管理ASA R2存储系统上的用户帐户和角色
建议更改
PDF
使用System Manager为用户帐户配置Active Directory域控制器访问、LDAP和SAML身份验证。创建用户帐户角色以定义分配给这些角色的用户可以在集群上执行的特定功能。
配置Active Directory域控制器访问
配置对集群或Storage VM的Active Directory (AD)域控制器访问权限、以便启用AD帐户访问。
-
在System Manager中、选择*集群>设置*。
-
在*Security*部分的*Active Directory*下,选择*Config*。
现在、您可以在ASA R2系统上启用AD帐户访问。
配置LDAP
配置轻型目录访问协议(Lightweight-Directory Access Protocol、LDAP)服务器、以便集中维护用于身份验证的用户信息。
您必须已生成证书签名请求并添加CA签名的服务器数字证书。
-
在System Manager中、选择*集群>设置*。
-
在*Security*部分的*LDAP*旁边,选择
。 -
输入所需的LDAP服务器和绑定信息;然后选择*保存*。
现在、您可以使用LDAP获取用户信息和进行身份验证。
配置 SAML 身份验证
通过安全断言标记语言(SAML)身份验证、用户可以通过安全身份提供程序(Idp)进行身份验证、而不是直接服务提供程序(如Active Directory和LDAP)进行身份验证。
-
必须配置计划用于远程身份验证的 IdP 。
有关配置、请参见Idp文档。
-
您必须具有 IdP 的 URI 。
-
在System Manager中、选择*集群>设置*。
-
在*安全性*下的*SAML身份验证*旁边,选择
。 -
选择*启用SAML身份验证*。
-
输入IdP URL和主机系统IP地址;然后选择*保存*。
此时将显示一个确认窗口,其中包含已自动复制到剪贴板的元数据信息。
-
转到指定的Idp系统、然后从剪贴板复制元数据以更新系统元数据。
-
返回System Manager中的确认窗口;然后选择*我已使用主机URI或元数据配置IdP*。
-
选择*Logout*以启用基于SAML的身份验证。
IdP 系统将显示身份验证屏幕。
现在、您可以对用户帐户使用SAML身份验证。
创建用户帐户角色
初始化集群时、系统会自动创建集群管理员和Storage VM管理员的角色。创建其他用户帐户角色、以定义分配给这些角色的用户可以在集群上执行的特定功能。
-
在System Manager中、选择*集群>设置*。
-
在*Security*部分的*Users and Roles*旁边,选择
。 -
在*roles*下,选择
。 -
选择角色属性。
要增加多个属性,请选择
。 -
选择 * 保存 * 。
此时将创建一个新的用户帐户、并可在ASA R2系统上使用。
创建管理员帐户
创建管理员用户帐户、以使帐户用户能够根据分配给帐户的角色在集群上执行特定操作。要增强帐户安全性、请在创建帐户时设置多因素身份验证(MFA)。
-
在System Manager中、选择*集群>设置*。
-
在*Security*部分的*Users and Roles*旁边,选择
。 -
在*USERS*下,选择
。 -
输入用户名;然后选择要分配给用户的角色。
-
选择用户登录方法和身份验证方法。
-
要启用MFA,请选择
,然后选择二级登录方法和身份验证方法 -
输入用户的密码。
-
选择 * 保存 * 。
此时将创建一个新的管理员帐户、并可在ASA R2集群上使用。