配置身份联合

如果您希望在 Active Directory , OpenLDAP 或 Oracle Directory Server 等其他系统中管理管理管理组和用户,则可以配置身份联合。

开始之前

关于本任务

网格管理器 如果要导入以下类型的联合组,则必须为配置身份源:
  • 管理组。管理组中的用户可以根据 网格管理器 分配给组的管理权限登录到并执行任务。
  • 不使用自己身份源的租户的租户用户组。租户组中的用户可以根据 租户管理器 中为组分配的权限登录并执行任务 租户管理器

过程

  1. 选择 Configuration > Identity Federation
  2. 选择Enable Identity Federation
    此时将显示用于配置 LDAP 服务器的字段。
  3. LDAP Service Type 下拉列表中选择要配置的 LDAP 服务类型。
    您可以选择 Active DirectoryOpenLDAPOther
    注: 如果选择 OpenLDAP,则必须配置 OpenLDAP 服务器。请参见 配置 OpenLDAP 服务器的准则。
  4. 如果选择 Other,请填写 LDAP Attributes 部分中的字段。
    • User Unique Name:包含 LDAP 用户唯一标识符的属性的名称。此属性相当于 sAMAccountName for Active Directory 和 uid for OpenLDAP 。如果要配置 Oracle Directory Server ,请输入 uid
    • User UUID:包含 LDAP 用户的永久唯一标识符的属性的名称。此属性相当于 Active Directory 的 objectGUID 和 OpenLDAP 的 entryUUID 。如果要配置 Oracle Directory Server ,请输入 nssuniqueid。每个用户指定属性的值都必须是一个 32 位十六进制数字,采用 16 字节或字符串格式,其中会忽略连字符。
    • Group Unique Name:包含 LDAP 组唯一标识符的属性的名称。此属性相当于 sAMAccountName for Active Directory 和 CN for OpenLDAP 。如果要配置 Oracle Directory Server ,请输入 cn
    • Group UUID:包含 LDAP 组的永久唯一标识符的属性的名称。此属性相当于 Active Directory 的 objectGUID 和 OpenLDAP 的 entryUUID 。如果要配置 Oracle Directory Server ,请输入 nssuniqueid。每个组在指定属性中的值必须是一个 32 位十六进制数字,采用 16 字节或字符串格式,其中会忽略连字符。
  5. LDAP Server 部分中输入所需的 LDAP 服务器和网络连接信息。
    • Hostname: LDAP 服务器的服务器主机名或 IP 地址。
    • Port:用于连接到 LDAP 服务器的端口。
      注: STARTTLS 的默认端口为 389 , LDAPS 的默认端口为 636 。但是,只要防火墙配置正确,您就可以使用任何端口。
    • Username:要连接到 LDAP 服务器的用户的可分辨名称( Distinguished Name , DN )的完整路径。
      注: 对于 Active Directory ,您还可以指定低级别的登录名称或用户主体名称。
      指定的用户必须具有列出组和用户以及访问以下属性的权限:
      • sAMAccountNameuid
      • objectGUIDentryUUIDnssunique
      • 中国
      • memberOfisMemberOf
    • Password:与用户名关联的密码。
    • Group Base DN:要搜索组的 LDAP 子树的可分辨名称( Distinguished Name , DN )的完整路径。在 Active Directory 示例(如下)中,可分辨名称相对于基础 DN ( DC=storagegrid , DC=example , DC=com )的所有组均可用作联合组。
      注: 组唯一名称值在其所属的组基本 DN 中必须是唯一的。
    • User Base DN:要搜索用户的 LDAP 子树的可分辨名称( Distinguished Name , DN )的完整路径。
      注: 用户唯一名称值在其所属的用户基础 DN 中必须是唯一的。
  6. Transport Layer Security (TLS) 下拉列表中选择一个安全设置。
    • Use STARTTLS (recommended):使用 STARTTLS 确保与 LDAP 服务器的通信安全。这是建议的选项。
    • Use LDAPS: LDAPS (基于 SSL 的 LDAP )选项使用 TLS 与 LDAP 服务器建立连接。出于兼容性原因,支持此选项。
    • Do not use TLSStorageGRID 系统与 LDAP 服务器之间的网络流量将不会受到保护。
  7. 如果选择 STARTTLS 或 LDAPS ,请选择用于保护连接安全的证书。
    • Use operating system CA certificate:使用操作系统上安装的默认 CA 证书来保护连接。
    • Use custom CA certificate:使用自定义安全证书。

      如果选择此设置,请在 CA Certificate 文本框中复制并粘贴自定义安全证书。

  8. (可选)单击 Test Connection 以验证 LDAP 服务器的连接设置。
    如果连接有效,则此按钮上会显示一个绿色复选标记。

    测试连接有效

  9. 如果连接有效,请单击 Save
    以下屏幕截图显示了使用 Active Directory 的 LDAP 服务器的示例配置值。
    显示使用 Active Directory 的 LDAP 服务器的身份联合页面
    以下屏幕截图显示了使用 Oracle Directory Server 的 LDAP 服务器的示例配置值。
    " 配置 ">" 身份联合 ">" 其他 " 的屏幕截图