メインコンテンツまでスキップ
NetApp Response to Russia-Ukraine Cyber Threat
In response to the recent rise in cyber threat due to the Russian-Ukraine crisis, NetApp is actively monitoring the global security intelligence and updating our cybersecurity measures. We follow U.S. Federal Government guidance and remain on high alert. Customers are encouraged to monitor the Cybersecurity and Infrastructure Security (CISA) website for new information as it develops and remain on high alert.

アーカイブ済み: UM でのリモート認証のセットアップとトラブルシューティング

Views:
51
Visibility:
Internal
Votes:
0
Category:
active-iq-unified-manager
Specialty:
om
Last Updated:
アーカイブは下記によって要求される : Cody Jarvis
アーカイブの理由 :記事が正しく作成されていません。 INC2775143

に適用されます

Active IQ ( AIQ ) Unified Manager 9.x でのセットアップ

回答

リモート認証を有効化 

Unified Manager サーバで LDAP 認証または Active Directory 認証を有効にして、 LDAP サーバと連携してリモートユーザを認証するように設定することができます。

認証サービスを使用すると、 Unified Manager へのアクセスを許可する前に、リモートユーザまたはリモートグループを認証サーバで認証できます。事前定義された認証サービス( Active Directory や OpenLDAP など)を使用するか、または独自の認証メカニズムを設定してユーザを認証できます

 

「リモート認証を有効にする」には 2 つの部分があります。

  • Remote Authentication ページのセットアップ
  • リモートユーザまたはリモートグループのセットアップ

    注:リモート認証を有効にするには、両方のセットアップを完了する必要があります

リモート認証の前提条件 

  • ポートは LDAP サーバと Unified Manager サーバの間に配置する必要があります
    • ポート389
    • ポート636
    • ポート445
    • ポート445
    • ポート88
    • ポート53
    • グローバルカタログ LDAP サーバを使用している場合
      • ポート3268
      • ポート3269
  • 次のコマンドを UM サーバから実行して確認できます UM サーバと LDAP サーバの間のポートが開いています
    • UM Windows Server
      • Power shell コマンドプロンプトウィンドウを使用[1]して、ここにある「 Test-NetConnection 」の詳細を確認してください。
      • コマンド --> テスト -NetConnection -ComputerName<ldap_server_name>-InformationLevel " 詳細 " - ポート 389
         
    • UM Linux Server
      Linux では、お気に入りのコマンドを使用して 2 つのサーバ間のポートをテストします
      • UM サーバからのコマンド: --> NC-zvw10<ldap_server_name_or_IP>ポート
        • 例: --> NC-zvw10 192.168.0.1 389
  • ファイアウォールは上記のポートを許可する必要があります
  • 「 password never expire 」が設定されたドメインユーザまたはドメインサービスアカウント 属性を使用する必要があります
  • 異なるアクセスロールを持つユーザをドメイングループに許可する Unified Manager サーバ
  • ドメインユーザが Windows CLI から実行

    し、 Active Directory 設定に関する情報を収集するコマンドは、次のとおりです。 systeminfo <-- ログインドメインコントローラを提供し、ドメイン名 gpresult/R<-- は、コマンドを実行しているドメインユーザのベース識別名 (DN) と、ドメインユーザが属するドメイングループを提供します。

リモート認証ページの設定 

注:以下のスクリーンショットは Active IQ Unified Manager 9.7 のものです。  以前のバージョンの Unified Manager ( 7.3 から 9.6 )から「リモート認証」ページにアクセスするには、次の手順を実行します

  • ツールバーのをクリックし、左側の [ セットアップ ] メニューの [ 認証 ] をクリックします。
  • [ セットアップオプション ] ページで、 [ 管理サーバ ]>[ 認証 ] をクリックします。

 

スクリーンショット: Active IQ Unified Manager 9.7 for Remote Authentication :

 

詳細手順:

  1. 左側のナビゲーションペインで、 [ 全般 ] > [ リモート認証 ] をクリックします。
     
  2. Enable remote authentication... チェックボックスをオンにします
     
  3. [Authentication Service] フィールドで、サービスのタイプを選択し、認証サービスを設定します。
    • 認証サービスの詳細とフィールドの説明について[2]は、を参照してください。
       
    • 注 1 :リモート認証ページのセットアップで「ドメインユーザアカウント」または「ドメインユーザサービスアカウント」に問題が発生した場合。独自のドメインを使用できる場合に役立ちます テストを目的とした、「管理者名」のユーザ名
       
    • 注 2:「 sAMAccountName 」(ドメイン \ ユーザ名)を使用せずに、「ドメインユーザ名」のみを使用してください。
       
    • 注 3: "gpresult/R" コマンドを実行して収集できる識別名から取得されたベース識別名の例
      • 識別名( DN ): CN=Administrator 、 CN=Users 、 DC=RTP 、 DC=lab 、 DC=NetApp 、 DC=com
      • ベース識別名: DC=RTP 、 DC=lab 、 DC=NetApp 、 DC=com
         
  4. このオプションを使用すると、でネストされたグループの検索を無効にできます LDAP または Active Directory ドメインコントローラ
     
    • ネストされたグループを無効にすると、検索が高速化されます。これはオプションです
       
  5. 認証サーバが LDAP / Active Directory ドメインコントローラである
     
    • 注 1 :可能な場合は、 Unified Manager が存在する同じサブネット / Active Directory サイトとサービス上にある認証サーバをセットアップしてテストしてください
       
    • 注 2 :可能であれば、ポート 389 でテストしてみてください
       
    • 注 3 :ポート 389 が開いていない場合は、次の手順を実行します
      • [ セキュリティで保護された接続を使用する ] チェックボックスをオンにすると、ポート 389 で認証サーバーを設定した場合にのみ警告の表示がポップアップ表示され、 [ 閉じる ] をクリックします


         
      • ポート 389 が認証サーバ用に設定されていた場合、エラーがポップアップ表示されます


         
      • 「認証サーバ」を編集して、ポートを 389 から変更します 636
         
    • 注 4 :認証サーバにエイリアス名を使用している場合は、名前が Unified Manager サーバから「ピンアクセス可能」であることと、セキュアな認証を使用している場合は、エイリアス名が認証サーバまたはドメインコントローラの Common Name ( CN ;共通名)の証明書と一致していることを確認してください。不一致の場合、 Unified Manager のリモート認証のセットアップで問題が発生します。
       
  6. UM サーバから「 ping 可能」でもある正しい認証サーバ名を入力します。上の「注 4 」を確認してください
     
  7. リモート認証ページの設定を保存します
     
    • 注 1 :トラブルシューティングを行うときは、リモート認証ページを変更しますが、設定の保存は忘れずに行ってください
       
  8. 認証をテスト
    • 注:認証をテストするときは、「 sAMAccountName 」(ドメイン \ ユーザ名)ではなく、ドメインユーザ名のみを使用してください。
       

リモートユーザとリモートグループのどちらを設定しますか? 

Unified Manager の「 Users 」ページに「 Remote Users 」または「 Remote Groups 」または「 Both 」を追加するまで、リモート認証は終了しません。リモートユーザとリモートグループは、 LDAP / ドメインユーザとグループです。

  1. 左側のナビゲーションペインで、 [ 全般 ]>[ ユーザー ] をクリックします
  2. 詳細について[3]は、こちらをご覧ください。

リモート認証のトラブルシューティング 

Unified Manager ( UMActive IQ Unified Manager の重要なログファイルとその場所を教えてください。)のログの場所はこちらで確認できます。
 

************************

シナリオ1

************************

UM Web UI :

ユーザ「 user_name 」の認証に失敗しました。

 

UM ログにエラーが表示される:

ocum-error.log
202011-05 13 : 25 : 49 、 536 error [user_name [DEFAULTTASK_412][SERVICe.LOGING.SimpleRemoteLoggingService|logonserver][c.d.w..ldapServersPagePresenter] ユーザ 'user_name' の認証に失敗しました。 

ocumserver.log
202011-05 13 : 25 : 49 、 536 error [user_name [DEFAULTTASK_412][SERVICe.LOGING.SimpleRemoteLoggingService|logonserver][c.d.w..ldapServersPagePresenter] ユーザ 'user_name' の認証に失敗しました。 
com.Google.gwt.core.shared_SerializableThrowable: ユーザー 'user_name' の認証に失敗しました 

 

対処方法 / チェック:

ドメインユーザ名とパスワードが正しいかどうかを確認
します。 UM の Users ページでリモートユーザまたはリモートグループを追加したかどうかを確認します

 

************************

シナリオ2

************************

UM Web UI :

SSL 経由でホスト 10.x.x.x との通信を確立できません。

 

UM ログにエラーが表示される:

ドキュメントサーバ .log :
202-11-05 13 : 32 : 15,732 エラー [user_name] [default task-414][service.logging.SimpleRemoteLoggingService|logonserver][c.n.c.a.e.ApplicationErrorHandler] は、 SSL 経由でホスト 10.x.x.x との通信を確立できません。
com.Google.gwt.core.share.SerializableThrowable: SSL 経由でホスト 10.x.x.x との通信を確立できません

ocum-error.log
202011-05 13 : 32 : 15,732 エラー [user_name [DEFAULTTOP_414][ SERVICe.LOGGING SimpleLoggingService|logonserver][c.n.c.a.e.ApplicationErrorHandler] は SSL 経由でホスト 10.x.x.x との通信を確立できません。

 

対処方法 / チェック:

リモート認証ページの認証サーバで正しいポートを設定します

 

************************

シナリオ3

************************

UM Web UI :

次の理由で認証サーバと通信できません: IP アドレス 10.x.x.x に一致するサブジェクトの代替名が見つかりません。認証サーバの設定を確認してください。

 

UM ログにエラーが表示される:

ocum-error.log
202011-05 13 : 34 : 27,333 error [user_name] [defaulttask-414][service.logging.SimpleRemoteLoggingService|logonserver][c.n.d.w..l.dapServersPagePresenter] 次の理由により、認証サーバと通信できません: IP アドレス 10.x.x.x に一致するサブジェクトの代替名が見つかりません。認証サーバの設定を確認してください。 


ocumserver.log
202011-05 13 : 34 : 27,333 error [user_name] [defaulttask-414][service.logging.SimpleRemoteLoggingService|logonserver][c.n.d.w..l.dapServersPagePresenter] 次の理由により、認証サーバと通信できません: IP アドレス 10.x.x.x に一致するサブジェクトの代替名が見つかりません。認証サーバの設定を確認してください。 
com.Google.gwt.core.share.SerializableThrowable: 次の理由により認証サーバーと通信できません : IP アドレス 10.x.x.x に一致するサブジェクト代替名が見つかりませんでした認証サーバの設定を確認してください。

 

対処方法 / チェック:

「 Remote authentication 」 UM ウィンドウの「 authentication server 」の下に追加されたサーバ名を確認します。ドメインコントローラ証明書の Common Name ( CN
;共通名)と一致する必要があります。コマンド名( CN )は UM サーバからピング可能である必要があります。
「ドメインコントローラ」または「認証サーバ」を正しい名前( CN )で削除してから再度追加してください。

 

************************

シナリオ4

************************

UM Web UI :

ユーザまたはグループの名前が認証サーバで見つかりません。ユーザまたはグループが存在しないか、現在の認証設定で検出できません。

 

UM ログにエラーが表示される:

ocum-error.log
202011-05 13 : 50 : 21 、 883 error [user_name] [defaulttask-427][service.logging.SimpleRemoteLoggingService|logonserver][c.n.d.w..l.dapServersPagePresenter] 認証サーバにユーザまたはグループ 'name' が見つかりません。ユーザまたはグループが存在しないか、現在の認証設定で検出できません。 


ocumserver.log
202011-05 13 : 50 : 21 、 883 error [user_name] [defaulttask-427][service.logging.SimpleRemoteLoggingService|logonserver][c.n.d.w..l.dapServersPagePresenter] 認証サーバにユーザまたはグループ 'name' が見つかりません。ユーザまたはグループが存在しないか、現在の認証設定で検出できません。 
com.Google.gwt.core.share.SerializableThrowable :認証サーバーでユーザーまたはグループの名前が見つかりませんユーザまたはグループが存在しないか、現在の認証設定で検出できません。 

 

対処方法 / チェック:

バインド管理者名またはパスワードが間違っている可能性があるか?
ベース言語名が正しいか確認します。
リモート認証ページのウィンドウで設定を変更する場合は、必ず設定を保存してください。

 

************************

シナリオ5

************************

UM Web UI :

認証に失敗しました。ユーザ名とパスワードを確認してください。

 

UM ログにエラーが表示される:

audit.log :
Nov 05 13 : 52 : 00 [ : NOTIC] :: Web : err : [10.x.x.x.x] :: user_name の認証に失敗しました [org.springframework.security.web.authentication.WebAuthenticationDetails@ffffc434: remoteIPaddress : 10.x.x.x.x; SessionID : null] : LDAP ユーザの org.springframework.security.authentication.BadCredentialsException: 認証トークンが成功しません。

 

対処方法 / チェック:

UM の Users の下にリモートユーザまたはリモートグループを追加する
かどうかを確認します。ドメインユーザ名とパスワードが正しいかどうかを確認します

 

************************

シナリオ6

************************

UM Web UI :

認証サーバが適切に設定されていないため、認証サーバと通信できません。認証サーバの設定を確認してください。( LDAP エラーコード: 49/52e )

 

UM ログにエラーが表示される:

ocumserver.log
202-11-05 13 : 55 : 27,053 ERROR: [admin] [ デフォルト・タスク -433] [service.setup.ldap.LdapService|testLdapUser] [c.n.dfs.impl.rbd.ldapUserCheck] 認証サーバが正しく設定されていないため ' 認証サーバと通信できません認証サーバ設定
org.springframework.ldap.AuthenticationException: [LDAP: error code 49-80090308:DSID-0C090446, comment: AcceptSecurityContext error 、 data 52e 、 v2580; ネストされた例外は java.snaming です。 AuthenticationException: [LDAP: error code 49-80090308:25408:Ldap4094,SecurityContext] エラー。

ocum-error.log :
202-11-05 13 : 55 : 27,053 error [admin] [ デフォルトタスク -433 ][ service.setup.ldap.LdapService|testLdapUser] [c.n.dfs.impl.rbd.ldapUserCheck] 認証サーバが適切に設定されていないため、認証サーバと通信できません。認証サーバの設定を確認してください。 

202-11-05 13 : 55 : 27,067 ERROR: [admin] [ デフォルト・タスク -431] [SERVICe.LOGIing.SimpleRemoteLoggingService|logonserver][c.n.d.w.s.ldapServersPagePresenter] 認証サーバが正しく設定されていないため ' 認証サーバと通信できません認証サーバの設定を確認してください。( LDAP エラーコード: 49/52e )

 

対処方法 / チェック:

バインド管理者名またはパスワードが間違っ
ています。
リモート認証ウィンドウで設定を変更する場合は、ベース識別名が正しいことを確認して、必ず設定を保存してください

追加情報

AdditionalInformation_Text

 

Scan to view the article on your device