メインコンテンツまでスキップ

アーカイブ済み: UM でのリモート認証のセットアップとトラブルシューティング

Views:
55
Visibility:
Internal
Votes:
0
Category:
active-iq-unified-manager
Specialty:
om
Last Updated:
アーカイブは下記によって要求される : Cody Jarvis
アーカイブの理由 :記事が正しく作成されていません。 INC2775143

に適用されます

Active IQ ( AIQ ) Unified Manager 9.x でのセットアップ

回答

リモート認証を有効化 

Unified Manager サーバで LDAP 認証または Active Directory 認証を有効にして、 LDAP サーバと連携してリモートユーザを認証するように設定することができます。

認証サービスを使用すると、 Unified Manager へのアクセスを許可する前に、リモートユーザまたはリモートグループを認証サーバで認証できます。事前定義された認証サービス( Active Directory や OpenLDAP など)を使用するか、または独自の認証メカニズムを設定してユーザを認証できます

 

「リモート認証を有効にする」には 2 つの部分があります。

  • Remote Authentication ページのセットアップ
  • リモートユーザまたはリモートグループのセットアップ

    注:リモート認証を有効にするには、両方のセットアップを完了する必要があります

リモート認証の前提条件 

  • ポートは LDAP サーバと Unified Manager サーバの間に配置する必要があります
    • ポート389
    • ポート636
    • ポート445
    • ポート445
    • ポート88
    • ポート53
    • グローバルカタログ LDAP サーバを使用している場合
      • ポート3268
      • ポート3269
  • 次のコマンドを UM サーバから実行して確認できます UM サーバと LDAP サーバの間のポートが開いています
    • UM Windows Server
      • Power shell コマンドプロンプトウィンドウを使用[1]して、ここにある「 Test-NetConnection 」の詳細を確認してください。
      • コマンド --> テスト -NetConnection -ComputerName<ldap_server_name>-InformationLevel " 詳細 " - ポート 389
         
    • UM Linux Server
      Linux では、お気に入りのコマンドを使用して 2 つのサーバ間のポートをテストします
      • UM サーバからのコマンド: --> NC-zvw10<ldap_server_name_or_IP>ポート
        • 例: --> NC-zvw10 192.168.0.1 389
  • ファイアウォールは上記のポートを許可する必要があります
  • 「 password never expire 」が設定されたドメインユーザまたはドメインサービスアカウント 属性を使用する必要があります
  • 異なるアクセスロールを持つユーザをドメイングループに許可する Unified Manager サーバ
  • ドメインユーザが Windows CLI から実行

    し、 Active Directory 設定に関する情報を収集するコマンドは、次のとおりです。 systeminfo <-- ログインドメインコントローラを提供し、ドメイン名 gpresult/R<-- は、コマンドを実行しているドメインユーザのベース識別名 (DN) と、ドメインユーザが属するドメイングループを提供します。

リモート認証ページの設定 

注:以下のスクリーンショットは Active IQ Unified Manager 9.7 のものです。  以前のバージョンの Unified Manager ( 7.3 から 9.6 )から「リモート認証」ページにアクセスするには、次の手順を実行します

  • ツールバーのをクリックし、左側の [ セットアップ ] メニューの [ 認証 ] をクリックします。
  • [ セットアップオプション ] ページで、 [ 管理サーバ ]>[ 認証 ] をクリックします。

 

スクリーンショット: Active IQ Unified Manager 9.7 for Remote Authentication :

 

詳細手順:

  1. 左側のナビゲーションペインで、 [ 全般 ] > [ リモート認証 ] をクリックします。
     
  2. Enable remote authentication... チェックボックスをオンにします
     
  3. [Authentication Service] フィールドで、サービスのタイプを選択し、認証サービスを設定します。
    • 認証サービスの詳細とフィールドの説明について[2]は、を参照してください。
       
    • 注 1 :リモート認証ページのセットアップで「ドメインユーザアカウント」または「ドメインユーザサービスアカウント」に問題が発生した場合。独自のドメインを使用できる場合に役立ちます テストを目的とした、「管理者名」のユーザ名
       
    • 注 2:「 sAMAccountName 」(ドメイン \ ユーザ名)を使用せずに、「ドメインユーザ名」のみを使用してください。
       
    • 注 3: "gpresult/R" コマンドを実行して収集できる識別名から取得されたベース識別名の例
      • 識別名( DN ): CN=Administrator 、 CN=Users 、 DC=RTP 、 DC=lab 、 DC=NetApp 、 DC=com
      • ベース識別名: DC=RTP 、 DC=lab 、 DC=NetApp 、 DC=com
         
  4. このオプションを使用すると、でネストされたグループの検索を無効にできます LDAP または Active Directory ドメインコントローラ
     
    • ネストされたグループを無効にすると、検索が高速化されます。これはオプションです
       
  5. 認証サーバが LDAP / Active Directory ドメインコントローラである
     
    • 注 1 :可能な場合は、 Unified Manager が存在する同じサブネット / Active Directory サイトとサービス上にある認証サーバをセットアップしてテストしてください
       
    • 注 2 :可能であれば、ポート 389 でテストしてみてください
       
    • 注 3 :ポート 389 が開いていない場合は、次の手順を実行します
      • [ セキュリティで保護された接続を使用する ] チェックボックスをオンにすると、ポート 389 で認証サーバーを設定した場合にのみ警告の表示がポップアップ表示され、 [ 閉じる ] をクリックします


         
      • ポート 389 が認証サーバ用に設定されていた場合、エラーがポップアップ表示されます


         
      • 「認証サーバ」を編集して、ポートを 389 から変更します 636
         
    • 注 4 :認証サーバにエイリアス名を使用している場合は、名前が Unified Manager サーバから「ピンアクセス可能」であることと、セキュアな認証を使用している場合は、エイリアス名が認証サーバまたはドメインコントローラの Common Name ( CN ;共通名)の証明書と一致していることを確認してください。不一致の場合、 Unified Manager のリモート認証のセットアップで問題が発生します。
       
  6. UM サーバから「 ping 可能」でもある正しい認証サーバ名を入力します。上の「注 4 」を確認してください
     
  7. リモート認証ページの設定を保存します
     
    • 注 1 :トラブルシューティングを行うときは、リモート認証ページを変更しますが、設定の保存は忘れずに行ってください
       
  8. 認証をテスト
    • 注:認証をテストするときは、「 sAMAccountName 」(ドメイン \ ユーザ名)ではなく、ドメインユーザ名のみを使用してください。
       

リモートユーザとリモートグループのどちらを設定しますか? 

Unified Manager の「 Users 」ページに「 Remote Users 」または「 Remote Groups 」または「 Both 」を追加するまで、リモート認証は終了しません。リモートユーザとリモートグループは、 LDAP / ドメインユーザとグループです。

  1. 左側のナビゲーションペインで、 [ 全般 ]>[ ユーザー ] をクリックします
  2. 詳細について[3]は、こちらをご覧ください。

リモート認証のトラブルシューティング 

Unified Manager ( UMActive IQ Unified Manager の重要なログファイルとその場所を教えてください。)のログの場所はこちらで確認できます。
 

************************

シナリオ1

************************

UM Web UI :

ユーザ「 user_name 」の認証に失敗しました。

 

UM ログにエラーが表示される:

ocum-error.log
202011-05 13 : 25 : 49 、 536 error [user_name [DEFAULTTASK_412][SERVICe.LOGING.SimpleRemoteLoggingService|logonserver][c.d.w..ldapServersPagePresenter] ユーザ 'user_name' の認証に失敗しました。 

ocumserver.log
202011-05 13 : 25 : 49 、 536 error [user_name [DEFAULTTASK_412][SERVICe.LOGING.SimpleRemoteLoggingService|logonserver][c.d.w..ldapServersPagePresenter] ユーザ 'user_name' の認証に失敗しました。 
com.Google.gwt.core.shared_SerializableThrowable: ユーザー 'user_name' の認証に失敗しました 

 

対処方法 / チェック:

ドメインユーザ名とパスワードが正しいかどうかを確認
します。 UM の Users ページでリモートユーザまたはリモートグループを追加したかどうかを確認します

 

************************

シナリオ2

************************

UM Web UI :

SSL 経由でホスト 10.x.x.x との通信を確立できません。

 

UM ログにエラーが表示される:

ドキュメントサーバ .log :
202-11-05 13 : 32 : 15,732 エラー [user_name] [default task-414][service.logging.SimpleRemoteLoggingService|logonserver][c.n.c.a.e.ApplicationErrorHandler] は、 SSL 経由でホスト 10.x.x.x との通信を確立できません。
com.Google.gwt.core.share.SerializableThrowable: SSL 経由でホスト 10.x.x.x との通信を確立できません

ocum-error.log
202011-05 13 : 32 : 15,732 エラー [user_name [DEFAULTTOP_414][ SERVICe.LOGGING SimpleLoggingService|logonserver][c.n.c.a.e.ApplicationErrorHandler] は SSL 経由でホスト 10.x.x.x との通信を確立できません。

 

対処方法 / チェック:

リモート認証ページの認証サーバで正しいポートを設定します

 

************************

シナリオ3

************************

UM Web UI :

次の理由で認証サーバと通信できません: IP アドレス 10.x.x.x に一致するサブジェクトの代替名が見つかりません。認証サーバの設定を確認してください。

 

UM ログにエラーが表示される:

ocum-error.log
202011-05 13 : 34 : 27,333 error [user_name] [defaulttask-414][service.logging.SimpleRemoteLoggingService|logonserver][c.n.d.w..l.dapServersPagePresenter] 次の理由により、認証サーバと通信できません: IP アドレス 10.x.x.x に一致するサブジェクトの代替名が見つかりません。認証サーバの設定を確認してください。 


ocumserver.log
202011-05 13 : 34 : 27,333 error [user_name] [defaulttask-414][service.logging.SimpleRemoteLoggingService|logonserver][c.n.d.w..l.dapServersPagePresenter] 次の理由により、認証サーバと通信できません: IP アドレス 10.x.x.x に一致するサブジェクトの代替名が見つかりません。認証サーバの設定を確認してください。 
com.Google.gwt.core.share.SerializableThrowable: 次の理由により認証サーバーと通信できません : IP アドレス 10.x.x.x に一致するサブジェクト代替名が見つかりませんでした認証サーバの設定を確認してください。

 

対処方法 / チェック:

「 Remote authentication 」 UM ウィンドウの「 authentication server 」の下に追加されたサーバ名を確認します。ドメインコントローラ証明書の Common Name ( CN
;共通名)と一致する必要があります。コマンド名( CN )は UM サーバからピング可能である必要があります。
「ドメインコントローラ」または「認証サーバ」を正しい名前( CN )で削除してから再度追加してください。

 

************************

シナリオ4

************************

UM Web UI :

ユーザまたはグループの名前が認証サーバで見つかりません。ユーザまたはグループが存在しないか、現在の認証設定で検出できません。

 

UM ログにエラーが表示される:

ocum-error.log
202011-05 13 : 50 : 21 、 883 error [user_name] [defaulttask-427][service.logging.SimpleRemoteLoggingService|logonserver][c.n.d.w..l.dapServersPagePresenter] 認証サーバにユーザまたはグループ 'name' が見つかりません。ユーザまたはグループが存在しないか、現在の認証設定で検出できません。 


ocumserver.log
202011-05 13 : 50 : 21 、 883 error [user_name] [defaulttask-427][service.logging.SimpleRemoteLoggingService|logonserver][c.n.d.w..l.dapServersPagePresenter] 認証サーバにユーザまたはグループ 'name' が見つかりません。ユーザまたはグループが存在しないか、現在の認証設定で検出できません。 
com.Google.gwt.core.share.SerializableThrowable :認証サーバーでユーザーまたはグループの名前が見つかりませんユーザまたはグループが存在しないか、現在の認証設定で検出できません。 

 

対処方法 / チェック:

バインド管理者名またはパスワードが間違っている可能性があるか?
ベース言語名が正しいか確認します。
リモート認証ページのウィンドウで設定を変更する場合は、必ず設定を保存してください。

 

************************

シナリオ5

************************

UM Web UI :

認証に失敗しました。ユーザ名とパスワードを確認してください。

 

UM ログにエラーが表示される:

audit.log :
Nov 05 13 : 52 : 00 [ : NOTIC] :: Web : err : [10.x.x.x.x] :: user_name の認証に失敗しました [org.springframework.security.web.authentication.WebAuthenticationDetails@ffffc434: remoteIPaddress : 10.x.x.x.x; SessionID : null] : LDAP ユーザの org.springframework.security.authentication.BadCredentialsException: 認証トークンが成功しません。

 

対処方法 / チェック:

UM の Users の下にリモートユーザまたはリモートグループを追加する
かどうかを確認します。ドメインユーザ名とパスワードが正しいかどうかを確認します

 

************************

シナリオ6

************************

UM Web UI :

認証サーバが適切に設定されていないため、認証サーバと通信できません。認証サーバの設定を確認してください。( LDAP エラーコード: 49/52e )

 

UM ログにエラーが表示される:

ocumserver.log
202-11-05 13 : 55 : 27,053 ERROR: [admin] [ デフォルト・タスク -433] [service.setup.ldap.LdapService|testLdapUser] [c.n.dfs.impl.rbd.ldapUserCheck] 認証サーバが正しく設定されていないため ' 認証サーバと通信できません認証サーバ設定
org.springframework.ldap.AuthenticationException: [LDAP: error code 49-80090308:DSID-0C090446, comment: AcceptSecurityContext error 、 data 52e 、 v2580; ネストされた例外は java.snaming です。 AuthenticationException: [LDAP: error code 49-80090308:25408:Ldap4094,SecurityContext] エラー。

ocum-error.log :
202-11-05 13 : 55 : 27,053 error [admin] [ デフォルトタスク -433 ][ service.setup.ldap.LdapService|testLdapUser] [c.n.dfs.impl.rbd.ldapUserCheck] 認証サーバが適切に設定されていないため、認証サーバと通信できません。認証サーバの設定を確認してください。 

202-11-05 13 : 55 : 27,067 ERROR: [admin] [ デフォルト・タスク -431] [SERVICe.LOGIing.SimpleRemoteLoggingService|logonserver][c.n.d.w.s.ldapServersPagePresenter] 認証サーバが正しく設定されていないため ' 認証サーバと通信できません認証サーバの設定を確認してください。( LDAP エラーコード: 49/52e )

 

対処方法 / チェック:

バインド管理者名またはパスワードが間違っ
ています。
リモート認証ウィンドウで設定を変更する場合は、ベース識別名が正しいことを確認して、必ず設定を保存してください

追加情報

AdditionalInformation_Text

 

Scan to view the article on your device