Comments
Description
Transcript
VNX ネーム サービスの構成 - EMC Japan
EMC® VNX® シリーズ リリース 8.1 VNX® ネーム サービスの構成 P/N 300-014-566 リビジョン A01 EMC ジャパン株式会社 〒 151-0053 東京都渋谷区代々木 2-1-1 新宿マインズタワー http://japan.emc.com お問い合わせは http://japan.emc.com/contact 2/81 リリース 8.1 VNX® ネーム サービスの構成 目次 はじめに. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5 システム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5 制限事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6 ユーザー インタフェースの選択 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6 用語. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7 関連情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9 概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11 ローカル ファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11 NIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13 LDAP ベースのディレクトリ サービス . . . . . . . . . . . . . . . . . . . . . . . . .13 Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20 WINS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20 nsswitch.conf ファイル. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21 プロトコル ユーザー認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21 ローカル ファイルの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22 前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22 Data Mover 上でのローカル ファイルの構成 . . . . . . . . . . . . . . . . . . . .24 NIS の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26 前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26 NIS クライアントとしての Data Mover の構成 . . . . . . . . . . . . . . . . . .26 DNS の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27 前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27 DNS クライアントとしての Data Mover の構成 . . . . . . . . . . . . . . . . .27 LDAP ベースのディレクトリ サービス クライアントとしての Data Mover の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28 前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28 ドメイン名を使用した LDAP ベースのディレクトリ クライアントの 構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29 基本識別名を使用した LDAP ベースのディレクトリ クライアントの 構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29 LDAP ベースの追加ディレクトリ オプションの構成 . . . . . . . . . . . . . . . . . .31 単純(パスワード)認証の使用の指定. . . . . . . . . . . . . . . . . . . . . . . . . .31 Kerberos 認証の使用の指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32 LDAP ベースのディレクトリに対する SSL の有効化 . . . . . . . . . . . . . .33 SSL ペルソナの指定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34 SSL 暗号スイートの指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35 iPlanet クライアント構成プロファイルの指定 . . . . . . . . . . . . . . . . . . .37 ldap.conf ファイルのコピー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37 NIS ドメインの指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39 nsswitch.conf ファイルの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40 前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40 nsswitch.conf ファイルの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40 ローカル ファイルの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42 NIS の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43 NIS 構成の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43 NIS 構成のステータスの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43 NIS 構成の削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44 VNX® ネーム サービスの構成 リリース 8.1 3/81 DNS の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45 DNS 構成の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45 DNS 構成の削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45 DNS サーバ プロトコルの設定または変更. . . . . . . . . . . . . . . . . . . . . . .46 DNS キャッシュのクリア . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46 DNS サーバへのアクセスの無効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . .47 DNS サーバへのアクセスの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . .47 LDAP ベースのディレクトリの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48 LDAP ベースのディレクトリ サービスのステータス確認 . . . . . . . . .48 LDAP ベースのディレクトリ構成の削除 . . . . . . . . . . . . . . . . . . . . . . .48 LDAP ベースのディレクトリ構成に関する情報の表示 . . . . . . . . . . . . .49 LDAP ベースのディレクトリ サービスの一時的な無効化 . . . . . . . . . .50 LDAP ベースのディレクトリ サービスの有効化 . . . . . . . . . . . . . . . . .51 LDAP ベースのディレクトリに対する SSL の無効化 . . . . . . . . . . . . .51 LDAP ベースのディレクトリ サーバでの情報の検索 . . . . . . . . . . . . . .52 トラブル シューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56 情報の入手方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56 E-Lab Interoperability Navigator . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56 server_ping を使用したネットワーク接続の確認 . . . . . . . . . . . . . . . . .56 Control Station からネーム サービスへのアクセス . . . . . . . . . . . . . . .57 DNS との通信の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57 LDAP ベースのディレクトリの動作の確認 . . . . . . . . . . . . . . . . . . . . . .58 iPlanet クライアント プロファイルのダウンロードの確認 . . . . . . . . . .59 Linux の OpenLDAP スキーマの編集 . . . . . . . . . . . . . . . . . . . . . . . . . .60 識別名シンタクスによるグループのメンバーシップの使用 . . . . . . . . .60 マルチプロトコル環境での CIFS ユーザー マッピング . . . . . . . . . . . . .61 エラー メッセージ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .61 LDAP のエラー メッセージ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .62 トレーニングおよびプロフェッショナル サービス . . . . . . . . . . . . . . . .64 付録 A:iPlanet クライアントのプロファイル属性 . . . . . . . . . . . . . . . . . . .65 付録 B:OpenLDAP の構成ファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .68 付録 C:IdMU 構成ファイルのテンプレート . . . . . . . . . . . . . . . . . . . . . . . .69 付録 D:SFU 3.5 構成ファイルのテンプレート . . . . . . . . . . . . . . . . . . . . . .70 付録 E:LDAP ベースのディレクトリ サービス クライアントとしての Data Mover の構成例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .71 匿名認証を使用した iPlanet への接続 . . . . . . . . . . . . . . . . . . . . . . . . .71 単純パスワード認証を使用した OpenLDAP への接続 . . . . . . . . . . . . .71 単純パスワード認証を使用した SFU 利用 Active Directory への接続 .72 Kerberos 認証を使用した IdMU 利用 Active Directory への接続 . . . .73 SSL 認証を使用した IdMU 利用 Active Directory への接続 . . . . . . . .75 インデックス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .77 4/81 リリース 8.1 VNX® ネーム サービスの構成 はじめに このドキュメントでは、ユーザー名、パスワード、ホーム ディレクトリ、グルー プ、ホスト名、IP アドレス、ネットグループ定義などのユーザーおよびシステム の情報を検索するメカニズムを Data Mover に提供する、ネーム サービスについ て説明します。各 Data Mover を 1 個以上のネーム サービスにアクセスできるよ うに構成することは、EMC® VNX™ を正常に動作させるために実行する必要のあ る基本的なタスクです。 Control Station は、システムの初期化中にネーム サービス(特に DNS)を使用 するように構成されます。Configuring and Managing VNX Networking および Unisphere Control Station のオンライン ヘルプ トピックで詳細を参照してくだ さい。 Windows のユーザーが使用する SID(セキュリティ識別子)を VNX が使用する UNIX スタイルの UID(ユーザー識別子)および GID(グループ識別子)にマッピ ングするユーザー マッピングは、このドキュメントで説明するいくつかのネーム サービス(特にローカル ファイル、NIS、SFU/IdMU 利用 Active Directory などの LDAP ベースのディレクトリ サーバ、VNX CIFS Microsoft 管理コンソール スナッ プインを使用する Active Directory)で提供されます。VNX ユーザー マッピングの 構成で、VNX がこれらの方法をどのように使用してユーザーをマッピングするか 参照してください。 このドキュメントは、VNX のマニュアル セットに含まれており、ファイル スト レージとネットワーク検索インフラストラクチャの構成および管理を担当するシ ステム管理者を対象としています。 システム要件 5 ページの表 1 に、VNX のソフトウェア構成、ハードウェア構成、ネットワーク 構成、ストレージ構成を示します。 表1 VNX® ネーム サービスの構成 ネーム サービスのシステム要件 ソフトウェア VNX バージョン 8.0。 ハードウェア 固有のハードウェア要件なし。 ネットワーク NIS、DNS、LDAP ベースのディレクトリ、WINS を使用するには、ファイ ル サーバにアクセスできるネットワーク上で、それぞれ NIS、DNS、LDAP ベースのディレクトリ、WINS サーバが 1 個以上必要です。 ストレージ 固有のストレージ要件なし。 リリース 8.1 5/81 制限事項 次の制限事項が適用されます。 ◆ 標準の NIS とは異なるプロトコルを使用する NIS+ は、 VNX ではサポートされて いません。 ◆ 既存の非 SSL LDAP 接続(例:ポート 389 経由)で TLS 接続を開始する start_tls モードは、SSL を使用した LDAP ではサポートされていません。 ユーザー インタフェースの選択 VNX では、サポート環境やインタフェース設定に応じてネットワーク ストレージ を柔軟に管理することができます。このドキュメントでは、CLI(コマンド ライ ン インタフェース)を使用してネーム サービスを構成する方法について説明しま す。こうしたタスクの多くは、以下の VNX 管理アプリケーションのいずれかを使 用して実行することもできます。 ◆ EMC Unisphere™ ソフトウェア ◆ MMC(Microsoft 管理コンソール)スナップイン ◆ ADUC(Active Directory のユーザーとコンピュータ)の拡張機能 Unisphere オンライン ヘルプには、VNX の管理に関する追加情報が記載されてい ます。 VNX の管理アプリケーションに関する最新の追加情報については、「VNX Release Notes」を参照してください。 Unisphere を使用したネーム サービスの構成 Unisphere を使用して、6 ページの表 2 に示したネーム サービスを使用するよう に Data Mover を構成できます。 表2 Unisphere を使用して構成されるネーム サービス ネーム サービス Unisphere の手順 NIS Data Mover を NIS クライアントとして構成するには、[システム]>[ネットワー ク](ネットワーク タスク)>[NIS 設定の管理]を選択します。 DNS Data Mover を DNS クライアントとして構成するには、[システム]>[ネットワー ク]>[DNS]を選択するか、[共有]>[CIFS]>[DNS]を選択します。 注:Unisphere を使用して DNS サーバ プロトコルを変更したり、DNS キャッシュ をクリアしたりすることはできません。 WINS 6/81 リリース 8.1 Data Mover を WINS クライアントとして構成するには、[共有]>[CIFS](CIFS タスク)>[CIFS の構成]を選択します。 VNX® ネーム サービスの構成 Unisphere を使用して nsswitch.conf ファイルなどのローカル ファイルを管理した り、Data Mover を LDAP ベースのディレクトリ クライアントとして構成したり することはできません。 ネーム サービスの構成に関する詳細については、Unisphere オンライン ヘルプを 参照してください。 注: また、Unisphere 構成ウィザードを使用して NIS、DNS、WINS の使用をセットアッ プすることもできます。 用語 VNX の用語のリストについては、「VNX 用語集 」を参照してください。 Active Directory: Windows オペレーティング システムに含まれている、高度な ディレクトリ サービス。ネットワーク上のオブジェクトに関する情報を格納し、 LDAP などのプロトコルを通じて、この情報をユーザーやネットワーク管理者が 利用できるようにします。 CA(認証局): 公開鍵証明書を作成してデジタル署名を行う、信頼できる第三者 機関。 CIFS(Common Internet File System): Microsoft SMB(Server Message Block)に 基づいたファイル共有プロトコル。インターネットおよびイントラネットを介し てファイル システムを共有できます。 DNS(ドメイン ネーム システム): UNIX ネットワークまたは TCP/IP ネットワーク 上のコンピュータをドメイン名で参照できる、名前解決ソフトウェア。DNS サー バは、ドメイン名、ホスト名、それらに対応する IP アドレスのデータベース、こ れらのホストによって提供されるサービスを保持します。 FTP(File Transfer Protocol): マシン間でのファイルの転送に使用する高水準のプ ロトコル。FTP は、(OSI モデルをベースとする)アプリケーションレベルのプロ グラムとして実装され、Telnet および TCP プロトコルを使用します。 IdMU(Identity Management for UNIX): Windows 上で UNIX 環境、特に UNIX の ID サービスおよびセキュリティ サービスを提供する Microsoft ソフトウェア。 Kerberos: 認証、データの整合性、データ プライバシーの暗号化メカニズム。認 証情報をエンコードするために使用されます。Kerberos は NTLM(Netlogon サー ビス)と共存し、ソケット キー暗号形式を使用して、クライアント / サーバ アプ リケーションに対する認証を行います。 Kerberos KDC(キー配布センター): Active Directory データベースで、セキュリ ティ原則に関する情報の格納および取得を行います。Windows 2000 以降の各ド メイン コントローラは、クライアントとサーバ間の信頼された仲介者として動作 する Kerberos KDC です。 LDAP(Lightweight Directory Access Protocol): TCP/IP を使用して直接実行され る業界標準の情報アクセス プロトコル。Active Directory および LDAP ベースの ディレクトリ サーバのプライマリ アクセス プロトコルです。LDAP バージョン 3 は、IETF(Internet Engineering Task Force)の RFC 2251 において Proposed Standard の一連の文書で定義されています。 VNX® ネーム サービスの構成 リリース 8.1 7/81 LDAP ベースのディレクトリ : LDAP(IdMU/SFU 利用 Active Directory、 OpenLDAP、Sun Java System Directory Server および ONE Directory Server とし ても知られる iPlanet を含む)をサポートするディレクトリ サーバ。 NFS(Network File System): リモート ファイル システムへの透過的なアクセスを 提供する分散ファイル システム。NFS を使用すると、すべてのネットワーク シ ステムでディレクトリの単一コピーを共有できます。 NIS(Network Information Service): ユーザー名、パスワード、ホーム ディレクト リ、グループ、ホスト名、IP アドレス、ネットグループの定義を含む、ユーザー およびシステムの情報をネットワーク上で共有する分散データ検索サービス。 OpenLDAP: LDAP ベースのディレクトリ サービスのオープン ソース実装。 PKI(公開鍵基盤): 秘密鍵と対応する公開鍵証明書を公開鍵暗号形式で使用できる ように管理する手段。SSL によって使用される証明書の作成が可能なフレーム ワークです。 SFU(Microsoft Windows Services for UNIX): Windows 上で UNIX 環境を提供する Microsoft ソフトウェア。 SFU、「Microsoft Windows Services for UNIX」を参照。 SSL(Secure Socket Layer): 暗号化と認証を提供するセキュリティ プロトコル。 データを暗号化し、メッセージとサーバの認証を行います。サーバから要求され た場合、クライアント認証もサポートします。 Sun Java System Directory Server:(Sun ONE Directory Server および iPlanet とも 呼ばれる)LDAP を使用してアクセスできる分散ディレクトリ サービス。 TLS(Transport Layer Security): SSL の後継プロトコル。一般的な通信認証と TCP/IP ネットワークを使用した暗号化に対応しています。TLS バージョン 1 は、 SSL バージョン 3 とほぼ同等です。 Windows NT ドメイン : Microsoft Windows NT サーバが制御および管理している Microsoft Windows のドメイン。ユーザーとグループ アカウントおよび NetBIOS ネームスペースを管理する SAM データベースを使用します。Windows NT ドメイ ンには、SAM の読み取り / 書き込みコピーを持つ PDC(プライマリ ドメイン コ ントローラ)が 1 台と、SAM の読み取り専用コピーを持つ BDC(バックアップ ドメイン コントローラ)が場合により複数存在します。 Windows ドメイン : Microsoft Windows Server が制御および管理している、 Microsoft Windows のドメイン。すべてのシステム リソースを管理する Active Directory と、名前解決のための DNS を使用します。 WINS(Windows インターネット ネーム サービス): 特定のネットワーク ノードと関 連する IP アドレスを決定する Microsoft の名前解決システム。WINS は、マシン 名とインターネット アドレスの間のマッピングを提供し、Microsoft ネットワーク が TCP/IP ネットワーク上で機能できるようにします。 ディレクトリ サーバ : コンピュータ ネットワークのユーザーとネットワーク リ ソースに関する情報を格納および整理するサーバ。ネットワーク管理者は、この サーバでリソースに対するユーザーのアクセスを管理できます。最も有名なオー プン ディレクトリ サービスは X.500 です。企業独自のディレクトリ サービスと しては、Microsoft の Active Directory があります。 8/81 リリース 8.1 VNX® ネーム サービスの構成 ドメイン : 共通のセキュリティおよびユーザー アカウント情報を共有している Microsoft Windows サーバとその他のコンピュータとで構成される、論理グルー プ。コンピュータやユーザーなどのすべてのリソースは、ドメイン メンバーであ り、一意に識別されるドメイン内にアカウントを持ちます。ドメイン管理者はド メイン内の各ユーザーに 1 つのアカウントを作成し、ユーザーはドメインに一度 ログインします。ユーザーは、個々のサーバにはログインしません。 認証局の証明書 : ID(認証局)と公開鍵の間のデジタル署名された関連性。公開鍵 証明書のデジタル署名を検証するためにホストで使用されます。 ネットグループ : 単一の名前で管理される、ネットワーク上のコンピュータのグ ループ。ネットグループは、ネットグループ内のホスト一覧が列挙されたローカ ル テキスト ファイル、または NIS、または LDAP ベースのディレクトリ サーバ を使用して定義できます。 ペルソナ : 秘密鍵と対応する公開鍵証明書を使用して、Data Mover の ID をサーバ またはクライアントとして提供する手段。各ペルソナには最大で 2 個の鍵セット (現在のものと次のもの)を保持でき、現在の証明書の有効期限が切れる前に、新 しい鍵と証明書を生成できるようになっています。 関連情報 このドキュメントで解説されている機能に関連する具体的な情報については、次 の資料を参照してください。 ◆ VNX Command Reference Manual ◆ オンラインの VNX for file man ページ ◆ VNX Parameters Guide ◆ VNX 用語集 ◆ Configuring and Managing VNX Networking ◆ VNX ユーザー マッピングの構成 ◆ VNX Security Configuration Guide ◆ Managing VNXfor a Multiprotocol Environment ◆ VNX CIFS の構成と管理 RFC: ◆ RFC 2307、「An Approach for Using LDAP as a Network Information Service」 ◆ RFC ドラフト(Joslin)、「A Configuration Profile Schema for LDAP-based Agents」 EMC オンライン サポート Web サイトの EMC VNX のマニュアル EMC VNX シリーズのカスタマー向け資料一式は、EMC オンライン サポート Web サイトから入手できます。テクニカル ドキュメントを検索するには、 http://Support.EMC.com にアクセスします。Web サイトにログインした後、VNX の[Support by Product]ページをクリックして必要な特定の機能に関する情報を 見つけます。 VNX® ネーム サービスの構成 リリース 8.1 9/81 VNX for File ウィザード Unisphere ソフトウェアでは、セットアップおよび構成タスクを実行するウィ ザードが提供されています。ウィザードの詳細については、Unisphere のオンラ イン ヘルプを参照してください。 10/81 リリース 8.1 VNX® ネーム サービスの構成 概念 VNX for File システム上の各 Data Mover には、ユーザー名、パスワード、ホー ム ディレクトリ、グループ、ホスト名、IP アドレス、ネットグループの定義を 含む、ユーザーおよびシステムの情報を検索するメカニズムが必要です。Data Mover は、ネーム サービスにクエリーを実行してこの情報を取得します。ネー ム サービスは、VNX for File でサポートされている複数のプロトコルで使用され ます。 システムの各 Data Mover には、次のネーム サービスのうち 1 個以上を構成でき ます。 ◆ ローカル ファイル(パスワード、グループ、ホスト、ネットグループ) ◆ NIS(Network Information Service) ◆ DNS(ドメイン ネーム システム) ◆ SFU(Microsoft Windows Services for UNIX)または IdMU(Identity Management for UNIX)を利用する Active Directory ◆ OpenLDAPOpenLDAP ◆ Sun Java System Directory Server(iPlanet) 注: Sun Java System Directory Server は、以前は Sun ONE Directory Server および iPlanet と呼ばれていました。多くのユーザーは依然としてこの製品を iPlanet と呼ん でいるため、ここでは iPlanet という名前を使用します。 ◆ Active Directory(VNX CIFS Microsoft 管理コンソール [MMC] スナップインを 使用) ◆ WINS(Windows インターネット ネーム サービス) ネーム サービスが必要になった場合、Data Mover は最初にローカル キャッシュ を確認します。その後、要求されたエンティティを見つけるか、すべてのネーム サービスをクエリーするまで、すべての構成されたネーム サービスに対して事前 に定義された順序でクエリーを実行します。検索順序は nsswitch(ネーム サービ ス スイッチ)によって定義されています。nsswitch は nsswitch.conf ファイルを 使用して構成します。 ローカル ファイル ローカル ファイルとは、Data Mover 上に存在するテキスト ファイルです。これ らのファイルは、含まれる情報のタイプに応じて、パスワード ファイル、グルー プ ファイル、ホスト ファイル、ネットグループ ファイルのいずれかに分類され ます。 VNX® ネーム サービスの構成 ◆ パスワード ファイルには、Data Mover にアクセスできるユーザーが含まれます。 ◆ グループ ファイルにより、ユーザーが属するグループが定義されます。 ◆ ホスト ファイルには、IP アドレスおよび対応するホスト名のリストが含まれ ます。 リリース 8.1 11/81 注: Windows 環境で CIFS を実行する場合は、DNS が必要です。 ◆ ネットグループ ファイルには、ネットワーク グループ名のリストと、そのグ ループに属するホストのホスト名のリストが含まれます。ネットグループ ファイルは、ホストをネットワーク グループにマップするだけでなく、ユー ザーもネットワーク グループにマップします。 ローカル ファイルは、ネットワーク上のその他のサーバから情報を取得する必要 がないため、エンティティを検索するうえで最も効率的な方法です。ただし、 ローカル ファイルを使用する場合は、ネットワーク上のエンティティの変更にあ わせて、各 Data Mover 上のエンティティ情報を手動で変更する必要があります。 デフォルトでは、ローカル ファイルは Data Mover 上に提供されていません。 ローカル ファイルを使用するには、これらのファイルを作成し、Data Mover にコ ピーする必要があります。既存のファイル内の情報を更新するには、Data Mover からファイルを取得し、変更してから Data Mover にコピーを戻す必要がありま す。これらのタスクは、CLI を使用してのみ実行できます。 ネーム サービスにローカル ファイルを使用するように Data Mover を構成する方 法については、22 ページの「ローカル ファイルの構成」を参照してください。 NIS NIS は、ユーザー名、パスワード、ホーム ディレクトリ、グループ、ホスト名、 IP アドレス、ネットグループの定義を含む、ユーザーおよびシステムの情報を ネットワーク上で共有する、分散データ検索サービスです。 各 Data Mover 上で個別に管理する必要があるローカル ファイルとは異なり、NIS では、セントラル リポジトリに格納され専用の NIS サーバ上で管理されたドメイ ン構造内で情報を整理できます。NIS ドメイン情報は、構成すればネットワーク 上で使用できます。 Data Mover を NIS サーバのクライアントとして構成するには、NIS サーバの NIS ドメイン名および IP アドレスの情報が必要です。可能であれば、複数の NIS サー バを構成します。そうすれば、最初のサーバが使用不可の場合に、Data Mover は 代替サーバの使用を試行します。Data Mover 上の 1 個の NIS ドメイン内に、最大 10 台の NIS サーバを構成できます。 注: IPv4 および IPv6 の両方をサポートする NIS サーバにアクセスする場合は、各 Data Mover 上のドメイン内で各アドレス タイプに少なくとも 1 個のインタフェースを構成す る必要があります。 ネーム サービスに NIS を使用するように Data Mover を構成する方法については、 26 ページの「NIS の構成」を参照してください。 12/81 リリース 8.1 VNX® ネーム サービスの構成 DNS DNS は、ユーザーが UNIX または TCP/IP ネットワーク上のコンピュータおよび サービスを名前で参照できるようにする、名前解決システムです。DNS サーバ は、ドメイン名、ホスト名、それらに対応する IP アドレスのデータベース、これ らのホストによって提供されるサービスを保持します。 Data Mover を DNS サーバのクライアントとして構成するには、DNS サーバの DNS ドメイン名および IP アドレスの情報が必要です。可能であれば、複数の DNS サーバを構成します。そうすれば、最初のサーバが使用不可の場合に、Data Mover は代替サーバの使用を試行します。Data Mover 上の単一の DNS ドメイン 内に、最大 3 台の DNS サーバを構成できます。さらに、おのおのが独自の DNS サーバのセットを持った DNS ドメインを、同一の Data Mover に複数構成でき ます。 注: Windows 2000 以降のドメインには、DNS が必要です。DNS サーバは動的な更新 (DDNS)をサポートする必要があります。DDNS がサポートされていない場合は、DNS サーバを手動で更新する必要があります。また、IPv4 および IPv6 の両方をサポートする DNS サーバにアクセスする場合は、各 Data Mover のドメイン内で、すべての CIFS サー バの各アドレス タイプに少なくとも 1 個のインタフェースを構成する必要があります。 VNX CIFS の構成と管理で、DNS および Windows ドメインの詳細を参照してください。 ネーム サービスに DNS を使用するように Data Mover を構成する方法について は、27 ページの「DNS の構成」を参照してください。 LDAP ベースのディレクトリ サービス VNX for File は、次の 3 種類の LDAP ベースのディレクトリ サービスをサポート しています。 ◆ SFU(Microsoft Windows Services for UNIX)または IdMU(Identity Management for UNIX)を利用する Active Directory ◆ OpenLDAPOpenLDAP ◆ iPlanet SFU/IdMU 利用 Active Directory、OpenLDAP、Sun Java System Directory Server および ONE Directory Server としても知られる iPlanet(以降、まとめて LDAP ベースのディレクトリと呼ぶ)は、分散ディレクトリ サーバであり、ID プロファ イル、アクセス権限、アプリケーションとネットワークのリソース情報を格納し て管理するためのセントラル リポジトリを提供します。VNX 環境では、ユーザー アカウント情報、グループ情報、ホスト、ネットグループを提供するために、 LDAP ベースのディレクトリが使用されることがあります。 LDAP ベースのディレクトリは、NIS に格納されるものと同じ情報を格納するレ ポジトリを提供しますが、データベース テーブルを編集し、更新された情報を明 示的に伝播させる必要のある NIS とは異なり、LDAP ベースのディレクトリでは、 リアルタイムで一元管理が可能です。 Data Mover を LDAP ベースのディレクトリ サーバのクライアントとして構成す るには、構成サーバまたはサービス サーバの LDAP ベースのディレクトリ ドメイ VNX® ネーム サービスの構成 リリース 8.1 13/81 ン名または基本識別名と IP アドレスの情報が必要です。可能であれば、複数の LDAP ベースのディレクトリ サーバを構成します。そうすれば、最初のサーバが 使用不可の場合に、Data Mover は追加サーバの使用を試行します。1 台の Data Mover は単一の LDAP ベースのディレクトリ ドメインのみをサポートします。 注: EMC は、DNS を使用したホスト名および IP アドレスの取得を継続することを推奨し ます。 ネーム サービスに LDAP ベースのディレクトリ サーバを使用するように Data Mover を構成する方法については、28 ページの「LDAP ベースのディレクトリ サービス クライアントとしての Data Mover の構成」を参照してください。 OpenLDAP を使用しており、NFS ファイル システムをエクスポートする予定の 場合の追加情報については、60 ページの「Linux の OpenLDAP スキーマの編集」 を参照してください。 LDAP ベースのディレクトリ構造 LDAP ベースのディレクトリ サーバでは、特定組織のニーズに固有の階層ディレ クトリ構造で情報が整理されます。ディレクトリに格納された各オブジェクトは、 ディレクトリ エントリーで表されます。エントリーは、1 個以上の属性で形成さ れます。エントリーは、ディレクトリ ツリーに階層的に格納されます。各エント リーは、ツリー内のこのエントリーの位置を列挙した DN(識別名)により一意 に定義されます。たとえば、管理者グループの識別名は 「cn=admin,ou=group,dc=mycompany,dc=com」です。LDAP を使用すると、エン トリーに対するクエリーを実行したり、要求エントリーの下位にあるすべてのエ ントリーとその属性を要求したりすることができます。 LDAP ベースのディレクトリ構造の例を次に示します。 dc=mycompany,dc=com ou=people ou=group ou=hosts ou=netgroup dc= はドメイン コンポーネント、ou= は組織単位(人、グループ、ホスト、ネッ トグループで構成される)を示します。通常、特定のエントリーの一般的に知ら れている名前を示す場合は、cn 属性を使用します。ディレクトリ構造は変更可能 です。カスタム クライアント構成プロファイルまたは構成ファイルをアップロー ドすることにより、Data Mover に組織のディレクトリ構造を知らせることができ ます。たとえば、組織のユーザー情報を people ではなく users というコンテナに 格納し、ホストを hosts ではなく computers というコンテナに格納することもで きます。同じオブジェクト クラスに対して複数のコンテナを定義することもでき ます。LDAP ベースのディレクトリ構造を構成するコンテナは、次のオブジェク ト タイプを使用します。 14/81 リリース 8.1 VNX® ネーム サービスの構成 iPlanet/OpenLDAP コンテナ iPlanet/OpenLDAP オブジェクト クラス IdMU コンテナ IdMU オブジェクト クラス ou=People posixAccount cn=Users User ou=Group posixGroup cn=Group Group ou=Hosts ipHost cn=Computers Computer ou=Netgroup nisNetgroup cn=Netgroup nisNetgroup ディレクトリ サーバの違い LDAP ベースのディレクトリ サーバ間の主な違いは、ディレクトリ サービスの構 成方法です。ディレクトリ サービスは server_ldap コマンドを使用して構成およ び管理します。 ◆ iPlanet は、基本構成中に指定される構成属性以外の追加構成属性を含む、オ プションのダウンロード可能クライアント構成プロファイルを使用します。 LDAP 構成属性の詳細については、65 ページの「付録 A:iPlanet クライアン トのプロファイル属性」を参照してください。 iPlanet サービスに接続するとき、(指定されていれば)この属性が server_ldap 構成設定よりも優先されます。有効なクライアント構成プロファ イルを指定すると、即座に iPlanet サービスにインパクトがあります。つま り、クライアント構成プロファイルが取得され、読み取られます。 ◆ SFU/IdMU 利用 Active Directory や OpenLDAP は、Data Mover の /.etc ディレクト リに存在するファイルベースの構成を使用します。 • OpenLDAP の場合、使用可能なあらゆる UNIX/Linux クライアントから ASCII 構成ファイル(ldap.conf)をコピーできます。Data Mover は、サ ポートしていないキーワードは無視します。ファイルベースの構成をセッ トアップすることが、一番早い方法です。詳細については、PADL ソフト ウェアの Web サイトを参照してください。関連する LDAP 構成属性の例に ついては、 68 ページの「付録 B:OpenLDAP の構成ファイル」を参照して ください。 • SFU/IdMU 利用 Active Directory の場合、VNX for File は 2 個の異なる構成 ファイルのテンプレート(ldap.conf.idmu_template_v1 と ldap.conf.sfu35_template_v1)を提供します。これらのテンプレートは、 各スキーマに対して関連する LDAP 構成属性を指定します(SFU 3.5 LDAP スキーマには、IdMU LDAP スキーマよりも多くの再マッピング ディレク ティブが必要です)。選択したテンプレート ファイルを「ldap.conf」に名 称変更します。これらのテンプレート ファイルの例については、69 ページ の「付録 C:IdMU 構成ファイルのテンプレート」および 70 ページの「付 録 D:SFU 3.5 構成ファイルのテンプレート」を参照してください。 ディレクトリ サーバにネットグループ専用のコンテナが構成されていな かった場合、IdMU テンプレート ファイルにより正しい LDAP 設定が指定 されます。通常、IdMU ソフトウェアの一部である NIS データ移行ウィ ザードにより、ネットグループのデフォルト コンテナが作成されます。 ネットグループは、SFU 3.5 スキーマではサポートされていません。 VNX® ネーム サービスの構成 リリース 8.1 15/81 以前に ldap.conf ファイルを使用して LDAP ベースのディレクトリ サービスを 構成している場合、別の ldap.conf ファイルに置き換えても、即座にサービス にインパクトを与えることはありません。サービスを再起動すると、ldap.conf ファイルの読み取りが実行され、該当する設定が適用されます。サービスを再 起動しない場合は、20 分ごとに構成が自動的に更新されるタイミングで ldap.conf ファイルの読み取りが実行されます。同様に、ldap.conf ファイルを 使用して LDAP ベースのディレクトリ サービスを構成している場合、ファイ ルを削除しても、サービスを再起動したり、構成が(20 分ごとに)更新され たりしない限り、即座にサービスにインパクトを与えることはありません。 以前に ldap.conf ファイルを使用して LDAP ベースのディレクトリ サービスを 構成していない場合は、ldap.conf ファイルを追加する際、新しい ldap.conf ファイルの読み取りが実行され、適用されるようにするために、以前の構成を クリアし、Data Mover を再構成する必要があります。 ldap.conf ファイル ldap.conf ファイルには、次のフィールドが含まれます。 ◆ nss_base_passwd ◆ nss_base_group ◆ nss_base_hosts ◆ nss_base_netgroup(OpenLDAP および IdMU のみ) ◆ nss_map_objectclass ◆ nss_map_attribute 最初の 4 個のフィールドは、ユーザー、グループ、ホスト、ネットグループのコ ンテナを定義します。コンテナは、識別名により識別されます。 nss_base_passwd nss_base_hosts ou=Users,dc=mycompany,dc=com ou=Computers,dc=mycompany,dc=com コンテナは、ツリー内のいずれのディレクトリにも指定できます。また、同一の オブジェクト クラスに対して複数のコンテナを定義することも可能です。たとえ ば、組織のユーザーが複数のグループ(セールス、エンジニアリング、製造など) に分かれている場合、ユーザー コンテナを 3 個定義できます。 nss_base_passwd nss_base_passwd nss_base_passwd ou=sales,dc=mycompany,dc=com ou=engineering,dc=mycompany,dc=com ou=manufacturing,dc=mycompany,dc=com デフォルトの検索スコープは one(つまり単一のレベル)です。検索要求はこの タイプの検索で最適化されるため、EMC はデフォルト値の使用を推奨します。 nss_base_passwd ou=sales,dc=mycompany,dc=com?one 次の構文を使用して検索スコープを変更できます。 nss_base_XXX base?scope?filter ◆ スコープは {base,one,sub} ◆ VNX for File ではフィルタ フィールドはサポートされていない sub のスコープ値(例:nss_base_passwd ou=sales,dc=mycompany,dc=com?sub) があると、要求された UID またはユーザー名を持つ posixAccount オブジェクト 16/81 リリース 8.1 VNX® ネーム サービスの構成 が、サブツリー全体で検索されます。このタイプの検索は、スキャンする必要の あるオブジェクトが数万件ある場合は非常に時間がかかる場合があります。 nss_map_objectclass <rfc 2307 class> <class used in the ldap tree> のフィールド は、Data Mover に対して、RFC 2307 で定義されたデフォルトのクラスではなく、 顧客固有のクラスに対してクエリーを実行するように指示します。IdMU には次の 定義が必要です。 nss_map_objectclass posixAccount User nss_map_attribute <rfc 2307 attribute> <attribute used in the ldap object> のフィー ルドは、Data Mover に対して、RFC 2307 で定義されたデフォルトの属性ではな く、顧客固有の属性に対してクエリーを実行するように指示します。 nss_map_attribute homeDirectory unixHomeDirectory 構成シーケンス LDAP ベースのディレクトリ サービスを開始するときに、クライアント構成プロ ファイルを指定した場合は、Data Mover はプロファイルのダウンロードを試行し ます。プロファイルがダウンロードされると、iPlanet ディレクトリ サービスが実 行されます。指定したプロファイルが存在しない場合は、構成は失敗します。構 成ファイルを指定しなかった場合は、Data Mover は /.etc/ldap.conf ファイルを確 認します。このファイルが存在すれば、セットアップを完了するために使用され ます。 クライアント構成プロファイルが指定されていない、かつ構成ファイルが存在し ない場合は、デフォルトのパラメータを使用してディレクトリ サービスが実行さ れます。 SSL を使用する場合、クライアント構成プロファイルおよびファイルベースの構 成で指定された SSL 構成設定は、server_ldap コマンドで構成された SSL 設定よ りも優先されます。 認証方法 Data Mover のディレクトリ クライアントは複数の異なる認証方法をサポートして います。LDAP を構成する際に選択するオプションによって、使用される認証方 法が決定します。 ◆ 匿名 ◆ 単純(パスワード) ◆ Kerberos ◆ SSL: • 匿名 • 単純(パスワード) • SSL ベースのクライアント認証(LDAP ベースのディレクトリ サーバがク ライアント証明書を必要とするように構成されている場合) 注: SFU/IdMU 利用 Active Directory では、パスワード、Kerberos、SSL のいずれかを使 用する認証方法が必要です。匿名認証は許可されていません。 VNX® ネーム サービスの構成 リリース 8.1 17/81 匿名認証 匿名認証は、認証が行われず、Data Mover から LDAP ベースのディレクトリ サーバへのアクセスに匿名ログインが使用されることを意味します。 注: 匿名認証は、OpenLDAP または iPlanet を使用する場合に限り使用できます。 単純認証 単純認証またはプロキシ認証は、LDAP ベースのディレクトリ サーバにアクセス する際に Data Mover からバインド識別名とパスワードを指定する必要があること を意味します。 バインド DN は、サービスにバインドするために使用される ID の識別名です。 サービスにバインドするために使用される ID は、通常はドメイン マネージャで す。通常、Active Directory では、cn=<acctname>,cn=users,dc=<domain component>,dc=<domain component> の形式のバインド識別名が想定されます。 ただし、Active Directory の管理者は、Active Directory 内の他の場所にユーザーを 作成できます。その場合、バインド識別名のパスが異なることがあります。 OpenLDAP ディレクトリ サーバでは、異なる形式のバインド識別名が許容されま す。通常、ドメイン マネージャはデフォルトのユーザー用コンテナ (cn=administrator,ou=people,dc=<domain component>,dc=<domain component>)。 Kerberos 認証 Kerberos 認証は、Active Directory にアクセスする際に、CIFS サーバとして構成 された Data Mover が KDC を使用して Data Mover の ID を確認することを意味し ます。 CIFS サーバをドメインに参加させると、Kerberos はドメイン コントローラと共 有する、一連の暗号化および復号化キーを生成します。KDC は、CIFS サーバか ら認証要求を受け取ると、Data Mover から送信された事前認証データを復号化 キーで復号化して認証を行います。復号化に成功し事前認証データが正確であれ ば、CIFS サーバが認証されます。CIFS サーバが認証されると、KDC は TGT (Ticket-Granting Ticket)と呼ばれる初期チケットを発行します。TGT は、CIFS サーバが KDC にサービスをリクエストできるようにするための特別なチケット です。 注: Data Mover が Kerberos 認証を使用している場合、関連する CIFS サーバが LDAP サービスに使用されている間は、VNX for File 管理者はそのサーバを削除してはいけま せん。 SSL 認証 SSL 認証は、SSL クライアントを基盤として、Data Mover のディレクトリ クラ イアントが LDAP ベースのディレクトリ サーバから受け取った証明書を検証する ことを意味します。証明書の検証の成功条件として、CA 証明書(ディレクトリ サーバの証明書に署名を行った CA からの証明書)が Data Mover にインポートさ れている必要があります。 LDAP ベースのディレクトリ サーバで SSL ベースのクライアント認証が必要とさ れる場合は、秘密鍵と有効な証明書を、Data Mover 内の指定されたペルソナに関 18/81 リリース 8.1 VNX® ネーム サービスの構成 連づけてクライアントを認証する必要があります。認証を成功させるために、 Data Mover の証明書のサブジェクトは、ディレクトリ サーバの既存ユーザー(ア カウント)の識別名と一致する必要があります (一部のディレクトリ サーバは、 予想されるクライアント証明書のサブジェクトと目的のユーザー アカウントとの マッピングをサポートします) 。 SSL ベースのクライアント認証を必要とする LDAP ベースのディレクトリ サーバ とのセキュリティで保護された接続をネゴシエートする場合、ペルソナは Data Mover(クライアント)に対して秘密鍵と証明書を指定します。この証明書によ り、サーバはクライアントを識別し、認証できます。おのおのが独自の鍵と証明 書を持つサービスが複数存在し、単一の Data Mover で 1 個以上のクライアント 接続が実行されている場合があるため、Data Mover のアプリケーションは秘密鍵 と対応する公開鍵の証明書を識別するために使用するペルソナを指定する必要が あります。 SSL および PKI の詳細については、「VNX Security Configuration Guide」を参照 してください。 認証の構成ルール 使用される認証方法は次のルールによって決定されます。 ◆ バインド DN オプションを指定していない、または SSL を有効化していない場 合は、匿名バインドが使用されます。 ◆ バインド DN オプションおよびパスワード オプションを指定し、SSL を有効化 していない場合は、パスワード ベースのバインドが使用されます。 ◆ バインド DN オプションおよびパスワード オプションを指定し、SSL を有効化 している場合は、sslpersona の構成の有無を問わず、パスワード ベースのバ インドが使用されます。 ◆ バインド DN オプションを指定せず、sslpersona を構成せず、SSL を有効化し ている場合は、SSL 接続が確立した後に匿名バインドが使用されます。 ◆ バインド DN オプションを指定せず、sslpersona を構成し、SSL を有効化して いる場合は、LDAP ベースのディレクトリ サーバがクライアント証明書を要求 するように構成されていない限り、SSL なしの匿名バインドが使用されます。 注: sslpersona が構成されている場合(使用の有無を問わない)、鍵および特定のペルソ ナに関連づけられた有効な公開鍵証明書がなければ、SSL 接続に失敗します。クライアン ト証明書を要求するように LDAP ベースのディレクトリ サーバを構成する場合は、常に sslpersona を指定する必要があります。指定しなければ、LDAP ベースのディレクトリ サーバから拒否されるため、SSL 接続に失敗します。 暗号スイート 暗号スイートは、LDAP 通信をセキュリティで保護するための一連のテクノロ ジーを定義します。 VNX® ネーム サービスの構成 ◆ 鍵交換アルゴリズム(データの暗号化に使用される秘密鍵がクライアントから サーバに伝達される仕組み)。例:RSA 鍵または DH(Diffie-Hellman) ◆ 認証方法(ホストでリモート ホストの ID が正しいことを確認する仕組み) 。 例:RSA 証明書、DSS 証明書、認証なし リリース 8.1 19/81 ◆ 暗号化サイファ(データを暗号化する仕組み)。例:AES(256 または 128 ビッ ト) 、RC4(128 または 56 ビット) 、3DES(168 ビット) 、DES(56 または 40 ビット) 、NULL 暗号化 ◆ ハッシュ アルゴリズム(不正なユーザーによるデータの改ざんを確実に防ぐ 仕組み)。例:SHA-1 または MD5 サポートされている暗号スイートは、これらすべての仕組みを兼ね備えています。 「 VNX Security Configuration Guide」に、VNX for File でサポートされている暗号 スイートのリストを示します。 セキュリティで保護された LDAP ベースのディレクトリ通信を使用するように Data Mover を構成する方法については、31 ページの「LDAP ベースの追加ディレ クトリ オプションの構成」を参照してください。 Active Directory Windows 上の UNIX 環境を提供する Microsoft 製ソフトウェア(SFU/IdMU 利用 Active Directory)が登場する前は、Active Directory は主に Windows 2000 および Windows Server 2003 環境で Windows ユーザーへの認証と許可を提供するために 使用されていました。 しかし、Windows ユーザーとグループ向けの UNIX 属性を含めるために Active Directory スキーマが EMC 独自のスキーマで拡張されていた場合、ユーザーと ユーザーがメンバーになっているグループに UNIX 属性が割り当てられているか どうかを Active Directory に問い合わせるよう Data Mover を構成できました。割 り当てられている場合、これらの属性に保存されている情報がファイル アクセス の認証に使用されます。 Active Directory に UNIX 属性の問い合わせを行うよう Data Mover を構成するには、 VNX CIFS 管理 MMC スナップインの UNIX ユーザー管理コンポーネントをインス トールする必要があります。また、cifs useADMap パラメータの設定も必要です。 Installing VNX Management Applications、VNX ユーザー マッピングの構成、VNX UNIX ユーザー管理、VNX UNIX 属性移行のオンライン ヘルプ システムで詳細を 参照してください。 注: EMC では、Active Directory を VNX CIFS MMC スナップインで利用する代わりに、 SFU または IdMU と一緒に使用することを推奨します。SFU/IdMU 利用 Active Directory の詳細については、 13 ページの「LDAP ベースのディレクトリ サービス」を参照してく ださい。 WINS WINS は、特定のネットワーク ノードに関連づけられた IP アドレスを判別する Microsoft NetBIOS ベースの名前解決システムです。通常、WINS は Windows NT 環境でのみ使用されます。Windows 2000 からは、WINS に代わって DNS が使用 されるようになりました。 Data Mover を WINS クライアントとして構成するには、Data Mover 上のすべて の CIFS サーバがアクセスできる WINS サーバを 1 台以上定義する必要がありま す。VNX CIFS の構成と管理で、Windows NT 環境で CIFS サーバに WINS を構成 する手順の詳細を参照してください。 20/81 リリース 8.1 VNX® ネーム サービスの構成 nsswitch.conf ファイル nsswitch.conf ファイルは、各エンティティ タイプのクエリーが実行される対象の ネーム サービスおよびネーム サービスがチェックされる順序を決定します。 nsswitch.conf ファイルは、編集してご使用の環境に最も適した検索順序に整列で きるテキスト ファイルです。このファイルのテンプレート(nsswitch.conf.tmpl) は、Control Station の /nas/sys ディレクトリに提供されています。 nsswitch.conf ファイルを指定しない場合、Data Mover はネーム サービスに対し て、次の順序で各エンティティをクエリーします。 ◆ パスワード、グループ、ネットグループのエンティティの場合は、Data Mover はローカル ファイル、NIS の順番でクエリーを実行します。 ◆ ホスト エンティティの場合は、Data Mover はローカル ファイル、NIS、DNS の順番でクエリーを実行します。 nsswitch.conf ファイルでエンティティが定義されていない場合は、Data Mover は デフォルトの検索を使用します。LDAP ベースのディレクトリ サーバは、 nsswitch.conf ファイルにネーム サービスとして追加されている場合に限り、クエ リーの対象となります。たとえば、/.etc/passwd ファイルのユーザーを最初にク エリーし、見つからない場合は LDAP サーバをクエリーするように Data Mover を構成するには、パスワード 「files ldap」を指定します。 nsswitch.conf ファイルが指定されていない場合は、Data Mover は LDAP ベース のディレクトリ サーバが含まれていない、デフォルトの検索順序を使用します。 nsswitch.conf ファイルの詳細については、40 ページの「nsswitch.conf ファイル の構成」を参照してください。 プロトコル ユーザー認証 FTP などの特定のプロトコルは、LDAP ベースのディレクトリ、NIS、ローカル ファイルを使用して分散アプリケーション用にユーザー アカウント情報を認証し ます。たとえば、VNX for File の FTP サーバにログインするたびに、FTP はディ レクトリ サーバにバインドします。その後、提示された認証情報がディレクトリ サーバで検証され、アクセスするサーバでの認証が許可されます。 VNX for File は、ディレクトリからのハッシュ化されたパスワードを読み取り、 FTP ユーザーから提供されたパスワードをハッシュ化してから、この 2 個を比較 して FTP ユーザーを認証します。パスワードは、UNIX CRYPT、MD5、 MD5_CRYPT のいずれかの暗号化アルゴリズムを使用してハッシュ化されます。 注: ディレクトリ サーバが Active Directory の場合は、MD5_CRYPT が必要とされる場合 があります。 LDAP ベースのディレクトリが Data Mover の FTP または PC-NFS サービスに対し てユーザー パスワード認証を提供するために使用される場合の構成方法について は、31 ページの「単純(パスワード)認証の使用の指定」を参照してください。 FTP の詳細については、FTP マニュアル ページおよび「FTP on VNX」を参照し てください。 VNX® ネーム サービスの構成 リリース 8.1 21/81 ローカル ファイルの構成 Data Mover によるローカル ファイルの使用を構成するには、次のいずれかを実行 します。 ◆ Control Station 上に適切なテキスト ファイルを作成し、Data Mover にコピー する または ◆ Data Mover から既存のファイルを取得し、変更してからコピーを Data Mover に戻す ローカル ファイルの詳細については、11 ページの「ローカル ファイル」を参照 してください。 前提条件 Data Mover 用にローカル ファイルを新規作成するには、他の UNIX または Linux システムからパスワード、グループ、ホスト、ネットグループのいずれかのファ イルをコピーして、テンプレートとして使用できます。 ローカル ファイルを作成または編集する際には、次のルールが適用されます。 ◆ すべてのエントリー(Windows 名、ユーザー名、ドメイン名、グローバル グ ループ名)は、ASCII の小文字のみで入力されている必要があります。 ◆ Windows ドメインまたはグループ名のスペースはすべて、UNIX 形式のファイ ルの規定に沿うように、=20 に置き換えられている必要があります。ASCII 以 外のすべての文字(フランス語のアクセント記号付き母音など)は、=xx また は ==xxyy(xx、xxyy はその文字に対応する UTF-8 の 16 進コード)に置き換 えられている必要があります。 ◆ UNIX ユーザー認証を使用する場合、server_user コマンドを実行してパスワー ド フィールドに暗号化されたパスワードを生成します。しかし、ユーザー名 の一部にドメインは含みません。 パスワード、グループ、ホスト、ネットグループ ファイルは、UNIX ベースの標 準ファイルです。man コマンドを使用して、これらのファイルの標準記述および その形式を表示できます。 パスワード ファイルを作成または編集する パスワード ファイルの各行はユーザーを定義しています。形式は次のとおりです。 username:password:uid:gid:gcos ここで: ◆ username はユーザーのログイン名です。 Windows ユーザーをクエリーする場合、デフォルトでは、システムは username.domain の形式(domain は Windows ドメイン名)の CIFS ユーザー 名を確認します。cifs resolver パラメータを 1 に設定すると、システムはドメ イン拡張子を持たないユーザーおよびグループのエントリーを取得できるよう になります。VNX ユーザー マッピングの構成詳細については、を参照してく ださい。 22/81 リリース 8.1 VNX® ネーム サービスの構成 ◆ password は空のフィールドです。ユーザーの暗号化されたパスワードは、 シャドウ ファイルの対応するエントリーにあります。 ◆ uid はシステムに対応するユーザーの一意の数値 ID です。 ◆ gid はユーザーが属するグループの一意の数値 ID です。 注: server_user <movername> -add コマンドを使用して、Data Mover 上にユーザー アカ ウントを新規作成できます。このコマンドは、/nas/sbin ディレクトリから実行する必要が あります。また、実行するには root ユーザーである必要があります。 グループ ファイルを作成または編集する グループ ファイルにより、ユーザーが属するグループが定義されます。グループ ファイルの各行はグループを定義しています。形式は次のとおりです。 groupname:gid:user_list ここで: ◆ groupname はグループの名前です。 Windows グループをクエリーする場合、デフォルトでは、システムは groupname.domain の形式(domain は Windows ドメイン名)の CIFS グルー プ名を確認します。cifs resolver パラメータを 1 に設定すると、システムはド メイン拡張子を持たないユーザーおよびグループのエントリーを取得できるよ うになります。VNX ユーザー マッピングの構成詳細については、を参照して ください。 ◆ gid はグループの数値 ID です。 ◆ user_list はグループ メンバーのすべてのユーザー名で、カンマで区切ります。 ホスト ファイルを作成または編集する ホスト ファイルの各行はホストを定義しています。形式は次のとおりです。 IP_address hostname aliases ここで: ◆ IP_address はホストの IP アドレスです。 ◆ hostname はホストの公式名です。 ◆ aliases は名前の変更、代替スペル、ホストの省略名、一般的なホスト名(例: localhost)を指定します。 フィールドは空白文字またはタブ文字(いずれも文字数は任意) 、またはその両方 で区切ります。 ネットグループ ファイルを作成または編集する ネットグループ ファイルの各行はグループを定義しています。形式は次のとおり です。 groupname member1 member2 ... 各メンバーは他のグループの名前とするか、またはトリプルと呼ばれる特定のホ スト、ユーザー、ドメインを次のように示します。 VNX® ネーム サービスの構成 リリース 8.1 23/81 (hostname,username,domainname) トリプルの 3 個のフィールドは、いずれも空白にできます。空白にした場合は、 そのフィールドのすべての値が含まれることを意味します。任意のフィールドを ダッシュ(-)とした場合は、有効な値がないことを意味します。たとえば、次の 行は ourdomain という NIS ドメイン内のすべてのホストおよびユーザーで構成さ れた、ouruniverse という名前のグループを定義しています。 ouruniverse (,,ourdomain) 次の各行は、ドメイン内のすべてのホストは含むがユーザーは含まない ourhosts という名前のグループと、すべてのユーザーは含むがホストは含まない ourusers という名前のグループを定義しています。 ourhosts (,-,ourdomain) ourusers (-,,ourdomain) 次の行は hostatlanta と hostboston という 2 個のホストで構成された ouruniverse という名前のグループを定義しています。 ouruniverse (hostatlanta,,),(hostboston,,) 注: IP アドレスは使用できません。 ネットグループ ファイルには、必要な数だけ行を含めることができますが、各行 のレングスは 1 KB 未満にする必要があります。必要に応じて、バックスラッシュ (\)を継続文字として使用して、ある行を他の行に続けることもできます。ただ し、トリプルを 2 行に分割することはできません。 注: バックスラッシュ(\)を継続文字として使用する場合は、バックスラッシュをその行 の最後に配置する必要があります。バックスラッシュの後ろにスペースを入れることはで きません。 Data Mover 上でのローカル ファイルの構成 ステップ アクション 1. 次のコマンド構文を使用して、ローカル ファイル(パスワード、グループ、ホスト、 ネットグループ)を Data Mover から Control Station にコピーします。 $ server_file <movername> -get <src_file> <dst_file> ここで: <movername> = Data Mover の名前 <src_file> = Data Mover 上のソース ファイル <dst_file> = Control Station 上の宛先ファイル 2. 24/81 リリース 8.1 テキスト エディタを使用して、Control Station 上のファイルを編集し、エントリーを 追加、削除、変更します。 VNX® ネーム サービスの構成 ステップ アクション 3. 次のコマンド構文を使用して、Control Station から Data Mover にファイルをコピー します。 $ server_file <movername> -put <src_file> <dst_file> ここで: <movername> = Data Mover の名前 <src_file> = Control Station 上のソース ファイル <dst_file> = Data Mover 上の宛先ファイル VNX® ネーム サービスの構成 リリース 8.1 25/81 NIS の構成 Data Mover を NIS クライアントとして構成するには、NIS ドメイン名およびドメ インをホストする NIS サーバを 1 台以上指定する必要があります。NIS について の詳細は、 12 ページの「NIS」を参照してください。 前提条件 可能であれば、複数の NIS サーバを定義します。そうすれば、最初のサーバが使 用不可の場合に、Data Mover は代替サーバの使用を試行します。Data Mover 上 の 1 個の NIS ドメインに対して、最大 10 台の NIS サーバを構成できます。 server_nis コマンドを実行して NIS ドメインを構成し、サーバを指定するたびに、 以前の構成は上書きされます。また、NIS サービスが実行されていない場合は、 server_nis コマンドにより Data Mover 上で NIS サービスが開始されます。NIS サービスを構成した後は、デフォルトで NIS サービスが有効になります。つま り、NIS サービスは Data Mover の再起動後に自動的に再開されます。 NIS クライアントとしての Data Mover の構成 アクション Data Mover を NIS クライアントとして構成するには、次のコマンド構文を使用します。 $ server_nis <movername> <domainname> {<ip_addr>,...} ここで: <movername> = Data Mover の名前 <domainname> = NIS ドメインの名前 <ip_addr> = 指定したドメインに対する NIS サーバのアドレス 例: NIS ドメイン nsg に対して server_2 上の 2 台の NIS サーバ(IP アドレスが 172.16.21.10 の NIS サーバと 172.16.22.10 の NIS サーバ)を使用するように構成するには、次のように入力します。 $ server_nis server_2 nsg 172.16.21.10,172.16.22.10 出力 server_2 : done 26/81 リリース 8.1 VNX® ネーム サービスの構成 DNS の構成 Data Mover を DNS クライアントとして構成するには、DNS ドメイン名およびド メインをホストする DNS サーバを 1 台以上指定する必要があります。DNS につ いての詳細は、 13 ページの「DNS」を参照してください。 前提条件 可能であれば、複数の DNS サーバを定義します。そうすれば、最初のサーバが使 用不可の場合に、Data Mover は代替サーバの使用を試行します。Data Mover 上 の 1 個の DNS ドメインに対して、最大 3 台の DNS サーバを構成できます。さら に、おのおのが独自の DNS サーバのセットを持った DNS ドメインを、同一の Data Mover に複数構成できます。 同一の Data Mover に対して複数の DNS ドメインを構成するには、同じ Data Mover に対して server_dns コマンドを再実行します。その際、異なる DNS ドメ イン名と IP アドレスを指定します。また、DNS サービスが実行されていない場 合は、server_dns コマンドにより Data Mover 上で DNS サービスが開始されま す。DNS サービスを構成した後は、デフォルトで DNS サービスが有効になりま す。つまり、DNS サービスは Data Mover の再起動後に自動的に再開されます。 DNS クライアントとしての Data Mover の構成 アクション Data Mover を DNS クライアントとして構成するには、次のコマンド構文を使用します。 $ server_dns <movername> <domainname> {<ip_addr>,...} ここで: <movername> = Data Mover の名前 <domainname> = DNS ドメインの名前(155 文字以内) <ip_addr> = 指定したドメインに対する DNS サーバのアドレス 例: IP アドレスが 128.221.21.10 の DNS サーバに DNS ドメイン nasdocs.emc.com を使用するよう に server_2 を構成するには、次のように入力します。 $ server_dns server_2 nasdocs.emc.com 128.221.21.10 出力 server_2 : done VNX® ネーム サービスの構成 リリース 8.1 27/81 LDAP ベースのディレクトリ サービス クライアントと しての Data Mover の構成 Data Mover を構成するには、次の手順に従います。 ◆ 29 ページの「ドメイン名を使用した LDAP ベースのディレクトリ クライアント の構成」 または ◆ 29 ページの「基本識別名を使用した LDAP ベースのディレクトリ クライアント の構成」 LDAP ベースのディレクトリ サービスの詳細については、13 ページの「LDAP ベースのディレクトリ サービス」を参照してください。 前提条件 iPlanet LDAP ベースのディレクトリ サーバは、複数のタイプのサーバ(構成、 サービス、優先、代替)をサポートします。iPlanet に対してクライアント構成プ ロファイルの使用を計画している場合は、server_ldap コマンド内で iPlanet 構成 サーバの IP アドレスを指定します。プロファイルを使用しない場合は、サービス サーバの IP アドレスを指定します。通常、構成サーバとサービス サーバは同一 です。 OpenLDAP および SFU/IdMU 利用 Active Directory の場合、Data Mover は /.etc/ldap.conf ファイルを確認します。 server_ldap コマンドを使用する場合は、同一の basedn または domain を指定し、 かつ異なるパスワードを指定することで、LDAP ベースのディレクトリ サーバか ら切断しないでバインド認証情報を動的に変更できます。または、コマンドを再 実行してユーザー認証情報を追加(匿名モードから認証モードに切り替え)した り、ユーザー認証情報を削除(認証モードから匿名モードに切り替え)したりで きます。つまり、変更するために LDAP の関連づけを解除する必要はないという ことです。関連づけは、Data Mover が実行中であれば、継続してアクティブのま まにしておくことができます。 注: LDAP サーバは、必ずバインドするユーザー アカウント用の新しいパスワードで構成 します。そうしないと、ユーザーが新しいパスワードを入力した際に、LDAP ベースの ディレクトリ サーバはそのパスワードを拒否し、接続を切断します。 注: SFU/IdMU 利用 Active Directory では、パスワード、Kerberos、SSL のいずれかを使 用する認証方法が必要です。匿名認証は許可されていません。 Data Mover が一度にサポートできる LDAP ベースのディレクトリ ドメインは、1 個だけです。新しい LDAP ベースのディレクトリ ドメインを構成する前に、以前 の構成を削除する必要があります。可能であれば、複数のサーバを定義します。 そうすれば、最初のサーバが使用不可の場合に、Data Mover は追加サーバの使用 を試行します。Data Mover 上の単一の LDAP ベースのディレクトリ ドメインに 対応するサーバの数に制限はありません。 28/81 リリース 8.1 VNX® ネーム サービスの構成 また、server_ldap コマンドにより Data Mover 上で LDAP ベースのディレクトリ サービスが開始されます。サービスを構成した後は、デフォルトで NIS サービス が有効になり、Data Mover の再起動後に自動的にサービスが再開されます。 注: Active Directory を SFU または IdMU と使用する場合、ユーザー名とグループ名をド メイン拡張子と一緒に取得できるように cifs resolver を設定する必要があります。cifs resolver パラメータの設定方法については、「 VNX ユーザー マッピングの構成」を参照 してください。 ドメイン名を使用した LDAP ベースのディレクトリ クライアン トの構成 アクション ドメイン名を使用して Data Mover を LDAP ベースのディレクトリ クライアントとして構成する には、次のコマンド構文を使用します。 $ server_ldap <movername> -set -domain <fqdn> -servers <ip_addr>[:<port>][,<ip_addr>[:<port>]...] ここで: <movername> = Data Mover の名前 <fqdn> = 指定した LDAP ベースのディレクトリ ドメインの完全修飾ドメイン名 <ip_addr> = 指定したドメインに対する LDAP ベースのディレクトリ サーバ(構成またはサー ビス)のアドレス <port> = LDAP ベースのディレクトリ サーバの TCP ポート数。各サーバに対してポートを指 定しない場合は、LDAP 用のデフォルトはポート 389、SSL を有効にした LDAP 用のデフォルト はポート 636 となります。SSL の詳細については、31 ページの「LDAP ベースの追加ディレク トリ オプションの構成」を参照してください。 例: IP アドレスが 172.16.21.10 の LDAP ベースのディレクトリ サーバに LDAP ベースのディレクト リ ドメイン nasdocs.emc.com と、デフォルトのポート番号 389 を使用するように server_2 を 構成するには、次のように入力します。 $ server_ldap server_2 -set -domain nasdocs.emc.com -servers 172.16.21.10 server_ldap のコマンド オプションを使用した LDAP ベースのディレクトリ サービスの管理に関 する詳細については、48 ページの「LDAP ベースのディレクトリの管理」を参照してください。 出力 server_2 : done 基本識別名を使用した LDAP ベースのディレクトリ クライアン トの構成 EMC では、ドメイン名(-domain オプション)ではなく、基本識別名(-basedn オプション)を使用して LDAP ベースのディレクトリ クライアントを構成するこ とを推奨します。 -basedn オプションでは、ディレクトリ ベースの DN(識別名)として、ディレ クトリ ベースを一意に識別する x509 形式の名前を指定します。基本識別名は、 次の操作に対してルート位置を指定します。 VNX® ネーム サービスの構成 リリース 8.1 29/81 ◆ iPlanet プロファイルの検索 ◆ RFC 2307 に基づいた、ユーザー、グループ、ホスト、ネットグループに対す るデフォルトの検索コンテナの定義。iPlanet プロファイルおよび OpenLDAP または SFU/IdMU 利用 Active Directory の ldap.conf ファイルは、カスタム セットアップの場合のみ必要です。 注: ディレクトリ ベースの識別名にドットが含まれている場合およびクライアントがドメ イン名を使用して構成されている場合は、デフォルトのコンテナが正しくセットアップさ れない場合があります。たとえば、名前が dc=my.company,dc=com で、ドメイン名 my.company.com として指定されている場合、VNX for File は、誤ってデフォルト コンテ ナを dc=my,dc=company,dc=com と定義します。 アクション 基本識別名を使用して Data Mover を LDAP ベースのディレクトリ クライアントとして構成する には、次のコマンド構文を使用します。 $ server_ldap <movername> -set -basedn <attribute_name>=<attribute_value>[,…] -servers <ip_addr>[:<port>][,<ip_addr>[:<port>]...] ここで: <movername> = Data Mover の名前 <attribute_name> = LDAP の属性名 <attribute_value> = LDAP の属性値 <ip_addr> = 指定したドメインに対する LDAP ベースのディレクトリ サーバ(構成またはサー ビス)のアドレス <port> = LDAP ベースのディレクトリ サーバの TCP ポート数。各サーバに対してポートを指 定しない場合は、LDAP 用のデフォルトはポート 389、SSL を有効にした LDAP 用のデフォルト はポート 636 となります。SSL の詳細については、 31 ページの「LDAP ベースの追加ディレク トリ オプションの構成」を参照してください。 注:基本識別名に空白文字が含まれている場合、文字列全体を二重引用符で囲み、名前をバック スラッシュと二重引用符で囲む必要があります。たとえば、「\"cn=abc,cn=def ghi,dc=com\"」の ようにします。 例: IP アドレスが 172.16.21.10 の LDAP ベースのディレクトリ サーバに基本識別名 dc=nasdocs,dc=emc と、デフォルトのポート番号 389 を使用するように server_2 を構成するに は、次のように入力します。 $ server_ldap server_2 -set -basedn dc=nasdocs,dc=emc -servers 172.16.21.10 server_ldap のコマンド オプションを使用した LDAP ベースのディレクトリ サービスの管理に関 する詳細については、48 ページの「LDAP ベースのディレクトリの管理」を参照してください。 出力 server_2 : done 30/81 リリース 8.1 VNX® ネーム サービスの構成 LDAP ベースの追加ディレクトリ オプションの構成 Data Mover を LDAP ベースのディレクトリ クライアントとして構成する際に、 追加の構成オプションを複数指定できます。これらの構成オプションは、LDAP ベースのディレクトリサービスを開始した後も含め、いつでも指定できます。構 成を変更するときには、LDAP ベースのディレクトリ サービスを停止し、その後 再開します。構成の変更が反映されるまで、最長で 1 分かかります。 LDAP ベースのディレクトリ オプションを構成するには、次の手順に従います。 ◆ 31 ページの「単純(パスワード)認証の使用の指定」 ◆ 33 ページの「LDAP ベースのディレクトリに対する SSL の有効化」 ◆ 34 ページの「SSL ペルソナの指定」 ◆ 35 ページの「SSL 暗号スイートの指定」 ◆ 37 ページの「iPlanet クライアント構成プロファイルの指定」 ◆ 39 ページの「NIS ドメインの指定」 ◆ 37 ページの「ldap.conf ファイルのコピー」 単純(パスワード)認証の使用の指定 さまざまな認証方法の詳細については、17 ページの「認証方法」を参照してくだ さい。 アクション Data Mover に対する LDAP ベースのディレクトリ サービスが単純認証(パスワード)を使用す るように指定するには、次のコマンド構文を使用します。 $ server_ldap <movername> -set -p -basedn <attribute_name>=<attribute_value>[,...] -servers <ip_addr>[:<port>] -binddn <bind_DN> ここで: <movername> = Data Mover の名前 <attribute_name>=<attribute_value> = ディレクトリ ベースの DN(識別名)を指定 <ip_addr> = 指定したドメインに対する LDAP ベースのディレクトリ サーバ(構成またはサー ビス)のアドレス <port> = LDAP ベースのディレクトリ サーバの TCP ポート数 <bind_DN> = サービスにバインドするために使用される ID の識別名 例: (IdMU 利用 Active Directory を使用するように構成されている)server_2 上で LDAP ベースの ディレクトリ サービスが単純認証(パスワード)を使用するように指定するには、次のように 入力します。 $ server_ldap server_2 -set -p -basedn dc=nasdocs,dc=emc -servers 172.16.21.10 -binddn "cn=admin,cn=users,dc=nasdocs,dc=emc" VNX for File は、パスワードを平文で LDAP ベースのディレクトリ サーバに送信します。Data Mover の FTP または PC-NFS サービスに対してユーザー パスワード認証を提供するために LDAP ベースのディレクトリが使用されている場合は、-binddn および -p オプションを指定する 必要があります。 VNX® ネーム サービスの構成 リリース 8.1 31/81 出力 Enter password: server_2 : done Kerberos 認証の使用の指定 前提条件 ◆ LDAP ベースのディレクトリ クライアントとして機能する Data Mover は、 CIFS サーバとして構成する必要があります。 ◆ server_ldap で、認証に使用する Kerberos アカウントとして CIFS コンピュータ 名を使用するために、CIFS サービスを開始する必要はありません。 ◆ パスワードは Data Mover により管理されているため、パスワードを指定する 必要はありません。 ◆ Kerberos 認証には、LDAP サーバのホスト名が通知されている必要がありま す。server_ldap は IP アドレスのみをパスするため、Data Mover でこれらの アドレスをホスト名に解決できる必要があります。LDAP サーバが Active Directory の場合は、ホスト名は自動的に取得されます。LDAP サーバが OpenLDAP または iPlanet の場合は、次の手順を実行する必要があります。 • LDAP サーバのホスト名をローカルの /.etc/hosts ファイルで定義するか、 NIS または DNS サーバで定義します。 • Data Mover が選択されたネーム サービス(たとえばローカル ホスト ファ イル)を使用して LDAP サーバのホスト名を解決してから、LDAP を使用 する(ホスト:files ldap)ように、nsswitch.conf ファイルを編集します。 さまざまな認証方法の詳細については、17 ページの「認証方法」を参照してくだ さい。 32/81 リリース 8.1 VNX® ネーム サービスの構成 アクション Data Mover に対する LDAP ベースのディレクトリ サービスが Kerberos 認証を使用するように 指定するには、次のコマンド構文を使用します。 $ server_ldap <movername> -set -basedn <attribute_name>=<attribute_value>[,...] -servers <ip_addr>[:<port>] -kerberos -kaccount <account_name> [-realm <realm_name>] ここで: <movername> = Data Mover の名前 <attribute_name>=<attribute_value> = ディレクトリ ベースの DN(識別名)を指定 <ip_addr> = 指定したドメインに対する LDAP ベースのディレクトリ サーバ(構成またはサー ビス)のアドレス <port> = LDAP ベースのディレクトリ サーバの TCP ポート数 <account_name> = サービスにバインドするために使用される ID の名前 注:<account_name> は、KDC に通知されている CIFS サーバのコンピュータ名です。これは次 の条件を満たす必要があります。 - $ シンボルで終了する - Data Mover に対してグローバルである - -servers オプションで指定された、参加したドメインのメンバーであるか、トラステッド ドメ インのメンバーである - 15 バイト以内である - 先頭の文字が @(アットマーク)または -(ダッシュ)以外であること - 空白文字、タブ文字、または次のシンボル (/ \ : ; , = * +|[] ? < > ")を含んでいない <realm_name> = LDAP ドメインの名前 例: (IdMU 利用 Active Directory を使用するように構成されている)server_2 上で LDAP ベースの ディレクトリ サービスが Kerberos 認証を使用するように指定するには、次のように入力します。 $ server_ldap server_2 -set -basedn dc=nasdocs,dc=emc -servers 172.16.21.10 -kerberos -kaccount cifs_compname$ 出力 server_2 : done LDAP ベースのディレクトリに対する SSL の有効化 LDAP ベースのディレクトリ通信を SSL 経由に構成して、通信をセキュリティで 保護できます。SSL を有効にすると、Data Mover を再起動しなくても、以降の LDAP 接続(指定されたドメインまたは基本識別名に対するもの)はすべて SSL を使用します。 前提条件 LDAP ベースのディレクトリに対して SSL を構成する前に、ディレクトリ サーバ の証明書に署名した CA の CA 証明書をインポートする必要があります。また、 ディレクトリ サーバがクライアント証明書を要求するように構成されている場合 は、ディレクトリ サーバに応じて署名済み証明書をペルソナに関連づける必要が あります。 VNX® ネーム サービスの構成 リリース 8.1 33/81 SSL を使用した LDAP を有効にした場合、ポートが指定されていなければ、デ フォルトのポート 636 が使用されます。 アクション SSL を有効にするには、次のコマンド構文を使用します。 $ server_ldap <movername> -set -sslenabled y ここで: <movername> = Data Mover の名前 y = yes。デフォルトは no です。 例: server_2 で SSL を有効にするには、次のように入力します。 $ server_ldap server_2 -set -sslenabled y 出力 server_2 : done 事後条件 アクション server_2 に対する SSL の設定が正しいことを確認するには、次のように入力します。 $ server_ldap server_2 -info 出力 server_2 : LDAP domain:nasdocs.emc.com Base DN:dc=nasdocs,dc=emc,dc=com State:Configured - Connected NIS domain:nasdocs.emc.com Proxy (Bind) DN:cn=Manager,dc=nasdocs,dc=emc,dc=com DIT schema type:OPEN Connected to LDAP server address:172.16.21.10 - port 636 SSL state:enabled - Persona:none specified SSL ペルソナの指定 SSL クライアント認証に対して LDAP ベースのディレクトリ サーバが構成されて おり、Data Mover が鍵と証明書を指定する必要がある場合は、SSL ペルソナを指 定する必要があります。 前提条件 Data Mover に対して SSL ペルソナを指定する前に、鍵と証明書を使用してペル ソナを構成する必要があります。SSL ペルソナの詳細については、「 VNX Security Configuration Guide」を参照してください。 -sslpersona オプションにより自動的に SSL が有効になることはありませんが、 このオプションで指定された値は構成されます。値は維持され、SSL が有効化さ れると、常に使用されます。1 個のコマンドで、SSL の有効化とペルソナの指定 が可能です。 34/81 リリース 8.1 VNX® ネーム サービスの構成 アクション SSL ペルソナを指定するには、次のコマンド構文を使用します。 $ server_ldap <movername> -set -sslpersona {none | <persona_name>} ここで: <movername> = Data Mover の名前 <none> = 以前構成されたクライアント キーと証明書のユーザーを無効にするオプション <persona_name> = Data Mover に関連づけられたペルソナの名前 例: server_2 に対してペルソナ default を指定するには、次のように入力します。 $ server_ldap server_2 -set -sslpersona default 出力 server_2 : done 事後条件 アクション server_2 に対する SSL ペルソナの設定が正しいことを確認するには、次のように入力します。 $ server_ldap server_2 -info 出力 server_2 : LDAP domain:nasdocs.emc.com Base DN:dc=nasdocs,dc=emc,dc=com State:Configured - Connected NIS domain:nasdocs.emc.com Proxy (Bind) DN:cn=Manager,dc=nasdocs,dc=emc,dc=com DIT schema type:OPEN Connected to LDAP server address:172.16.21.10 - port 636 SSL state:enabled - Persona:default SSL 暗号スイートの指定 前提条件 -sslcipher オプションにより自動的に SSL が有効になることはありませんが、こ のオプションで指定された値は構成されます。値は維持され、SSL が有効化され ると、常に使用されます。-sslcipher オプションは、デフォルト以外の暗号リスト が要求される場合のみ必要です。それ以外の場合は、Data Mover のデフォルトの 暗号リストが使用されます。1 個のコマンドで、SSL の有効化と暗号リストの指 定が可能です。 VNX® ネーム サービスの構成 リリース 8.1 35/81 アクション SSL 暗号スイートを指定するには、次のコマンド構文を使用します。 $ server_ldap <movername> -set -sslcipher {default | <cipher_list>} ここで: <movername> = Data Mover の名前 <default> = ssl cipher パラメータに設定された値。デフォルトは、 ALL:!ADH:!SSLv2:@STRENGTH。これは、匿名 Diffie-Hellman、NULL、SSLv2 暗号を除く、 すべての暗号が VNX for File によってサポートされており、サポートされる暗号が暗号化キーの サイズによってソートされることを意味します <cipher_list> = コロンで区切られた 1 個以上の暗号文字列のリスト VNX for File は、OpenSSL Organization の Web サイトにリストされている SSL 暗号スイートを サポートしています。 例: server_2 に対して AES 256 暗号スイートを指定するには、次のように入力します。 $ server_ldap server_2 -set -sslcipher AES256-SHA 出力 server_2 : done 事後条件 アクション server_2 に対する SSL 暗号の設定が正しいことを確認するには、次のように入力します。 $ server_ldap server_2 -info 出力 server_2 : LDAP domain:nasdocs.emc.com Base DN:dc=nasdocs,dc=emc,dc=com State:Configured - Connected NIS domain:nasdocs.emc.com Proxy (Bind) DN:cn=Manager,dc=nasdocs,dc=emc,dc=com DIT schema type:OPEN Connected to LDAP server address:172.16.21.10 - port 636 SSL state:enabled - Persona:none specified SSL cipher list:AES256-SHA LDAP configuration servers: Server address:172.16.21.10 - port:389 Domain naming contexts: dc=nasdocs,dc=emc,dc=com Domain supported authentication mechanisms: Default search base:dc=nasdocs,dc=emc,dc=com Domain default search Scope:single-level 'passwd' DN: ou=people,dc=nasdocs,dc=emc,dc=com - search scope singlelevel passwd object class:posixAccount passwd attributes:cn, uid, uidNumber, gidNumber, userPassword, loginShell, gecos, description No 'group' DN No 'hosts' DN No 'netgroup' DN 36/81 リリース 8.1 VNX® ネーム サービスの構成 iPlanet クライアント構成プロファイルの指定 クライアント構成プロファイルは、iPlanet サーバ上で作成され、格納されます。 server_ldap コマンドの -profile オプションで、追加の構成パラメータ(属性とも 呼ばれる)を含む iPlanet クライアント プロファイルの使用を指定できます。定 義できる属性には、次のようなものがあります。 ◆ 優先サーバおよび代替サーバ ◆ 検索パス ◆ プロファイル TTL(Time-To-Live) ◆ オブジェクト クラスおよび属性マッピング ◆ 認証方法 属性に関する詳細については、65 ページの「付録 A:iPlanet クライアントのプロ ファイル属性」を参照してください。クライアント プロファイルの作成および使 用に関する詳細については、Sun Microsystems の Web サイトにある Sun Java System Directory Server(iPlanet)のドキュメントを参照してください。 アクション 専用のクライアント プロファイルの使用を指定するには、次のコマンド構文を使用します。 $ server_ldap <movername> -set -domain <fqdn> -servers <ip_addr>[:<port>] -profile <profile> ここで: <movername> = Data Mover の名前 <fqdn> = iPlanet ドメインの完全修飾ドメイン名 <ip_addr> = 指定したドメインに対する iPlanet 構成サーバのアドレス <port> = iPlanet サーバの TCP ポート数 <profile> = クライアント プロファイルの識別名または単純クライアント プロファイル名 注:EMC は、DIT(ディレクトリ情報ツリー)のプロファイル名は一意にすることを推奨しま す。指定したプロファイルはツリー全体をスキャンして検索されます。該当するプロファイルが 複数の場所に存在する場合、プロファイルの識別名が指定されていない限り、最初に見つかった プロファイルが設定されます。たとえば、-profile cn=vnx_profile,ou=admin,dc=mycompany,dc=com です。 例: server_2 上の iPlanet サービスが専用のクライアント プロファイル vnx_profile を使用するよう に指定するには、次のように入力します。 $ server_ldap server_2 -set -domain nasdocs.emc.com -servers 172.16.21.10 -profile vnx_profile 出力 server_2 : done ldap.conf ファイルのコピー SFU/IDMU 利用 Active Directory および OpenLDAP のクライアントは、追加の構 成情報用に ldap.conf ファイルを使用します。 VNX® ネーム サービスの構成 リリース 8.1 37/81 各スキーマに関連する LDAP 構成属性の詳細については、68 ページの「付録 B: OpenLDAP の構成ファイル」 、69 ページの「付録 C:IdMU 構成ファイルのテン プレート」 、70 ページの「付録 D:SFU 3.5 構成ファイルのテンプレート」を参 照してください。 ステップ アクション 1. 適切な構成ファイルのテンプレートを Control Station の /nas/site/ldap.conf.movername にコピーします。 ldap.conf ファイルは各 Data Mover に固有のものであるため、ファイルを編集する間は ファイル名を ldap.conf.movername に名称変更します。 Data Mover から Control Station にファイルをコピーするには、次のコマンド構文を使用 します。 $ server_file <movername> -get <src_file> <dst_file> ここで: <movername> = Data Mover の名前 <src_file> = Data Mover 上のソース ファイル <dst_file> = Control Station 上の宛先ファイル 例: /nas/site/ldap.conf.server_2 を Control Station にコピーするには、次のように入力します。 $ server_file server_2 -get ldap.conf /nas/site/ldap.conf.server_2 2. テキスト エディタを使用して、ldap.conf.movername ファイルを編集し、任意のエント リーを変更します。たとえば、Active Directory を使用している場合は、ネットグループ のコンテナを編集します。 3. ldap.conf.movername を保存します。 4. ldap.conf ファイルを Control Station から Data Mover にコピーするには、次のコマンド 構文を使用します。 $ server_file <movername> -put /nas/site/ldap.conf.movername ldap.conf ここで: <movername> = Data Mover の名前 例: /nas/site/ldap.conf.server_2 を Data Mover にコピーするには、次のように入力します。 $ server_file server_2 -put /nas/site/ldap.conf.server_2 ldap.conf 5. 以前に別の LDAP ベースのディレクトリ サービスを使用した場合は、Data Mover を再 構成する前に以前の構成をクリアする必要があります。 例: IdMU 利用 Active Directory 構成を server_2 上で構成する前に、先行の OpenLDAP 構成 をクリアするには、次のように入力します。 $ server_ldap server_2 -clear 6. Data Mover を LDAP ベースのディレクトリ サービス クライアントとして再構成します。 例: IP アドレスが 172.16.21.10 の LDAP ベースのディレクトリ サーバに LDAP ベースの ディレクトリ ドメイン nasdocs.emc.com と、デフォルトのポート番号 389 を使用する ように server_2 を構成するには、次のように入力します。 $ server_ldap server_2 -set -domain nasdocs.emc.com -servers 172.16.21.10 38/81 リリース 8.1 VNX® ネーム サービスの構成 NIS ドメインの指定 iPlanet ディレクトリ ドメインは、複数の NIS ドメインをホストできます。 server_ldap コマンドの -nisdomain オプションにより、Data Mover がメンバーで ある NIS ドメインを指定できます。iPlanet ドメインが同じ名前を使用している場 合は、NIS ドメインを指定することはできません。 アクション Data Mover の NIS ドメインを指定するには、次のコマンド構文を使用します。 $ server_ldap <movername> -set -domain <fqdn> -servers <ip_addr>[:<port>] -nisdomain <nis_domain> ここで: <movername> = Data Mover の名前 <fqdn> = 指定した LDAP ベースのディレクトリ ドメインの完全修飾ドメイン名 <ip_addr> = 指定したドメインに対する iPlanet サーバ(構成またはサービス)のアドレス <port> = iPlanet サーバの TCP ポート数 <nis_domain> = NIS ドメインの名前 例: server_2 上の iPlanet サービスが Data Mover の NIS ドメイン名を認識するように指定するには、 次のように入力します。 $ server_ldap server_2 -set -domain nasdocs.emc.com -servers 172.16.21.10 -nisdomain nsg 出力 server_2 : done VNX® ネーム サービスの構成 リリース 8.1 39/81 nsswitch.conf ファイルの構成 nsswitch.conf ファイルを編集して、各エンティティに対するネーム サービスをク エリーする際の検索順序を整列させます。nsswitch.conf ファイルの詳細について は、 21 ページの「nsswitch.conf ファイル」を参照してください。 前提条件 nsswitch.conf ファイルを編集する際は、次のルールに従います。 ◆ 小文字のみを使用します。大文字および大文字小文字の混在は無効です。 ◆ ネーム サービスのエントリー間にスペースを使用します。 ◆ 検索対象のネーム サービス データベースは、少なくとも 1 個リストします。 注: NIS と LDAP ベースのディレクトリの同時使用は避けます。NIS と LDAP ベースの ディレクトリの両方を使用する必要がある場合は、NIS と LDAP ベースのディレクトリの 両方で NIS ドメイン名が同一である必要があります。 nsswitch.conf ファイルの編集 この手順では、nsswitch.conf ファイルの編集方法について説明します。 ステップ アクション 1. Control Station 上の /nas/sys ディレクトリにある nsswitch.conf.tmpl ファイルを /nas/site ディレクトリにコピーするには、次のコマンド構文を使用します。 $ cp /nas/sys/nsswitch.conf.tmpl /nas/site/nsswitch.conf.movername ここで: movername = Data Mover の名前 nsswitch.conf ファイルは各 Data Mover に固有のものであるため、ファイルを編集する 間はファイル名を nsswitch.conf.movername に名称変更します。 例: /nas/sys/nsswitch.conf.tmpl を /nas/site/nsswitch.conf.server_2 にコピーするには、次の ように入力します。 $ cp /nas/sys/nsswitch.conf.tmpl /nas/site/nsswitch.conf.server_2 40/81 リリース 8.1 VNX® ネーム サービスの構成 ステップ アクション 2. テキスト エディタを使用して /nas/site/nsswitch.conf.movername ファイルを編集し、エ ントリーを追加、削除、変更します。 ファイルの形式には、各エンティティ タイプに対してエントリーが 1 個ずつ含まれ、 ネーム サービスのリストがこの後ろに続ます。 entity:naming service [name service] ... ここで: entity = passwd、group、hosts、または netgroup naming service = files、nis、dns、ldap nsswitch.conf ファイルの例を次に示します。 # /.etc/nsswitch.conf: # passwd:files nis group:files nis hosts:dns nis files netgroup:files nis 例: LDAP ベースのディレクトリ サーバを Data Mover のネーム サービスとして追加するに は、/nas/site/nsswitch.conf.movername ファイルを次のように変更します。 # /.etc/nsswitch.conf: # passwd:files nis ldap group:files nis ldap hosts:files nis dns ldap netgroup:files nis ldap 3. /nas/site/nsswitch.conf.movername を保存します。 4. nsswitch.conf ファイルを Control Station から Data Mover にコピーするには、次のコマ ンド構文を使用します。 $ server_file <movername> -put /nas/site/nsswitch.conf.movername nsswitch.conf ここで: <movername> = Data Mover の名前 例: /nas/site/nsswitch.conf.server_2 を Data Mover にコピーするには、次のように入力し ます。 $ server_file server_2 -put /nas/site/nsswitch.conf.server_2 nsswitch.conf 変更された nsswitch.conf ファイルを Data Mover のルート ファイル システムに配置する と、自動的に使用されます。 VNX® ネーム サービスの構成 リリース 8.1 41/81 ローカル ファイルの管理 Data Mover 上のローカル ファイルを Control Station にコピーし、そのコンテンツ を使い慣れたツールで表示する(たとえば view または more を使用する)こと で、ローカル ファイルのコンテンツが正しいことを確認できます。 ローカル ファイルのコンテンツの確認 ステップ アクション 1. 次のコマンド構文を使用して、ファイルを Data Mover から Control Station にコピー します。 $ server_file <movername> -get <src_file> <dst_file> ここで: <movername> = Data Mover の名前 <src_file> = Data Mover 上のソース ファイル <dst_file> = Control Station 上の宛先ファイル 2. 42/81 リリース 8.1 Control Station 上のファイルを表示します。 $ more filename VNX® ネーム サービスの構成 NIS の管理 Data Mover の NIS 構成を管理するには、次の手順に従います。 ◆ 43 ページの「NIS 構成の表示」 ◆ 43 ページの「NIS 構成のステータスの確認」 ◆ 44 ページの「NIS 構成の削除」 NIS 構成の表示 アクション NIS 構成を表示するには、次のコマンド構文を使用します。 $ server_nis <movername> ここで: <movername> = Data Mover の名前 例: server_2 の NIS 構成を表示するには、次のように入力します。 $ server_nis server_2 出力 注 server_2 : yp domain=nsg server=172.16.21.10 server=172.16.22.10 server_2 は NIS ドメイン nsg 内にあり、 172.16.21.10 と 172.16.22.10 の NIS サーバ を使用します。 NIS は以前は Yellow Pages または YP と呼 ばれていました。 NIS 構成のステータスの確認 アクション NIS 構成のステータスが正しいことを確認するには、次のコマンド構文を使用します。 $ server_nis <movername> -status ここで: <movername> = Data Mover の名前 例: server_2 に対する NIS 構成のステータスが正しいことを確認するには、次のように入力します。 $ server_nis server_2 -status VNX® ネーム サービスの構成 出力 注 server_2 : NIS default domain:nsg NIS server 172.16.21.10 NIS server 172.16.22.10 NIS が開始されていない場合は、このコマ ンドの出力には「NIS not started」と表示さ れます。 リリース 8.1 43/81 NIS 構成の削除 アクション Data Mover の NIS 構成を削除するには、次のコマンド構文を使用します。 $ server_nis <movername> -delete ここで: <movername> = Data Mover の名前 例: server_2 の NIS 構成を削除するには、次のように入力します。 $ server_nis server_2 -delete 出力 server_2 : done 44/81 リリース 8.1 VNX® ネーム サービスの構成 DNS の管理 Data Mover の DNS 構成を管理するには、次の手順に従います。 ◆ 45 ページの「DNS 構成の確認」 ◆ 45 ページの「DNS 構成の削除」 ◆ 46 ページの「DNS サーバ プロトコルの設定または変更」 ◆ 46 ページの「DNS キャッシュのクリア」 ◆ 47 ページの「DNS サーバへのアクセスの無効化」 ◆ 47 ページの「DNS サーバへのアクセスの有効化」 DNS 構成の確認 アクション DNS 構成を表示するには、次のコマンド構文を使用します。 $ server_dns <movername> 例: server_2 の DNS 構成を表示するには、次のように入力します。 $ server_dns server_2 出力 注 server_2 : dns is running nasdocs.emc.com proto:udp server(s):172.16.21.10 この例では、server_2 は DNS ドメイン nasdocs.emc.com 内にあり、172.16.21.10 の DNS サーバを使用します。 DNS 構成の削除 -delete オプションの要求に応じて、ドメインに構成されている DNS サーバをす べて削除しないようにするには、残したいサーバを含めた新しい DNS ドメイン構 成を追加します。 アクション Data Mover の DNS ドメイン構成を削除するには、次のコマンド構文を使用します。 $ server_dns <movername> -delete <domainname> ここで: <movername> = Data Mover の名前 <domainname> = DNS ドメインの名前 例: server_2 の DNS ドメイン構成を削除するには、次のように入力します。 $ server_dns server_2 -delete nasdocs.emc.com 出力 server_2 : done VNX® ネーム サービスの構成 リリース 8.1 45/81 DNS サーバ プロトコルの設定または変更 Data Mover 上で DNS を構成した際にプロトコルが指定されていない場合は、 Data Mover は UDP を使用して DNS サーバに対してクエリーを試行します。 UDP が失敗した場合は、Data Mover は TCP に切り替えます。 アクション DNS サーバとの通信に使用されるプロトコルを設定または変更するには、次のコマンド構文を 使用します。 $ server_dns <movername> -protocol {tcp|udp} <domainname> {<ip_addr>,...} ここで: <movername> = Data Mover の名前 <domainname> = DNS ドメインの名前 <ip_addr> = 指定したドメインに対する DNS サーバのアドレス 例: server_2 で TCP に DNS サーバとの通信に使用するプロトコルを設定するには、次のように入 力します。 $ server_dns server_2 -protocol tcp nasdocs.emc.com 172.16.21.10 出力 server_2 : done DNS キャッシュのクリア 場合によっては、Data Mover に保存されている DNS 情報のキャッシュをクリア すると役に立つことがあります。たとえば、ホストとアドレス間のマッピングが 変更されたときや古くなったとき、または Data Mover が DNS サーバと通信して いるかどうかを判別するのに役立てるために、DNS キャッシュをクリアします。 詳細については、 57 ページの「DNS との通信の確認」を参照してください。 アクション Data Mover の DNS キャッシュをクリアするには、次のコマンド構文を使用します。 $ server_dns <movername> -option flush ここで: <movername> = Data Mover の名前 例: server_2 の DNS キャッシュをクリアするには、次のように入力します。 $ server_dns server_2 -option flush 出力 server_2 : done 46/81 リリース 8.1 VNX® ネーム サービスの構成 DNS サーバへのアクセスの無効化 DNS サーバへのアクセスは、server_dns -option start コマンドを使用して再開で きます。システムの次の再起動時にも再開されます。 アクション DNS サーバへのアクセスを無効にするには、次のコマンド構文を使用します。 $ server_dns <movername> -option stop ここで: <movername> = Data Mover の名前 例: server_2 で DNS サーバへのアクセスを無効にするには、次のように入力します。 $ server_dns server_2 -option stop 出力 server_2 : done DNS サーバへのアクセスの有効化 アクション DNS サーバへのアクセスを手動で停止した後に再開するには、次のコマンド構文を使用します。 $ server_dns <movername> -option start ここで: <movername> = Data Mover の名前 例: server_2 で DNS サーバへのアクセスを再開にするには、次のように入力します。 $ server_dns server_2 -option start 出力 server_2 : done VNX® ネーム サービスの構成 リリース 8.1 47/81 LDAP ベースのディレクトリの管理 Data Mover の LDAP ベースのディレクトリを管理するには、次の手順に従い ます。 ◆ 48 ページの「LDAP ベースのディレクトリ サービスのステータス確認」 ◆ 48 ページの「LDAP ベースのディレクトリ構成の削除」 ◆ 49 ページの「LDAP ベースのディレクトリ構成に関する情報の表示」 ◆ 50 ページの「LDAP ベースのディレクトリ サービスの一時的な無効化」 ◆ 51 ページの「LDAP ベースのディレクトリ サービスの有効化」 ◆ 51 ページの「LDAP ベースのディレクトリに対する SSL の無効化」 ◆ 52 ページの「LDAP ベースのディレクトリ サーバでの情報の検索」 LDAP ベースのディレクトリ サービスのステータス確認 アクション LDAP ベースのディレクトリ サービスのステータスが正しいことを確認するには、次のコマン ド構文を使用します。 $ server_ldap <movername> -service -status ここで: <movername> = Data Mover の名前 例: server_2 の LDAP ベースのディレクトリ サービスのステータスが正しいことを確認するには、 次のように入力します。 $ server_ldap server_2 -service -status 出力 注 server_2 : LDAP service active LDAP ベースのディレクトリ サービスはア クティブまたは非アクティブになります。 Data Mover が LDAP ベースのディレクトリ サーバにアクセスするように構成されてい ない場合は、出力には「No LDAP domain configured」と表示されます。 LDAP ベースのディレクトリ構成の削除 Data Mover が一度にサポートできる LDAP ベースのディレクトリ ドメインは、1 個だけです。新しい LDAP ベースのディレクトリ ドメインを構成する前に、以前 の構成を削除します。また、server_ldap コマンドにより LDAP ベースのディレク トリ サービスは永続的に停止します。 48/81 リリース 8.1 VNX® ネーム サービスの構成 アクション Data Mover の LDAP ベースのディレクトリ構成を削除するには、次のコマンド構文を使用し ます。 $ server_ldap <movername> -clear ここで: <movername> = Data Mover の名前 例: server_2 の LDAP ベースのディレクトリ構成を削除するには、次のように入力します。 $ server_ldap server_2 -clear 出力 server_2 : done LDAP ベースのディレクトリ構成に関する情報の表示 LDAP ベースのディレクトリ構成に関する情報の表示の詳細については、58 ペー ジの「LDAP ベースのディレクトリの動作の確認」を参照してください。 アクション LDAP ベースのディレクトリ構成に関する情報を表示するには、次のコマンド構文を使用し ます。 $ server_ldap <movername> -info [ -verbose ] ここで: <movername> = Data Mover の名前 例: 172.16.21.10 の LDAP サーバを使用し、IdMU 利用 Active Directory nasdocs.emc.com にある、 server_2 の LDAP ベースのディレクトリ サーバに関する基本情報を表示するには、次のように 入力します。 $ server_ldap server_2 -info VNX® ネーム サービスの構成 リリース 8.1 49/81 出力 Active Directory(IdMU)の場合: server_2 : LDAP domain:nasdocs.emc.com base DN:dc=nasdocs,dc=emc,dc=com State:Configured - Connected NIS domain:nasdocs.emc.com Proxy (Bind) DN:cn=administrator,cn=Users,dc=nasdocs,dc=emc,dc=com Configuration file - TTL:1200 seconds Next configuration update in 1196 seconds DIT schema type:MS Connected to LDAP server address:172.16.21.10 - port 389 SSL enabled/disabled by None, cipher suites configured by default OpenLDAP の場合: server_2 : LDAP domain:nasdocs.emc.com base DN:dc=nasdocs,dc=emc,dc=com State:Configured - Connected NIS domain:nasdocs.emc.com No client profile nor config. file provided (using default setup) DIT schema type:OPEN Connected to LDAP server address:172.16.21.10 - port 389 SSL enabled/disabled by Command line, cipher suites configured by default iPlanet の場合: server_2 : LDAP domain:nasdocs.emc.com State:Configured - Connected NIS domain:nsg Profile Name:vnx_profile Profile TTL:3600 seconds Next Profile update in 5 seconds DIT schema type:SUN Connected to LDAP server address:172.16.21.10 - port 389 注 DIT(ディレクトリ情報ツリー)スキーマ タイプは、次のいずれかの値を持ちます。 • • • • MS:Microsoft Active Directory OPEN:OpenLDAP SUN:Sun Java System Directory Server(iPlanet/Sun ONE) Unknown yet (must succeed to connect):Data Mover が接続されていない場合 LDAP ベースのディレクトリ サービスの一時的な無効化 ldap.conf または iPlanet クライアント構成プロファイルに対して行った変更をた だちに有効にするには、LDAP ベースのディレクトリ サービスをいったん停止し、 再開する必要があります。そうしない場合は、変更が反映されるまで最大 20 分か かります。 server_ldap -service -start コマンドを使用して、LDAP ベースのディレクトリ サービスを再開できます。システムの次の再起動時にも再開されます。 50/81 リリース 8.1 VNX® ネーム サービスの構成 アクション LDAP ベースのディレクトリ サービスを一時的に停止するには、次のコマンド構文を使用し ます。 $ server_ldap <movername> -service -stop ここで: <movername> = Data Mover の名前 例: server_2 の LDAP ベースのディレクトリ サービスを無効にするには、次のように入力します。 $ server_ldap server_2 -service -stop 出力 server_2 : done LDAP ベースのディレクトリ サービスの有効化 アクション Data Mover の LDAP ベースのディレクトリ サービスを手動で停止した後に再開するには、次の コマンド構文を使用します。 $ server_ldap <movername> -service -start ここで: <movername> = Data Mover の名前 例: server_2 の LDAP ベースのディレクトリ サービスを再開するには、次のように入力します。 $ server_ldap server_2 -service -start 出力 server_2 : done LDAP ベースのディレクトリに対する SSL の無効化 アクション Data Mover で LDAP の SSL を無効化するには、次のコマンド構文を使用します。 $ server_ldap <movername> -set -sslenabled n ここで: <movername> = Data Mover の名前 n = no(デフォルト) 例: server_2 で SSL を無効にするには、次のように入力します。 $ server_ldap server_2 -set -sslenabled n 出力 server_2 : done VNX® ネーム サービスの構成 リリース 8.1 51/81 事後条件 アクション Data Mover で SSL が無効化されていることを確認するには、次のように入力します。 $ server_ldap server_2 -info 出力 server_2 : LDAP domain:nasdocs.emc.com Base DN:dc=nasdocs,dc=emc,dc=com State:Configured - Connected NIS domain:nasdocs.emc.com Proxy (Bind) DN:cn=Manager,dc=nasdocs,dc=emc,dc=com DIT schema type:OPEN Connected to LDAP server address:172.16.21.10 - port 389 SSL state:disabled - Persona:none specified 注 LDAP の SSL を無効にした場合、ポートはポート 636 からポート 389 に変わります。 LDAP ベースのディレクトリ サーバでの情報の検索 LDAP ベースのディレクトリ サーバ内のリソースに関する情報を検索するには、lookup オプションを使用します。このコマンドにより、Data Mover が LDAP ベースのディレクトリ サーバにアクセスできることを確認したり、リソースを検 索したりできるため、トラブルシューティングに役立ちます。 情報を検索するには、次の手順に従います。 52/81 リリース 8.1 ◆ 53 ページの「ユーザー名によるユーザーの検索」 ◆ 53 ページの「UID によるユーザーの検索」 ◆ 54 ページの「グループ名によるグループの検索」 ◆ 54 ページの「GID によるグループの検索」 ◆ 55 ページの「ホスト名によるホストの検索」 ◆ 55 ページの「ネットグループの検索」 VNX® ネーム サービスの構成 ユーザー名によるユーザーの検索 アクション LDAP ベースのディレクトリ サーバ内のユーザー情報をユーザー名で検索するには、次のコマン ド構文を使用します。 $ server_ldap <movername> -lookup -user <username> ここで: <movername> = Data Mover の名前 <username> = ユーザーの名前 例: server_2 の LDAP ベースのディレクトリ サーバ内の情報を検索するには、次のように入力し ます。 $ server_ldap server_2 -lookup -user user1 出力 server_2 : user:user1, uid:501, gid:500, gecos:, home dir:, shell: UIDによるユーザーの検索 アクション LDAP ベースのディレクトリ サーバ内のユーザー情報を UID で検索するには、次のコマンド構 文を使用します。 $ server_ldap <movername> -lookup -uid <uid> ここで: <movername> = Data Mover の名前 <uid> = 指定したユーザーの UID 例: server_2 の LDAP ベースのディレクトリ サーバ内の情報を検索するには、次のように入力し ます。 $ server_ldap server_2 -lookup -uid 501 VNX® ネーム サービスの構成 出力 注 server_2 : user:user1, uid:501, gid:500, description:gecos:, home dir:, shell: この例では、該当する情報は出力の最終行 に表示されます。 リリース 8.1 53/81 グループ名によるグループの検索 アクション LDAP ベースのディレクトリ サーバ内のグループ情報をグループ名で検索するには、次のコマン ド構文を使用します。 $ server_ldap <movername> -lookup -group <groupname> ここで: <movername> = Data Mover の名前 <groupname> = グループの名前 例: server_2 の LDAP ベースのディレクトリ サーバ内の情報を検索するには、次のように入力し ます。 $ server_ldap server_2 -lookup -group group1 出力 注 server_2 : group name:group1, gid:2765 group members:501 group members:1023 この例では、該当する情報は出力の最終行 に表示されます。 GIDによるグループの検索 アクション LDAP ベースのディレクトリ サーバ内のグループ情報を GID で検索するには、次のコマンド構 文を使用します。 $ server_ldap <movername> -lookup -gid <gid> ここで: <movername> = Data Mover の名前 <gid> = 指定したグループの GID 例: server_2 の LDAP ベースのディレクトリ サーバ内の情報を検索するには、次のように入力し ます。 $ server_ldap server_2 -lookup -gid 1 54/81 リリース 8.1 出力 注 server_2 : group name:other, gid:1 group member:servermanageradmin.serverman ageradmin.dvt_a group member:servermanageradmin.dvt_b この例では、該当する情報は出力の最終行 に表示されます。 VNX® ネーム サービスの構成 ホスト名によるホストの検索 アクション LDAP ベースのディレクトリ サーバ内のホスト情報をホスト名で検索するには、次のコマンド構 文を使用します。 $ server_ldap <movername> -lookup -hostbyname <hostname> ここで: <movername> = Data Mover の名前 <hostname> = ホストの名前 例: server_2 の LDAP ベースのディレクトリ サーバ内の情報を検索するには、次のように入力し ます。 $ server_ldap server_2 -lookup -hostbyname win901230 出力 注 server_2 : Host name:win901230 IP アドレス: 172.16.21.10 この例では、該当する情報は出力の最終行 に表示されます。 ネットグループの検索 アクション LDAP ベースのディレクトリ サーバ内のネットワーク グループ(ネットグループ)情報を検索 するには、次のコマンド構文を使用します。 $ server_ldap <movername> -lookup -netgroup <groupname> ここで: <movername> = Data Mover の名前 <groupname> = ネットグループの名前 例: server_2 の LDAP ベースのディレクトリ サーバ内の情報を検索するには、次のように入力し ます。 $ server_ldap server_2 -lookup -netgroup netgroup1 VNX® ネーム サービスの構成 出力 注 server_2 : Netgroup:netgroup1 - triples: "win901230","user1","pagsun1" この例では、該当する情報は出力の最終行 に表示されます。 リリース 8.1 55/81 トラブル シューティング 製品ラインのパフォーマンスと機能を継続的に改善および強化するための努力の 一環として、EMC ではハードウェアおよびソフトウェアの新規バージョンを定期 的にリリースしています。そのため、このドキュメントで説明されている機能の 中には、現在お使いのソフトウェアまたはハードウェアのバージョンによっては、 サポートされていないものもあります。製品機能の最新情報については、お使い の製品のリリース ノートを参照してください。 製品が正常に機能しない、またはこのドキュメントの説明どおりに動作しない場 合には、EMC の担当者にお問い合わせください。 情報の入手方法 製品情報:ドキュメント、リリース ノート、ソフトウェアの更新、または EMC 製品、ライセンス、サービスに関する情報については、EMC オンライン サポー ト Web サイト(登録が必要です)http://Support.EMC.com をご覧ください。 トラブルシューティング:EMC オンライン サポート Web サイトにアクセスして ください。ログインした後、適切な[Support by Product]ページにアクセスして ください。 テクニカル サポート:テクニカル サポートについては、EMC オンライン サポー ト Web サイトの EMC カスタマー サービスを参照してください。ログインした 後、適切な[Support by Product]ページにアクセスし、[ライブ チャット]また は[サービス リクエストの作成]を選択します。EMC オンライン サポートを通 してサービス リクエストを開始するには、有効なサポート契約が必要です。有効 なサポート契約を取得する方法の詳細や、アカウントに関するご質問については、 EMC カスタマー サポートの担当者にお問い合わせください。 注: お客様の個別のシステム問題に担当者がすでに割り当てられている場合を除き、特定 のサポート担当者へのお問い合わせはご遠慮ください。 E-Lab Interoperability Navigator EMC E-LabTM Interoperability Navigator は検索可能な Web ベースのアプリケー ションです。このアプリケーションから、EMC 相互運用性サポート マトリック スにアクセスできます。このアプリケーションは http://Support.EMC.com で入手 できます。EMC オンライン サポート Web サイトへログインした後、適切な [Support by Product]ページにアクセスし、[Tools]を見つけ、[E-Lab Interoperability Navigator]をクリックします。 server_ping を使用したネットワーク接続の確認 名前解決の問題は、ネットワーク パフォーマンスの全般的な低下として現れま す。Data Mover でネーム サービスをトラブルシューティングするには、次の手順 を試行します。 56/81 リリース 8.1 ◆ 指定のネーム サーバの IP アドレスで server_ping コマンドを実行する。 ◆ 指定のネーム サーバで解決できる名前で server_ping コマンドを実行する。 VNX® ネーム サービスの構成 Control Station からネーム サービスへのアクセス ご使用の Control Station と Data Mover が同一のネーム サーバに接続している場 合、57 ページの表 3 に示した標準の UNIX ベースのコマンドを使用してネーム サーバが要求に応答しているかどうかをテストできます。ネーム サーバが Control Station からの手動の要求に応答している場合は、Data Mover の構成に問 題がある可能性が高いです。 注: Control Station では、ネーム サービスとして LDAP ベースのディレクトリはサポート されていません。 表3 ネーム サービスの問題解決のためのツール ツール 機能 dig ネーム サーバにドメイン名クエリーのパケットを 送信する dnsdomainname DNS ドメイン名を表示する host DNS 内でホスト名または IP アドレスを検索する ldapsearch LDAP サーバとの接続を開き、バインドし、指定さ れたパラメータを使用して検索を実行する nslookup ネーム サーバに対し対話形式のクエリーを実行 する traceroute パケットがサーバに到達するまでの経路を出力する ypcat NIS データベースの一部を表示する ypdomainname NIS ドメイン名を表示する ypwhich NIS サーバを表示する 注: man コマンドを使用してこれらのコマンドの詳細情報を入手できます。 DNS との通信の確認 DNS サーバが Control Station からの DNS 要求に正しく応答している場合は、46 ページの「DNS キャッシュのクリア」の説明に従って Data Mover 上の DNS キャッシュをフラッシュし、その後 DNS サーバに対して server_ping を実行する ことで、Data Mover が正常に DNS サーバと通信しているかどうかをテストでき ます。server_ping が成功した場合は、Data Mover は DNS サーバと通信している ことを示しています。 VNX® ネーム サービスの構成 リリース 8.1 57/81 LDAP ベースのディレクトリの動作の確認 Data Mover の LDAP ベースのディレクトリの詳細な構成情報を表示するには、 server_ldap <movername> -info コマンドで -verbose オプションを使用します。 注: -verbose オプションにより表示された出力を解釈するには、LDAP プロトコルに関す る十分な知識が必要です。したがって、通常このコマンド オプションは、LDAP ベースの ディレクトリの構成および動作の問題をトラブルシューティングするための情報を EMC カスタマー サービスに提供するために使用されます。 アクション LDAP ベースのディレクトリ構成に関する詳細情報を表示するには、次のコマンド構文を使用し ます。 $ server_ldap <movername> -info [ -verbose ] ここで: <movername> = Data Mover の名前 例: server_2 で LDAP ベースのディレクトリ構成の詳細情報を表示するには、次のように入力し ます。 $ server_ldap server_2 -info -verbose 出力 server_2 : LDAP domain:nasdocs.emc.com State:Configured - Connected NIS domain:nsg Proxy (Bind) DN:uid=admin,ou=administrators,ou=topologymanagement,o=netscaperoot Profile Name:vnx_profile_shortttl Profile TTL:6 seconds Next Profile update in 0 seconds Profile modification timestamp:20050105161959Z Connected to LDAP server address:172.16.21.10 - port 389 LDAP configuration servers: Server address:172.16.21.10 - port:389 Server state:connected LDAP preferred servers: Server address:172.16.21.10 - port:389 Server state:connected LDAP default servers: Server address:172.16.22.10 - port:389 Server state:disconnected Server address:172.16.22.10 - port:389 Server state:disconnected 58/81 リリース 8.1 VNX® ネーム サービスの構成 出力 Domain naming contexts: dc=nasdocs,dc=emc dc=testdom,dc=lab o=NetscapeRoot Domain supported LDAP controls: 2.16.840.1.113730.3.4.2 2.16.840.1.113730.3.4.3 2.16.840.1.113730.3.4.4 2.16.840.1.113730.3.4.5 1.2.840.113556.1.4.473 2.16.840.1.113730.3.4.9 2.16.840.1.113730.3.4.16 2.16.840.1.113730.3.4.15 2.16.840.1.113730.3.4.17 2.16.840.1.113730.3.4.19 2.16.840.1.113730.3.4.14 1.3.6.1.4.1.1466.29539.12 2.16.840.1.113730.3.4.13 2.16.840.1.113730.3.4.12 2.16.840.1.113730.3.4.18 Domain supported authentication mechanisms: EXTERNAL DIGEST-MD5 Directory Base DN:dc=nasdocs,dc=emc Domain default search Scope:single-level 'passwd' DN: ou=people,dc=nasdocs,dc=emc - search scope single-level ou=People2,dc=nasdocs,dc=emc - search scope single-level 'group' DN: ou=group,dc=nasdocs,dc=emc - search scope single-level ou=nregroup,dc=nasdocs,dc=emc - search scope single-level 'hosts' DN: ou=hosts,dc=nasdocs,dc=emc - search scope single-level ou=morehosts,dc=nasdocs,dc=emc - search scope single-level 'netgroup' DN: ou=netgroup,dc=nasdocs,dc=emc - search scope single-level ou=mynetgr,dc=nasdocs,dc=emc - search scope subtree ou=netgroup2,dc=nasdocs,dc=emc - search scope subtree iPlanet クライアント プロファイルのダウンロードの確認 Data Mover の iPlanet クライアントとしての構成は非同期プロセスです。これは、 iPlanet サーバとの接続と iPlanet クライアントのダウンロードがまだ行われてい なくても、CLI によりコマンドが成功したことを表示できるということです (Control Station によりコマンド オプションが正しい構文であると解析されたこと に基づきます)。したがって、iPlanet サーバとの接続およびクライアント プロ ファイルのダウンロードが成功したことを確認するには、次のように構成のス テータスを確認します。 VNX® ネーム サービスの構成 ◆ server_ldap <movername> -info コマンドを実行し、構成の状態が構成および 接続済みと表示されることを確認します。 ◆ システム ログ ファイルでエラーが発生していないことを確認します。特に次 のエラーが発生していないことを確認します。Error 13158449154: LDAP 検 索に失敗しました。再確認のため、server_ldap <movername> -lookup コマン リリース 8.1 59/81 ドを実行して、リソースの検索を実行し、Data Mover が iPlanet サーバにアク セスできるかどうかを判別します。 Linux の OpenLDAP スキーマの編集 一部の NFS ファイル システムをネットグループにエクスポートする場合、Linux の OpenLDAP スキーマの変更が必要な場合があります。 OpenLDAP 組織から OpenLDAP をダウンロードすると、LDAP サーバには RFC 2307 に厳密に準拠したスキーマが付属しています。 ( nisSchema.1.14 NAME 'nisNetgroupTriple' DESC 'Netgroup triple' SYNTAX 'nisNetgroupTripleSyntax' ) しかし、VNX for File には RFC 2307bis の定義が必要です。 ( 1.3.6.1.1.1.1.14 NAME 'nisNetgroupTriple' DESC 'Netgroup triple' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) RFC 2307bis はドラフトであり、OpenLDAP 組織からは認められていないため、 Linux の OpenLDAP スキーマを VNX for File で使用できるように変更する必要が あります。そのため、次の手順で OpenLDAP スキーマを VNX for File 用に変更す る必要があります。 ご使用の OpenLDAP サーバの /etc/openldap/schema/nis.schema ファイルで、次 のエントリーを見つけます。 attributetype ( 1.3.6.1.1.1.1.14 NAME 'nisNetgroupTriple' DESC 'Netgroup triple' SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) 次の表示になるようにエントリーを編集します(EQUALITY ディレクティブを 追加)。 attributetype ( 1.3.6.1.1.1.1.14 NAME 'nisNetgroupTriple' DESC 'Netgroup triple' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) 識別名シンタクスによるグループのメンバーシップの使用 NAS コード 5.6.49 により、識別名シンタクスによるグループ メンバー使用のサ ポートが導入されました。識別名メンバーの使用は、memberUID と異なり、 Active Directory のページ サイズ制限の影響を受けません。この機能は、Active Directory の組み込みメンバー属性へのマッピングもサポートしているため、 Active Directory のグループ メンバーを使用することができ、別個の UNIX グルー プ メンバーを維持する必要がありません。 サポートを有効化するには、ldap.conf にマッピングを追加して memberUID 属性 を DN シンタクスによる属性にマップする必要があります。 例: Active directory の組み込みスキーマでは、DN シンタクスによるメンバー属性が 使用されています。したがって、マッピングは次のとおりです。 60/81 リリース 8.1 VNX® ネーム サービスの構成 nss_map_attribute memberUID member OpenLDAP スキーマには、DN シンタクスによる uniqueMember という属性があ ります。OpenLDAP によるマッピングは次のとおりです。 nss_map_attribute memberUID uniqueMember マルチプロトコル環境での CIFS ユーザー マッピング SFU/IdMU 利用 Active Directory、NIS、ローカル ファイル環境では、VNX for File は独自の命名規則を使用して UNIX ユーザーと CIFS ユーザーを関連づけます。 たとえば、UNIX ユーザーの John Doe が CIFS ドメイン dom1 に CIFS アカウン トを持っている場合、NIS ベースには JohnDoe および JohnDoe.dom1 が入力さ れ、UIG/GID が SID アカウントに関連づけられます。 ディレクトリ内のユーザー サブツリーが標準の Linux/UNIX 認証にも使用されて いる場合(この場合、Linux/UNIX クライアントは同じディレクトリ サブツリーに アクセスする)、user.domain の形式は使用できません。UID の重複により問題が 発生することを避けるために、UNIX ユーザー名 JohnDoe のみをインポートしま す。JohnDoe.dom1 はインポートしません。その後、VNX for File のパラメータ cifs resolver=1 を設定して強制的に VNX for File がドメイン拡張子のないユーザー 名を使用するようにし、UID/GID を SID にマップします。 エラー メッセージ すべての新しいイベント メッセージ、アラート メッセージ、ステータス メッ セージによって、問題の状況のトラブルシューティングに役立つ詳細情報と推奨 されるアクションが提供されます。 メッセージの詳細を表示するには、次のいずれかの方法を使用します。 ◆ Unisphere ソフトウェア: • イベント、アラート、ステータス メッセージを右クリックして選択し、 [イベントの詳細]、[アラートの詳細]、[ステータスの詳細]を表示し ます。 ◆ VNX CLI: • nas_message -info <MessageID> と入力します。MessageID は、メッセー ジの ID 番号です。 ◆ VNX Error Messages Guide: • このガイドで、それ以前のリリースのメッセージ形式でのメッセージに関 する情報を見つけます。 ◆ EMC オンライン サポート: • エラー メッセージの簡単な説明のテキストまたはメッセージの ID を使用 して、EMC オンライン サポートのナレッジベースを検索します。EMC オ ンライン サポートログインした後、[検索]または[Support by Product] をクリックします。 VNX® ネーム サービスの構成 リリース 8.1 61/81 LDAP のエラー メッセージ 62 ページの表 4 に、RFC 2251「Lightweight Directory Access Protocol (v3)」で定 義されている LDAP のエラー メッセージをリストします。Sun Microsystems の Web サイトにある Sun Java System Directory Server(iPlanet)のドキュメント に、LDAP ベースのディレクトリ実装におけるエラー メッセージの厳密な意味に 関する詳細が説明されています。 表4 62/81 リリース 8.1 LDAP のエラー メッセージとコード (1 / 2ページ) LDAP エラー コード LDAP エラー メッセージ 1 operationsError 2 protocolError 3 timeLimitExceeded 4 sizeLimitExceeded 5 compareFalse 6 compareTrue 7 authMethodNotSupported 8 strongAuthRequired 9 reserved 10 referral 11 adminLimitExceeded 12 unavailableCriticalExtension 13 confidentialityRequired 14 saslBindInProgress 16 noSuchAttribute 17 undefinedAttributeType 18 inappropriateMatching 19 constraintViolation 20 attributeOrValueExists 21 invalidAttributeSyntax VNX® ネーム サービスの構成 表4 VNX® ネーム サービスの構成 LDAP のエラー メッセージとコード (2 / 2ページ) LDAP エラー コード LDAP エラー メッセージ 22 ∼ 31 unused 32 noSuchObject 33 aliasProblem 34 invalidDNSyntax 35 reserved for undefined 36 aliasDereferencingProblem 37 ∼ 47 unused 48 inappropriateAuthentication 49 invalidCredentials 50 insufficientAccessRights 51 busy 52 unavailable 53 unwillingToPerform 54 loopDetect 55 ∼ 63 unused 64 namingViolation 65 objectClassViolation 66 notAllowedOnNonLeaf 67 notAllowedOnRDN 68 entryAlreadyExists 69 objectClassModsProhibited 70 reserved for CLDAP 71 affectsMultipleDSAs 72 ∼ 79 unused 80 other リリース 8.1 63/81 トレーニングおよびプロフェッショナル サービス EMC カスタマー エデュケーション コースは、インフラストラクチャに対する投 資全体の効果を最大限に高めるために、自社の環境内で EMC ストレージ製品群 を連携させる方法について学ぶのに役立ちます。EMC カスタマー エデュケー ションの利点は、世界各国に設置された便利な最新のラボで、オンライン トレー ニングや実地トレーニングを受けられることです。EMC カスタマー トレーニン グ コースは、EMC のエキスパートによって開発および提供されています。EMC オンライン サポート Web サイトにアクセスして(http://Support.EMC.com)コー スと登録の情報を見つけます。 EMC プロフェッショナル サービスは、VNX for File の効率的な導入を支援しま す。コンサルタントがお客様のビジネス、IT プロセス、およびテクノロジーを評 価し、所有する情報を最大限に活かせる手法をお勧めします。ビジネス プランか ら導入まで、IT スタッフを酷使したり新たな人材を採用したりせずに、必要な各 種サポートを受けることができます。詳細については、EMC 担当者にお問い合わ せください。 64/81 リリース 8.1 VNX® ネーム サービスの構成 付録 A: iPlanet クライアントのプロファイル属性 iPlanet クライアント プロファイルで定義されている構成属性は、RFC ドラフト (Joslin)「A Configuration Profile Schema for LDAP-based Agents」で説明されて います。別途の記載がない限り、VNX for File では 65 ページの表 5 に説明されて いるこれらの属性をサポートしています。 VNX for File では、iPlanet クライアント構成ファイル内の Data Mover に関連のな い属性は無視されます。 属性の説明には次の用語が使用されます。 表5 ◆ DIT(ディレクトリ情報ツリー):ディレクトリ自体の全体的な情報ツリー。 ◆ DSA(Directory Server Agent) :VNX for File 環境で iPlanet ディレクトリ サー バにより表される、ディレクトリ サーバまたは任意の LDAP サーバを指す X.500 の用語。 ◆ DUA(Directory User Agent) :VNX for File 環境で Data Mover により表される、 ディレクトリ クライアントまたは任意の LDAP クライアント。 iPlanet クライアントのプロファイル属性 (1 / 3ページ) 属性 説明 VNX for File のサポート preferredServerList preferredServerList 属性はサーバ アドレスおよび関連する ポート番号のリストを提供する。リストのエントリーはス ペースで区切られる。DUA が DSA にコンタクトする必要 がある場合、DUA は最初に preferredServerList 属性にリ ストされているサーバのいずれかにコンタクトを試みる必 要がある。 あり、IP アドレスのみ DUA は、リスト内の最初のサーバ アドレスで指定された DSA にアクセスする必要がある。その DSA が使用不可の 場合、DSA との接続が確立するまで、残りの DSA に対し てリスト内の順番でクエリーを実行する必要がある。DSA との接続が確立したら、DUA は残りの DSA との接続の確 立を試行してはいけない。 DUA が preferredServerList で指定された DSA と接続でき ない場合、defaultServerList 属性を確認する必要がある。 defaultServerList defaultServerList 属性は、preferredServerList 属性が指定 されていない場合、または DUA が preferredServerList で 指定された DSA のいずれかと接続を確立できない場合の み、検証される必要がある。 あり、IP アドレスのみ preferredServerLis および defaultServerList のどちらも指 定されていない場合は、DUA はクライアント構成プロ ファイルを提供したサーバと同じサーバにコンタクト する。 defaultSearchBase VNX® ネーム サービスの構成 はい DUA がディレクトリで情報を検索する必要がある場合、 defaultSearchBase 属性により検索のベースが定義される。 このパラメータは、serviceSearchDescriptor 属性により上 書きまたは補完できる。 リリース 8.1 65/81 表5 iPlanet クライアントのプロファイル属性 (2 / 3ページ) 属性 説明 VNX for File のサポート defaultSearchScope DUA がディレクトリで情報を検索する必要がある場合、 この属性により検索の範囲が指定される。この属性は、 serviceSearchDescriptor 属性により上書きできる。 はい 指定できる値は one または sub。one は 1 レベルの検索、 sub はサブツリー全体の検索を意味する。デフォルト値は one。 authenticationMethod authenticationMethod 属性は、DSA へのコンタクトを試行 する際に使用される、LDAP バインド方法の順序付きリス トを定義する。クライアント構成プロファイルは tls:simple をサポートする。None は ldap バインドが実行 されないことを意味する。 あり、None および単純認証 credentialLevel credentialLevel 属性は、DSA にコンタクトする際に DUA が使用する必要のある認証情報のタイプを定義する。 あり、匿名およびプロキシ serviceSearch Descriptor serviceSearchDescriptor 属性は、DUA が特定のサービス の情報を検索する際の検索方法および検索場所を定義する。 あり、検索フィルタの再定義を除 く。VNX for File は後ろに basescope だけが続くサービス ID をサ ポートする。 serviceSearchDescriptor には、サービス ID とそれに続く 1 個以上の base-scope-filter トリプルが含まれる。これら の base-scope-filter トリプルは、指定されたサービスに対 する検索の定義のみに使用される。複数の base-scopefilter により、DUA は DIT 内の複数の場所でデータを検索 できる。 serviceCredential Level serviceCredentialLevel 属性は、特定のサービスで DSA に コンタクトする際に DUA が使用する必要のある認証情報 のタイプを定義する。 いいえ serviceAuthentication Method serviceAuthenticationMethod 属性は、特定のサービスで DSA へのコンタクトを試行する際に使用される、LDAP バ インド方法の順序付きリストを定義する。 いいえ attributeMap 類似する構文の属性をマップする。 はい objectclassMap オブジェクトクラス マッピングは、属性マッピングと組 み合わせて使用し、サービスで必要とされるスキーマを、 ディレクトリで使用できる同等のスキーマにマップする必 要がある。 はい searchTimeLimit searchTimeLimit 属性は、DUA が検索要求の実行に許可す る最大時間(秒)を定義する。 いいえ bindTimeLimit bindTimeLimit 属性は、DUA が preferredServerList または defaultServerList の各 DSA に対する LDAP バインド要求 の実行に許可する最大時間(秒)を定義する。 いいえ followReferrals true に設定されている場合は、参照が検出されれば、DUA はその参照に従う必要がある。 いいえ 66/81 リリース 8.1 VNX® ネーム サービスの構成 表5 iPlanet クライアントのプロファイル属性 (3 / 3ページ) 属性 説明 VNX for File のサポート dereferenceAliases true に設定されている場合は、DUA はエイリアス逆参照 を有効にする必要がある。false に設定されている場合は、 DUA はエイリアス逆参照を有効にしてはいけない。 なし profileTTL profileTTL 属性は、DUA が対応するクライアント構成プロ ファイルを再ロードし、これを使用して DUA 自身を再構 成するまでの時間間隔を定義する。 はい profileTTL の値がゼロまたは定義されていない場合は、 DUA は構成プロファイルを再ロードしない。 VNX® ネーム サービスの構成 リリース 8.1 67/81 付録 B: OpenLDAP の構成ファイル OpenLDAP は、PADL ソフトウェアにより発行された ldap.conf 構成ファイルを使 用します。 一般的な ldap.conf ファイルには追加の属性が含まれますが、Data Mover に関連 するものは以下のものだけです。VNX for File では、関係のない属性は無視され ます。 詳細については、16 ページの「ldap.conf ファイル」を参照してください。 # RFC2307bis naming contexts # -> nss_base_XXX base?scope?filter # scope is {base,one,sub} nss_base_passwd ou=People,dc=devldapdom1,dc=lcsc?one nss_base_shadow ou=People,dc=devldapdom1,dc=lcsc?one nss_base_group ou=Group,dc=devldapdom1,dc=lcsc?one nss_base_hosts ou=Hosts,dc=devldapdom1,dc=lcsc?one nss_base_netgroup ou=Netgroup,dc=devldapdom1,dc=lcsc?one # attribute/objectclass mapping # -> nss_map_attribute rfc2307attribute mapped_attribute # -> nss_map_objectclass rfc2307objectclass mapped_objectclass # #nss_map_attribute uid userName #nss_map_attribute gidNumber gid #nss_map_attribute uidNumber uid #nss_map_objectclass posixGroup aixAccessGroup #nss_map_attribute cn groupName # OpenLDAP SSL mechanism # "ssl start_tls" mechanism uses the normal LDAP port (389), "ssl on" # (ldaps) uses port 636 ssl on TLS_CIPHER_SUITE DHE:RSA:AES256:SHA ldap.conf ファイルは、ご使用の環境に最適になるように変更する必要がありま す。最後の 2 行は、ssl が使用されているかどうか(ssl {on | off})と、暗号スイー ト(TLS_CIPHER_SUITE <cipher suite list>)を示します。 SSL を使用した LDAP では、start_tls モードはサポートされていません。 68/81 リリース 8.1 VNX® ネーム サービスの構成 付録 C: IdMU 構成ファイルのテンプレート 詳細については、16 ページの「ldap.conf ファイル」を参照してください。 # -------------------------------------------------------------------# This template must be copied to /.etc/ldap.conf when the ldap # server[s] used by the data mover is using MS Active Directory IdMU # schema installed on Windows Server 2003 R2 or newer # (like Windows Server 2008). # *** This file was created by VNX OE for File.PLEASE DO NOT CHANGE THIS FILE.*** # -------------------------------------------------------------------# - The following setup fits the MS IdMU schema. # Adjustments may be required if a newer schema is used on the AD. # - If several AD servers are declared to "server_ldap -set", they # should all use the same schema. # - Adjustments are required to fit your specific AD configuration. # Please thoroughly review the following lines and adjust them # appropriately. # - Once done, issue the following commands for the datamover to take # this new setup into account immediately: # - server_ldap server_N -clear # - server_ldap server_N -set [...] # -------------------------------------------------------------------# Containers # Replace "dc=mydomain,dc=com" by your base DN. # If you have a dedicated container for netgroups, replace # "cn=netgroup,cn=mydomain,cn=DefaultMigrationContainer30" by # the right DN. nss_base_passwd cn=Users,dc=mydomain,dc=com?one nss_base_group cn=Users,dc=mydomain,dc=com?one nss_base_hosts cn=Computers,dc=mydomain,dc=com?one nss_base_netgroup cn=netgroup,cn=mydomain, cn=DefaultMigrationContainer30,dc=mycomain,dc=com?one # Objects nss_map_objectclass nss_map_objectclass nss_map_objectclass posixAccount posixGroup ipHost User Group Computer # Attributes nss_map_attribute nss_map_attribute userPassword homeDirectory unixUserPassword unixHomeDirectory # eof 注: Active Directory を IdMU と使用する場合も、ユーザー名とグループ名をドメイン拡張 子と一緒に取得できるように cifs resolver を設定する必要があります。cifs resolver パラ メータの設定方法については、「 VNX ユーザー マッピングの構成」を参照してください。 VNX® ネーム サービスの構成 リリース 8.1 69/81 付録 D: SFU 3.5 構成ファイルのテンプレート 詳細については、16 ページの「ldap.conf ファイル」を参照してください。 # -------------------------------------------------------------------# This template must be copied to /.etc/ldap.conf when the ldap # server[s] used by the data mover is using MS Active Directory SFU # schema installed on Windows Server 2003 R1 or newer. # *** This file was created by VNX OE for File.PLEASE DO NOT CHANGE THIS FILE.*** # -------------------------------------------------------------------# - The following setup fits the MS SFU-3.5 schema. # Adjustments may be required if an older schema is used on the AD. # - Netgroups are not supported with this schema.If netgroups are # required, please update to MS IdMU. # - If several AD servers are declared to "server_ldap -set", they # should all use the same schema. # - Adjustments are required to fit your specific AD configuration. # Please thoroughly review the following lines and adjust them # appropriately. # - Once done, issue the following commands for the datamover to take # this new setup into account immediately: # - server_ldap server_N -clear # - server_ldap server_N -set [...] # -------------------------------------------------------------------# Containers # Replace "dc=mydomain,dc=com" by your base DN. nss_base_passwd cn=Users,dc=mydomain,dc=com?one nss_base_group cn=Users,dc=mydomain,dc=com?one nss_base_hosts cn=Computers,dc=mydomain,dc=com?one # Objects nss_map_objectclass nss_map_objectclass nss_map_objectclass # Attributes nss_map_attribute nss_map_attribute nss_map_attribute nss_map_attribute nss_map_attribute nss_map_attribute nss_map_attribute # nss_map_attribute nss_map_attribute posixAccount posixGroup ipHost User Group Computer uid userPassword uidNumber gidNumber gecos homeDirectory loginShell msSFU30Name msSFU30Password msSFU30UidNumber msSFU30GidNumber msSFU30Gecos msSFU30HomeDirectory msSFU30LoginShell memberUid ipHostNumber msSFU30MemberUid msSFU30IpHostNumber # eof 注: Active Directory を SFU と使用する場合も、ユーザー名とグループ名をドメイン拡張 子と一緒に取得できるように cifs resolver を設定する必要があります。cifs resolver パラ メータの設定方法については、「 VNX ユーザー マッピングの構成」を参照してください。 70/81 リリース 8.1 VNX® ネーム サービスの構成 付録 E: LDAP ベースのディレクトリ サービス クライ アントとしての Data Mover の構成例 匿名認証を使用した iPlanet への接続 ステップ アクション 1. iPlanet に接続するように Data Mover を構成します。 server_2 上の iPlanet サービスが専用のクライアント プロファイル vnx_profile を使用す るように指定するには、次のように入力します。 $ server_ldap server_2 -set -domain nasdocs.emc.com -servers 172.16.21.10 -profile vnx_profile 2. 状態が「Connected」であるかどうかを含め、構成を確認します。 $ server_ldap server_2 -set -info -verbose server_2 : LDAP domain:nasdocs.emc.com State:Configured - Connected NIS domain:nsg Profile Name:vnx_profile Profile TTL:3600 seconds Next Profile update in 5 seconds DIT schema type:SUN Connected to LDAP server address:172.16.21.10 - port 389 単純パスワード認証を使用した OpenLDAP への接続 ステップ アクション VNX® ネーム サービスの構成 1. 適切な構成ファイルのテンプレートをコピーします。 $ server_file server_2 -get ldap.conf /nas/site/ldap.conf 2. ldap.conf ファイルをカスタマイズします。テキスト エディタを使用して、 ldap.conf.movername ファイルを編集し、任意のエントリーを変更します。 $ vi ldap.conf 3. カスタマイズした構成ファイルを保存し、Data Mover の /.etc ディレクトリに格納し ます。 $ server_file server_2 -put /nas/site/ldap.conf ldap.conf 4. Data Mover の現在の LDAP 構成をクリアします。 $ server_ldap server_2 -clear 5. Active Directory に接続するように Data Mover を構成します。 $ server_ldap server_2 -set -p -basedn dc=nasdocs,dc=emc -servers 172.16.21.10 -binddn "cn=admin,cn=users,dc=nasdocs,dc=emc? -sslenabled y server_2:Enter password:****** done リリース 8.1 71/81 ステップ アクション 6. 状態が「Connected」であるかどうかを含め、構成を確認します。 $ server_ldap server_2 -set -info -verbose server_2 : LDAP domain:nasdocs.emc.com base DN:dc=nasdocs,dc=emc,dc=com State:Configured - Connected NIS domain:nasdocs.emc.com No client profile nor config. file provided (using default setup) DIT schema type:OPEN Connected to LDAP server address:172.16.21.10 - port 389 SSL enabled/disabled by Command line, cipher suites configured by default 単純パスワード認証を使用した SFU 利用 Active Directory への 接続 ステップ アクション 72/81 リリース 8.1 1. 適切な構成ファイルのテンプレートをコピーします。 $ server_file server_2 -get ldap.conf.sfu35_template_v1 /nas/site/ldap.conf 2. ldap.conf ファイルをカスタマイズします。テキスト エディタを使用して、 ldap.conf.movername ファイルを編集し、任意のエントリーを変更します。たとえば、 Active Directory を使用している場合は、ネットグループのコンテナを編集します。 $ vi ldap.conf 3. カスタマイズした構成ファイルを保存し、Data Mover の /.etc ディレクトリに格納し ます。 $ server_file server_2 -put /nas/site/ldap.conf ldap.conf 4. Data Mover の現在の LDAP 構成をクリアします。 $ server_ldap server_2 -clear 5. Active Directory に接続するように Data Mover を構成します。 $ server_ldap server_2 -set -p -basedn dc=nasdocs,dc=emc -servers 172.16.21.10 -binddn "cn=admin,cn=users,dc=nasdocs,dc=emc? -sslenabled y server_2:Enter password:****** done VNX® ネーム サービスの構成 ステップ アクション 6. 状態が「Connected」であるかどうかを含め、構成を確認します。 $ server_ldap server_2 -set -info -verbose server_2 : LDAP domain:nasdocs.emc.com base DN:dc=nasdocs,dc=emc,dc=com State:Configured - Connected NIS domain:nasdocs.emc.com Proxy (Bind) DN:cn=administrator,cn=Users,dc=nasdocs,dc=emc,dc=com Configuration file - TTL:1200 seconds Next configuration update in 1196 seconds DIT schema type:MS Connected to LDAP server address:172.16.21.10 - port 389 SSL not enabled, Persona:none specified, Cipher Suite List:none specified 7. 各種情報を検索して動作を確認します。 $ server_ldap server_2 -lookup -netgroup ntg_name1 server_2: Unable to get information for Netgroup ntg_name1 ネットグループは IdMU のみでサポートされているため、これが予想される応答です。 Kerberos 認証を使用した IdMU 利用 Active Directory への接続 ステップ アクション VNX® ネーム サービスの構成 1. 適切な構成ファイルのテンプレートをコピーします。 $ server_file server_2 -get ldap.conf.idmu_template_v1 /nas/site/ldap.conf 2. ldap.conf ファイルをカスタマイズします。テキスト エディタを使用して、 ldap.conf.movername ファイルを編集し、任意のエントリーを変更します。たとえば、 Active Directory を使用している場合は、ネットグループのコンテナを編集します。 $ vi ldap.conf 3. カスタマイズした構成ファイルを保存し、Data Mover の /.etc ディレクトリに格納し ます。 $ server_file server_2 -put /nas/site/ldap.conf ldap.conf 4. Data Mover の現在の LDAP 構成をクリアします。 $ server_ldap server_2 -clear 5. server_cifs コマンドを使用して、Data Mover を CIFS サーバとして構成します。この手 順については、「 VNX CIFS の構成と管理」を参照してください。 6. Active Directory に接続するように Data Mover を構成します。 $ server_ldap server_2 -set -basedn dc=nasdocs,dc=emc -servers 172.16.21.10 -kerberos -kaccount cifs_compname$ server_2:done リリース 8.1 73/81 ステップ アクション 7. 状態が「Connected」であるかどうかを含め、構成を確認します。 $ server_ldap server_2 -set -info -verbose server_2 : LDAP domain:nasdocs.emc.com base DN:dc=nasdocs,dc=emc,dc=com State:Configured - Connected Configuration file - TTL:1200 seconds Next configuration update in 1194 seconds DIT schema type:MS LDAP configuration servers: Server 172.16.21.10 port 389 : Active, connected SSL not enabled, Persona:none specified, Cipher Suite List:default Kerberos enabled:kaccount cifs_compname$, realm nasdocs.emc.com, ldap server w2k3sfujlr Domain naming contexts: DC=nasdocs,DC=emc,DC=com CN=Configuration,DC=nasdocs,DC=emc,DC=com CN=Schema,CN=Configuration,DC=nasdocs,DC=emc,DC=com DC=DomainDnsZones,DC=nasdocs,DC=emc,DC=com DC=ForestDnsZones,DC=nasdocs,DC=emc,DC=com Domain supported LDAP controls: 1.2.840.113556.1.4.319 1.2.840.113556.1.4.801 1.2.840.113556.1.4.473 1.2.840.113556.1.4.528 1.2.840.113556.1.4.417 1.2.840.113556.1.4.619 1.2.840.113556.1.4.841 1.2.840.113556.1.4.529 1.2.840.113556.1.4.805 1.2.840.113556.1.4.521 1.2.840.113556.1.4.970 1.2.840.113556.1.4.1338 1.2.840.113556.1.4.474 1.2.840.113556.1.4.1339 1.2.840.113556.1.4.1340 1.2.840.113556.1.4.1413 2.16.840.1.113730.3.4.9 2.16.840.1.113730.3.4.10 1.2.840.113556.1.4.1504 1.2.840.113556.1.4.1852 1.2.840.113556.1.4.802 1.2.840.113556.1.4.1907 1.2.840.113556.1.4.1948 Domain supported authentication mechanisms: GSSAPI GSS-SPNEGO EXTERNAL DIGEST-MD5 Default search base:dc=nasdocs,dc=emc,dc=com 74/81 リリース 8.1 VNX® ネーム サービスの構成 ステップ アクション Domain default search scope:ONE passwd base DN: cn=Users,dc=nasdocs,dc=emc,dc=com - search scope ONE passwd object class:User passwd attributes:cn, uid, uidNumber, gidNumber, unixUserPassword, loginShell, gecos, description group base DN: cn=Users,dc=nasdocs,dc=emc,dc=com - search scope ONE group object class:Group group attributes:cn, gidNumber, unixUserPassword, memberUid, description hosts base DN: cn=Computers,dc=nasdocs,dc=emc,dc=com - search scope ONE host object class:Computer host attributes:cn, ipHostNumber, description netgroup base DN: cn=netgroup,cn=nasdocs.emc.com,cn=DefaultMigrationContainer30,dc= nasdocs,dc=emc,dc=com - search scope ONE netgroup object class:nisNetgroup netgroup attributes:cn, nisNetgroupTriple, memberNisNetgroup description SSL 認証を使用した IdMU 利用 Active Directory への接続 ステップ アクション VNX® ネーム サービスの構成 1. 適切な構成ファイルのテンプレートをコピーします。 $ server_file server_2 -get ldap.conf.idmu_template_v1 /nas/site/ldap.conf 2. ldap.conf ファイルをカスタマイズします。テキスト エディタを使用して、 ldap.conf.movername ファイルを編集し、任意のエントリーを変更します。たとえば、 Active Directory を使用している場合は、ネットグループのコンテナを編集します。 $ vi ldap.conf 3. カスタマイズした構成ファイルを保存し、Data Mover の /.etc ディレクトリに格納し ます。 $ server_file server_2 -put /nas/site/ldap.conf ldap.conf 4. Data Mover の現在の LDAP 構成をクリアします。 $ server_ldap server_2 -clear 5. Active Directory に接続するように Data Mover を構成します。 $ server_ldap server_2 -set -p -basedn dc=nasdocs,dc=emc -servers 172.16.21.10 -binddn "cn=admin,cn=users,dc=nasdocs,dc=emc? -sslenabled y server_2:Enter password:****** done リリース 8.1 75/81 ステップ アクション 6. 状態が「Connected」であるかどうかを含め、構成を確認します。 $ server_ldap server_2 -set -info -verbose server_2 : LDAP domain:nasdocs.emc.com base DN:dc=nasdocs,dc=emc,dc=com State:Configured - Connected NIS domain:nasdocs.emc.com Proxy (Bind) DN:cn=administrator,cn=Users,dc=nasdocs,dc=emc,dc=com Configuration file - TTL:1200 seconds Next configuration update in 1196 seconds DIT schema type:MS Connected to LDAP server address:172.16.21.10 - port 636 SSL enabled, Persona:none specified, Cipher Suite List:none specified 76/81 リリース 8.1 VNX® ネーム サービスの構成 認証 18 インデックス A Active Directory IdMU 15 ldap.conf ファイル 69, 70 SFU 15 UNIX 環境 13 Windows 専用 20 C CA 定義 7 Celerra Manager、使用 6 CIFS 定義 7 Common Internet File System 定義 7 D DNS DNS キャッシュのクリア 46 Windows ドメイン 13 概要 13 構成 27 構成の確認 45 構成の削除 45 サーバ エントリーの削除 45 サービスの無効化 47 使用されるプロトコルの設定 46 定義 7, 8 L LDAP 定義 7 ldap.conf ファイル 16, 68, 69, 70 LDAP ベースのディレクトリ 概要 13 構成 28 Kerberos 認証 32 NIS ドメイン 39 単純(パスワード)31 構成情報の表示 49 構成ステータスの確認 48 構成の削除 48 構造 14 サービスの無効化 50 情報の検索 GID ごと 54 UID ごと 53 グループ名ごと 54 ネットグループごと 55 ホスト名ごと 55 ユーザーごと 53 定義 8 トラブルシューティング -info -verbose の使用 58 認証 17 Kerberos 18 SSL 18 単純(パスワード)18 匿名 18 M Microsoft Windows Services for UNIX 「SFU」を参照 F FTP 定義 7 I IdMU 構成ファイル テンプレート 69 構成例 Kerberos 認証の使用 73 SSL 認証の使用 75 定義 7 iPlanet 13 クライアント構成プロファイル 15 クライアント プロファイル属性 65 構成 クライアント プロファイル 37 構成例 71 定義 8 認証 18 K Kerberos 構成 32 VNX® ネーム サービスの構成 N NFS 定義 8 NFS ファイル システム ネットグループのエクスポート 必要なスキーマ ファイルの変更 60 NIS 概要 12 構成 26 構成ステータスの確認 43 構成の削除 44 構成の表示 43 定義 8 NIS+ 6 nsswitch.conf ファイル、使用 21, 40 O OpenLDAP 13 ldap.conf ファイル 68 構成例 71 定義 8 認証 18 リリース 8.1 77/81 P ただちに反映 50 PKI 定義 8 し 証明書の検証 18 S Secure Socket Layer 定義 8 server_file コマンド、使用 22 SFU 構成ファイルのテンプレート 70 構成例 72 定義 8 SSL 暗号、指定 36 定義 8 認証 18 ペルソナ、指定 35 Sun Java System Directory Server。「iPlanet」を参照 Sun Java System Directory Server 定義 8 T TLS 定義 8 Transport Layer Security 定義 8 U UNIX の ID 管理 「IdMu」を参照 ディレクトリ サーバ 定義 8 と ドメイン Windows、DNS 13 定義 9 ドメイン名システム 定義 7 に 認証 Kerberos 18 configuring 32 単純(パスワード)18 構成 31 匿名 18 ルール 19 認証局 定義 7 認証局の証明書 定義 9 ね W Windows 2000 または Windows Server 2003 ドメイン 定義 8 Windows NT ドメイン 定義 WINS 定義 8 Windows インターネット ネーム サービス 定義 8 WINS 構成、CIFS サーバ 20 定義 8 く クライアント構成プロファイル、iPlanet 15 クライアント プロファイル、iPlanet の使用 65 グループ ファイル 概要 12 形式 23 ネットグループ ファイル 概要 12 形式 23 定義 9 ネットワーク インフォメーション サービス 定義 8 ネットワーク ファイル システム 定義 8 は パスワード ファイル 概要 12 形式 22 ふ ファイル転送プロトコル 定義 7 へ け 検索順序、Data Mover 11 こ 公開鍵基盤 定義 8 構成設定 78/81 て リリース 8.1 ペルソナ 定義 9 ほ ホスト ファイル 概要 12 VNX® ネーム サービスの構成 形式 23 ろ ローカル ファイル 概要 12 構成 22 コンテンツの確認 42 VNX® ネーム サービスの構成 リリース 8.1 79/81 注意事項 VNX® ネーム サービスの構成 リリース 8.1 80/81 このドキュメントについて VNX 製品ラインのパフォーマンスおよび機能を、継続的に改善、強化するための努力の一環として、EMC では VNX ハードウェアおよびソ フトウェアの新しいバージョンを定期的にリリースしています。そのため、本書で説明されている機能の中には、現在お使いの VNX ソフ トウェアまたはハードウェアのバージョンでサポートされていないものもあります。製品機能の最新情報については、お使いの製品のリ リース ノートを参照してください。VNX システムが本書の説明どおりに動作しない場合は、EMC カスタマー サポートの担当者にハード ウェア アップグレードまたはソフトウェア アップグレードについてお問い合わせください。 ドキュメントについてのご意見およびご提案 マニュアルの精度、構成および品質を向上するため、お客様のご意見をお待ちしております。このガイドに関するご意見を [email protected] 宛てにお送りください。 Copyright © 1998-2013 EMC Corporation. All rights reserved. Published in the USA. 2013 年 7 月 22 日発行 EMC Corporation は、この資料に記載される情報が、発行日時点で正確であるとみなしています。この情報は予告なく変更されることがあ ります。 この資料に記載される情報は、現状有姿の条件で提供されています。EMC Corporation は、この資料に記載される情報に関する、どのよう な内容についても表明保証条項を設けず、特に、商品性や特定の目的に対する適応性に対する黙示の保証はいたしません。この資料に記載 される、いかなる EMC ソフトウェアの使用、複製、頒布も、当該ソフトウェア ライセンスが必要です。 EMC2、EMC、および EMC ロゴは、米国およびその他の国における EMC Corporation の登録商標または商標です。その他のすべての名称 ならびに製品についての商標は、それぞれの所有者の商標または登録商標です。 製品ラインの最新規制のドキュメントについては、EMC オンライン サポート用 Web サイトの「テクニカル ドキュメントおよびアドバイ ザリ」セクションにアクセスしてください。 81/81 リリース 8.1