AD(Active Directory)をLinuxベースのインストールと統合する前に、NetVaultに、次の条件と前提条件を考慮してください。
• |
LinuxサーバーをADと通信させるには、NetVaultをSamba WinbindまたはSSSD(System Security Services Daemon)を使用するドメインコントローラと統合します。 |
• |
Linuxマシンのホスト名をFQDNに設定する必要があります。(例:mymachine.mydomain.com) |
• |
NetVaultをインストールしているLinuxマシンで、完全修飾ドメイン名を使用できるようにしておきます。短い名前は許可されません。 |
• |
Samba Winbind:[Global] セクションで、smb.confに次のエントリを持たせます。 |
• |
SSSD:[domain/<domain name>]セクションで、sssd.confに次のエントリを持たせます。 |
• |
NetVaultをインストールしているLinuxマシンで、すべてのドメイン・コントローラ・グループを取得するため、グループ・データベースのエミュレーションを有効にします。 |
• |
Samba Winbind:[Global] セクションで、smb.confに次のエントリを持たせます。 |
• |
SSSD:[domain/<domain name>]で、ドメイン・コントローラ・グループを取得し、子ド メインと信頼されたドメインからグループをフェッチするため、sssd.conf に次のエントリを持 たせます。 |
• |
• |
/etc/pam.d/passwd ファイルに、以下を追加します。 |
• |
/etc/sssd/sssd.conf ファイルに、以下を追加します。 |
さまざまなユーザーがActive Directory(AD)に関してNetVault内で実行できる操作と実行できない操作を以下に示します。
• |
ADユーザーがADログイン(たとえば、ドメイン名に続くユーザー名、または@記号を含む名前) を使用してログインすると、NetVaultはそのログインをActive Directoryに対して認証します。この動作により、ADユーザーは、ローカルNetVaultアカウントがなくてもNetVaultにログインできます。 |
• |
認証が成功し、これがこのユーザーによる初めてのログインの場合、NetVaultは次のいずれかのアクションを実行します。 |
• |
対応するADグループがNetVaultに存在する場合、NetVaultは、ユーザーを追加し、 そのユーザーに対して、対応するADグループに定義されている権限、アクセス・ レベル、および通知設定を割り当てます。 |
• |
ユーザーがNetVaultアカウントを持っていない場合、NetVaultは、権限、アクセス・レベル、および通知設定をすべて除外して、ユーザーを追加します。ローカルNetVault管理者がログインしたとき、管理者は、ADユーザー・エントリを表示して、適切な権限を割り当てることができます。 |
• |
NetVault は、それぞれのユーザー詳細をドメインコントローラから自動的に取得し、NetVault データベースにローカルに保存します。セキュア・モードの場合、詳細はド メイン・コントローラから取得され、ログインが成功するたびにNetVaultデータベー スで上書きされます。 |
• |
認証に失敗した場合、NetVaultはエラー・メッセージを表示して、ユーザーがログインできないようにします。 |
• |
• |
• |
管理者権限を持つAD NetVaultユーザーは、既存のNetVaultユーザーの名前を認証されたAD NetVaultユーザーに変更できます。ローカルNetVault管理者は、この操作を行うことができません。ユーザーのADパスワードの整合性を維持するために、パスワード・フィールドが空になっていることを確認する必要があります。 |
• |
AD ユーザーが NetVault に追加された後は、他のユーザー名に名前を変更することはできません。 |
• |
ADユーザーのパスワードを変更することや、[パスワード期限を設定しない]オプションを使用するパスワードを設定することはできません。 |
• |
ローカルNetVault管理者または管理者権限を持つAD NetVaultユーザーは、[詳細の変更]オプショ ンを使用してアクセスされるユーザー・ベースの情報を変更することができます。それは、この情報がNetVaultデータベースに保存されているためです。ただし、セキュアモードが有効な場合、NetVault 管理者および他のユーザーは、NetVault AD ユーザーの電子メール 2 および電子メール 3 だけを編集または変更できます。 |
メモ: WindowsベースのNetVaultサーバーでは、ワークステーションの属性がADデータベース内のユーザーに設定されている場合、NetVaultによりその情報が取得され、ユーザー詳細のワークステーションに格納されます。ユーザーが複数のワークステーションを持っている場合は、カンマで区切って表示されます。AD内でワークステーション属性が設定されたADユーザーがNetVaultサーバーへのログインを行う場合は、ADワークステーション・リストでNetVaultサーバーを指定する必要があります。
Linux ベースの NetVault サーバでは、ワークステーションフィールドを取得できないため、ユーザーはログインできません。Linux サーバの場合は、AD でワークステーションを設定しないことをお勧めします。 |
管理者は、NetVaultで次のタスクを実行することができます。
ADユーザーを追加する場合、該当するユーザーがログインすることによってNetVaultで認証プロセスを完了することをお勧めします。ただし、適切な権限があれば(少なくとも[ユーザー - ユーザー・アカウントの管理]権限が必要)、手動でユーザーを追加することができます。ADユーザーに名前変更する前に、選択したユーザーに対して指定した権限についても考慮されます。
AD ユーザーを NetVault サーバに追加すると、NetVault は各ユーザー情報を AD から自動的に取得して NetVault のユーザー詳細に追加します。ただし、LinuxベースのNetVaultサーバーでは、ユーザーの詳細は最初のログイン後にのみ取得されます(ADユーザーが手動で追加された場合を除く)。WindowsベースのNetVaultサーバーでは、ユーザーを手動で追加すると、ユーザーが属するADグループに定義されている権限が自動的に割り当てられます。ユーザーが既存のローカルNetVaultアカウントを持つ場合、ローカル・ユーザーをADユーザーとして再定義する前に、そのアカウントに定義されている権限がNetVaultによって考慮されます。ユーザー・アカウントの追加、更新、および削除について詳しくは、「ユーザー・アカウントの作成」、「ユーザー・アカウントの変更」、および「ユーザー・アカウントの削除」を参照してください。
1 |
[ナビゲーション]パネルで、[ユーザーとグループ]をクリックします。 |
2 |
[ユーザー・アカウントおよびユーザー・グループ管理]ページで、[ユーザーの追加]をクリックします。 |
3 |
4 |
<domain>\<name>(domain\usernameなど)または<name>@<domain>(username@domain.comなど)の形式でADユーザー名を入力し、[適用]をクリックします。 |
ローカルNetVault管理者または管理者権限を持つAD NetVaultユーザーは、NetVaultからADユーザーを削除できます。この操作を行っても、Active Directory 内のユーザーのアカウントには影響しません。ユーザーが NetVault データベースから削除されるのみです。
1 |
[ナビゲーション]パネルで、[ユーザーとグループ]をクリックします。 |
2 |
[ユーザー・アカウントおよびユーザー・グループ管理]ページで、削除するユーザー・アカウントを選択して、[削除]をクリックします。 |
3 |
確認ダイアログ・ボックスで、[削除]をクリックします。 |
© 2024 Quest Software Inc. ALL RIGHTS RESERVED. 利用規約 プライバシー Cookie Preference Center