ExpresswayでWeb、API、およびCLIアクセス用にLDAPを設定する

ダウンロード オプション

  • ePub     (926.1 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (1.0 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2022 年 1 月 26 日
Document ID:217659

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    このドキュメントでは、ExpresswayサーバでLightweight Directory Access Protocol(LDAP)を有効にするために必要な手順と、ドメインユーザを使用してWeb、アプリケーションプログラミングインターフェイス(API)およびコマンドラインインターフェイス(CLI)を介してExpresswayにアクセスする方法について説明します。

    著者:Cisco TACエンジニア、Jefferson MadrizおよびElias Sevilla

    前提条件

    要件

    • Expresswayに関する基礎知識。 
    • Expresswayの基本設定はすでに完了しています。 
    • Active Directory(AD)は既に構成されています。 
    • ExpresswayとADサーバ間の通信を許可するためのファイアウォール規則の準備が整っています。 

    使用するコンポーネント

    • Windows Server 2016にインストールされたActive Directory。 
    • バージョンX14.0.3のExpressway-Cサーバ。

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    設定

    LDAP設定

    [LDAP設定]ページ[ユーザ] > [LDAP設定]を使用して、管理者アカウント認証用にリモートディレクトリサービスへのLDAP接続を設定します。

    • リモートアカウント認証:このセクションでは、リモートアカウント認証にLDAPを使用することを有効または無効にできます。

    remote account

    -Local のみ:クレデンシャルは、システムに保存されているローカルデータベースに対して検証されます。
    - リモートのみ:クレデンシャルは、外部クレデンシャルディレクトリと照合されます。
    -両方:クレデンシャルはまず、システムに保存されているローカルデータベースに対して検証され、アカウントと一致しない場合は、代わりに外部クレデンシャルディレクトリが使用されます。

    • LDAPサーバの設定:このセクションでは、LDAPサーバへの接続の詳細を指定します。

    lda server conf

    FQDNアドレス解決:

    • SRVレコード:ドメインネームサービス(DNS)サービスレコード(SRV)ルックアップです。
    • 住所レコード:DNS AまたはAAAAレコードのルックアップ。
    • IPアドレス:IPアドレスとして直接入力されます。

    注:SRVレコードを使用する場合は、_ldap._tcpを確認します。レコードは標準のLDAPポート389を使用します。ExpresswayはLDAPの他のポート番号をサポートしていません。

    ホスト名とドメイン:

    • SRV レコード:サーバアドレスのドメイン部分のみが必要です。
    • 住所レコード:ホスト名とドメインを入力します。これらを組み合わせて、DNSアドレスレコードのルックアップ用の完全なサーバアドレスを提供します。
    • IPアドレス:サーバアドレスはIPアドレスとして直接入力されます。

    [Port]:

    • LDAPサーバで使用するIPポート。

    暗号化:

    • TLS:は、LDAPサーバへの接続にTransport Layer Security(TLS)暗号化を使用します。
    • Off:暗号化は使用されません。
    • 認証設定:このセクションでは、LDAPサーバへのバインドに使用するExpresswayの認証資格情報を指定します。

    auth config

    バインド DN:ExpresswayがLDAPサーバにバインドするために使用する識別名(DN)(大文字と小文字は区別されません)。cn=、ou=、dc=の順にDNを指定することが重要です

    注:バインドアカウントは通常、特別な権限を持たない読み取り専用アカウントです。

    バインドパスワード:ExpresswayがLDAPサーバにバインドするために使用するパスワード(大文字と小文字を区別)。

    SASL:LDAPサーバへのバインドに使用するSimple Authentication and Security Layer(SASL)メカニズム

    • [なし(None)]: メカニズムは使用されません。
    • DIGEST-MD5:DIGEST-MD5メカニズムが使用されます。

    Bind Username:ExpresswayがLDAPサーバへのログインに使用するアカウントのユーザ名(大文字と小文字を区別)。

    • ディレクトリ設定:このセクションでは、アカウント名とグループ名の検索に使用する基本識別名を指定します。

    dire config

    アカウントのベースDN:ユーザーアカウントの検索がデータベース構造で開始する識別名の組織単位(OU)およびドメインコントローラ(DC)定義(大文字と小文字は区別されません)。

    アカウントおよびグループのベースDNは、DCレベルまたはDCレベル以下である必要があります(必要に応じてすべてのdc=値とou=値を含めます)。LDAP認証はサブDCアカウントを参照せず、低いOUとCommon Nane(CN)レベルのみを対象とします。

    グループのベースDN:グループの検索をデータベース構造で開始する必要がある識別名のOUおよびDC定義(大文字と小文字は区別されません)。

    グループのベースDNが指定されていない場合、アカウントのベースDNはグループとアカウントの両方に使用されます。

    ネストされたサブグループ検索の深さ: LDAP検索のグループの深さを制限するために使用します。

    すべてのメンバーの検索をスキップする:認証検索プロセスの実行中に、管理者グループのメンバー検索を無効または有効にするために使用します。デフォルトは[Yes]で、メンバー検索をスキップします

    ベースDNの検索方法

    ADサーバで、管理者としてコマンドプロンプト(CMD)を開き、次のコマンドを実行します。 dsquery user -name .

    cmd

    LDAPの設定例

    この例では、管理者認証ソースがBothに設定され、SASLがNoneに設定されています。

    ad expressway

    LDAPステータスの確認

    LDAPサーバの接続状態を確認します。

    • 使用可能:エラーメッセージは表示されません
    • Failed:エラー・メッセージが表示されます。LDAPエラー・メッセージ

    管理者グループの設定

    [Administrator groups]ページの[Users] > [Administrator groups]に、Expresswayで設定されたすべての管理者グループがリストされ、グループを追加、編集、および削除できます。

    注:管理者グループは、LDAPを使用したリモートアカウント認証が有効になっている場合にのみ適用されます。

    Expressway Webインターフェイスにログインすると、クレデンシャルがリモートディレクトリサービスに対して認証され、自分が属するグループに関連付けられたアクセス権が割り当てられます。

    Expresswayの管理者グループの設定オプション

    [Name]:管理者グループの名前。Expresswayで定義されたグループ名は、このExpresswayへの管理者アクセスを管理するためにリモートディレクトリサービスで設定されたグループ名と一致する必要があります。

    exp-ad

    アクセス レベル:

    • Read-Write:すべての設定情報を表示および変更できます。これは、デフォルトの管理者アカウントと同じ権限を提供します。
    • Read-Only:ステータスおよび設定情報の表示のみを許可し、変更は許可しません。アップグレードページなどの一部のページは、読み取り専用アカウントにブロックされます。
    • 監査担当者:[イベントログ(Event Log)]、[設定ログ(Configuration Log)]、[ネットワークログ(Network Log)]、[アラーム(Alarms)]および[概要(Overview)]ページにのみアクセスできます。
    • [なし(None)]: アクセスは許可されていません

    Webアクセス:このグループのメンバーがWebインターフェイスを使用してシステムにログインできるかどうかを指定します。


    APIアクセス:このグループのメンバーがAPIを使用してシステムのステータスと設定にアクセスできるかどうかを指定します。


    CLIアクセス:このグループのメンバーがCLI経由でシステムにアクセスできるかどうかを決定します。


    State                    :グループが有効か無効かを示します。

    ADでの管理者グループの設定

    1.ユーザーを保存するフォルダに、新しいオブジェクトグループを作成します。 

    2.グループ名を割り当てます。 

    grpoup name

    Web、API、またはCLI経由でExpresswayにアクセスする必要があるユーザに、設定したグループを割り当てます。この場合、ユーザはtestuserです。

    1.ユーザー・プロパティを開き、「メンバーのメンバー」タブに移動し、「追加」を選択します

    2.前に作成したグループ名を検索します 

    3. 「OK」を選択します

    member of

    この時点で、ユーザはドメインユーザーとExpresswayAdminのメンバーです。 

    user

    Expresswayの管理者グループの設定

    設定が完了したら、Expresswayで[Users] > [Administrator groups]に移動し、[New]を選択します

    名前:グループ名configureと一致し、Expresswayにアクセスする必要があるLDAPユーザに関連付けられている必要があります。この例では、グループ名はExpresswayAdminであるため、新しい管理者グループ名はExpresswayAdminです

    このグループには、使用可能なすべての権限とアクセス権があります。

    ad admingruop2

    [Save] を選択します。

    big

    確認

    ログアウトし、管理者グループが関連付けられているLDAPユーザーを使用してWeb経由でアクセスを試みま。この例では、作成したユーザはtestuserです。

    testuerlogin

    これは、[Status] > [Event log]で確認できます

    testuser log

    更新履歴

    改定 発行日 コメント
    1.0
    26-Jan-2022
    初版
    TAC Authored

    シスコ エンジニア提供

    • Jefferson Madriz
      Elias Sevilla

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ