Añadir servidor de directorio
Para configurar la autenticación de Access Management, se debe establecer la comunicación entre un servidor LDAP y el host donde se ejecuta el proxy de servicios web para Unified Manager. A continuación, se deben asignar los grupos de usuarios LDAP a los roles de usuario local.
-
Debe iniciar sesión con un perfil de usuario que cuente con permisos de administración de seguridad. De lo contrario, no se mostrarán las funciones de Access Management.
-
Debe haber grupos de usuarios definidos en el servicio de directorio.
-
Deben estar disponibles las credenciales del servidor LDAP, incluidos el nombre de dominio y la URL del servidor y, de manera opcional, el nombre de usuario y la contraseña de la cuenta de enlace.
-
En el caso de los servidores LDAPS que utilizan un protocolo seguro, se debe instalar la cadena de certificados del servidor LDAP en la máquina local.
La adición de un servidor de directorio es un proceso que consta de dos pasos. Primero, se debe introducir la URL y el nombre de dominio. Si el servidor utiliza un protocolo seguro, se debe cargar también un certificado de CA para autenticación si no se encuentra firmado por una entidad de firma estándar. Si se poseen credenciales de una cuenta de enlace, es posible introducir también el nombre de cuenta de usuario y la contraseña. Luego, se deben asignar los grupos de usuarios del servidor LDAP a los roles de usuario local.
-
Seleccione Access Management.
-
En la ficha Servicios de directorio, seleccione Agregar servidor de directorio.
Se abre el cuadro de diálogo Añadir servidor de directorio.
-
En la ficha Configuración del servidor, introduzca las credenciales del servidor LDAP.
Detalles del campo
Ajuste Descripción Ajustes de configuración
Dominios
Introduzca el nombre de dominio del servidor LDAP. Si desea introducir varios dominios, escríbalos en una lista separada por comas. El nombre de dominio se utiliza en el inicio de sesión (username@domain) para especificar con qué servidor de directorio debe realizarse la autenticación.
URL del servidor
Introduzca la URL para acceder al servidor LDAP con el formato
ldap[s]://host:*port*
.Cargar certificado (opcional)
Este campo aparece solo si se especifica un protocolo LDAPS en el campo URL del servidor arriba. Haga clic en examinar y seleccione un certificado de CA para cargar. Este es el certificado o la cadena de certificados de confianza utilizado para autenticar el servidor LDAP.
Enlazar cuenta (opcional)
Introduzca una cuenta de usuario de solo lectura para realizar consultas de búsqueda en el servidor LDAP y para buscar dentro de los grupos. Introduzca el nombre de cuenta con formato tipo LDAP. Por ejemplo, si el usuario de enlace se denomina «bindacct», puede introducir un valor
CN=bindacct,CN=Users,DC=cpoc,DC=local
como .Enlazar contraseña (opcional)
Este campo se muestra cuando se introduce una cuenta de enlace. Introduzca la contraseña de la cuenta de enlace.
Probar conexión del servidor antes de añadir
Seleccione esta casilla de comprobación si desea asegurarse de que el sistema pueda comunicarse con la configuración de servidor LDAP que introdujo. La prueba se produce después de hacer clic en Agregar en la parte inferior del cuadro de diálogo.
Si esta casilla de comprobación está seleccionada y la prueba falla, no se añadirá la configuración. Debe resolver el error o anular la selección de la casilla de comprobación para omitir la comprobación y añadir la configuración.
Configuración de privilegios
DN base de búsqueda
Introduzca el contexto de LDAP para buscar usuarios, normalmente con el formato
CN=Users, DC=cpoc, DC=local
.Atributo de nombre de usuario
Introduzca el atributo vinculado al ID de usuario para los fines de autenticación. Por ejemplo
sAMAccountName
: .Atributos de grupo
Introduzca una lista de atributos de grupo en el usuario, que se utilizará para la asignación de grupos a roles. Por ejemplo
memberOf, managedObjects
: . -
Haga clic en la ficha asignación de roles.
-
Asigne grupos LDAP a los roles predefinidos. Un grupo puede tener varios roles asignados.
Detalles del campo
Ajuste Descripción Asignaciones
DN de grupo
Especifique el nombre distintivo (DN) del grupo correspondiente al grupo de usuarios LDAP que se asignará. Se admiten expresiones regulares. Estos caracteres especiales de expresión regular deben escaparse con una barra diagonal inversa (\) si no forman parte de un patrón de expresión regular: \.[]{}()<>*+-=?<$
Funciones
Haga clic en el campo y seleccione uno de los roles de usuario local que se asignará al DN del grupo. Debe seleccionar individualmente cada rol que desee incluir en este grupo. Se requiere el rol de supervisión junto con los demás roles para iniciar sesión en SANtricity Unified Manager. Los roles asignados incluyen los siguientes permisos:
-
Storage admin — acceso completo de lectura/escritura a los objetos de almacenamiento de las matrices, pero sin acceso a la configuración de seguridad.
-
Security admin — acceso a la configuración de seguridad en Access Management y Certificate Management.
-
Support admin — acceso a todos los recursos de hardware en matrices de almacenamiento, datos de fallos y eventos MEL. No brinda acceso a los objetos de almacenamiento ni a la configuración de seguridad.
-
Monitor — acceso de sólo lectura a todos los objetos de almacenamiento, pero sin acceso a la configuración de seguridad.
El rol de supervisión se requiere para todos los usuarios, incluido el administrador. -
-
Si lo desea, haga clic en Agregar otra asignación para introducir más asignaciones de grupo a rol.
-
Cuando termine de asignar, haga clic en Agregar.
El sistema realiza una validación y se asegura de que la cabina de almacenamiento y el servidor LDAP pueden comunicarse. Si aparece un mensaje de error, compruebe las credenciales que introdujo en el cuadro de diálogo y vuelva a introducir la información, de ser necesario.