Skip to main content
SANtricity software
11.9
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Aggiungi un LDAP directory server in SANtricity System Manager

PDF

Per configurare l'autenticazione per Access Management, è possibile stabilire comunicazioni tra l'array di storage e un LDAP server, e quindi mappare i gruppi di utenti LDAP ai ruoli predefiniti dell'array.

Prima di iniziare

  • È necessario aver effettuato l'accesso con un profilo utente che includa le autorizzazioni di Security admin. In caso contrario, le funzioni di Access Management non vengono visualizzate.

  • I gruppi di utenti devono essere definiti nel servizio di directory.

  • Le credenziali dell'LDAP server devono essere disponibili, inclusi il domain name, l'URL del server e, facoltativamente, il nome utente e la password dell'account di bind.

  • Per i server LDAPS che utilizzano un protocollo sicuro, la catena di certificati del LDAP server deve essere installata sul computer locale.

Informazioni su questa attività

L'aggiunta di un server di directory è un processo in due fasi. Innanzitutto, si immettono il domain name e l'URL. Se il server utilizza un protocollo sicuro, è necessario caricare anche un certificato CA per l'autenticazione se è firmato da un'autorità di firma non standard. Se si dispone delle credenziali per un bind account, è possibile inserire anche il nome utente e la password. Successivamente, si associano i gruppi di utenti del LDAP server ai ruoli predefiniti dell'array di storage.

Nota

Durante la procedura di aggiunta di un LDAP server, l'interfaccia di gestione legacy verrà disabilitata. L'interfaccia di gestione legacy (SYMbol) è un metodo di comunicazione tra l'array di storage e il client di gestione. Quando disabilitata, l'array di storage e il client di gestione utilizzano un metodo di comunicazione più sicuro (REST API su https).
Passaggi

  1. Selezionare Settings  Access Management.

  2. Dalla scheda Directory Services, selezionare Add Directory Server.

    Si apre la finestra di dialogo Add Directory Server.

  3. Nella scheda Impostazioni server, inserire le credenziali per il LDAP server.

    Dettagli del campo
    Impostazione Descrizione

    Impostazioni di configurazione

    Dominio(i)

    Inserisci il domain name del LDAP server. Per più domain name, inseriscili in un elenco separato da virgole. Il domain name viene utilizzato nel login (username@domain) per specificare quale directory server utilizzare per l'autenticazione.

    URL del server

    Inserire l'URL per accedere al LDAP server nel formato ldap[s]://host:*port*.

    Carica certificato (facoltativo)
    Nota Questo campo viene visualizzato solo se nel campo Server URL sopra è specificato un protocollo LDAPS.

    Fai clic su Sfoglia e seleziona un certificato CA da caricare. Si tratta del certificato attendibile o della catena di certificati attendibili utilizzati per autenticare il LDAP server.

    Account di bind (facoltativo)

    Inserire un account utente di sola lettura per le query di ricerca sul LDAP server e per le ricerche all'interno dei gruppi. Inserire il nome dell'account in un formato di tipo LDAP. Ad esempio, se il bind user si chiama "bindacct", è possibile inserire un valore come "CN=bindacct,CN=Users,DC=cpoc,DC=local".

    Password di bind (facoltativa)
    Nota Questo campo viene visualizzato quando si inserisce un bind account sopra.

    Inserisci la password per l'account bind.

    Verifica la connessione al server prima di aggiungere

    Seleziona questa casella di controllo se vuoi assicurarti che l'array di storage possa comunicare con la configurazione del LDAP server che hai inserito. Il test viene eseguito dopo che fai clic su Aggiungi nella parte inferiore della finestra di dialogo. Se questa casella di controllo è selezionata e il test fallisce, la configurazione non viene aggiunta. Devi risolvere l'errore oppure deselezionare la casella di controllo per saltare il test e aggiungere la configurazione.

    Impostazioni dei privilegi

    DN di base di ricerca

    Inserire il contesto LDAP per cercare gli utenti, in genere nella forma CN=Users, DC=cpoc, DC=local.

    Attributo username

    Inserisci l'attributo associato all'ID utente per l'autenticazione. Ad esempio: sAMAccountName.

    Attributo/i di gruppo

    Inserisci un elenco di attributi di gruppo sull'utente, che viene utilizzato per la mappatura gruppo-ruolo. Ad esempio: memberOf, managedObjects.

  4. Fai clic sulla scheda Role Mapping.

  5. Assegna i gruppi LDAP ai ruoli predefiniti. Un gruppo può avere più ruoli assegnati.

    Dettagli del campo
    Impostazione Descrizione

    Mappature

    DN gruppo

    Specificare il group distinguished name (DN) per il gruppo di utenti LDAP da mappare. Sono supportate le espressioni regolari. Questi caratteri speciali delle espressioni regolari devono essere preceduti da una barra rovesciata (\) se non fanno parte di un modello di espressione regolare: \.[]{}()<>*+-=!?^$

    Ruoli

    Fai clic nel campo e seleziona uno dei ruoli dell'array di storage da mappare al Group DN. Devi selezionare singolarmente ogni ruolo che desideri includere per questo gruppo. Il ruolo Monitor è necessario in combinazione con gli altri ruoli per accedere a SANtricity System Manager. I ruoli mappati includono le seguenti autorizzazioni:

    • Amministratore dello storage — Accesso completo in lettura/scrittura agli oggetti di storage (ad esempio, volumi e pool di dischi), ma nessun accesso alla configurazione di sicurezza.

    • Amministratore della sicurezza — Accesso alla configurazione della sicurezza in Access Management, gestione certificati, gestione audit log e possibilità di attivare o disattivare l'interfaccia di gestione legacy (SYMbol).

    • Support admin — Accesso a tutte le risorse hardware sull'array di storage, ai dati di errore, agli eventi MEL e agli aggiornamenti del firmware del controller. Nessun accesso agli oggetti di storage o alla configurazione di sicurezza.

    • Monitor — Accesso in sola lettura a tutti gli oggetti di archiviazione, ma nessun accesso alla configurazione di sicurezza.
    Nota

    Il ruolo Monitor è richiesto per tutti gli utenti, incluso l'amministratore. System Manager non funzionerà correttamente per nessun utente senza il ruolo Monitor.

  6. Se lo desideri, fai clic su Aggiungi un'altra mappatura per inserire ulteriori mappature gruppo-ruolo.

  7. Quando hai terminato con le mappature, fai clic su Aggiungi.

    Il sistema esegue una convalida, assicurandosi che l'array di storage e LDAP server possano comunicare. Se viene visualizzato un messaggio di errore, controlla le credenziali inserite nella finestra di dialogo e reinserisci le informazioni se necessario.