Skip to main content
Element Software
Hay disponible una nueva versión de este producto.
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Administrar LDAP

Colaboradores netapp-pcarriga
PDF

Puede configurar el Protocolo Ligero de Acceso a Directorios (LDAP) para habilitar la funcionalidad de inicio de sesión segura basada en directorios para el almacenamiento SolidFire . Puede configurar LDAP a nivel de clúster y autorizar usuarios y grupos LDAP.

La gestión de LDAP implica configurar la autenticación LDAP en un clúster SolidFire utilizando un entorno de Microsoft Active Directory existente y probar la configuración.

Nota Puedes utilizar direcciones IPv4 e IPv6.

Habilitar LDAP implica los siguientes pasos generales, descritos en detalle:

  1. Complete los pasos de preconfiguración para la compatibilidad con LDAP. Compruebe que dispone de todos los datos necesarios para configurar la autenticación LDAP.

  2. Habilitar la autenticación LDAP. Utilice la interfaz de usuario de Element o la API de Element.

  3. Validar la configuración LDAP. Opcionalmente, verifique que el clúster esté configurado con los valores correctos ejecutando el método de la API GetLdapConfiguration o revisando la configuración de LCAP mediante la interfaz de usuario de Element.

  4. Prueba la autenticación LDAP (con el readonly usuario). Compruebe que la configuración LDAP es correcta ejecutando el método API TestLdapAuthentication o utilizando la interfaz de usuario de Element. Para esta prueba inicial, utilice el nombre de usuario “sAMAccountName” de readonly usuario. Esto validará que su clúster esté configurado correctamente para la autenticación LDAP y también validará que el readonly Las credenciales y el acceso son correctos. Si este paso falla, repita los pasos del 1 al 3.

  5. Prueba la autenticación LDAP (con una cuenta de usuario que quieras agregar). Repita el paso 4 con una cuenta de usuario que desee agregar como administrador del clúster de Element. Copia el distinguished nombre (DN) o el usuario (o el grupo). Este DN se utilizará en el paso 6.

  6. Agregue el administrador del clúster LDAP (copie y pegue el DN del paso de prueba de autenticación LDAP). Utilizando la interfaz de usuario de Element o el método de la API AddLdapClusterAdmin, cree un nuevo usuario administrador de clúster con el nivel de acceso adecuado. Para el nombre de usuario, pegue el DN completo que copió en el paso 5. Esto garantiza que el DN esté formateado correctamente.

  7. Prueba el acceso de administrador del clúster. Inicie sesión en el clúster utilizando el usuario administrador del clúster LDAP recién creado. Si has añadido un grupo LDAP, puedes iniciar sesión como cualquier usuario de ese grupo.

Complete los pasos de preconfiguración para la compatibilidad con LDAP.

Antes de habilitar la compatibilidad con LDAP en Element, debe configurar un servidor de Active Directory de Windows y realizar otras tareas de preconfiguración.

Pasos

  1. Configurar un servidor de directorio activo de Windows.

  2. Opcional: Habilitar la compatibilidad con LDAPS.

  3. Crear usuarios y grupos.

  4. Cree una cuenta de servicio de solo lectura (como “sfreadonly”) para usarla para buscar en el directorio LDAP.

Habilite la autenticación LDAP con la interfaz de usuario de Element.

Puede configurar la integración del sistema de almacenamiento con un servidor LDAP existente. Esto permite a los administradores de LDAP gestionar de forma centralizada el acceso de los usuarios al sistema de almacenamiento.

Puede configurar LDAP mediante la interfaz de usuario de Element o la API de Element. Este procedimiento describe cómo configurar LDAP utilizando la interfaz de usuario de Element.

Este ejemplo muestra cómo configurar la autenticación LDAP en SolidFire y utiliza SearchAndBind como tipo de autenticación. El ejemplo utiliza un único servidor Active Directory de Windows Server 2012 R2.

Pasos

  1. Haga clic en Clúster > LDAP.

  2. Haga clic en para habilitar la autenticación LDAP.

  3. Haz clic en Añadir un servidor.

  4. Introduzca el Nombre de host/Dirección IP.

    Nota También se puede introducir un número de puerto personalizado opcional.

    Por ejemplo, para agregar un número de puerto personalizado, ingrese <nombre de host o dirección IP>:<número de puerto>

  5. Opcional: Seleccione Usar protocolo LDAPS.

  6. Introduzca la información requerida en Ajustes generales.

    Captura de pantalla de la información de Configuración general

  7. Haga clic en Habilitar LDAP.

  8. Haz clic en Probar autenticación de usuario si quieres probar el acceso al servidor de un usuario.

  9. Copie el nombre distintivo y la información del grupo de usuarios que aparece para utilizarlos posteriormente al crear administradores de clúster.

  10. Haz clic en Guardar cambios para guardar la nueva configuración.

  11. Para crear un usuario en este grupo para que cualquiera pueda iniciar sesión, complete lo siguiente:

    1. Haz clic en Usuario > Ver.

      Captura de pantalla de la página Crear un nuevo usuario

    2. Para el nuevo usuario, haga clic en LDAP para Tipo de usuario y pegue el grupo que copió en el campo Nombre distintivo.

    3. Seleccione los permisos, normalmente todos los permisos.

    4. Desplácese hacia abajo hasta el Acuerdo de Licencia de Usuario Final y haga clic en Acepto.

    5. Haga clic en Crear administrador de clúster.

      Ahora tienes un usuario con el valor de un grupo de Active Directory.

Para probar esto, cierre sesión en la interfaz de usuario de Element y vuelva a iniciar sesión como usuario de ese grupo.

Habilite la autenticación LDAP con la API de Element.

Puede configurar la integración del sistema de almacenamiento con un servidor LDAP existente. Esto permite a los administradores de LDAP gestionar de forma centralizada el acceso de los usuarios al sistema de almacenamiento.

Puede configurar LDAP mediante la interfaz de usuario de Element o la API de Element. Este procedimiento describe cómo configurar LDAP utilizando la API de Element.

Para aprovechar la autenticación LDAP en un clúster de SolidFire , primero debe habilitar la autenticación LDAP en el clúster mediante el siguiente método: EnableLdapAuthentication Método API.

Pasos

  1. Habilite primero la autenticación LDAP en el clúster utilizando EnableLdapAuthentication Método API.

  2. Ingrese la información requerida.

    {
     "method":"EnableLdapAuthentication",
     "params":{
          "authType": "SearchAndBind",
          "groupSearchBaseDN": "dc=prodtest,dc=solidfire,dc=net",
          "groupSearchType": "ActiveDirectory",
          "searchBindDN": "SFReadOnly@prodtest.solidfire.net",
          "searchBindPassword": "ReadOnlyPW",
          "userSearchBaseDN": "dc=prodtest,dc=solidfire,dc=net ",
          "userSearchFilter": "(&(objectClass=person)(sAMAccountName=%USERNAME%))"
          "serverURIs": [
               "ldap://172.27.1.189",
          [
     },
  "id":"1"
}

  3. Cambie los valores de los siguientes parámetros:

    Parámetros utilizados Descripción

    Tipo de autenticación: Buscar y vincular

    Indica que el clúster utilizará la cuenta de servicio de solo lectura para buscar primero al usuario que se está autenticando y, posteriormente, vincularlo si se encuentra y se autentica.

    groupSearchBaseDN: dc=prodtest,dc=solidfire,dc=net

    Especifica la ubicación en el árbol LDAP donde comenzar la búsqueda de grupos. Para este ejemplo, hemos utilizado la raíz de nuestro árbol. Si su árbol LDAP es muy grande, es posible que desee configurarlo en un subárbol más granular para disminuir los tiempos de búsqueda.

    userSearchBaseDN: dc=prodtest,dc=solidfire,dc=net

    Especifica la ubicación en el árbol LDAP donde comenzar la búsqueda de usuarios. Para este ejemplo, hemos utilizado la raíz de nuestro árbol. Si su árbol LDAP es muy grande, es posible que desee configurarlo en un subárbol más granular para disminuir los tiempos de búsqueda.

    groupSearchType: ActiveDirectory

    Utiliza el servidor Active Directory de Windows como servidor LDAP.

    		 
    userSearchFilter:
“(&(objectClass=person)(sAMAccountName=%USERNAME%))”

    Para usar el nombre principal de usuario (dirección de correo electrónico para iniciar sesión), puede cambiar el filtro de búsqueda de usuario a:

    “(&(objectClass=person)(userPrincipalName=%USERNAME%))”

    O bien, para buscar tanto userPrincipalName como sAMAccountName, puede utilizar el siguiente userSearchFilter:

    “(&(objectClass=person)(

    (sAMAccountName=%USERNAME%)(userPrincipalName=%USERNAME%)))” ----

    Utilizamos sAMAccountName como nombre de usuario para iniciar sesión en el clúster SolidFire . Estos ajustes le indican a LDAP que busque el nombre de usuario especificado durante el inicio de sesión en el atributo sAMAccountName y también que limite la búsqueda a las entradas que tengan “person” como valor en el atributo objectClass.

    searchBindDN

    Este es el nombre distintivo del usuario de solo lectura que se utilizará para buscar en el directorio LDAP. Para Active Directory, lo más sencillo suele ser utilizar el nombre principal de usuario (formato de dirección de correo electrónico) para el usuario.

    buscarContraseñaVinculada

Para probar esto, cierre sesión en la interfaz de usuario de Element y vuelva a iniciar sesión como usuario de ese grupo.

Ver detalles de LDAP

Consulte la información LDAP en la página LDAP de la pestaña Clúster.

Nota Debe habilitar LDAP para ver esta configuración de LDAP.

  1. Para ver los detalles de LDAP con la interfaz de usuario de Element, haga clic en Clúster > LDAP.

    • Nombre de host/Dirección IP: Dirección de un servidor de directorio LDAP o LDAPS.

    • Tipo de autenticación: El método de autenticación del usuario. Valores posibles:

      • Enlace directo

      • Buscar y enlazar

    • DN de enlace de búsqueda: Un DN completo para iniciar sesión y realizar una búsqueda LDAP del usuario (necesita acceso de nivel de enlace al directorio LDAP).

    • Contraseña de enlace de búsqueda: Contraseña utilizada para autenticar el acceso al servidor LDAP.

    • DN base de búsqueda de usuarios: El DN base del árbol utilizado para iniciar la búsqueda de usuarios. El sistema busca en el subárbol desde la ubicación especificada.

    • Filtro de búsqueda de usuario: Introduzca lo siguiente utilizando su nombre de dominio:

      (&(objectClass=person)(|(sAMAccountName=%USERNAME%)(userPrincipalName=%USERNAME%)))

    • Tipo de búsqueda de grupo: Tipo de búsqueda que controla el filtro de búsqueda de grupo predeterminado utilizado. Valores posibles:

      • Active Directory: Membresía anidada de todos los grupos LDAP de un usuario.

      • Sin grupos: No hay soporte para grupos.

      • DN de miembro: Grupos de estilo DN de miembro (de un solo nivel).

    • DN base de búsqueda de grupo: El DN base del árbol utilizado para iniciar la búsqueda de grupo. El sistema busca en el subárbol desde la ubicación especificada.

    • Prueba de autenticación de usuario: Después de configurar LDAP, utilice esto para probar la autenticación de nombre de usuario y contraseña para el servidor LDAP. Introduce una cuenta que ya exista para probar esto. Aparece el nombre distintivo y la información del grupo de usuarios, que puede copiar para su uso posterior al crear administradores de clúster.

Prueba la configuración LDAP

Tras configurar LDAP, debe probarlo utilizando la interfaz de usuario de Element o la API de Element. TestLdapAuthentication método.

Pasos

  1. Para probar la configuración LDAP con la interfaz de usuario de Element, haga lo siguiente:

    1. Haga clic en Clúster > LDAP.

    2. Haga clic en Probar autenticación LDAP.

    3. Resuelva cualquier problema utilizando la información de la siguiente tabla:

      Mensaje de error Descripción 
      xLDAPUserNotFound

      • No se encontró al usuario que se estaba probando en la configuración. userSearchBaseDN subárbol.

      • El userSearchFilter está configurado incorrectamente.

      		 
      xLDAPBindFailed (Error: Invalid credentials)

      • El nombre de usuario que se está probando es un usuario LDAP válido, pero la contraseña proporcionada es incorrecta.

      • El nombre de usuario que se está probando es un usuario LDAP válido, pero la cuenta está actualmente deshabilitada.

      		 
      xLDAPSearchBindFailed (Error: Can't contact LDAP server)

      La URI del servidor LDAP es incorrecta.

      		 
      xLDAPSearchBindFailed (Error: Invalid credentials)

      El nombre de usuario o la contraseña de solo lectura están configurados incorrectamente.

      		 
      xLDAPSearchFailed (Error: No such object)

      El userSearchBaseDN no es una ubicación válida dentro del árbol LDAP.

      		 
      xLDAPSearchFailed (Error: Referral)

      • El userSearchBaseDN no es una ubicación válida dentro del árbol LDAP.

      • El userSearchBaseDN y groupSearchBaseDN están en una unidad organizativa anidada. Esto puede causar problemas de permisos. La solución alternativa consiste en incluir la OU en las entradas DN base de usuario y grupo, (por ejemplo: ou=storage, cn=company, cn=com )

  2. Para probar la configuración LDAP con la API de Element, haga lo siguiente:

    1. Llama al método TestLdapAuthentication.

      {
  "method":"TestLdapAuthentication",
     "params":{
        "username":"admin1",
        "password":"admin1PASS
      },
      "id": 1
}

    2. Revisa los resultados. Si la llamada a la API se realiza correctamente, los resultados incluyen el nombre distintivo del usuario especificado y una lista de los grupos a los que pertenece el usuario.

      {
"id": 1
     "result": {
         "groups": [
              "CN=StorageMgmt,OU=PTUsers,DC=prodtest,DC=solidfire,DC=net"
         ],
         "userDN": "CN=Admin1 Jones,OU=PTUsers,DC=prodtest,DC=solidfire,DC=net"
     }
}

Deshabilitar LDAP

Puede deshabilitar la integración LDAP mediante la interfaz de usuario de Element.

Antes de comenzar, debe anotar todas las opciones de configuración, ya que deshabilitar LDAP borra todas las configuraciones.

Pasos

  1. Haga clic en Clúster > LDAP.

  2. Haga clic en No.

  3. Haga clic en Deshabilitar LDAP.

Encuentra más información