Skip to main content
SANtricity software
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Verzeichnisserver im SANtricity Unified Manager hinzufügen

Änderungen vorschlagen
PDFs

Um die Authentifizierung für Access Management zu konfigurieren, stellen Sie die Kommunikation zwischen einem LDAP-Server und dem Host her, auf dem der Web Services Proxy für SANtricity Unified Manager ausgeführt wird. Anschließend ordnen Sie die LDAP-Benutzergruppen den lokalen Benutzerrollen zu.

Bevor Sie beginnen

  • Sie müssen mit einem Benutzerprofil angemeldet sein, das über Security admin-Berechtigungen verfügt. Andernfalls werden die Access Management-Funktionen nicht angezeigt.

  • Benutzergruppen müssen in Ihrem Verzeichnisdienst definiert werden.

  • Die Anmeldeinformationen für den LDAP-Server müssen verfügbar sein, einschließlich des Domainnamens, der Server-URL und optional des Benutzernamens und des Passworts des Bind-Kontos.

  • Für LDAPS-Server, die ein sicheres Protokoll verwenden, muss die Zertifikatskette des LDAP-Servers auf Ihrem lokalen Rechner installiert sein.

Über diese Aufgabe

Das Hinzufügen eines Verzeichnisservers erfolgt in zwei Schritten. Zuerst geben Sie den Domänennamen und die URL ein. Wenn Ihr Server ein sicheres Protokoll verwendet, müssen Sie außerdem ein CA-Zertifikat zur Authentifizierung hochladen, falls es von einer nicht standardmäßigen Zertifizierungsstelle signiert wurde. Wenn Sie über Anmeldeinformationen für ein Bind-Konto verfügen, können Sie auch Ihren Benutzernamen und Ihr Passwort eingeben. Anschließend ordnen Sie die Benutzergruppen des LDAP-Servers den lokalen Benutzerrollen zu.

Schritte

  1. Wählen Sie Access Management.

  2. Wählen Sie auf der Registerkarte Directory Services die Option Add Directory Server.

    Das Dialogfeld „Verzeichnisserver hinzufügen“ wird geöffnet.

  3. Geben Sie auf der Registerkarte Server Settings die Anmeldeinformationen für den LDAP-Server ein.

    Felddetails
    Einstellung Beschreibung

    Konfigurationseinstellungen

    Domäne(n)

    Geben Sie den Domänennamen des LDAP-Servers ein. Für mehrere Domänen geben Sie die Domänennamen in einer durch Kommas getrennten Liste ein. Der Domänenname wird beim Login (Benutzername@Domäne) verwendet, um anzugeben, gegen welchen Verzeichnisserver die Authentifizierung erfolgen soll.

    Server-URL

    Geben Sie die URL für den Zugriff auf den LDAP-Server im Format ldap[s]://host:*port* ein.

    Zertifikat hochladen (optional)
    Hinweis Dieses Feld wird nur angezeigt, wenn im Feld Server URL oben ein LDAPS-Protokoll angegeben ist.

    Klicken Sie auf Durchsuchen und wählen Sie ein CA-Zertifikat zum Hochladen aus. Dies ist das vertrauenswürdige Zertifikat bzw. die Zertifikatskette, die zur Authentifizierung des LDAP-Servers verwendet wird.

    Konto binden (optional)

    Geben Sie ein Benutzerkonto mit lesen/schreiben für Suchanfragen gegen den LDAP-Server und für die Suche innerhalb der Gruppen ein. Geben Sie den Kontonamen im LDAP-Format ein. Wenn der Bind-Benutzer beispielsweise „bindacct“ heißt, könnten Sie einen Wert wie CN=bindacct,CN=Users,DC=cpoc,DC=local eingeben.

    Bind-Passwort (optional)
    Hinweis Dieses Feld erscheint, wenn Sie ein Bind-Konto eingeben.

    Geben Sie das Passwort für das Bind-Konto ein.

    Testen Sie die Serververbindung, bevor Sie sie hinzufügen

    Aktivieren Sie dieses Kontrollkästchen, wenn Sie sicherstellen möchten, dass das System mit der von Ihnen eingegebenen LDAP-Serverkonfiguration kommunizieren kann. Der Test erfolgt, nachdem Sie unten im Dialogfeld auf Add geklickt haben.

    Wenn dieses Kontrollkästchen aktiviert ist und der Test fehlschlägt, wird die Konfiguration nicht hinzugefügt. Sie müssen den Fehler beheben oder das Kontrollkästchen deaktivieren, um den Test zu überspringen und die Konfiguration hinzuzufügen.

    Berechtigungseinstellungen

    Suchbasis-DN

    Geben Sie den LDAP-Kontext ein, um nach Benutzern zu suchen, typischerweise in der Form CN=Users, DC=cpoc, DC=local.

    Benutzername-Attribut

    Geben Sie das Attribut ein, das an die Benutzer-ID für die Authentifizierung gebunden ist. Zum Beispiel: sAMAccountName.

    Gruppenattribut(e)

    Geben Sie eine Liste von Gruppenattributen des Benutzers ein, die für die Zuordnung von Gruppen zu Rollen verwendet wird. Zum Beispiel: memberOf, managedObjects.

  4. Klicken Sie auf die Registerkarte Role Mapping.

  5. Weisen Sie LDAP-Gruppen den vordefinierten Rollen zu. Einer Gruppe können mehrere Rollen zugewiesen sein.

    Felddetails
    Einstellung Beschreibung

    Zuordnungen

    Gruppen-DN

    Geben Sie den individuellen Name (DN) der zuzuordnenden LDAP-Benutzergruppe an. Reguläre Ausdrücke werden unterstützt. Diese Sonderzeichen regulärer Ausdrücke müssen mit einem Backslash (\) maskiert werden, wenn sie nicht Teil eines regulären Ausdrucksmusters sind: \.[]{}()<>*+-=!?^$

    Rollen

    Klicken Sie in das Feld und wählen Sie eine der lokalen Benutzerrollen aus, die dem Gruppen-DN zugeordnet werden soll. Sie müssen jede Rolle, die Sie für diese Gruppe hinzufügen möchten, einzeln auswählen. Die Rolle Monitor ist in Kombination mit den anderen Rollen erforderlich, um sich bei SANtricity Unified Manager anzumelden. Die zugeordneten Rollen umfassen die folgenden Berechtigungen:

    • Speicheradministrator — Voller lesen/schreiben-Zugriff auf Speicherobjekte in den Arrays, jedoch kein Zugriff auf die Sicherheitskonfiguration.

    • Sicherheitsadministrator — Zugriff auf die Sicherheitskonfiguration in Access Management und Certificate Management.

    • Support-Administrator — Zugriff auf alle Hardware-Ressourcen der Speichersysteme, Fehlerdaten und MEL-Ereignisse. Kein Zugriff auf Speicherobjekte oder die Sicherheitskonfiguration.

    • Monitor — Nur Lesezugriff auf alle Speicherobjekte, aber kein Zugriff auf die Sicherheitskonfiguration.
    Hinweis Die Rolle Monitor ist für alle Benutzer erforderlich, einschließlich des Administrators.

  6. Klicken Sie bei Bedarf auf Weitere Zuordnung hinzufügen, um weitere Gruppen-zu-Rollen-Zuordnungen einzugeben.

  7. Wenn Sie mit den Zuordnungen fertig sind, klicken Sie auf Hinzufügen.

    Das System führt eine Validierung durch, um sicherzustellen, dass das Speichersystem und der LDAP-Server miteinander kommunizieren können. Wenn eine Fehlermeldung erscheint, überprüfen Sie die im Dialogfeld eingegebenen Anmeldeinformationen und geben Sie die Informationen bei Bedarf erneut ein.