Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Añadir servidor de directorio LDAP

Colaboradores
PDF

Para configurar la autenticación de Access Management, se pueden establecer comunicaciones entre la cabina de almacenamiento y un servidor LDAP, y luego asignar los grupos de usuarios LDAP a los roles predefinidos de la cabina.

Antes de empezar

  • Debe iniciar sesión con un perfil de usuario que cuente con permisos de administración de seguridad. De lo contrario, no se mostrarán las funciones de Access Management.

  • Debe haber grupos de usuarios definidos en el servicio de directorio.

  • Deben estar disponibles las credenciales del servidor LDAP, incluidos el nombre de dominio y la URL del servidor y, de manera opcional, el nombre de usuario y la contraseña de la cuenta de enlace.

  • En el caso de los servidores LDAPS que utilizan un protocolo seguro, se debe instalar la cadena de certificados del servidor LDAP en la máquina local.

Acerca de esta tarea

La adición de un servidor de directorio es un proceso que consta de dos pasos. Primero, se debe introducir la URL y el nombre de dominio. Si el servidor utiliza un protocolo seguro, se debe cargar además un certificado de CA para autenticación, si no está firmado por una entidad de firma estándar. Si se poseen credenciales de una cuenta de enlace, también es posible introducir el nombre de cuenta de usuario y la contraseña. Luego, se deben asignar los grupos de usuarios del servidor LDAP a los roles predefinidos de la cabina de almacenamiento.

Nota

Durante el procedimiento para añadir un servidor LDAP, se deshabilitará la interfaz de gestión heredada. La interfaz de gestión heredada (Symbol) es un método de comunicación entre la cabina de almacenamiento y el cliente de gestión. Cuando se encuentra deshabilitada, la cabina de almacenamiento y el cliente de gestión utilizan un método de comunicación más seguro (API DE REST por https).
Pasos

  1. Seleccione MENU:Settings[Access Management].

  2. En la ficha Servicios de directorio, seleccione Agregar servidor de directorio.

    Se abre el cuadro de diálogo Añadir servidor de directorio.

  3. En la pestaña Configuración del servidor, introduzca las credenciales del servidor LDAP.

    Detalles del campo
    Ajuste Descripción

    Ajustes de configuración

    Dominios

    Introduzca el nombre de dominio del servidor LDAP. Si desea introducir varios dominios, escríbalos en una lista separada por comas. El nombre de dominio se utiliza en el inicio de sesión (username@domain) para especificar con qué servidor de directorio debe realizarse la autenticación.

    URL del servidor

    Introduzca la URL para acceder al servidor LDAP con el formato ldap[s]://host:*port* .

    Cargar certificado (opcional)
    Nota Este campo aparece solo si se especifica un protocolo LDAPS en el campo URL del servidor arriba.

    Haga clic en examinar y seleccione un certificado de CA para cargar. Este es el certificado o la cadena de certificados de confianza utilizado para autenticar el servidor LDAP.

    Enlazar cuenta (opcional)

    Introduzca una cuenta de usuario de solo lectura para realizar consultas de búsqueda en el servidor LDAP y para buscar dentro de los grupos. Introduzca el nombre de cuenta con formato tipo LDAP. Por ejemplo, si el usuario de enlace se denomina "bindacct", puede introducir un valor como el siguiente: "CN=bindacct,CN=Users,DC=cpoc,DC=local".

    Enlazar contraseña (opcional)
    Nota Este campo aparece cuando introduce una cuenta de enlace arriba.

    Introduzca la contraseña de la cuenta de enlace.

    Probar conexión del servidor antes de añadir

    Seleccione esta casilla de comprobación si desea asegurarse de que la cabina de almacenamiento pueda comunicarse con la configuración de servidor LDAP que introdujo. La prueba se produce después de hacer clic en Agregar en la parte inferior del cuadro de diálogo. Si esta casilla de comprobación está seleccionada y la prueba falla, no se añadirá la configuración. Debe resolver el error o anular la selección de la casilla de comprobación para omitir la comprobación y añadir la configuración.

    Ajustes de privilegios

    DN base de búsqueda

    Introduzca el contexto de LDAP para buscar usuarios, normalmente con el formato CN=Users, DC=cpoc, DC=local .

    Atributo de nombre de usuario

    Introduzca el atributo vinculado al ID de usuario para los fines de autenticación. Por ejemplo sAMAccountName: .

    Atributos de grupo\(s\)

    Introduzca una lista de atributos de grupo en el usuario, que se utilizará para la asignación de grupos a roles. Por ejemplo memberOf, managedObjects: .

  4. Haga clic en la ficha asignación de roles.

  5. Asigne grupos LDAP a los roles predefinidos. Un grupo puede tener varios roles asignados.

    Detalles del campo
    Ajuste Descripción

    Asignaciones

    DN de grupo

    Especifique el nombre distintivo (DN) del grupo correspondiente al grupo de usuarios LDAP que se asignará. Se admiten expresiones regulares. Estos caracteres especiales de expresión regular se deben escapar con una barra invertida (\) si no forman parte de un patrón de expresión regular: \.[]{}()<>*+-=!?^$

    Funciones

    Haga clic en el campo y seleccione uno de los roles de la cabina de almacenamiento que se asignará al DN del grupo. Debe seleccionar individualmente cada rol que desee incluir en este grupo. Se necesita el rol de supervisión en combinación con los demás roles para iniciar sesión en SANtricity System Manager. Los roles asignados incluyen los siguientes permisos:

    • Storage admin — acceso completo de lectura/escritura a los objetos de almacenamiento (por ejemplo, volúmenes y pools de discos), pero sin acceso a la configuración de seguridad.

    • Administración de seguridad — acceso a la configuración de seguridad en Access Management, administración de certificados, administración de registros de auditoría y la capacidad de activar o desactivar la interfaz de administración heredada (Symbol).

    • Support admin — acceso a todos los recursos de hardware en la cabina de almacenamiento, datos de fallos, eventos MEL y actualizaciones del firmware de la controladora. No brinda acceso a los objetos de almacenamiento ni a la configuración de seguridad.

    • Monitor — acceso de sólo lectura a todos los objetos de almacenamiento, pero sin acceso a la configuración de seguridad.
    Nota

    El rol de supervisión se requiere para todos los usuarios, incluido el administrador. System Manager no funcionará correctamente para los usuarios que no tengan el rol de supervisión.

  6. Si lo desea, haga clic en Agregar otra asignación para introducir más asignaciones de grupo a rol.

  7. Cuando termine de asignar, haga clic en Agregar.

    El sistema realiza una validación y se asegura de que la cabina de almacenamiento y el servidor LDAP pueden comunicarse. Si aparece un mensaje de error, compruebe las credenciales que introdujo en el cuadro de diálogo y vuelva a introducir la información, de ser necesario.