はじめに
Aruba ClearPass Policy Manager (以下、CPPM) にて AD と連携して認証を行う場合、CPPM を当該 AD ドメインに参加させます。
ここで、CPPM を複数の AD ドメインに参加させることができます。
以下では、CPPM を複数の AD ドメインに参加させる設定例を記載します。
作業環境
- Aruba ClearPass Policy Manager 6.7.X
2 つの AD ドメインに参加させる設定
構成イメージ
1 つ目のドメインへの参加
まずはドメイン domain.nwengblog.com
に参加させます。
[管理 » サーバー・マネージャー » サーバー設定] 画面で対象のサーバをクリックします。
サーバ設定画面の [システム] タブ画面下部の [Join AD Domain] をクリックします。
以下の画面が表示されるため、各項目を設定します。
- ドメインコントローラー → AD サーバのフルコンピューター名を入力
- ClearPass が名前解決できる必要があります → 適切な DNS サーバの設定をしておくこと
- コントローラー名が競合する場合: → 「指定したドメインことローラーを使用する」を選択
- ユーザー名/パスワード → ドメイン管理者権限のあるユーザーを指定
各項目を指定できたら [Save] をクリックします。ドメイン参加処理が開始されます。
以下の画面が表示されたらドメイン参加完了です。[Close] をクリックします。
サーバー設定画面の [システム] タブ画面下部に参加しているドメインの情報が表示されていることを確認します。その後、画面右下の [保存] をクリックした上で [サーバー設定に戻る] をクリックし、一旦前の画面に戻ります。
以下画面で再度対象サーバーをクリックし、サーバー設定画面へ移行します。
[サービス・コントロール] タブを開き、画面一番下に「○○ Domain service」が表示されステータスが実行中となっていることを確認します。「○○」の部分には参加したドメインの NetBIOS 名が入ります。
以上で 1 つ目のドメインへの参加は完了です。
2 つ目のドメインへの参加
続いて 2 つ目のドメイン domain2.hoge.piyo
に参加させます。
サーバー設定画面の [システム] タブ画面下部の [Join AD Domain] をクリックします。
以下の画面が表示されるため、1 つ目のドメインに参加したときと同様に各項目を設定し [Save] をクリックします。
以下の画面が表示されたら [Close] をクリックします。
サーバー設定画面の [システム] タブ画面の AD ドメイン欄に 2 つ目のドメインの情報も表示されていることを確認します。
画面右下の [保存] をクリックし [サーバー設定に戻る] をクリックして一旦前の画面に戻ります。その後、再度サーバー設定画面を開き [サービス・コントロール] タブを開きます。
2 つ目のドメインに関しても「○○ Domain service」が表示され、ステータスが実行中であることを確認します。
以上で 2 つ目のドメインへの参加は完了です。
備考
- 一つのドメイン内でドメイン・コントローラーが 2 台存在し、かつその 2 台でレプリケーション(同期)されている場合、CPPM でのドメイン参加処理は 1 台のドメイン・コントローラーに対してのみ行えば十分
- 参加先ドメインはどちらのドメイン・コントローラーを指定しても同じなため
- CPPM で AD 連携による認証動作が発生したときは、CPPM はドメイン名を使用して名前解決してドメインにアクセスする
―――――――――――――