードに関連づけられた IP アドレスを判別する
Microsoft NetBIOS ベースの名前解決システムです。通常、WINS は Windows NT
環境でのみ使用されます。Windows 2000 からは、WINS に代わって DNS が使用
されるようになりました。
Data Mover を WINS クライアントとして構成するには、Data Mover 上のすべて
の CIFS サーバがアクセスできる WINS サーバを 1 台以上定義する必要がありま
す。VNX CIFS の構成と管理で、Windows NT 環境で CIFS サーバに WINS を構成
する手順の詳細を参照してください。
20/81 リリース 8.1
VNX® ネーム サービスの構成
nsswitch.conf ファイル
nsswitch.conf ファイルは、各エンティティ タイプのクエリーが実行される対象の
ネーム サービスおよびネーム サービスがチェックされる順序を決定します。
nsswitch.conf ファイルは、編集してご使用の環境に最も適した検索順序に整列で
きるテキスト ファイルです。このファイルのテンプレート(nsswitch.conf.tmpl)
は、Control Station の /nas/sys ディレクトリに提供されています。
nsswitch.conf ファイルを指定しない場合、Data Mover はネーム サービスに対し
て、次の順序で各エンティティをクエリーします。
◆
パスワード、グループ、ネットグループのエンティティの場合は、Data
Mover はローカル ファイル、NIS の順番でクエリーを実行します。
◆
ホスト エンティティの場合は、Data Mover はローカル ファイル、NIS、DNS
の順番でクエリーを実行します。
nsswitch.conf ファイルでエンティティが定義されていない場合は、Data Mover は
デフォルトの検索を使用します。LDAP ベースのディレクトリ サーバは、
nsswitch.conf ファイルにネーム サービスとして追加されている場合に限り、クエ
リーの対象となります。たとえば、/.etc/passwd ファイルのユーザーを最初にク
エリーし、見つからない場合は LDAP サーバをクエリーするように Data Mover
を構成するには、パスワード 「files ldap」を指定します。
nsswitch.conf ファイルが指定されていない場合は、Data Mover は LDAP ベース
のディレクトリ サーバが含まれていない、デフォルトの検索順序を使用します。
nsswitch.conf ファイルの詳細については、40 ページの「nsswitch.conf ファイル
の構成」を参照してください。
プロトコル ユーザー認証
FTP などの特定のプロトコルは、LDAP ベースのディレクトリ、NIS、ローカル
ファイルを使用して分散アプリケーション用にユーザー アカウント情報を認証し
ます。たとえば、VNX for File の FTP サーバにログインするたびに、FTP はディ
レクトリ サーバにバインドします。その後、提示された認証情報がディレクトリ
サーバで検証され、アクセスするサーバでの認証が許可されます。
VNX for File は、ディレクトリからのハッシュ化されたパスワードを読み取り、
FTP ユーザーから提供されたパスワードをハッシュ化してから、この 2 個を比較
して FTP ユーザーを認証します。パスワードは、UNIX CRYPT、MD5、
MD5_CRYPT のいずれかの暗号化アルゴリズムを使用してハッシュ化されます。
注: ディレクトリ サーバが Active Directory の場合は、MD5_CRYPT が必要とされる場合
があります。
LDAP ベースのディレクトリが Data Mover の FTP または PC-NFS サービスに対し
てユーザー パスワード認証を提供するために使用される場合の構成方法について
は、31 ページの「単純(パスワード)認証の使用の指定」を参照してください。
FTP の詳細については、FTP マニュアル ページおよび「FTP on VNX」を参照し
てください。
VNX® ネーム サービスの構成
リリース 8.1
21/81
ローカル ファイルの構成
Data Mover によるローカル ファイルの使用を構成するには、次のいずれかを実行
します。
◆
Control Station 上に適切なテキスト ファイルを作成し、Data Mover にコピー
する
または
◆
Data Mover から既存のファイルを取得し、変更してからコピーを Data Mover
に戻す
ローカル ファイルの詳細については、11 ページの「ローカル ファイル」を参照
してください。
前提条件
Data Mover 用にローカル ファイルを新規作成するには、他の UNIX または Linux
システムからパスワード、グループ、ホスト、ネットグループのいずれかのファ
イルをコピーして、テンプレートとして使用できます。
ローカル ファイルを作成または編集する際には、次のルールが適用されます。
◆
すべてのエントリー(Windows 名、ユーザー名、ドメイン名、グローバル グ
ループ名)は、ASCII の小文字のみで入力されている必要があります。
◆
Windows ドメインまたはグループ名のスペースはすべて、UNIX 形式のファイ
ルの規定に沿うように、=20 に置き換えられている必要があります。ASCII 以
外のすべての文字(フランス語のアクセント記号付き母音など)は、=xx また
は ==xxyy(xx、xxyy はその文字に対応する UTF-8 の 16 進コード)に置き換
えられている必要があります。
◆
UNIX ユーザー認証を使用する場合、server_user コマンドを実行してパスワー
ド フィールドに暗号化されたパスワードを生成します。しかし、ユーザー名
の一部にドメインは含みません。
パスワード、グループ、ホスト、ネットグループ ファイルは、UNIX ベースの標
準ファイルです。man コマンドを使用して、これらのファイルの標準記述および
その形式を表示できます。
パスワード ファイルを作成または編集する
パスワード ファイルの各行はユーザーを定義しています。形式は次のとおりです。
username:password:uid:gid:gcos
ここで:
◆
username はユーザーのログイン名です。
Windows ユーザーをクエリーする場合、デフォルトでは、システムは
username.domain の形式(domain は Windows ドメイン名)の CIFS ユーザー
名を確認します。cifs resolver パラメータを 1 に設定すると、システムはドメ
イン拡張子を持たないユーザーおよびグループのエントリーを取得できるよう
になります。VNX ユーザー マッピングの構成詳細については、を参照してく
ださい。
22/81 リリース 8.1
VNX® ネーム サービスの構成
◆
password は空のフィールドです。ユーザーの暗号化されたパスワードは、
シャドウ ファイルの対応するエントリーにあります。
◆
uid はシステムに対応するユーザーの一意の数値 ID です。
◆
gid はユーザーが属するグループの一意の数値 ID です。
注: server_user <movername> -add コマンドを使用して、Data Mover 上にユーザー アカ
ウントを新規作成できます。このコマンドは、/nas/sbin ディレクトリから実行する必要が
あります。また、実行するには root ユーザーである必要があります。
グループ ファイルを作成または編集する
グループ ファイルにより、ユーザーが属するグループが定義されます。グループ
ファイルの各行はグループを定義しています。形式は次のとおりです。
groupname:gid:user_list
ここで:
◆
groupname はグループの名前です。
Windows グループをクエリーする場合、デフォルトでは、システムは
groupname.domain の形式(domain は Windows ドメイン名)の CIFS グルー
プ名を確認します。cifs resolver パラメータを 1 に設定すると、システムはド
メイン拡張子を持たないユーザーおよびグループのエントリーを取得できるよ
うになります。VNX ユーザー マッピングの構成詳細については、を参照して
ください。
◆
gid はグループの数値 ID です。
◆
user_list はグループ メンバーのすべてのユーザー名で、カンマで区切ります。
ホスト ファイルを作成または編集する
ホスト ファイルの各行はホストを定義しています。形式は次のとおりです。
IP_address hostname aliases
ここで:
◆
IP_address はホストの IP アドレスです。
◆
hostname はホストの公式名です。
◆
aliases は名前の変更、代替スペル、ホストの省略名、一般的なホスト名(例:
localhost)を指定します。
フィールドは空白文字またはタブ文字(いずれも文字数は任意)
、またはその両方
で区切ります。
ネットグループ ファイルを作成または編集する
ネットグループ ファイルの各行はグループを定義しています。形式は次のとおり
です。
groupname member1 member2 ...
各メンバーは他のグループの名前とするか、またはトリプルと呼ばれる特定のホ
スト、ユーザー、ドメインを次のように示します。
VNX® ネーム サービスの構成
リリース 8.1
23/81
(hostname,username,domainname)
トリプルの 3 個のフィールドは、いずれも空白にできます。空白にした場合は、
そのフィールドのすべての値が含まれることを意味します。任意のフィールドを
ダッシュ(-)とした場合は、有効な値がないことを意味します。たとえば、次の
行は ourdomain という NIS ドメイン内のすべてのホストおよびユーザーで構成さ
れた、ouruniverse という名前のグループを定義しています。
ouruniverse (,,ourdomain)
次の各行は、ドメイン内のすべてのホストは含むがユーザーは含まない ourhosts
という名前のグループと、すべてのユーザーは含むがホストは含まない ourusers
という名前のグループを定義しています。
ourhosts (,-,ourdomain)
ourusers (-,,ourdomain)
次の行は hostatlanta と hostboston という 2 個のホストで構成された ouruniverse
という名前のグループを定義しています。
ouruniverse (hostatlanta,,),(hostboston,,)
注: IP アドレスは使用できません。
ネットグループ ファイルには、必要な数だけ行を含めることができますが、各行
のレングスは 1 KB 未満にする必要があります。必要に応じて、バックスラッシュ
(\)を継続文字として使用して、ある行を他の行に続けることもできます。ただ
し、トリプルを 2 行に分割することはできません。
注: バックスラッシュ(\)を継続文字として使用する場合は、バックスラッシュをその行
の最後に配置する必要があります。バックスラッシュの後ろにスペースを入れることはで
きません。
Data Mover 上でのローカル ファイルの構成
ステップ アクション
1.
次のコマンド構文を使用して、ローカル ファイル(パスワード、グループ、ホスト、
ネットグループ)を Data Mover から Control Station にコピーします。
$ server_file <movername> -get <src_file> <dst_file>
ここで:
<movername> = Data Mover の名前
<src_file> = Data Mover 上のソース ファイル
<dst_file> = Control Station 上の宛先ファイル
2.
24/81 リリース 8.1
テキスト エディタを使用して、Control Station 上のファイルを編集し、エントリーを
追加、削除、変更します。
VNX® ネーム サービスの構成
ステップ アクション
3.
次のコマンド構文を使用して、Control Station から Data Mover にファイルをコピー
します。
$ server_file <movername> -put <src_file> <dst_file>
ここで:
<movername> = Data Mover の名前
<src_file> = Control Station 上のソース ファイル
<dst_file> = Data Mover 上の宛先ファイル
VNX® ネーム サービスの構成
リリース 8.1
25/81
NIS の構成
Data Mover を NIS クライアントとして構成するには、NIS ドメイン名およびドメ
インをホストする NIS サーバを 1 台以上指定する必要があります。NIS について
の詳細は、 12 ページの「NIS」を参照してください。
前提条件
可能であれば、複数の NIS サーバを定義します。そうすれば、最初のサーバが使
用不可の場合に、Data Mover は代替サーバの使用を試行します。Data Mover 上
の 1 個の NIS ドメインに対して、最大 10 台の NIS サーバを構成できます。
server_nis コマンドを実行して NIS ドメインを構成し、サーバを指定するたびに、
以前の構成は上書きされます。また、NIS サービスが実行されていない場合は、
server_nis コマンドにより Data Mover 上で NIS サービスが開始されます。NIS
サービスを構成した後は、デフォルトで NIS サービスが有効になります。つま
り、NIS サービスは Data Mover の再起動後に自動的に再開されます。
NIS クライアントとしての Data Mover の構成
アクション
Data Mover を NIS クライアントとして構成するには、次のコマンド構文を使用します。
$ server_nis <movername> <domainname> {<ip_addr>,...}
ここで:
<movername> = Data Mover の名前
<domainname> = NIS ドメインの名前
<ip_addr> = 指定したドメインに対する NIS サーバのアドレス
例:
NIS ドメイン nsg に対して server_2 上の 2 台の NIS サーバ(IP アドレスが 172.16.21.10 の NIS
サーバと 172.16.22.10 の NIS サーバ)を使用するように構成するには、次のように入力します。
$ server_nis server_2 nsg 172.16.21.10,172.16.22.10
出力
server_2 : done
26/81 リリース 8.1
VNX® ネーム サービスの構成
DNS の構成
Data Mover を DNS クライアントとして構成するには、DNS ドメイン名およびド
メインをホストする DNS サーバを 1 台以上指定する必要があります。DNS につ
いての詳細は、 13 ページの「DNS」を参照してください。
前提条件
可能であれば、複数の DNS サーバを定義します。そうすれば、最初のサーバが使
用不可の場合に、Data Mover は代替サーバの使用を試行します。Data Mover 上
の 1 個の DNS ドメインに対して、最大 3 台の DNS サーバを構成できます。さら
に、おのおのが独自の DNS サーバのセットを持った DNS ドメインを、同一の
Data Mover に複数構成できます。
同一の Data Mover に対して複数の DNS ドメインを構成するには、同じ Data
Mover に対して server_dns コマンドを再実行します。その際、異なる DNS ドメ
イン名と IP アドレスを指定します。また、DNS サービスが実行されていない場
合は、server_dns コマンドにより Data Mover 上で DNS サービスが開始されま
す。DNS サービスを構成した後は、デフォルトで DNS サービスが有効になりま
す。つまり、DNS サービスは Data Mover の再起動後に自動的に再開されます。
DNS クライアントとしての Data Mover の構成
アクション
Data Mover を DNS クライアントとして構成するには、次のコマンド構文を使用します。
$ server_dns <movername> <domainname> {<ip_addr>,...}
ここで:
<movername> = Data Mover の名前
<domainname> = DNS ドメインの名前(155 文字以内)
<ip_addr> = 指定したドメインに対する DNS サーバのアドレス
例:
IP アドレスが 128.221.21.10 の DNS サーバに DNS ドメイン nasdocs.emc.com を使用するよう
に server_2 を構成するには、次のように入力します。
$ server_dns server_2 nasdocs.emc.com 128.221.21.10
出力
server_2 : done
VNX® ネーム サービスの構成
リリース 8.1
27/81
LDAP ベースのディレクトリ サービス クライアントと
しての Data Mover の構成
Data Mover を構成するには、次の手順に従います。
◆
29 ページの「ドメイン名を使用した LDAP ベースのディレクトリ クライアント
の構成」
または
◆
29 ページの「基本識別名を使用した LDAP ベースのディレクトリ クライアント
の構成」
LDAP ベースのディレクトリ サービスの詳細については、13 ページの「LDAP
ベースのディレクトリ サービス」を参照してください。
前提条件
iPlanet LDAP ベースのディレクトリ サーバは、複数のタイプのサーバ(構成、
サービス、優先、代替)をサポートします。iPlanet に対してクライアント構成プ
ロファイルの使用を計画している場合は、server_ldap コマンド内で iPlanet 構成
サーバの IP アドレスを指定します。プロファイルを使用しない場合は、サービス
サーバの IP アドレスを指定します。通常、構成サーバとサービス サーバは同一
です。
OpenLDAP および SFU/IdMU 利用 Active Directory の場合、Data Mover は
/.etc/ldap.conf ファイルを確認します。
server_ldap コマンドを使用する場合は、同一の basedn または domain を指定し、
かつ異なるパスワードを指定することで、LDAP ベースのディレクトリ サーバか
ら切断しないでバインド認証情報を動的に変更できます。または、コマンドを再
実行してユーザー認証情報を追加(匿名モードから認証モードに切り替え)した
り、ユーザー認証情報を削除(認証モードから匿名モードに切り替え)したりで
きます。つまり、変更するために LDAP の関連づけを解除する必要はないという
ことです。関連づけは、Data Mover が実行中であれば、継続してアクティブのま
まにしておくことができます。
注: LDAP サーバは、必ずバインドするユーザー アカウント用の新しいパスワードで構成
します。そうしないと、ユーザーが新しいパスワードを入力した際に、LDAP ベースの
ディレクトリ サーバはそのパスワードを拒否し、接続を切断します。
注: SFU/IdMU 利用 Active Directory では、パスワード、Kerberos、SSL のいずれかを使
用する認証方法が必要です。匿名認証は許可されていません。
Data Mover が一度にサポートできる LDAP ベースのディレクトリ ドメインは、1
個だけです。新しい LDAP ベースのディレクトリ ドメインを構成する前に、以前
の構成を削除する必要があります。可能であれば、複数のサーバを定義します。
そうすれば、最初のサーバが使用不可の場合に、Data Mover は追加サーバの使用
を試行します。Data Mover 上の単一の LDAP ベースのディレクトリ ドメインに
対応するサーバの数に制限はありません。
28/81 リリース 8.1
VNX® ネーム サービスの構成
また、server_ldap コマンドにより Data Mover 上で LDAP ベースのディレクトリ
サービスが開始されます。サービスを構成した後は、デフォルトで NIS サービス
が有効になり、Data Mover の再起動後に自動的にサービスが再開されます。
注: Active Directory を SFU または IdMU と使用する場合、ユーザー名とグループ名をド
メイン拡張子と一緒に取得できるように cifs resolver を設定する必要があります。cifs
resolver パラメータの設定方法については、「 VNX ユーザー マッピングの構成」を参照
してください。
ドメイン名を使用した LDAP ベースのディレクトリ クライアン
トの構成
アクション
ドメイン名を使用して Data Mover を LDAP ベースのディレクトリ クライアントとして構成する
には、次のコマンド構文を使用します。
$ server_ldap <movername> -set -domain <fqdn> -servers
<ip_addr>[:<port>][,<ip_addr>[:<port>]...]
ここで:
<movername> = Data Mover の名前
<fqdn> = 指定した LDAP ベースのディレクトリ ドメインの完全修飾ドメイン名
<ip_addr> = 指定したドメインに対する LDAP ベースのディレクトリ サーバ(構成またはサー
ビス)のアドレス
<port> = LDAP ベースのディレクトリ サーバの TCP ポート数。各サーバに対してポートを指
定しない場合は、LDAP 用のデフォルトはポート 389、SSL を有効にした LDAP 用のデフォルト
はポート 636 となります。SSL の詳細については、31 ページの「LDAP ベースの追加ディレク
トリ オプションの構成」を参照してください。
例:
IP アドレスが 172.16.21.10 の LDAP ベースのディレクトリ サーバに LDAP ベースのディレクト
リ ドメイン nasdocs.emc.com と、デフォルトのポート番号 389 を使用するように server_2 を
構成するには、次のように入力します。
$ server_ldap server_2 -set -domain nasdocs.emc.com -servers
172.16.21.10
server_ldap のコマンド オプションを使用した LDAP ベースのディレクトリ サービスの管理に関
する詳細については、48 ページの「LDAP ベースのディレクトリの管理」を参照してください。
出力
server_2 : done
基本識別名を使用した LDAP ベースのディレクトリ クライアン
トの構成
EMC では、ドメイン名(-domain オプション)ではなく、基本識別名(-basedn
オプション)を使用して LDAP ベースのディレクトリ クライアントを構成するこ
とを推奨します。
-basedn オプションでは、ディレクトリ ベースの DN(識別名)として、ディレ
クトリ ベースを一意に識別する x509 形式の名前を指定します。基本識別名は、
次の操作に対してルート位置を指定します。
VNX® ネーム サービスの構成
リリース 8.1
29/81
◆
iPlanet プロファイルの検索
◆
RFC 2307 に基づいた、ユーザー、グループ、ホスト、ネットグループに対す
るデフォルトの検索コンテナの定義。iPlanet プロファイルおよび OpenLDAP
または SFU/IdMU 利用 Active Directory の ldap.conf ファイルは、カスタム
セットアップの場合のみ必要です。
注: ディレクトリ ベースの識別名にドットが含まれている場合およびクライアントがドメ
イン名を使用して構成されている場合は、デフォルトのコンテナが正しくセットアップさ
れない場合があります。たとえば、名前が dc=my.company,dc=com で、ドメイン名
my.company.com として指定されている場合、VNX for File は、誤ってデフォルト コンテ
ナを dc=my,dc=company,dc=com と定義します。
アクション
基本識別名を使用して Data Mover を LDAP ベースのディレクトリ クライアントとして構成する
には、次のコマンド構文を使用します。
$ server_ldap <movername> -set -basedn
<attribute_name>=<attribute_value>[,…] -servers
<ip_addr>[:<port>][,<ip_addr>[:<port>]...]
ここで:
<movername> = Data Mover の名前
<attribute_name> = LDAP の属性名
<attribute_value> = LDAP の属性値
<ip_addr> = 指定したドメインに対する LDAP ベースのディレクトリ サーバ(構成またはサー
ビス)のアドレス
<port> = LDAP ベースのディレクトリ サーバの TCP ポート数。各サーバに対してポートを指
定しない場合は、LDAP 用のデフォルトはポート 389、SSL を有効にした LDAP 用のデフォルト
はポート 636 となります。SSL の詳細については、 31 ページの「LDAP ベースの追加ディレク
トリ オプションの構成」を参照してください。
注:基本識別名に空白文字が含まれている場合、文字列全体を二重引用符で囲み、名前をバック
スラッシュと二重引用符で囲む必要があります。たとえば、「\"cn=abc,cn=def ghi,dc=com\"」の
ようにします。
例:
IP アドレスが 172.16.21.10 の LDAP ベースのディレクトリ サーバに基本識別名
dc=nasdocs,dc=emc と、デフォルトのポート番号 389 を使用するように server_2 を構成するに
は、次のように入力します。
$ server_ldap server_2 -set -basedn dc=nasdocs,dc=emc -servers
172.16.21.10
server_ldap のコマンド オプションを使用した LDAP ベースのディレクトリ サービスの管理に関
する詳細については、48 ページの「LDAP ベースのディレクトリの管理」を参照してください。
出力
server_2 : done
30/81 リリース 8.1
VNX® ネーム サービスの構成
LDAP ベースの追加ディレクトリ オプションの構成
Data Mover を LDAP ベースのディレクトリ クライアントとして構成する際に、
追加の構成オプションを複数指定できます。これらの構成オプションは、LDAP
ベースのディレクトリサービスを開始した後も含め、いつでも指定できます。構
成を変更するときには、LDAP ベースのディレクトリ サービスを停止し、その後
再開します。構成の変更が反映されるまで、最長で 1 分かかります。
LDAP ベースのディレクトリ オプションを構成するには、次の手順に従います。
◆
31 ページの「単純(パスワード)認証の使用の指定」
◆
33 ページの「LDAP ベースのディレクトリに対する SSL の有効化」
◆
34 ページの「SSL ペルソナの指定」
◆
35 ページの「SSL 暗号スイートの指定」
◆
37 ページの「iPlanet クライアント構成プロファイルの指定」
◆
39 ページの「NIS ドメインの指定」
◆
37 ページの「ldap.conf ファイルのコピー」
単純(パスワード)認証の使用の指定
さまざまな認証方法の詳細については、17 ページの「認証方法」を参照してくだ
さい。
アクション
Data Mover に対する LDAP ベースのディレクトリ サービスが単純認証(パスワード)を使用す
るように指定するには、次のコマンド構文を使用します。
$ server_ldap <movername> -set -p -basedn
<attribute_name>=<attribute_value>[,...] -servers <ip_addr>[:<port>]
-binddn <bind_DN>
ここで:
<movername> = Data Mover の名前
<attribute_name>=<attribute_value> = ディレクトリ ベースの DN(識別名)を指定
<ip_addr> = 指定したドメインに対する LDAP ベースのディレクトリ サーバ(構成またはサー
ビス)のアドレス
<port> = LDAP ベースのディレクトリ サーバの TCP ポート数
<bind_DN> = サービスにバインドするために使用される ID の識別名
例:
(IdMU 利用 Active Directory を使用するように構成されている)server_2 上で LDAP ベースの
ディレクトリ サービスが単純認証(パスワード)を使用するように指定するには、次のように
入力します。
$ server_ldap server_2 -set -p -basedn dc=nasdocs,dc=emc
-servers 172.16.21.10 -binddn "cn=admin,cn=users,dc=nasdocs,dc=emc"
VNX for File は、パスワードを平文で LDAP ベースのディレクトリ サーバに送信します。Data
Mover の FTP または PC-NFS サービスに対してユーザー パスワード認証を提供するために
LDAP ベースのディレクトリが使用されている場合は、-binddn および -p オプションを指定する
必要があります。
VNX® ネーム サービスの構成
リリース 8.1
31/81
出力
Enter password:
server_2 : done
Kerberos 認証の使用の指定
前提条件
◆
LDAP ベースのディレクトリ クライアントとして機能する Data Mover は、
CIFS サーバとして構成する必要があります。
◆
server_ldap で、認証に使用する Kerberos アカウントとして CIFS コンピュータ
名を使用するために、CIFS サービスを開始する必要はありません。
◆
パスワードは Data Mover により管理されているため、パスワードを指定する
必要はありません。
◆
Kerberos 認証には、LDAP サーバのホスト名が通知されている必要がありま
す。server_ldap は IP アドレスのみをパスするため、Data Mover でこれらの
アドレスをホスト名に解決できる必要があります。LDAP サーバが Active
Directory の場合は、ホスト名は自動的に取得されます。LDAP サーバが
OpenLDAP または iPlanet の場合は、次の手順を実行する必要があります。
• LDAP サーバのホスト名をローカルの /.etc/hosts ファイルで定義するか、
NIS または DNS サーバで定義します。
• Data Mover が選択されたネーム サービス(たとえばローカル ホスト ファ
イル)を使用して LDAP サーバのホスト名を解決してから、LDAP を使用
する(ホスト:files ldap)ように、nsswitch.conf ファイルを編集します。
さまざまな認証方法の詳細については、17 ページの「認証方法」を参照してくだ
さい。
32/81 リリース 8.1
VNX® ネーム サービスの構成
アクション
Data Mover に対する LDAP ベースのディレクトリ サービスが Kerberos 認証を使用するように
指定するには、次のコマンド構文を使用します。
$ server_ldap <movername> -set -basedn
<attribute_name>=<attribute_value>[,...] -servers <ip_addr>[:<port>]
-kerberos -kaccount <account_name> [-realm <realm_name>]
ここで:
<movername> = Data Mover の名前
<attribute_name>=<attribute_value> = ディレクトリ ベースの DN(識別名)を指定
<ip_addr> = 指定したドメインに対する LDAP ベースのディレクトリ サーバ(構成またはサー
ビス)のアドレス
<port> = LDAP ベースのディレクトリ サーバの TCP ポート数
<account_name> = サービスにバインドするために使用される ID の名前
注:<account_name> は、KDC に通知されている CIFS サーバのコンピュータ名です。これは次
の条件を満たす必要があります。
- $ シンボルで終了する
- Data Mover に対してグローバルである
- -servers オプションで指定された、参加したドメインのメンバーであるか、トラステッド ドメ
インのメンバーである
- 15 バイト以内である
- 先頭の文字が @(アットマーク)または -(ダッシュ)以外であること
- 空白文字、タブ文字、または次のシンボル (/ \ : ; , = * +|[] ? < > ")を含んでいない
<realm_name> = LDAP ドメインの名前
例:
(IdMU 利用 Active Directory を使用するように構成されている)server_2 上で LDAP ベースの
ディレクトリ サービスが Kerberos 認証を使用するように指定するには、次のように入力します。
$ server_ldap server_2 -set -basedn dc=nasdocs,dc=emc
-servers 172.16.21.10 -kerberos -kaccount cifs_compname$
出力
server_2 : done
LDAP ベースのディレクトリに対する SSL の有効化
LDAP ベースのディレクトリ通信を SSL 経由に構成して、通信をセキュリティで
保護できます。SSL を有効にすると、Data Mover を再起動しなくても、以降の
LDAP 接続(指定されたドメインまたは基本識別名に対するもの)はすべて SSL
を使用します。
前提条件
LDAP ベースのディレクトリに対して SSL を構成する前に、ディレクトリ サーバ
の証明書に署名した CA の CA 証明書をインポートする必要があります。また、
ディレクトリ サーバがクライアント証明書を要求するように構成されている場合
は、ディレクトリ サーバに応じて署名済み証明書をペルソナに関連づける必要が
あります。
VNX® ネーム サービスの構成
リリース 8.1
33/81
SSL を使用した LDAP を有効にした場合、ポートが指定されていなければ、デ
フォルトのポート 636 が使用されます。
アクション
SSL を有効にするには、次のコマンド構文を使用します。
$ server_ldap <movername> -set -sslenabled y
ここで:
<movername> = Data Mover の名前
y = yes。デフォルトは no です。
例:
server_2 で SSL を有効にするには、次のように入力します。
$ server_ldap server_2 -set -sslenabled y
出力
server_2 : done
事後条件
アクション
server_2 に対する SSL の設定が正しいことを確認するには、次のように入力します。
$ server_ldap server_2 -info
出力
server_2 :
LDAP domain:nasdocs.emc.com
Base DN:dc=nasdocs,dc=emc,dc=com
State:Configured - Connected
NIS domain:nasdocs.emc.com
Proxy (Bind) DN:cn=Manager,dc=nasdocs,dc=emc,dc=com
DIT schema type:OPEN
Connected to LDAP server address:172.16.21.10 - port 636
SSL state:enabled - Persona:none specified
SSL ペルソナの指定
SSL クライアント認証に対して LDAP ベースのディレクトリ サーバが構成されて
おり、Data Mover が鍵と証明書を指定する必要がある場合は、SSL ペルソナを指
定する必要があります。
前提条件
Data Mover に対して SSL ペルソナを指定する前に、鍵と証明書を使用してペル
ソナを構成する必要があります。SSL ペルソナの詳細については、「 VNX
Security Configuration Guide」を参照してください。
-sslpersona オプションにより自動的に SSL が有効になることはありませんが、
このオプションで指定された値は構成されます。値は維持され、SSL が有効化さ
れると、常に使用されます。1 個のコマンドで、SSL の有効化とペルソナの指定
が可能です。
34/81 リリース 8.1
VNX® ネーム サービスの構成
アクション
SSL ペルソナを指定するには、次のコマンド構文を使用します。
$ server_ldap <movername> -set -sslpersona {none | <persona_name>}
ここで:
<movername> = Data Mover の名前
<none> = 以前構成されたクライアント キーと証明書のユーザーを無効にするオプション
<persona_name> = Data Mover に関連づけられたペルソナの名前
例:
server_2 に対してペルソナ default を指定するには、次のように入力します。
$ server_ldap server_2 -set -sslpersona default
出力
server_2 : done
事後条件
アクション
server_2 に対する SSL ペルソナの設定が正しいことを確認するには、次のように入力します。
$ server_ldap server_2 -info
出力
server_2 :
LDAP domain:nasdocs.emc.com
Base DN:dc=nasdocs,dc=emc,dc=com
State:Configured - Connected
NIS domain:nasdocs.emc.com
Proxy (Bind) DN:cn=Manager,dc=nasdocs,dc=emc,dc=com
DIT schema type:OPEN
Connected to LDAP server address:172.16.21.10 - port 636
SSL state:enabled - Persona:default
SSL 暗号スイートの指定
前提条件
-sslcipher オプションにより自動的に SSL が有効になることはありませんが、こ
のオプションで指定された値は構成されます。値は維持され、SSL が有効化され
ると、常に使用されます。-sslcipher オプションは、デフォルト以外の暗号リスト
が要求される場合のみ必要です。それ以外の場合は、Data Mover のデフォルトの
暗号リストが使用されます。1 個のコマンドで、SSL の有効化と暗号リストの指
定が可能です。
VNX® ネーム サービスの構成
リリース 8.1
35/81
アクション
SSL 暗号スイートを指定するには、次のコマンド構文を使用します。
$ server_ldap <movername> -set -sslcipher {default | <cipher_list>}
ここで:
<movername> = Data Mover の名前
<default> = ssl cipher パラメータに設定された値。デフォルトは、
ALL:!ADH:!SSLv2:@STRENGTH。これは、匿名 Diffie-Hellman、NULL、SSLv2 暗号を除く、
すべての暗号が VNX for File によってサポートされており、サポートされる暗号が暗号化キーの
サイズによってソートされることを意味します
<cipher_list> = コロンで区切られた 1 個以上の暗号文字列のリスト
VNX for File は、OpenSSL Organization の Web サイトにリストされている SSL 暗号スイートを
サポートしています。
例:
server_2 に対して AES 256 暗号スイートを指定するには、次のように入力します。
$ server_ldap server_2 -set -sslcipher AES256-SHA
出力
server_2 : done
事後条件
アクション
server_2 に対する SSL 暗号の設定が正しいことを確認するには、次のように入力します。
$ server_ldap server_2 -info
出力
server_2 :
LDAP domain:nasdocs.emc.com
Base DN:dc=nasdocs,dc=emc,dc=com
State:Configured - Connected
NIS domain:nasdocs.emc.com
Proxy (Bind) DN:cn=Manager,dc=nasdocs,dc=emc,dc=com
DIT schema type:OPEN
Connected to LDAP server address:172.16.21.10 - port 636
SSL state:enabled - Persona:none specified
SSL cipher list:AES256-SHA
LDAP configuration servers:
Server address:172.16.21.10 - port:389
Domain naming contexts:
dc=nasdocs,dc=emc,dc=com
Domain supported authentication mechanisms:
Default search base:dc=nasdocs,dc=emc,dc=com
Domain default search Scope:single-level
'passwd' DN:
ou=people,dc=nasdocs,dc=emc,dc=com - search scope singlelevel
passwd object class:posixAccount
passwd attributes:cn, uid, uidNumber, gidNumber,
userPassword, loginShell, gecos, description
No 'group' DN
No 'hosts' DN
No 'netgroup' DN
36/81 リリース 8.1
VNX® ネーム サービスの構成
iPlanet クライアント構成プロファイルの指定
クライアント構成プロファイルは、iPlanet サーバ上で作成され、格納されます。
server_ldap コマンドの -profile オプションで、追加の構成パラメータ(属性とも
呼ばれる)を含む iPlanet クライアント プロファイルの使用を指定できます。定
義できる属性には、次のようなものがあります。
◆
優先サーバおよび代替サーバ
◆
検索パス
◆
プロファイル TTL(Time-To-Live)
◆
オブジェクト クラスおよび属性マッピング
◆
認証方法
属性に関する詳細については、65 ページの「付録 A:iPlanet クライアントのプロ
ファイル属性」を参照してください。クライアント プロファイルの作成および使
用に関する詳細については、Sun Microsystems の Web サイトにある Sun Java
System Directory Server(iPlanet)のドキュメントを参照してください。
アクション
専用のクライアント プロファイルの使用を指定するには、次のコマンド構文を使用します。
$ server_ldap <movername> -set -domain <fqdn> -servers
<ip_addr>[:<port>] -profile <profile>
ここで:
<movername> = Data Mover の名前
<fqdn> = iPlanet ドメインの完全修飾ドメイン名
<ip_addr> = 指定したドメインに対する iPlanet 構成サーバのアドレス
<port> = iPlanet サーバの TCP ポート数
<profile> = クライアント プロファイルの識別名または単純クライアント プロファイル名
注:EMC は、DIT(ディレクトリ情報ツリー)のプロファイル名は一意にすることを推奨しま
す。指定したプロファイルはツリー全体をスキャンして検索されます。該当するプロファイルが
複数の場所に存在する場合、プロファイルの識別名が指定されていない限り、最初に見つかった
プロファイルが設定されます。たとえば、-profile
cn=vnx_profile,ou=admin,dc=mycompany,dc=com です。
例:
server_2 上の iPlanet サービスが専用のクライアント プロファイル vnx_profile を使用するよう
に指定するには、次のように入力します。
$ server_ldap server_2 -set -domain nasdocs.emc.com -servers
172.16.21.10 -profile vnx_profile
出力
server_2 : done
ldap.conf ファイルのコピー
SFU/IDMU 利用 Active Directory および OpenLDAP のクライアントは、追加の構
成情報用に ldap.conf ファイルを使用します。
VNX® ネーム サービスの構成
リリース 8.1
37/81
各スキーマに関連する LDAP 構成属性の詳細については、68 ページの「付録 B:
OpenLDAP の構成ファイル」
、69 ページの「付録 C:IdMU 構成ファイルのテン
プレート」
、70 ページの「付録 D:SFU 3.5 構成ファイルのテンプレート」を参
照してください。
ステップ アクション
1.
適切な構成ファイルのテンプレートを Control Station の /nas/site/ldap.conf.movername
にコピーします。
ldap.conf ファイルは各 Data Mover に固有のものであるため、ファイルを編集する間は
ファイル名を ldap.conf.movername に名称変更します。
Data Mover から Control Station にファイルをコピーするには、次のコマンド構文を使用
します。
$ server_file <movername> -get <src_file> <dst_file>
ここで:
<movername> = Data Mover の名前
<src_file> = Data Mover 上のソース ファイル
<dst_file> = Control Station 上の宛先ファイル
例:
/nas/site/ldap.conf.server_2 を Control Station にコピーするには、次のように入力します。
$ server_file server_2 -get ldap.conf /nas/site/ldap.conf.server_2
2.
テキスト エディタを使用して、ldap.conf.movername ファイルを編集し、任意のエント
リーを変更します。たとえば、Active Directory を使用している場合は、ネットグループ
のコンテナを編集します。
3.
ldap.conf.movername を保存します。
4.
ldap.conf ファイルを Control Station から Data Mover にコピーするには、次のコマンド
構文を使用します。
$ server_file <movername> -put /nas/site/ldap.conf.movername
ldap.conf
ここで:
<movername> = Data Mover の名前
例:
/nas/site/ldap.conf.server_2 を Data Mover にコピーするには、次のように入力します。
$ server_file server_2 -put /nas/site/ldap.conf.server_2 ldap.conf
5.
以前に別の LDAP ベースのディレクトリ サービスを使用した場合は、Data Mover を再
構成する前に以前の構成をクリアする必要があります。
例:
IdMU 利用 Active Directory 構成を server_2 上で構成する前に、先行の OpenLDAP 構成
をクリアするには、次のように入力します。
$ server_ldap server_2 -clear
6.
Data Mover を LDAP ベースのディレクトリ サービス クライアントとして再構成します。
例:
IP アドレスが 172.16.21.10 の LDAP ベースのディレクトリ サーバに LDAP ベースの
ディレクトリ ドメイン nasdocs.emc.com と、デフォルトのポート番号 389 を使用する
ように server_2 を構成するには、次のように入力します。
$ server_ldap server_2 -set -domain nasdocs.emc.com -servers
172.16.21.10
38/81 リリース 8.1
VNX® ネーム サービスの構成
NIS ドメインの指定
iPlanet ディレクトリ ドメインは、複数の NIS ドメインをホストできます。
server_ldap コマンドの -nisdomain オプションにより、Data Mover がメンバーで
ある NIS ドメインを指定できます。iPlanet ドメインが同じ名前を使用している場
合は、NIS ドメインを指定することはできません。
アクション
Data Mover の NIS ドメインを指定するには、次のコマンド構文を使用します。
$ server_ldap <movername> -set -domain <fqdn> -servers
<ip_addr>[:<port>] -nisdomain <nis_domain>
ここで:
<movername> = Data Mover の名前
<fqdn> = 指定した LDAP ベースのディレクトリ ドメインの完全修飾ドメイン名
<ip_addr> = 指定したドメインに対する iPlanet サーバ(構成またはサービス)のアドレス
<port> = iPlanet サーバの TCP ポート数
<nis_domain> = NIS ドメインの名前
例:
server_2 上の iPlanet サービスが Data Mover の NIS ドメイン名を認識するように指定するには、
次のように入力します。
$ server_ldap server_2 -set -domain nasdocs.emc.com -servers
172.16.21.10 -nisdomain nsg
出力
server_2 : done
VNX® ネーム サービスの構成
リリース 8.1
39/81
nsswitch.conf ファイルの構成
nsswitch.conf ファイルを編集して、各エンティティに対するネーム サービスをク
エリーする際の検索順序を整列させます。nsswitch.conf ファイルの詳細について
は、 21 ページの「nsswitch.conf ファイル」を参照してください。
前提条件
nsswitch.conf ファイルを編集する際は、次のルールに従います。
◆
小文字のみを使用します。大文字および大文字小文字の混在は無効です。
◆
ネーム サービスのエントリー間にスペースを使用します。
◆
検索対象のネーム サービス データベースは、少なくとも 1 個リストします。
注: NIS と LDAP ベースのディレクトリの同時使用は避けます。NIS と LDAP ベースの
ディレクトリの両方を使用する必要がある場合は、NIS と LDAP ベースのディレクトリの
両方で NIS ドメイン名が同一である必要があります。
nsswitch.conf ファイルの編集
この手順では、nsswitch.conf ファイルの編集方法について説明します。
ステップ アクション
1.
Control Station 上の /nas/sys ディレクトリにある nsswitch.conf.tmpl ファイルを /nas/site
ディレクトリにコピーするには、次のコマンド構文を使用します。
$ cp /nas/sys/nsswitch.conf.tmpl /nas/site/nsswitch.conf.movername
ここで:
movername = Data Mover の名前
nsswitch.conf ファイルは各 Data Mover に固有のものであるため、ファイルを編集する
間はファイル名を nsswitch.conf.movername に名称変更します。
例:
/nas/sys/nsswitch.conf.tmpl を /nas/site/nsswitch.conf.server_2 にコピーするには、次の
ように入力します。
$ cp /nas/sys/nsswitch.conf.tmpl /nas/site/nsswitch.conf.server_2
40/81 リリース 8.1
VNX® ネーム サービスの構成
ステップ アクション
2.
テキスト エディタを使用して /nas/site/nsswitch.conf.movername ファイルを編集し、エ
ントリーを追加、削除、変更します。
ファイルの形式には、各エンティティ タイプに対してエントリーが 1 個ずつ含まれ、
ネーム サービスのリストがこの後ろに続ます。
entity:naming service [name service] ...
ここで:
entity = passwd、group、hosts、または netgroup
naming service = files、nis、dns、ldap
nsswitch.conf ファイルの例を次に示します。
# /.etc/nsswitch.conf:
#
passwd:files nis
group:files nis
hosts:dns nis files
netgroup:files nis
例:
LDAP ベースのディレクトリ サーバを Data Mover のネーム サービスとして追加するに
は、/nas/site/nsswitch.conf.movername ファイルを次のように変更します。
# /.etc/nsswitch.conf:
#
passwd:files nis ldap
group:files nis ldap
hosts:files nis dns ldap
netgroup:files nis ldap
3.
/nas/site/nsswitch.conf.movername を保存します。
4.
nsswitch.conf ファイルを Control Station から Data Mover にコピーするには、次のコマ
ンド構文を使用します。
$ server_file <movername> -put /nas/site/nsswitch.conf.movername
nsswitch.conf
ここで:
<movername> = Data Mover の名前
例:
/nas/site/nsswitch.conf.server_2 を Data Mover にコピーするには、次のように入力し
ます。
$ server_file server_2 -put /nas/site/nsswitch.conf.server_2
nsswitch.conf
変更された nsswitch.conf ファイルを Data Mover のルート ファイル システムに配置する
と、自動的に使用されます。
VNX® ネーム サービスの構成
リリース 8.1
41/81
ローカル ファイルの管理
Data Mover 上のローカル ファイルを Control Station にコピーし、そのコンテンツ
を使い慣れたツールで表示する(たとえば view または more を使用する)こと
で、ローカル ファイルのコンテンツが正しいことを確認できます。
ローカル ファイルのコンテンツの確認
ステップ アクション
1.
次のコマンド構文を使用して、ファイルを Data Mover から Control Station にコピー
します。
$ server_file <movername> -get <src_file> <dst_file>
ここで:
<movername> = Data Mover の名前
<src_file> = Data Mover 上のソース ファイル
<dst_file> = Control Station 上の宛先ファイル
2.
42/81 リリース 8.1
Control Station 上のファイルを表示します。
$ more filename
VNX® ネーム サービスの構成
NIS の管理
Data Mover の NIS 構成を管理するには、次の手順に従います。
◆
43 ページの「NIS 構成の表示」
◆
43 ページの「NIS 構成のステータスの確認」
◆
44 ページの「NIS 構成の削除」
NIS 構成の表示
アクション
NIS 構成を表示するには、次のコマンド構文を使用します。
$ server_nis <movername>
ここで:
<movername> = Data Mover の名前
例:
server_2 の NIS 構成を表示するには、次のように入力します。
$ server_nis server_2
出力
注
server_2 : yp domain=nsg
server=172.16.21.10
server=172.16.22.10
server_2 は NIS ドメイン nsg 内にあり、
172.16.21.10 と 172.16.22.10 の NIS サーバ
を使用します。
NIS は以前は Yellow Pages または YP と呼
ばれていました。
NIS 構成のステータスの確認
アクション
NIS 構成のステータスが正しいことを確認するには、次のコマンド構文を使用します。
$ server_nis <movername> -status
ここで:
<movername> = Data Mover の名前
例:
server_2 に対する NIS 構成のステータスが正しいことを確認するには、次のように入力します。
$ server_nis server_2 -status
VNX® ネーム サービスの構成
出力
注
server_2 :
NIS default domain:nsg
NIS server 172.16.21.10
NIS server 172.16.22.10
NIS が開始されていない場合は、このコマ
ンドの出力には「NIS not started」と表示さ
れます。
リリース 8.1
43/81
NIS 構成の削除
アクション
Data Mover の NIS 構成を削除するには、次のコマンド構文を使用します。
$ server_nis <movername> -delete
ここで:
<movername> = Data Mover の名前
例:
server_2 の NIS 構成を削除するには、次のように入力します。
$ server_nis server_2 -delete
出力
server_2 : done
44/81 リリース 8.1
VNX® ネーム サービスの構成
DNS の管理
Data Mover の DNS 構成を管理するには、次の手順に従います。
◆
45 ページの「DNS 構成の確認」
◆
45 ページの「DNS 構成の削除」
◆
46 ページの「DNS サーバ プロトコルの設定または変更」
◆
46 ページの「DNS キャッシュのクリア」
◆
47 ページの「DNS サーバへのアクセスの無効化」
◆
47 ページの「DNS サーバへのアクセスの有効化」
DNS 構成の確認
アクション
DNS 構成を表示するには、次のコマンド構文を使用します。
$ server_dns <movername>
例:
server_2 の DNS 構成を表示するには、次のように入力します。
$ server_dns server_2
出力
注
server_2 :
dns is running
nasdocs.emc.com
proto:udp server(s):172.16.21.10
この例では、server_2 は DNS ドメイン
nasdocs.emc.com 内にあり、172.16.21.10
の DNS サーバを使用します。
DNS 構成の削除
-delete オプションの要求に応じて、ドメインに構成されている DNS サーバをす
べて削除しないようにするには、残したいサーバを含めた新しい DNS ドメイン構
成を追加します。
アクション
Data Mover の DNS ドメイン構成を削除するには、次のコマンド構文を使用します。
$ server_dns <movername> -delete <domainname>
ここで:
<movername> = Data Mover の名前
<domainname> = DNS ドメインの名前
例:
server_2 の DNS ドメイン構成を削除するには、次のように入力します。
$ server_dns server_2 -delete nasdocs.emc.com
出力
server_2 : done
VNX® ネーム サービスの構成
リリース 8.1
45/81
DNS サーバ プロトコルの設定または変更
Data Mover 上で DNS を構成した際にプロトコルが指定されていない場合は、
Data Mover は UDP を使用して DNS サーバに対してクエリーを試行します。
UDP が失敗した場合は、Data Mover は TCP に切り替えます。
アクション
DNS サーバとの通信に使用されるプロトコルを設定または変更するには、次のコマンド構文を
使用します。
$ server_dns <movername> -protocol {tcp|udp} <domainname>
{<ip_addr>,...}
ここで:
<movername> = Data Mover の名前
<domainname> = DNS ドメインの名前
<ip_addr> = 指定したドメインに対する DNS サーバのアドレス
例:
server_2 で TCP に DNS サーバとの通信に使用するプロトコルを設定するには、次のように入
力します。
$ server_dns server_2 -protocol tcp nasdocs.emc.com 172.16.21.10
出力
server_2 : done
DNS キャッシュのクリア
場合によっては、Data Mover に保存されている DNS 情報のキャッシュをクリア
すると役に立つことがあります。たとえば、ホストとアドレス間のマッピングが
変更されたときや古くなったとき、または Data Mover が DNS サーバと通信して
いるかどうかを判別するのに役立てるために、DNS キャッシュをクリアします。
詳細については、 57 ページの「DNS との通信の確認」を参照してください。
アクション
Data Mover の DNS キャッシュをクリアするには、次のコマンド構文を使用します。
$ server_dns <movername> -option flush
ここで:
<movername> = Data Mover の名前
例:
server_2 の DNS キャッシュをクリアするには、次のように入力します。
$ server_dns server_2 -option flush
出力
server_2 : done
46/81 リリース 8.1
VNX® ネーム サービスの構成
DNS サーバへのアクセスの無効化
DNS サーバへのアクセスは、server_dns -option start コマンドを使用して再開で
きます。システムの次の再起動時にも再開されます。
アクション
DNS サーバへのアクセスを無効にするには、次のコマンド構文を使用します。
$ server_dns <movername> -option stop
ここで:
<movername> = Data Mover の名前
例:
server_2 で DNS サーバへのアクセスを無効にするには、次のように入力します。
$ server_dns server_2 -option stop
出力
server_2 : done
DNS サーバへのアクセスの有効化
アクション
DNS サーバへのアクセスを手動で停止した後に再開するには、次のコマンド構文を使用します。
$ server_dns <movername> -option start
ここで:
<movername> = Data Mover の名前
例:
server_2 で DNS サーバへのアクセスを再開にするには、次のように入力します。
$ server_dns server_2 -option start
出力
server_2 : done
VNX® ネーム サービスの構成
リリース 8.1
47/81
LDAP ベースのディレクトリの管理
Data Mover の LDAP ベースのディレクトリを管理するには、次の手順に従い
ます。
◆
48 ページの「LDAP ベースのディレクトリ サービスのステータス確認」
◆
48 ページの「LDAP ベースのディレクトリ構成の削除」
◆
49 ページの「LDAP ベースのディレクトリ構成に関する情報の表示」
◆
50 ページの「LDAP ベースのディレクトリ サービスの一時的な無効化」
◆
51 ページの「LDAP ベースのディレクトリ サービスの有効化」
◆
51 ページの「LDAP ベースのディレクトリに対する SSL の無効化」
◆
52 ページの「LDAP ベースのディレクトリ サーバでの情報の検索」
LDAP ベースのディレクトリ サービスのステータス確認
アクション
LDAP ベースのディレクトリ サービスのステータスが正しいことを確認するには、次のコマン
ド構文を使用します。
$ server_ldap <movername> -service -status
ここで:
<movername> = Data Mover の名前
例:
server_2 の LDAP ベースのディレクトリ サービスのステータスが正しいことを確認するには、
次のように入力します。
$ server_ldap server_2 -service -status
出力
注
server_2 :
LDAP service active
LDAP ベースのディレクトリ サービスはア
クティブまたは非アクティブになります。
Data Mover が LDAP ベースのディレクトリ
サーバにアクセスするように構成されてい
ない場合は、出力には「No LDAP domain
configured」と表示されます。
LDAP ベースのディレクトリ構成の削除
Data Mover が一度にサポートできる LDAP ベースのディレクトリ ドメインは、1
個だけです。新しい LDAP ベースのディレクトリ ドメインを構成する前に、以前
の構成を削除します。また、server_ldap コマンドにより LDAP ベースのディレク
トリ サービスは永続的に停止します。
48/81 リリース 8.1
VNX® ネーム サービスの構成
アクション
Data Mover の LDAP ベースのディレクトリ構成を削除するには、次のコマンド構文を使用し
ます。
$ server_ldap <movername> -clear
ここで:
<movername> = Data Mover の名前
例:
server_2 の LDAP ベースのディレクトリ構成を削除するには、次のように入力します。
$ server_ldap server_2 -clear
出力
server_2 : done
LDAP ベースのディレクトリ構成に関する情報の表示
LDAP ベースのディレクトリ構成に関する情報の表示の詳細については、58 ペー
ジの「LDAP ベースのディレクトリの動作の確認」を参照してください。
アクション
LDAP ベースのディレクトリ構成に関する情報を表示するには、次のコマンド構文を使用し
ます。
$ server_ldap <movername> -info [ -verbose ]
ここで:
<movername> = Data Mover の名前
例:
172.16.21.10 の LDAP サーバを使用し、IdMU 利用 Active Directory nasdocs.emc.com にある、
server_2 の LDAP ベースのディレクトリ サーバに関する基本情報を表示するには、次のように
入力します。
$ server_ldap server_2 -info
VNX® ネーム サービスの構成
リリース 8.1
49/81
出力
Active Directory(IdMU)の場合:
server_2 :
LDAP domain:nasdocs.emc.com
base DN:dc=nasdocs,dc=emc,dc=com
State:Configured - Connected
NIS domain:nasdocs.emc.com
Proxy (Bind) DN:cn=administrator,cn=Users,dc=nasdocs,dc=emc,dc=com
Configuration file - TTL:1200 seconds
Next configuration update in 1196 seconds
DIT schema type:MS
Connected to LDAP server address:172.16.21.10 - port 389
SSL enabled/disabled by None, cipher suites configured by default
OpenLDAP の場合:
server_2 :
LDAP domain:nasdocs.emc.com
base DN:dc=nasdocs,dc=emc,dc=com
State:Configured - Connected
NIS domain:nasdocs.emc.com
No client profile nor config. file provided (using default setup)
DIT schema type:OPEN
Connected to LDAP server address:172.16.21.10 - port 389
SSL enabled/disabled by Command line, cipher suites configured by default
iPlanet の場合:
server_2 :
LDAP domain:nasdocs.emc.com
State:Configured - Connected
NIS domain:nsg
Profile Name:vnx_profile
Profile TTL:3600 seconds
Next Profile update in 5 seconds
DIT schema type:SUN
Connected to LDAP server address:172.16.21.10 - port 389
注
DIT(ディレクトリ情報ツリー)スキーマ タイプは、次のいずれかの値を持ちます。
•
•
•
•
MS:Microsoft Active Directory
OPEN:OpenLDAP
SUN:Sun Java System Directory Server(iPlanet/Sun ONE)
Unknown yet (must succeed to connect):Data Mover が接続されていない場合
LDAP ベースのディレクトリ サービスの一時的な無効化
ldap.conf または iPlanet クライアント構成プロファイルに対して行った変更をた
だちに有効にするには、LDAP ベースのディレクトリ サービスをいったん停止し、
再開する必要があります。そうしない場合は、変更が反映されるまで最大 20 分か
かります。
server_ldap -service -start コマンドを使用して、LDAP ベースのディレクトリ
サービスを再開できます。システムの次の再起動時にも再開されます。
50/81 リリース 8.1
VNX® ネーム サービスの構成
アクション
LDAP ベースのディレクトリ サービスを一時的に停止するには、次のコマンド構文を使用し
ます。
$ server_ldap <movername> -service -stop
ここで:
<movername> = Data Mover の名前
例:
server_2 の LDAP ベースのディレクトリ サービスを無効にするには、次のように入力します。
$ server_ldap server_2 -service -stop
出力
server_2 : done
LDAP ベースのディレクトリ サービスの有効化
アクション
Data Mover の LDAP ベースのディレクトリ サービスを手動で停止した後に再開するには、次の
コマンド構文を使用します。
$ server_ldap <movername> -service -start
ここで:
<movername> = Data Mover の名前
例:
server_2 の LDAP ベースのディレクトリ サービスを再開するには、次のように入力します。
$ server_ldap server_2 -service -start
出力
server_2 : done
LDAP ベースのディレクトリに対する SSL の無効化
アクション
Data Mover で LDAP の SSL を無効化するには、次のコマンド構文を使用します。
$ server_ldap <movername> -set -sslenabled n
ここで:
<movername> = Data Mover の名前
n = no(デフォルト)
例:
server_2 で SSL を無効にするには、次のように入力します。
$ server_ldap server_2 -set -sslenabled n
出力
server_2 : done
VNX® ネーム サービスの構成
リリース 8.1
51/81
事後条件
アクション
Data Mover で SSL が無効化されていることを確認するには、次のように入力します。
$ server_ldap server_2 -info
出力
server_2 :
LDAP domain:nasdocs.emc.com
Base DN:dc=nasdocs,dc=emc,dc=com
State:Configured - Connected
NIS domain:nasdocs.emc.com
Proxy (Bind) DN:cn=Manager,dc=nasdocs,dc=emc,dc=com
DIT schema type:OPEN
Connected to LDAP server address:172.16.21.10 - port 389
SSL state:disabled - Persona:none specified
注
LDAP の SSL を無効にした場合、ポートはポート 636 からポート 389 に変わります。
LDAP ベースのディレクトリ サーバでの情報の検索
LDAP ベースのディレクトリ サーバ内のリソースに関する情報を検索するには、lookup オプションを使用します。このコマンドにより、Data Mover が LDAP
ベースのディレクトリ サーバにアクセスできることを確認したり、リソースを検
索したりできるため、トラブルシューティングに役立ちます。
情報を検索するには、次の手順に従います。
52/81 リリース 8.1
◆
53 ページの「ユーザー名によるユーザーの検索」
◆
53 ページの「UID によるユーザーの検索」
◆
54 ページの「グループ名によるグループの検索」
◆
54 ページの「GID によるグループの検索」
◆
55 ページの「ホスト名によるホストの検索」
◆
55 ページの「ネットグループの検索」
VNX® ネーム サービスの構成
ユーザー名によるユーザーの検索
アクション
LDAP ベースのディレクトリ サーバ内のユーザー情報をユーザー名で検索するには、次のコマン
ド構文を使用します。
$ server_ldap <movername> -lookup -user <username>
ここで:
<movername> = Data Mover の名前
<username> = ユーザーの名前
例:
server_2 の LDAP ベースのディレクトリ サーバ内の情報を検索するには、次のように入力し
ます。
$ server_ldap server_2 -lookup -user user1
出力
server_2 :
user:user1, uid:501, gid:500, gecos:, home dir:, shell:
UIDによるユーザーの検索
アクション
LDAP ベースのディレクトリ サーバ内のユーザー情報を UID で検索するには、次のコマンド構
文を使用します。
$ server_ldap <movername> -lookup -uid <uid>
ここで:
<movername> = Data Mover の名前
<uid> = 指定したユーザーの UID
例:
server_2 の LDAP ベースのディレクトリ サーバ内の情報を検索するには、次のように入力し
ます。
$ server_ldap server_2 -lookup -uid 501
VNX® ネーム サービスの構成
出力
注
server_2 :
user:user1, uid:501, gid:500,
description:gecos:, home dir:,
shell:
この例では、該当する情報は出力の最終行
に表示されます。
リリース 8.1
53/81
グループ名によるグループの検索
アクション
LDAP ベースのディレクトリ サーバ内のグループ情報をグループ名で検索するには、次のコマン
ド構文を使用します。
$ server_ldap <movername> -lookup -group <groupname>
ここで:
<movername> = Data Mover の名前
<groupname> = グループの名前
例:
server_2 の LDAP ベースのディレクトリ サーバ内の情報を検索するには、次のように入力し
ます。
$ server_ldap server_2 -lookup -group group1
出力
注
server_2 :
group name:group1, gid:2765
group members:501
group members:1023
この例では、該当する情報は出力の最終行
に表示されます。
GIDによるグループの検索
アクション
LDAP ベースのディレクトリ サーバ内のグループ情報を GID で検索するには、次のコマンド構
文を使用します。
$ server_ldap <movername> -lookup -gid <gid>
ここで:
<movername> = Data Mover の名前
<gid> = 指定したグループの GID
例:
server_2 の LDAP ベースのディレクトリ サーバ内の情報を検索するには、次のように入力し
ます。
$ server_ldap server_2 -lookup -gid 1
54/81 リリース 8.1
出力
注
server_2 :
group name:other, gid:1
group
member:servermanageradmin.serverman
ageradmin.dvt_a
group
member:servermanageradmin.dvt_b
この例では、該当する情報は出力の最終行
に表示されます。
VNX® ネーム サービスの構成
ホスト名によるホストの検索
アクション
LDAP ベースのディレクトリ サーバ内のホスト情報をホスト名で検索するには、次のコマンド構
文を使用します。
$ server_ldap <movername> -lookup -hostbyname <hostname>
ここで:
<movername> = Data Mover の名前
<hostname> = ホストの名前
例:
server_2 の LDAP ベースのディレクトリ サーバ内の情報を検索するには、次のように入力し
ます。
$ server_ldap server_2 -lookup -hostbyname win901230
出力
注
server_2 :
Host name:win901230
IP アドレス: 172.16.21.10
この例では、該当する情報は出力の最終行
に表示されます。
ネットグループの検索
アクション
LDAP ベースのディレクトリ サーバ内のネットワーク グループ(ネットグループ)情報を検索
するには、次のコマンド構文を使用します。
$ server_ldap <movername> -lookup -netgroup <groupname>
ここで:
<movername> = Data Mover の名前
<groupname> = ネットグループの名前
例:
server_2 の LDAP ベースのディレクトリ サーバ内の情報を検索するには、次のように入力し
ます。
$ server_ldap server_2 -lookup -netgroup netgroup1
VNX® ネーム サービスの構成
出力
注
server_2 :
Netgroup:netgroup1 - triples:
"win901230","user1","pagsun1"
この例では、該当する情報は出力の最終行
に表示されます。
リリース 8.1
55/81
トラブル シューティング
製品ラインのパフォーマンスと機能を継続的に改善および強化するための努力の
一環として、EMC ではハードウェアおよびソフトウェアの新規バージョンを定期
的にリリースしています。そのため、このドキュメントで説明されている機能の
中には、現在お使いのソフトウェアまたはハードウェアのバージョンによっては、
サポートされていないものもあります。製品機能の最新情報については、お使い
の製品のリリース ノートを参照してください。
製品が正常に機能しない、またはこのドキュメントの説明どおりに動作しない場
合には、EMC の担当者にお問い合わせください。
情報の入手方法
製品情報:ドキュメント、リリース ノート、ソフトウェアの更新、または EMC
製品、ライセンス、サービスに関する情報については、EMC オンライン サポー
ト Web サイト(登録が必要です)http://Support.EMC.com をご覧ください。
トラブルシューティング:EMC オンライン サポート Web サイトにアクセスして
ください。ログインした後、適切な[Support by Product]ページにアクセスして
ください。
テクニカル サポート:テクニカル サポートについては、EMC オンライン サポー
ト Web サイトの EMC カスタマー サービスを参照してください。ログインした
後、適切な[Support by Product]ページにアクセスし、[ライブ チャット]また
は[サービス リクエストの作成]を選択します。EMC オンライン サポートを通
してサービス リクエストを開始するには、有効なサポート契約が必要です。有効
なサポート契約を取得する方法の詳細や、アカウントに関するご質問については、
EMC カスタマー サポートの担当者にお問い合わせください。
注: お客様の個別のシステム問題に担当者がすでに割り当てられている場合を除き、特定
のサポート担当者へのお問い合わせはご遠慮ください。
E-Lab Interoperability Navigator
EMC E-LabTM Interoperability Navigator は検索可能な Web ベースのアプリケー
ションです。このアプリケーションから、EMC 相互運用性サポート マトリック
スにアクセスできます。このアプリケーションは http://Support.EMC.com で入手
できます。EMC オンライン サポート Web サイトへログインした後、適切な
[Support by Product]ページにアクセスし、[Tools]を見つけ、[E-Lab
Interoperability Navigator]をクリックします。
server_ping を使用したネットワーク接続の確認
名前解決の問題は、ネットワーク パフォーマンスの全般的な低下として現れま
す。Data Mover でネーム サービスをトラブルシューティングするには、次の手順
を試行します。
56/81 リリース 8.1
◆
指定のネーム サーバの IP アドレスで server_ping コマンドを実行する。
◆
指定のネーム サーバで解決できる名前で server_ping コマンドを実行する。
VNX® ネーム サービスの構成
Control Station からネーム サービスへのアクセス
ご使用の Control Station と Data Mover が同一のネーム サーバに接続している場
合、57 ページの表 3 に示した標準の UNIX ベースのコマンドを使用してネーム
サーバが要求に応答しているかどうかをテストできます。ネーム サーバが
Control Station からの手動の要求に応答している場合は、Data Mover の構成に問
題がある可能性が高いです。
注: Control Station では、ネーム サービスとして LDAP ベースのディレクトリはサポート
されていません。
表3
ネーム サービスの問題解決のためのツール
ツール
機能
dig
ネーム サーバにドメイン名クエリーのパケットを
送信する
dnsdomainname
DNS ドメイン名を表示する
host
DNS 内でホスト名または IP アドレスを検索する
ldapsearch
LDAP サーバとの接続を開き、バインドし、指定さ
れたパラメータを使用して検索を実行する
nslookup
ネーム サーバに対し対話形式のクエリーを実行
する
traceroute
パケットがサーバに到達するまでの経路を出力する
ypcat
NIS データベースの一部を表示する
ypdomainname
NIS ドメイン名を表示する
ypwhich
NIS サーバを表示する
注: man コマンドを使用してこれらのコマンドの詳細情報を入手できます。
DNS との通信の確認
DNS サーバが Control Station からの DNS 要求に正しく応答している場合は、46
ページの「DNS キャッシュのクリア」の説明に従って Data Mover 上の DNS
キャッシュをフラッシュし、その後 DNS サーバに対して server_ping を実行する
ことで、Data Mover が正常に DNS サーバと通信しているかどうかをテストでき
ます。server_ping が成功した場合は、Data Mover は DNS サーバと通信している
ことを示しています。
VNX® ネーム サービスの構成
リリース 8.1
57/81
LDAP ベースのディレクトリの動作の確認
Data Mover の LDAP ベースのディレクトリの詳細な構成情報を表示するには、
server_ldap <movername> -info コマンドで -verbose オプションを使用します。
注: -verbose オプションにより表示された出力を解釈するには、LDAP プロトコルに関す
る十分な知識が必要です。したがって、通常このコマンド オプションは、LDAP ベースの
ディレクトリの構成および動作の問題をトラブルシューティングするための情報を EMC
カスタマー サービスに提供するために使用されます。
アクション
LDAP ベースのディレクトリ構成に関する詳細情報を表示するには、次のコマンド構文を使用し
ます。
$ server_ldap <movername> -info [ -verbose ]
ここで:
<movername> = Data Mover の名前
例:
server_2 で LDAP ベースのディレクトリ構成の詳細情報を表示するには、次のように入力し
ます。
$ server_ldap server_2 -info -verbose
出力
server_2 :
LDAP domain:nasdocs.emc.com
State:Configured - Connected
NIS domain:nsg
Proxy (Bind)
DN:uid=admin,ou=administrators,ou=topologymanagement,o=netscaperoot
Profile Name:vnx_profile_shortttl
Profile TTL:6 seconds
Next Profile update in 0 seconds
Profile modification timestamp:20050105161959Z
Connected to LDAP server address:172.16.21.10 - port 389
LDAP configuration servers:
Server address:172.16.21.10 - port:389
Server state:connected
LDAP preferred servers:
Server address:172.16.21.10 - port:389
Server state:connected
LDAP default servers:
Server address:172.16.22.10 - port:389
Server state:disconnected
Server address:172.16.22.10 - port:389
Server state:disconnected
58/81 リリース 8.1
VNX® ネーム サービスの構成
出力
Domain naming contexts:
dc=nasdocs,dc=emc
dc=testdom,dc=lab
o=NetscapeRoot
Domain supported LDAP controls:
2.16.840.1.113730.3.4.2
2.16.840.1.113730.3.4.3
2.16.840.1.113730.3.4.4
2.16.840.1.113730.3.4.5
1.2.840.113556.1.4.473
2.16.840.1.113730.3.4.9
2.16.840.1.113730.3.4.16
2.16.840.1.113730.3.4.15
2.16.840.1.113730.3.4.17
2.16.840.1.113730.3.4.19
2.16.840.1.113730.3.4.14
1.3.6.1.4.1.1466.29539.12
2.16.840.1.113730.3.4.13
2.16.840.1.113730.3.4.12
2.16.840.1.113730.3.4.18
Domain supported authentication mechanisms:
EXTERNAL
DIGEST-MD5
Directory Base DN:dc=nasdocs,dc=emc
Domain default search Scope:single-level
'passwd' DN:
ou=people,dc=nasdocs,dc=emc - search scope single-level
ou=People2,dc=nasdocs,dc=emc - search scope single-level
'group' DN:
ou=group,dc=nasdocs,dc=emc - search scope single-level
ou=nregroup,dc=nasdocs,dc=emc - search scope single-level
'hosts' DN:
ou=hosts,dc=nasdocs,dc=emc - search scope single-level
ou=morehosts,dc=nasdocs,dc=emc - search scope single-level
'netgroup' DN:
ou=netgroup,dc=nasdocs,dc=emc - search scope single-level
ou=mynetgr,dc=nasdocs,dc=emc - search scope subtree
ou=netgroup2,dc=nasdocs,dc=emc - search scope subtree
iPlanet クライアント プロファイルのダウンロードの確認
Data Mover の iPlanet クライアントとしての構成は非同期プロセスです。これは、
iPlanet サーバとの接続と iPlanet クライアントのダウンロードがまだ行われてい
なくても、CLI によりコマンドが成功したことを表示できるということです
(Control Station によりコマンド オプションが正しい構文であると解析されたこと
に基づきます)。したがって、iPlanet サーバとの接続およびクライアント プロ
ファイルのダウンロードが成功したことを確認するには、次のように構成のス
テータスを確認します。
VNX® ネーム サービスの構成
◆
server_ldap <movername> -info コマンドを実行し、構成の状態が構成および
接続済みと表示されることを確認します。
◆
システム ログ ファイルでエラーが発生していないことを確認します。特に次
のエラーが発生していないことを確認します。Error 13158449154: LDAP 検
索に失敗しました。再確認のため、server_ldap <movername> -lookup コマン
リリース 8.1
59/81
ドを実行して、リソースの検索を実行し、Data Mover が iPlanet サーバにアク
セスできるかどうかを判別します。
Linux の OpenLDAP スキーマの編集
一部の NFS ファイル システムをネットグループにエクスポートする場合、Linux
の OpenLDAP スキーマの変更が必要な場合があります。
OpenLDAP 組織から OpenLDAP をダウンロードすると、LDAP サーバには RFC
2307 に厳密に準拠したスキーマが付属しています。
( nisSchema.1.14 NAME 'nisNetgroupTriple'
DESC 'Netgroup triple'
SYNTAX 'nisNetgroupTripleSyntax' )
しかし、VNX for File には RFC 2307bis の定義が必要です。
( 1.3.6.1.1.1.1.14 NAME 'nisNetgroupTriple'
DESC 'Netgroup triple'
EQUALITY caseIgnoreIA5Match
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
RFC 2307bis はドラフトであり、OpenLDAP 組織からは認められていないため、
Linux の OpenLDAP スキーマを VNX for File で使用できるように変更する必要が
あります。そのため、次の手順で OpenLDAP スキーマを VNX for File 用に変更す
る必要があります。
ご使用の OpenLDAP サーバの /etc/openldap/schema/nis.schema ファイルで、次
のエントリーを見つけます。
attributetype ( 1.3.6.1.1.1.1.14 NAME 'nisNetgroupTriple'
DESC 'Netgroup triple'
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
次の表示になるようにエントリーを編集します(EQUALITY ディレクティブを
追加)。
attributetype ( 1.3.6.1.1.1.1.14 NAME 'nisNetgroupTriple'
DESC 'Netgroup triple'
EQUALITY caseIgnoreIA5Match
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
識別名シンタクスによるグループのメンバーシップの使用
NAS コード 5.6.49 により、識別名シンタクスによるグループ メンバー使用のサ
ポートが導入されました。識別名メンバーの使用は、memberUID と異なり、
Active Directory のページ サイズ制限の影響を受けません。この機能は、Active
Directory の組み込みメンバー属性へのマッピングもサポートしているため、
Active Directory のグループ メンバーを使用することができ、別個の UNIX グルー
プ メンバーを維持する必要がありません。
サポートを有効化するには、ldap.conf にマッピングを追加して memberUID 属性
を DN シンタクスによる属性にマップする必要があります。
例:
Active directory の組み込みスキーマでは、DN シンタクスによるメンバー属性が
使用されています。したがって、マッピングは次のとおりです。
60/81 リリース 8.1
VNX® ネーム サービスの構成
nss_map_attribute memberUID member
OpenLDAP スキーマには、DN シンタクスによる uniqueMember という属性があ
ります。OpenLDAP によるマッピングは次のとおりです。
nss_map_attribute memberUID uniqueMember
マルチプロトコル環境での CIFS ユーザー マッピング
SFU/IdMU 利用 Active Directory、NIS、ローカル ファイル環境では、VNX for File
は独自の命名規則を使用して UNIX ユーザーと CIFS ユーザーを関連づけます。
たとえば、UNIX ユーザーの John Doe が CIFS ドメイン dom1 に CIFS アカウン
トを持っている場合、NIS ベースには JohnDoe および JohnDoe.dom1 が入力さ
れ、UIG/GID が SID アカウントに関連づけられます。
ディレクトリ内のユーザー サブツリーが標準の Linux/UNIX 認証にも使用されて
いる場合(この場合、Linux/UNIX クライアントは同じディレクトリ サブツリーに
アクセスする)、user.domain の形式は使用できません。UID の重複により問題が
発生することを避けるために、UNIX ユーザー名 JohnDoe のみをインポートしま
す。JohnDoe.dom1 はインポートしません。その後、VNX for File のパラメータ
cifs resolver=1 を設定して強制的に VNX for File がドメイン拡張子のないユーザー
名を使用するようにし、UID/GID を SID にマップします。
エラー メッセージ
すべての新しいイベント メッセージ、アラート メッセージ、ステータス メッ
セージによって、問題の状況のトラブルシューティングに役立つ詳細情報と推奨
されるアクションが提供されます。
メッセージの詳細を表示するには、次のいずれかの方法を使用します。
◆
Unisphere ソフトウェア:
• イベント、アラート、ステータス メッセージを右クリックして選択し、
[イベントの詳細]、[アラートの詳細]、[ステータスの詳細]を表示し
ます。
◆
VNX CLI:
• nas_message -info <MessageID> と入力します。MessageID は、メッセー
ジの ID 番号です。
◆
VNX Error Messages Guide:
• このガイドで、それ以前のリリースのメッセージ形式でのメッセージに関
する情報を見つけます。
◆
EMC オンライン サポート:
• エラー メッセージの簡単な説明のテキストまたはメッセージの ID を使用
して、EMC オンライン サポートのナレッジベースを検索します。EMC オ
ンライン サポートログインした後、[検索]または[Support by Product]
をクリックします。
VNX® ネーム サービスの構成
リリース 8.1
61/81
LDAP のエラー メッセージ
62 ページの表 4 に、RFC 2251「Lightweight Directory Access Protocol (v3)」で定
義されている LDAP のエラー メッセージをリストします。Sun Microsystems の
Web サイトにある Sun Java System Directory Server(iPlanet)のドキュメント
に、LDAP ベースのディレクトリ実装におけるエラー メッセージの厳密な意味に
関する詳細が説明されています。
表4
62/81 リリース 8.1
LDAP のエラー メッセージとコード (1 / 2ページ)
LDAP エラー
コード
LDAP エラー メッセージ
1
operationsError
2
protocolError
3
timeLimitExceeded
4
sizeLimitExceeded
5
compareFalse
6
compareTrue
7
authMethodNotSupported
8
strongAuthRequired
9
reserved
10
referral
11
adminLimitExceeded
12
unavailableCriticalExtension
13
confidentialityRequired
14
saslBindInProgress
16
noSuchAttribute
17
undefinedAttributeType
18
inappropriateMatching
19
constraintViolation
20
attributeOrValueExists
21
invalidAttributeSyntax
VNX® ネーム サービスの構成
表4
VNX® ネーム サービスの構成
LDAP のエラー メッセージとコード (2 / 2ページ)
LDAP エラー
コード
LDAP エラー メッセージ
22 ∼ 31
unused
32
noSuchObject
33
aliasProblem
34
invalidDNSyntax
35
reserved for undefined
36
aliasDereferencingProblem
37 ∼ 47
unused
48
inappropriateAuthentication
49
invalidCredentials
50
insufficientAccessRights
51
busy
52
unavailable
53
unwillingToPerform
54
loopDetect
55 ∼ 63
unused
64
namingViolation
65
objectClassViolation
66
notAllowedOnNonLeaf
67
notAllowedOnRDN
68
entryAlreadyExists
69
objectClassModsProhibited
70
reserved for CLDAP
71
affectsMultipleDSAs
72 ∼ 79
unused
80
other
リリース 8.1
63/81
トレーニングおよびプロフェッショナル サービス
EMC カスタマー エデュケーション コースは、インフラストラクチャに対する投
資全体の効果を最大限に高めるために、自社の環境内で EMC ストレージ製品群
を連携させる方法について学ぶのに役立ちます。EMC カスタマー エデュケー
ションの利点は、世界各国に設置された便利な最新のラボで、オンライン トレー
ニングや実地トレーニングを受けられることです。EMC カスタマー トレーニン
グ コースは、EMC のエキスパートによって開発および提供されています。EMC
オンライン サポート Web サイトにアクセスして(http://Support.EMC.com)コー
スと登録の情報を見つけます。
EMC プロフェッショナル サービスは、VNX for File の効率的な導入を支援しま
す。コンサルタントがお客様のビジネス、IT プロセス、およびテクノロジーを評
価し、所有する情報を最大限に活かせる手法をお勧めします。ビジネス プランか
ら導入まで、IT スタッフを酷使したり新たな人材を採用したりせずに、必要な各
種サポートを受けることができます。詳細については、EMC 担当者にお問い合わ
せください。
64/81 リリース 8.1
VNX® ネーム サービスの構成
付録 A: iPlanet クライアントのプロファイル属性
iPlanet クライアント プロファイルで定義されている構成属性は、RFC ドラフト
(Joslin)「A Configuration Profile Schema for LDAP-based Agents」で説明されて
います。別途の記載がない限り、VNX for File では 65 ページの表 5 に説明されて
いるこれらの属性をサポートしています。
VNX for File では、iPlanet クライアント構成ファイル内の Data Mover に関連のな
い属性は無視されます。
属性の説明には次の用語が使用されます。
表5
◆
DIT(ディレクトリ情報ツリー):ディレクトリ自体の全体的な情報ツリー。
◆
DSA(Directory Server Agent)
:VNX for File 環境で iPlanet ディレクトリ サー
バにより表される、ディレクトリ サーバまたは任意の LDAP サーバを指す
X.500 の用語。
◆
DUA(Directory User Agent)
:VNX for File 環境で Data Mover により表される、
ディレクトリ クライアントまたは任意の LDAP クライアント。
iPlanet クライアントのプロファイル属性 (1 / 3ページ)
属性
説明
VNX for File のサポート
preferredServerList
preferredServerList 属性はサーバ アドレスおよび関連する
ポート番号のリストを提供する。リストのエントリーはス
ペースで区切られる。DUA が DSA にコンタクトする必要
がある場合、DUA は最初に preferredServerList 属性にリ
ストされているサーバのいずれかにコンタクトを試みる必
要がある。
あり、IP アドレスのみ
DUA は、リスト内の最初のサーバ アドレスで指定された
DSA にアクセスする必要がある。その DSA が使用不可の
場合、DSA との接続が確立するまで、残りの DSA に対し
てリスト内の順番でクエリーを実行する必要がある。DSA
との接続が確立したら、DUA は残りの DSA との接続の確
立を試行してはいけない。
DUA が preferredServerList で指定された DSA と接続でき
ない場合、defaultServerList 属性を確認する必要がある。
defaultServerList
defaultServerList 属性は、preferredServerList 属性が指定
されていない場合、または DUA が preferredServerList で
指定された DSA のいずれかと接続を確立できない場合の
み、検証される必要がある。
あり、IP アドレスのみ
preferredServerLis および defaultServerList のどちらも指
定されていない場合は、DUA はクライアント構成プロ
ファイルを提供したサーバと同じサーバにコンタクト
する。
defaultSearchBase
VNX® ネーム サービスの構成
はい
DUA がディレクトリで情報を検索する必要がある場合、
defaultSearchBase 属性により検索のベースが定義される。
このパラメータは、serviceSearchDescriptor 属性により上
書きまたは補完できる。
リリース 8.1
65/81
表5
iPlanet クライアントのプロファイル属性 (2 / 3ページ)
属性
説明
VNX for File のサポート
defaultSearchScope
DUA がディレクトリで情報を検索する必要がある場合、
この属性により検索の範囲が指定される。この属性は、
serviceSearchDescriptor 属性により上書きできる。
はい
指定できる値は one または sub。one は 1 レベルの検索、
sub はサブツリー全体の検索を意味する。デフォルト値は
one。
authenticationMethod
authenticationMethod 属性は、DSA へのコンタクトを試行
する際に使用される、LDAP バインド方法の順序付きリス
トを定義する。クライアント構成プロファイルは
tls:simple をサポートする。None は ldap バインドが実行
されないことを意味する。
あり、None および単純認証
credentialLevel
credentialLevel 属性は、DSA にコンタクトする際に DUA
が使用する必要のある認証情報のタイプを定義する。
あり、匿名およびプロキシ
serviceSearch
Descriptor
serviceSearchDescriptor 属性は、DUA が特定のサービス
の情報を検索する際の検索方法および検索場所を定義する。
あり、検索フィルタの再定義を除
く。VNX for File は後ろに basescope だけが続くサービス ID をサ
ポートする。
serviceSearchDescriptor には、サービス ID とそれに続く
1 個以上の base-scope-filter トリプルが含まれる。これら
の base-scope-filter トリプルは、指定されたサービスに対
する検索の定義のみに使用される。複数の base-scopefilter により、DUA は DIT 内の複数の場所でデータを検索
できる。
serviceCredential
Level
serviceCredentialLevel 属性は、特定のサービスで DSA に
コンタクトする際に DUA が使用する必要のある認証情報
のタイプを定義する。
いいえ
serviceAuthentication
Method
serviceAuthenticationMethod 属性は、特定のサービスで
DSA へのコンタクトを試行する際に使用される、LDAP バ
インド方法の順序付きリストを定義する。
いいえ
attributeMap
類似する構文の属性をマップする。
はい
objectclassMap
オブジェクトクラス マッピングは、属性マッピングと組
み合わせて使用し、サービスで必要とされるスキーマを、
ディレクトリで使用できる同等のスキーマにマップする必
要がある。
はい
searchTimeLimit
searchTimeLimit 属性は、DUA が検索要求の実行に許可す
る最大時間(秒)を定義する。
いいえ
bindTimeLimit
bindTimeLimit 属性は、DUA が preferredServerList または
defaultServerList の各 DSA に対する LDAP バインド要求
の実行に許可する最大時間(秒)を定義する。
いいえ
followReferrals
true に設定されている場合は、参照が検出されれば、DUA
はその参照に従う必要がある。
いいえ
66/81 リリース 8.1
VNX® ネーム サービスの構成
表5
iPlanet クライアントのプロファイル属性 (3 / 3ページ)
属性
説明
VNX for File のサポート
dereferenceAliases
true に設定されている場合は、DUA はエイリアス逆参照
を有効にする必要がある。false に設定されている場合は、
DUA はエイリアス逆参照を有効にしてはいけない。
なし
profileTTL
profileTTL 属性は、DUA が対応するクライアント構成プロ
ファイルを再ロードし、これを使用して DUA 自身を再構
成するまでの時間間隔を定義する。
はい
profileTTL の値がゼロまたは定義されていない場合は、
DUA は構成プロファイルを再ロードしない。
VNX® ネーム サービスの構成
リリース 8.1
67/81
付録 B: OpenLDAP の構成ファイル
OpenLDAP は、PADL ソフトウェアにより発行された ldap.conf 構成ファイルを使
用します。
一般的な ldap.conf ファイルには追加の属性が含まれますが、Data Mover に関連
するものは以下のものだけです。VNX for File では、関係のない属性は無視され
ます。
詳細については、16 ページの「ldap.conf ファイル」を参照してください。
# RFC2307bis naming contexts
# -> nss_base_XXX base?scope?filter
#
scope is {base,one,sub}
nss_base_passwd
ou=People,dc=devldapdom1,dc=lcsc?one
nss_base_shadow
ou=People,dc=devldapdom1,dc=lcsc?one
nss_base_group
ou=Group,dc=devldapdom1,dc=lcsc?one
nss_base_hosts
ou=Hosts,dc=devldapdom1,dc=lcsc?one
nss_base_netgroup ou=Netgroup,dc=devldapdom1,dc=lcsc?one
# attribute/objectclass mapping
# -> nss_map_attribute
rfc2307attribute
mapped_attribute
# -> nss_map_objectclass rfc2307objectclass mapped_objectclass
#
#nss_map_attribute uid
userName
#nss_map_attribute gidNumber
gid
#nss_map_attribute uidNumber
uid
#nss_map_objectclass posixGroup aixAccessGroup
#nss_map_attribute cn
groupName
# OpenLDAP SSL mechanism
# "ssl start_tls" mechanism uses the normal LDAP port (389), "ssl on"
# (ldaps) uses port 636
ssl on
TLS_CIPHER_SUITE DHE:RSA:AES256:SHA
ldap.conf ファイルは、ご使用の環境に最適になるように変更する必要がありま
す。最後の 2 行は、ssl が使用されているかどうか(ssl {on | off})と、暗号スイー
ト(TLS_CIPHER_SUITE <cipher suite list>)を示します。
SSL を使用した LDAP では、start_tls モードはサポートされていません。
68/81 リリース 8.1
VNX® ネーム サービスの構成
付録 C: IdMU 構成ファイルのテンプレート
詳細については、16 ページの「ldap.conf ファイル」を参照してください。
# -------------------------------------------------------------------# This template must be copied to /.etc/ldap.conf when the ldap
# server[s] used by the data mover is using MS Active Directory IdMU
# schema installed on Windows Server 2003 R2 or newer
# (like Windows Server 2008).
# *** This file was created by VNX OE for File.PLEASE DO NOT CHANGE THIS
FILE.***
# -------------------------------------------------------------------# - The following setup fits the MS IdMU schema.
#
Adjustments may be required if a newer schema is used on the AD.
# - If several AD servers are declared to "server_ldap -set", they
#
should all use the same schema.
# - Adjustments are required to fit your specific AD configuration.
#
Please thoroughly review the following lines and adjust them
#
appropriately.
# - Once done, issue the following commands for the datamover to take
#
this new setup into account immediately:
#
- server_ldap server_N -clear
#
- server_ldap server_N -set [...]
# -------------------------------------------------------------------# Containers
# Replace "dc=mydomain,dc=com" by your base DN.
# If you have a dedicated container for netgroups, replace
# "cn=netgroup,cn=mydomain,cn=DefaultMigrationContainer30" by
# the right DN.
nss_base_passwd
cn=Users,dc=mydomain,dc=com?one
nss_base_group
cn=Users,dc=mydomain,dc=com?one
nss_base_hosts
cn=Computers,dc=mydomain,dc=com?one
nss_base_netgroup
cn=netgroup,cn=mydomain,
cn=DefaultMigrationContainer30,dc=mycomain,dc=com?one
# Objects
nss_map_objectclass
nss_map_objectclass
nss_map_objectclass
posixAccount
posixGroup
ipHost
User
Group
Computer
# Attributes
nss_map_attribute
nss_map_attribute
userPassword
homeDirectory
unixUserPassword
unixHomeDirectory
# eof
注: Active Directory を IdMU と使用する場合も、ユーザー名とグループ名をドメイン拡張
子と一緒に取得できるように cifs resolver を設定する必要があります。cifs resolver パラ
メータの設定方法については、「 VNX ユーザー マッピングの構成」を参照してください。
VNX® ネーム サービスの構成
リリース 8.1
69/81
付録 D: SFU 3.5 構成ファイルのテンプレート
詳細については、16 ページの「ldap.conf ファイル」を参照してください。
# -------------------------------------------------------------------# This template must be copied to /.etc/ldap.conf when the ldap
# server[s] used by the data mover is using MS Active Directory SFU
# schema installed on Windows Server 2003 R1 or newer.
# *** This file was created by VNX OE for File.PLEASE DO NOT CHANGE THIS
FILE.***
# -------------------------------------------------------------------# - The following setup fits the MS SFU-3.5 schema.
#
Adjustments may be required if an older schema is used on the AD.
# - Netgroups are not supported with this schema.If netgroups are
#
required, please update to MS IdMU.
# - If several AD servers are declared to "server_ldap -set", they
#
should all use the same schema.
# - Adjustments are required to fit your specific AD configuration.
#
Please thoroughly review the following lines and adjust them
#
appropriately.
# - Once done, issue the following commands for the datamover to take
#
this new setup into account immediately:
#
- server_ldap server_N -clear
#
- server_ldap server_N -set [...]
# -------------------------------------------------------------------# Containers
# Replace "dc=mydomain,dc=com" by your base DN.
nss_base_passwd
cn=Users,dc=mydomain,dc=com?one
nss_base_group
cn=Users,dc=mydomain,dc=com?one
nss_base_hosts
cn=Computers,dc=mydomain,dc=com?one
# Objects
nss_map_objectclass
nss_map_objectclass
nss_map_objectclass
# Attributes
nss_map_attribute
nss_map_attribute
nss_map_attribute
nss_map_attribute
nss_map_attribute
nss_map_attribute
nss_map_attribute
#
nss_map_attribute
nss_map_attribute
posixAccount
posixGroup
ipHost
User
Group
Computer
uid
userPassword
uidNumber
gidNumber
gecos
homeDirectory
loginShell
msSFU30Name
msSFU30Password
msSFU30UidNumber
msSFU30GidNumber
msSFU30Gecos
msSFU30HomeDirectory
msSFU30LoginShell
memberUid
ipHostNumber
msSFU30MemberUid
msSFU30IpHostNumber
# eof
注: Active Directory を SFU と使用する場合も、ユーザー名とグループ名をドメイン拡張
子と一緒に取得できるように cifs resolver を設定する必要があります。cifs resolver パラ
メータの設定方法については、「 VNX ユーザー マッピングの構成」を参照してください。
70/81 リリース 8.1
VNX® ネーム サービスの構成
付録 E: LDAP ベースのディレクトリ サービス クライ
アントとしての Data Mover の構成例
匿名認証を使用した iPlanet への接続
ステップ アクション
1.
iPlanet に接続するように Data Mover を構成します。
server_2 上の iPlanet サービスが専用のクライアント プロファイル vnx_profile を使用す
るように指定するには、次のように入力します。
$ server_ldap server_2 -set -domain nasdocs.emc.com -servers
172.16.21.10 -profile vnx_profile
2.
状態が「Connected」であるかどうかを含め、構成を確認します。
$ server_ldap server_2 -set -info -verbose
server_2 :
LDAP domain:nasdocs.emc.com
State:Configured - Connected
NIS domain:nsg
Profile Name:vnx_profile
Profile TTL:3600 seconds
Next Profile update in 5 seconds
DIT schema type:SUN
Connected to LDAP server address:172.16.21.10 - port 389
単純パスワード認証を使用した OpenLDAP への接続
ステップ アクション
VNX® ネーム サービスの構成
1.
適切な構成ファイルのテンプレートをコピーします。
$ server_file server_2 -get ldap.conf /nas/site/ldap.conf
2.
ldap.conf ファイルをカスタマイズします。テキスト エディタを使用して、
ldap.conf.movername ファイルを編集し、任意のエントリーを変更します。
$ vi ldap.conf
3.
カスタマイズした構成ファイルを保存し、Data Mover の /.etc ディレクトリに格納し
ます。
$ server_file server_2 -put /nas/site/ldap.conf ldap.conf
4.
Data Mover の現在の LDAP 構成をクリアします。
$ server_ldap server_2 -clear
5.
Active Directory に接続するように Data Mover を構成します。
$ server_ldap server_2 -set -p -basedn dc=nasdocs,dc=emc -servers
172.16.21.10 -binddn "cn=admin,cn=users,dc=nasdocs,dc=emc?
-sslenabled y
server_2:Enter password:******
done
リリース 8.1
71/81
ステップ アクション
6.
状態が「Connected」であるかどうかを含め、構成を確認します。
$ server_ldap server_2 -set -info -verbose
server_2 :
LDAP domain:nasdocs.emc.com
base DN:dc=nasdocs,dc=emc,dc=com
State:Configured - Connected
NIS domain:nasdocs.emc.com
No client profile nor config. file provided (using default
setup)
DIT schema type:OPEN
Connected to LDAP server address:172.16.21.10 - port 389
SSL enabled/disabled by Command line, cipher suites configured by
default
単純パスワード認証を使用した SFU 利用 Active Directory への
接続
ステップ アクション
72/81 リリース 8.1
1.
適切な構成ファイルのテンプレートをコピーします。
$ server_file server_2 -get ldap.conf.sfu35_template_v1
/nas/site/ldap.conf
2.
ldap.conf ファイルをカスタマイズします。テキスト エディタを使用して、
ldap.conf.movername ファイルを編集し、任意のエントリーを変更します。たとえば、
Active Directory を使用している場合は、ネットグループのコンテナを編集します。
$ vi ldap.conf
3.
カスタマイズした構成ファイルを保存し、Data Mover の /.etc ディレクトリに格納し
ます。
$ server_file server_2 -put /nas/site/ldap.conf ldap.conf
4.
Data Mover の現在の LDAP 構成をクリアします。
$ server_ldap server_2 -clear
5.
Active Directory に接続するように Data Mover を構成します。
$ server_ldap server_2 -set -p -basedn dc=nasdocs,dc=emc -servers
172.16.21.10 -binddn "cn=admin,cn=users,dc=nasdocs,dc=emc?
-sslenabled y
server_2:Enter password:******
done
VNX® ネーム サービスの構成
ステップ アクション
6.
状態が「Connected」であるかどうかを含め、構成を確認します。
$ server_ldap server_2 -set -info -verbose
server_2 :
LDAP domain:nasdocs.emc.com
base DN:dc=nasdocs,dc=emc,dc=com
State:Configured - Connected
NIS domain:nasdocs.emc.com
Proxy (Bind)
DN:cn=administrator,cn=Users,dc=nasdocs,dc=emc,dc=com
Configuration file - TTL:1200 seconds
Next configuration update in 1196 seconds
DIT schema type:MS
Connected to LDAP server address:172.16.21.10 - port 389
SSL not enabled, Persona:none specified, Cipher Suite List:none
specified
7.
各種情報を検索して動作を確認します。
$ server_ldap server_2 -lookup -netgroup ntg_name1
server_2:
Unable to get information for Netgroup ntg_name1
ネットグループは IdMU のみでサポートされているため、これが予想される応答です。
Kerberos 認証を使用した IdMU 利用 Active Directory への接続
ステップ アクション
VNX® ネーム サービスの構成
1.
適切な構成ファイルのテンプレートをコピーします。
$ server_file server_2 -get ldap.conf.idmu_template_v1
/nas/site/ldap.conf
2.
ldap.conf ファイルをカスタマイズします。テキスト エディタを使用して、
ldap.conf.movername ファイルを編集し、任意のエントリーを変更します。たとえば、
Active Directory を使用している場合は、ネットグループのコンテナを編集します。
$ vi ldap.conf
3.
カスタマイズした構成ファイルを保存し、Data Mover の /.etc ディレクトリに格納し
ます。
$ server_file server_2 -put /nas/site/ldap.conf ldap.conf
4.
Data Mover の現在の LDAP 構成をクリアします。
$ server_ldap server_2 -clear
5.
server_cifs コマンドを使用して、Data Mover を CIFS サーバとして構成します。この手
順については、「 VNX CIFS の構成と管理」を参照してください。
6.
Active Directory に接続するように Data Mover を構成します。
$ server_ldap server_2 -set -basedn dc=nasdocs,dc=emc -servers
172.16.21.10 -kerberos -kaccount cifs_compname$
server_2:done
リリース 8.1
73/81
ステップ アクション
7.
状態が「Connected」であるかどうかを含め、構成を確認します。
$ server_ldap server_2 -set -info -verbose
server_2 :
LDAP domain:nasdocs.emc.com
base DN:dc=nasdocs,dc=emc,dc=com
State:Configured - Connected
Configuration file - TTL:1200 seconds
Next configuration update in 1194 seconds
DIT schema type:MS
LDAP configuration servers:
Server 172.16.21.10 port 389 : Active, connected
SSL not enabled, Persona:none specified, Cipher Suite
List:default
Kerberos enabled:kaccount cifs_compname$, realm
nasdocs.emc.com, ldap server w2k3sfujlr
Domain naming contexts:
DC=nasdocs,DC=emc,DC=com
CN=Configuration,DC=nasdocs,DC=emc,DC=com
CN=Schema,CN=Configuration,DC=nasdocs,DC=emc,DC=com
DC=DomainDnsZones,DC=nasdocs,DC=emc,DC=com
DC=ForestDnsZones,DC=nasdocs,DC=emc,DC=com
Domain supported LDAP controls:
1.2.840.113556.1.4.319
1.2.840.113556.1.4.801
1.2.840.113556.1.4.473
1.2.840.113556.1.4.528
1.2.840.113556.1.4.417
1.2.840.113556.1.4.619
1.2.840.113556.1.4.841
1.2.840.113556.1.4.529
1.2.840.113556.1.4.805
1.2.840.113556.1.4.521
1.2.840.113556.1.4.970
1.2.840.113556.1.4.1338
1.2.840.113556.1.4.474
1.2.840.113556.1.4.1339
1.2.840.113556.1.4.1340
1.2.840.113556.1.4.1413
2.16.840.1.113730.3.4.9
2.16.840.1.113730.3.4.10
1.2.840.113556.1.4.1504
1.2.840.113556.1.4.1852
1.2.840.113556.1.4.802
1.2.840.113556.1.4.1907
1.2.840.113556.1.4.1948
Domain supported authentication mechanisms:
GSSAPI
GSS-SPNEGO
EXTERNAL
DIGEST-MD5
Default search base:dc=nasdocs,dc=emc,dc=com
74/81 リリース 8.1
VNX® ネーム サービスの構成
ステップ アクション
Domain default search scope:ONE
passwd base DN:
cn=Users,dc=nasdocs,dc=emc,dc=com - search scope ONE
passwd object class:User
passwd attributes:cn, uid, uidNumber, gidNumber,
unixUserPassword, loginShell, gecos, description
group base DN:
cn=Users,dc=nasdocs,dc=emc,dc=com - search scope ONE
group object class:Group
group attributes:cn, gidNumber, unixUserPassword,
memberUid, description
hosts base DN:
cn=Computers,dc=nasdocs,dc=emc,dc=com - search scope ONE
host object class:Computer
host attributes:cn, ipHostNumber, description
netgroup base DN:
cn=netgroup,cn=nasdocs.emc.com,cn=DefaultMigrationContainer30,dc=
nasdocs,dc=emc,dc=com - search scope ONE
netgroup object class:nisNetgroup
netgroup attributes:cn, nisNetgroupTriple,
memberNisNetgroup description
SSL 認証を使用した IdMU 利用 Active Directory への接続
ステップ アクション
VNX® ネーム サービスの構成
1.
適切な構成ファイルのテンプレートをコピーします。
$ server_file server_2 -get ldap.conf.idmu_template_v1
/nas/site/ldap.conf
2.
ldap.conf ファイルをカスタマイズします。テキスト エディタを使用して、
ldap.conf.movername ファイルを編集し、任意のエントリーを変更します。たとえば、
Active Directory を使用している場合は、ネットグループのコンテナを編集します。
$ vi ldap.conf
3.
カスタマイズした構成ファイルを保存し、Data Mover の /.etc ディレクトリに格納し
ます。
$ server_file server_2 -put /nas/site/ldap.conf ldap.conf
4.
Data Mover の現在の LDAP 構成をクリアします。
$ server_ldap server_2 -clear
5.
Active Directory に接続するように Data Mover を構成します。
$ server_ldap server_2 -set -p -basedn dc=nasdocs,dc=emc -servers
172.16.21.10 -binddn "cn=admin,cn=users,dc=nasdocs,dc=emc?
-sslenabled y
server_2:Enter password:******
done
リリース 8.1
75/81
ステップ アクション
6.
状態が「Connected」であるかどうかを含め、構成を確認します。
$ server_ldap server_2 -set -info -verbose
server_2 :
LDAP domain:nasdocs.emc.com
base DN:dc=nasdocs,dc=emc,dc=com
State:Configured - Connected
NIS domain:nasdocs.emc.com
Proxy (Bind)
DN:cn=administrator,cn=Users,dc=nasdocs,dc=emc,dc=com
Configuration file - TTL:1200 seconds
Next configuration update in 1196 seconds
DIT schema type:MS
Connected to LDAP server address:172.16.21.10 - port 636
SSL enabled, Persona:none specified, Cipher Suite List:none
specified
76/81 リリース 8.1
VNX® ネーム サービスの構成
認証 18
インデックス
A
Active Directory
IdMU 15
ldap.conf ファイル 69, 70
SFU 15
UNIX 環境 13
Windows 専用 20
C
CA
定義 7
Celerra Manager、使用 6
CIFS
定義 7
Common Internet File System
定義 7
D
DNS
DNS キャッシュのクリア 46
Windows ドメイン 13
概要 13
構成 27
構成の確認 45
構成の削除 45
サーバ エントリーの削除 45
サービスの無効化 47
使用されるプロトコルの設定 46
定義 7, 8
L
LDAP
定義 7
ldap.conf ファイル 16, 68, 69, 70
LDAP ベースのディレクトリ
概要 13
構成 28
Kerberos 認証 32
NIS ドメイン 39
単純(パスワード)31
構成情報の表示 49
構成ステータスの確認 48
構成の削除 48
構造 14
サービスの無効化 50
情報の検索
GID ごと 54
UID ごと 53
グループ名ごと 54
ネットグループごと 55
ホスト名ごと 55
ユーザーごと 53
定義 8
トラブルシューティング
-info -verbose の使用 58
認証 17
Kerberos 18
SSL 18
単純(パスワード)18
匿名 18
M
Microsoft Windows Services for UNIX 「SFU」を参照
F
FTP
定義 7
I
IdMU
構成ファイル テンプレート 69
構成例
Kerberos 認証の使用 73
SSL 認証の使用 75
定義 7
iPlanet 13
クライアント構成プロファイル 15
クライアント プロファイル属性 65
構成
クライアント プロファイル 37
構成例 71
定義 8
認証 18
K
Kerberos
構成 32
VNX® ネーム サービスの構成
N
NFS
定義 8
NFS ファイル システム
ネットグループのエクスポート
必要なスキーマ ファイルの変更 60
NIS
概要 12
構成 26
構成ステータスの確認 43
構成の削除 44
構成の表示 43
定義 8
NIS+ 6
nsswitch.conf ファイル、使用 21, 40
O
OpenLDAP 13
ldap.conf ファイル 68
構成例 71
定義 8
認証 18
リリース 8.1
77/81
P
ただちに反映 50
PKI
定義 8
し
証明書の検証 18
S
Secure Socket Layer
定義 8
server_file コマンド、使用 22
SFU
構成ファイルのテンプレート 70
構成例 72
定義 8
SSL
暗号、指定 36
定義 8
認証 18
ペルソナ、指定 35
Sun Java System Directory Server。「iPlanet」を参照
Sun Java System Directory Server
定義 8
T
TLS
定義 8
Transport Layer Security
定義 8
U
UNIX の ID 管理 「IdMu」を参照
ディレクトリ サーバ
定義 8
と
ドメイン
Windows、DNS 13
定義 9
ドメイン名システム
定義 7
に
認証
Kerberos 18
configuring 32
単純(パスワード)18
構成 31
匿名 18
ルール 19
認証局
定義 7
認証局の証明書
定義 9
ね
W
Windows 2000 または Windows Server 2003 ドメイン
定義 8
Windows NT ドメイン
定義 WINS
定義 8
Windows インターネット ネーム サービス
定義 8
WINS
構成、CIFS サーバ 20
定義 8
く
クライアント構成プロファイル、iPlanet 15
クライアント プロファイル、iPlanet の使用 65
グループ ファイル
概要 12
形式 23
ネットグループ ファイル
概要 12
形式 23
定義 9
ネットワーク インフォメーション サービス
定義 8
ネットワーク ファイル システム
定義 8
は
パスワード ファイル
概要 12
形式 22
ふ
ファイル転送プロトコル
定義 7
へ
け
検索順序、Data Mover 11
こ
公開鍵基盤
定義 8
構成設定
78/81
て
リリース 8.1
ペルソナ
定義 9
ほ
ホスト ファイル
概要 12
VNX® ネーム サービスの構成
形式 23
ろ
ローカル ファイル
概要 12
構成 22
コンテンツの確認 42
VNX® ネーム サービスの構成
リリース 8.1
79/81
注意事項
VNX® ネーム サービスの構成
リリース 8.1
80/81
このドキュメントについて
VNX 製品ラインのパフォーマンスおよび機能を、継続的に改善、強化するための努力の一環として、EMC では VNX ハードウェアおよびソ
フトウェアの新しいバージョンを定期的にリリースしています。そのため、本書で説明されている機能の中には、現在お使いの VNX ソフ
トウェアまたはハードウェアのバージョンでサポートされていないものもあります。製品機能の最新情報については、お使いの製品のリ
リース ノートを参照してください。VNX システムが本書の説明どおりに動作しない場合は、EMC カスタマー サポートの担当者にハード
ウェア アップグレードまたはソフトウェア アップグレードについてお問い合わせください。
ドキュメントについてのご意見およびご提案
マニュアルの精度、構成および品質を向上するため、お客様のご意見をお待ちしております。このガイドに関するご意見を
[email protected] 宛てにお送りください。
Copyright © 1998-2013 EMC Corporation. All rights reserved. Published in the USA.
2013 年 7 月 22 日発行
EMC Corporation は、この資料に記載される情報が、発行日時点で正確であるとみなしています。この情報は予告なく変更されることがあ
ります。
この資料に記載される情報は、現状有姿の条件で提供されています。EMC Corporation は、この資料に記載される情報に関する、どのよう
な内容についても表明保証条項を設けず、特に、商品性や特定の目的に対する適応性に対する黙示の保証はいたしません。この資料に記載
される、いかなる EMC ソフトウェアの使用、複製、頒布も、当該ソフトウェア ライセンスが必要です。
EMC2、EMC、および EMC ロゴは、米国およびその他の国における EMC Corporation の登録商標または商標です。その他のすべての名称
ならびに製品についての商標は、それぞれの所有者の商標または登録商標です。
製品ラインの最新規制のドキュメントについては、EMC オンライン サポート用 Web サイトの「テクニカル ドキュメントおよびアドバイ
ザリ」セクションにアクセスしてください。
81/81 リリース 8.1
Fly UP