Skip to main content
È disponibile una versione più recente di questo prodotto.
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Aggiungere il server di directory

Collaboratori

Per configurare l'autenticazione per la gestione degli accessi, è necessario stabilire le comunicazioni tra un server LDAP e l'host che esegue il proxy dei servizi Web per Unified Manager. Quindi, associare i gruppi di utenti LDAP ai ruoli utente locali.

Prima di iniziare
  • È necessario effettuare l'accesso con un profilo utente che includa le autorizzazioni di amministratore di sicurezza. In caso contrario, le funzioni di gestione degli accessi non vengono visualizzate.

  • I gruppi di utenti devono essere definiti nel servizio di directory.

  • Le credenziali del server LDAP devono essere disponibili, inclusi il nome di dominio, l'URL del server e, facoltativamente, il nome utente e la password dell'account BIND.

  • Per i server LDAPS che utilizzano un protocollo sicuro, la catena di certificati del server LDAP deve essere installata sul computer locale.

A proposito di questa attività

L'aggiunta di un server di directory è un processo in due fasi. Immettere innanzitutto il nome di dominio e l'URL. Se il server utilizza un protocollo sicuro, è necessario caricare anche un certificato CA per l'autenticazione se è firmato da un'autorità di firma non standard. Se si dispone delle credenziali per un account BIND, è anche possibile immettere il nome e la password dell'account utente. Quindi, mappare i gruppi di utenti del server LDAP ai ruoli utente locali.

Fasi
  1. Selezionare Access Management.

  2. Dalla scheda Directory Services, selezionare Add Directory Server (Aggiungi server di directory).

    Viene visualizzata la finestra di dialogo Add Directory Server (Aggiungi server di directory).

  3. Nella scheda Server Settings (Impostazioni server), immettere le credenziali per il server LDAP.

    Dettagli del campo
    Impostazione Descrizione

    Impostazioni di configurazione

    Dominio/i

    Immettere il nome di dominio del server LDAP. Per più domini, inserire i domini in un elenco separato da virgole. Il nome di dominio viene utilizzato nel login (nome utente@dominio) per specificare il server di directory da autenticare.

    URL del server

    Immettere l'URL per l'accesso al server LDAP nel formato ldap[s]://host:*port*.

    Carica certificato (opzionale)

    Nota Questo campo viene visualizzato solo se è stato specificato un protocollo LDAPS nel campo URL server sopra riportato.

    Fare clic su Browse (Sfoglia) e selezionare un certificato CA da caricare. Si tratta del certificato attendibile o della catena di certificati utilizzata per l'autenticazione del server LDAP.

    Account BIND (opzionale)

    Inserire un account utente di sola lettura per le query di ricerca sul server LDAP e per la ricerca all'interno dei gruppi. Immettere il nome dell'account in formato LDAP. Ad esempio, se l'utente bindacct è chiamato "bindacct", è possibile immettere un valore come CN=bindacct,CN=Users,DC=cpoc,DC=local.

    Password bind (opzionale)

    Nota Questo campo viene visualizzato quando si immette un account BIND.

    Immettere la password per l'account BIND.

    Verificare la connessione al server prima di aggiungerli

    Selezionare questa casella di controllo per assicurarsi che il sistema possa comunicare con la configurazione del server LDAP immessa. Il test si verifica dopo aver fatto clic su Add (Aggiungi) nella parte inferiore della finestra di dialogo.

    Se questa casella di controllo è selezionata e il test non riesce, la configurazione non viene aggiunta. È necessario risolvere l'errore o deselezionare la casella di controllo per saltare il test e aggiungere la configurazione.

    Impostazioni dei privilegi

    Ricerca DN base

    Immettere il contesto LDAP per la ricerca degli utenti, in genere sotto forma di CN=Users, DC=cpoc, DC=local.

    Attributo Username

    Inserire l'attributo associato all'ID utente per l'autenticazione. Ad esempio: sAMAccountName.

    Attributo/i di gruppo

    Inserire un elenco di attributi di gruppo nell'utente, che viene utilizzato per il mapping gruppo-ruolo. Ad esempio: memberOf, managedObjects.

  4. Fare clic sulla scheda mappatura ruolo.

  5. Assegnare i gruppi LDAP ai ruoli predefiniti. Un gruppo può avere più ruoli assegnati.

    Dettagli del campo
    Impostazione Descrizione

    Mapping

    DN gruppo

    Specificare il nome distinto del gruppo (DN) per il gruppo di utenti LDAP da mappare. Sono supportate le espressioni regolari. Questi caratteri speciali di espressione regolare devono essere escapati con una barra rovesciata () se non fanno parte di un modello di espressione regolare: []{}()<>*+-=!?^

    Ruoli

    Fare clic nel campo e selezionare uno dei ruoli utente locali da mappare al DN del gruppo. È necessario selezionare singolarmente ciascun ruolo che si desidera includere per questo gruppo. Il ruolo di monitoraggio è necessario in combinazione con gli altri ruoli per accedere a Gestione unificata di SANtricity. I ruoli mappati includono le seguenti autorizzazioni:

    • Storage admin — accesso completo in lettura/scrittura agli oggetti storage sugli array, ma nessun accesso alla configurazione di sicurezza.

    • Security admin — accesso alla configurazione di sicurezza in Access Management e Certificate Management.

    • Support admin — accesso a tutte le risorse hardware su storage array, dati di guasto ed eventi MEL. Nessun accesso agli oggetti di storage o alla configurazione di sicurezza.

    • Monitor — accesso in sola lettura a tutti gli oggetti di storage, ma nessun accesso alla configurazione di sicurezza.

    Nota Il ruolo Monitor è necessario per tutti gli utenti, incluso l'amministratore.
  6. Se lo si desidera, fare clic su Add another mapping (Aggiungi un'altra mappatura) per immettere più mappature gruppo-ruolo.

  7. Al termine delle mappature, fare clic su Aggiungi.

    Il sistema esegue una convalida, assicurandosi che lo storage array e il server LDAP possano comunicare. Se viene visualizzato un messaggio di errore, selezionare le credenziali inserite nella finestra di dialogo e, se necessario, immettere nuovamente le informazioni.