Fügen Sie einen LDAP-Verzeichnisserver hinzu
Um die Authentifizierung für die Zugriffsverwaltung zu konfigurieren, können Sie die Kommunikation zwischen dem Speicher-Array und einem LDAP-Server herstellen und die LDAP-Benutzergruppen den vordefinierten Rollen des Arrays zuordnen.
-
Sie müssen mit einem Benutzerprofil angemeldet sein, das Sicherheitsadministratorberechtigungen enthält. Andernfalls werden die Zugriffsverwaltungsfunktionen nicht angezeigt.
-
Benutzergruppen müssen in Ihrem Verzeichnisdienst definiert sein.
-
LDAP-Serveranmeldeinformationen müssen verfügbar sein, einschließlich Domänenname, Server-URL und optional Benutzername und Kennwort für das Bindekonto.
-
Bei LDAPS-Servern mit einem sicheren Protokoll muss die Zertifikatskette des LDAP-Servers auf Ihrem lokalen Computer installiert sein.
Das Hinzufügen eines Verzeichnisservers ist ein zweistufiger Prozess. Geben Sie zuerst den Domain-Namen und die URL ein. Wenn Ihr Server ein sicheres Protokoll verwendet, müssen Sie auch ein CA-Zertifikat zur Authentifizierung hochladen, wenn es von einer nicht standardmäßigen Signierungsbehörde signiert ist. Wenn Sie über Anmeldedaten für ein Bindekonto verfügen, können Sie auch Ihren Benutzernamen und Ihr Kennwort eingeben. Als Nächstes werden die Benutzergruppen des LDAP-Servers den vordefinierten Rollen des Speicher-Arrays zugeordnet.
Während des Verfahrens zum Hinzufügen eines LDAP-Servers wird die alte Verwaltungsschnittstelle deaktiviert. Die alte Managementoberfläche (Symbol) ist eine Methode der Kommunikation zwischen dem Storage-Array und dem Management-Client. Wenn die Option deaktiviert ist, nutzen das Storage-Array und der Management-Client eine sicherere Kommunikationsmethode (REST-API über HTTPS). |
-
Wählen Sie Menü:Einstellungen[Zugriffsverwaltung].
-
Wählen Sie auf der Registerkarte Verzeichnisdienste die Option Verzeichnisserver hinzufügen aus.
Das Dialogfeld Add Directory Server wird geöffnet.
-
Geben Sie auf der Registerkarte Servereinstellungen die Anmeldeinformationen für den LDAP-Server ein.
Felddetails
Einstellung Beschreibung Konfigurationseinstellungen
Domäne(en)
Geben Sie den Domänennamen des LDAP-Servers ein. Geben Sie für mehrere Domänen die Domänen in eine kommagetrennte Liste ein. Der Domänenname wird in der Anmeldung (username@Domain) verwendet, um anzugeben, gegen welchen Verzeichnisserver sich authentifizieren soll.
Server-URL
Geben Sie die URL für den Zugriff auf den LDAP-Server in Form von ein
ldap[s]://host:*port*
.Zertifikat hochladen (optional)
Dieses Feld wird nur angezeigt, wenn ein LDAPS-Protokoll im obigen Feld Server-URL angegeben wird. Klicken Sie auf Durchsuchen und wählen Sie ein CA-Zertifikat zum Hochladen aus. Dies ist das vertrauenswürdige Zertifikat oder die Zertifikatskette, die für die Authentifizierung des LDAP-Servers verwendet wird.
Konto binden (optional)
Geben Sie ein schreibgeschütztes Benutzerkonto ein, um Suchanfragen auf dem LDAP-Server und für die Suche in den Gruppen durchzuführen. Geben Sie den Kontonamen im LDAP-Format ein. Wenn der Bindebenutzer beispielsweise „bind-Benutzer“ heißt, können Sie einen Wert wie „CN=bindact,CN=users,DC=cpoc,DC=local“ eingeben.
Bindepasswort (optional)
Dieses Feld wird angezeigt, wenn Sie oben ein Bindungskonto eingeben. Geben Sie das Passwort für das Bindekonto ein.
Testen Sie die Serververbindung, bevor Sie sie hinzufügen
Aktivieren Sie dieses Kontrollkästchen, wenn Sie sicherstellen möchten, dass das Speicher-Array mit der eingegebenen LDAP-Serverkonfiguration kommunizieren kann. Der Test erfolgt, nachdem Sie unten im Dialogfeld auf Hinzufügen geklickt haben. Wenn dieses Kontrollkästchen aktiviert ist und der Test fehlschlägt, wird die Konfiguration nicht hinzugefügt. Sie müssen den Fehler beheben oder das Kontrollkästchen deaktivieren, um den Test zu überspringen und die Konfiguration hinzuzufügen.
Berechtigungs-Einstellungen
Basis-DN suchen
Geben Sie den LDAP-Kontext ein, um nach Benutzern zu suchen, normalerweise in Form von
CN=Users, DC=cpoc, DC=local
.Attribut Benutzername
Geben Sie das Attribut ein, das zur Authentifizierung an die Benutzer-ID gebunden ist. Beispiel:
sAMAccountName
.Gruppenattribut\(s\)
Geben Sie eine Liste der Gruppenattribute für den Benutzer ein, die für die Zuordnung von Gruppen zu Rollen verwendet werden. Beispiel:
memberOf, managedObjects
. -
Klicken Sie auf die Registerkarte Rollenzuordnung.
-
Weisen Sie den vordefinierten Rollen LDAP-Gruppen zu. Einer Gruppe können mehrere Rollen zugewiesen sein.
Felddetails
Einstellung Beschreibung Zuordnungen
Gruppen-DN
Geben Sie den Group Distinguished Name (DN) für die zu zugeordnete LDAP-Benutzergruppe an. Reguläre Ausdrücke werden unterstützt. Diese speziellen regulären Ausdruckszeichen müssen mit einem umgekehrten Schrägstrich entgangen werden (`\`Wenn sie nicht Teil eines regulären Ausdrucksmusters sind: \.[]{}()<>*+-=!?^
Rollen
Die Überwachungsrolle ist für alle Benutzer, einschließlich des Administrators, erforderlich. Der System Manager funktioniert ohne die vorhandene Monitorrolle nicht ordnungsgemäß für alle Benutzer.
-
Klicken Sie auf Weitere Zuordnungen hinzufügen, um weitere Gruppen-zu-Rolle-Zuordnungen einzugeben.
-
Wenn Sie mit den Zuordnungen fertig sind, klicken Sie auf Hinzufügen.
Das System führt eine Validierung durch und stellt sicher, dass das Speicher-Array und der LDAP-Server kommunizieren können. Wenn eine Fehlermeldung angezeigt wird, überprüfen Sie die im Dialogfeld eingegebenen Anmeldeinformationen, und geben Sie die Informationen ggf. erneut ein.