Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Aggiungere un server di directory LDAP

Collaboratori

Per configurare l'autenticazione per la gestione degli accessi, è possibile stabilire comunicazioni tra lo storage array e un server LDAP, quindi mappare i gruppi di utenti LDAP ai ruoli predefiniti dell'array.

Prima di iniziare
  • È necessario effettuare l'accesso con un profilo utente che includa le autorizzazioni di amministratore di sicurezza. In caso contrario, le funzioni di gestione degli accessi non vengono visualizzate.

  • I gruppi di utenti devono essere definiti nel servizio di directory.

  • Le credenziali del server LDAP devono essere disponibili, inclusi il nome di dominio, l'URL del server e, facoltativamente, il nome utente e la password dell'account BIND.

  • Per i server LDAPS che utilizzano un protocollo sicuro, la catena di certificati del server LDAP deve essere installata sul computer locale.

A proposito di questa attività

L'aggiunta di un server di directory è un processo in due fasi. Immettere innanzitutto il nome di dominio e l'URL. Se il server utilizza un protocollo sicuro, è necessario caricare anche un certificato CA per l'autenticazione se è firmato da un'autorità di firma non standard. Se si dispone delle credenziali per un account BIND, è anche possibile immettere il nome e la password dell'account utente. Quindi, mappare i gruppi di utenti del server LDAP ai ruoli predefiniti dell'array di storage.

Nota

Durante la procedura di aggiunta di un server LDAP, l'interfaccia di gestione legacy viene disattivata. L'interfaccia di gestione legacy (Symbol) è un metodo di comunicazione tra lo storage array e il client di gestione. Se disattivato, lo storage array e il client di gestione utilizzano un metodo di comunicazione più sicuro (REST API over https).

Fasi
  1. Selezionare Impostazioni  Gestione accessi.

  2. Dalla scheda Directory Services (servizi directory), selezionare Add Directory Server (Aggiungi server directory).

    Viene visualizzata la finestra di dialogo Add Directory Server (Aggiungi server di directory).

  3. Nella scheda Server Settings (Impostazioni server), immettere le credenziali per il server LDAP.

    Dettagli del campo
    Impostazione Descrizione

    Impostazioni di configurazione

    Dominio/i

    Immettere il nome di dominio del server LDAP. Per più domini, inserire i domini in un elenco separato da virgole. Il nome di dominio viene utilizzato nel login (nome utente@dominio) per specificare il server di directory da autenticare.

    URL del server

    Immettere l'URL per l'accesso al server LDAP nel formato ldap[s]://host:*port*.

    Carica certificato (opzionale)

    Nota Questo campo viene visualizzato solo se è stato specificato un protocollo LDAPS nel campo URL server sopra riportato.

    Fare clic su Browse (Sfoglia) e selezionare un certificato CA da caricare. Si tratta del certificato attendibile o della catena di certificati utilizzata per l'autenticazione del server LDAP.

    Account BIND (opzionale)

    Inserire un account utente di sola lettura per le query di ricerca sul server LDAP e per la ricerca all'interno dei gruppi. Immettere il nome dell'account in formato LDAP. Ad esempio, se l'utente bind è chiamato "bindacct", è possibile immettere un valore come "CN=bindacct,CN=Users,DC=cpoc,DC=local".

    Password bind (opzionale)

    Nota Questo campo viene visualizzato quando si immette un account BIND.

    Immettere la password per l'account BIND.

    Verificare la connessione al server prima di aggiungerli

    Selezionare questa casella di controllo per assicurarsi che lo storage array possa comunicare con la configurazione del server LDAP immessa. Il test si verifica dopo aver fatto clic su Add (Aggiungi) nella parte inferiore della finestra di dialogo. Se questa casella di controllo è selezionata e il test non riesce, la configurazione non viene aggiunta. È necessario risolvere l'errore o deselezionare la casella di controllo per saltare il test e aggiungere la configurazione.

    Impostazioni dei privilegi

    Ricerca DN base

    Immettere il contesto LDAP per la ricerca degli utenti, in genere sotto forma di CN=Users, DC=cpoc, DC=local.

    Attributo Username

    Inserire l'attributo associato all'ID utente per l'autenticazione. Ad esempio: sAMAccountName.

    Attributo/i del gruppo

    Inserire un elenco di attributi di gruppo nell'utente, che viene utilizzato per il mapping gruppo-ruolo. Ad esempio: memberOf, managedObjects.

  4. Fare clic sulla scheda mappatura ruolo.

  5. Assegnare i gruppi LDAP ai ruoli predefiniti. Un gruppo può avere più ruoli assegnati.

    Dettagli del campo
    Impostazione Descrizione

    Mapping

    DN gruppo

    Specificare il nome distinto del gruppo (DN) per il gruppo di utenti LDAP da mappare. Sono supportate le espressioni regolari. Questi caratteri speciali di espressione regolare devono essere escapati con una barra rovesciata (\) se non fanno parte di un modello di espressione regolare:[]{}()<>*+-=!?^

    Ruoli

    Fare clic nel campo e selezionare uno dei ruoli dell'array di storage da mappare al DN del gruppo. È necessario selezionare singolarmente ciascun ruolo che si desidera includere per questo gruppo. Il ruolo di monitoraggio è necessario in combinazione con gli altri ruoli per accedere a Gestore di sistema di SANtricity. I ruoli mappati includono le seguenti autorizzazioni:

    • Storage admin — accesso completo in lettura/scrittura agli oggetti di storage (ad esempio, volumi e pool di dischi), ma nessun accesso alla configurazione di sicurezza.

    • Security admin — accesso alla configurazione della sicurezza in Access Management, gestione dei certificati, gestione dei registri di controllo e possibilità di attivare o disattivare l'interfaccia di gestione legacy (Symbol).

    • Support admin — accesso a tutte le risorse hardware dello storage array, dati di guasto, eventi MEL e aggiornamenti del firmware del controller. Nessun accesso agli oggetti di storage o alla configurazione di sicurezza.

    • Monitor — accesso in sola lettura a tutti gli oggetti di storage, ma nessun accesso alla configurazione di sicurezza.

    Nota

    Il ruolo Monitor è necessario per tutti gli utenti, incluso l'amministratore. System Manager non funzionerà correttamente per nessun utente senza il ruolo di monitoraggio presente.

  6. Se lo si desidera, fare clic su Add another mapping (Aggiungi un'altra mappatura) per immettere più mappature gruppo-ruolo.

  7. Al termine delle mappature, fare clic su Aggiungi.

    Il sistema esegue una convalida, assicurandosi che lo storage array e il server LDAP possano comunicare. Se viene visualizzato un messaggio di errore, selezionare le credenziali inserite nella finestra di dialogo e, se necessario, immettere nuovamente le informazioni.