Skip to main content
本产品推出了新版本。
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

添加LDAP目录服务器

贡献者

要为访问管理配置身份验证、您可以在存储阵列和LDAP服务器之间建立通信、然后将LDAP用户组映射到阵列的预定义角色。

开始之前
  • 您必须使用包含安全管理员权限的用户配置文件登录。否则、不会显示访问管理功能。

  • 必须在目录服务中定义用户组。

  • LDAP服务器凭据必须可用、包括域名、服务器URL以及可选的绑定帐户用户名和密码。

  • 对于使用安全协议的LDAPS服务器、必须在本地计算机上安装LDAP服务器的证书链。

关于此任务

添加目录服务器分为两步。首先输入域名和URL。如果服务器使用安全协议、则如果CA证书由非标准签名颁发机构签名、则还必须上传此CA证书以进行身份验证。如果您拥有绑定帐户的凭据、则还可以输入您的用户帐户名称和密码。接下来、将LDAP服务器的用户组映射到存储阵列的预定义角色。

备注

在操作步骤 添加LDAP服务器期间、原有管理界面将被禁用。原有管理界面(符号)是存储阵列与管理客户端之间的一种通信方法。禁用后、存储阵列和管理客户端将使用更安全的通信方法(基于https的REST API)。

步骤
  1. 选择菜单:设置[访问管理]。

  2. 从目录服务选项卡中、选择*添加目录服务器*。

    此时将打开添加目录服务器对话框。

  3. 在服务器设置选项卡中、输入LDAP服务器的凭据。

    字段详细信息
    正在设置 …​ Description

    配置设置

    输入LDAP服务器的域名。对于多个域、请在逗号分隔列表中输入域。域名用于登录(username@domain)以指定要对其进行身份验证的目录服务器。

    服务器URL

    以的形式输入用于访问LDAP服务器的URL ldap[s]://host:*port*

    上传证书(可选)

    备注 只有在上述服务器URL字段中指定了LDAPS协议时、才会显示此字段。

    单击*浏览*并选择要上传的CA证书。这是用于对LDAP服务器进行身份验证的可信证书或证书链。

    绑定帐户(可选)

    输入一个只读用户帐户、用于对LDAP服务器进行搜索查询以及在组中进行搜索。以LDAP类型格式输入帐户名称。例如、如果绑定用户名为"bindAcct"、则可以输入"cn=bindAcct、cn=users、DC=cpoc、DC=local"等值。

    绑定密码(可选)

    备注 输入上述绑定帐户时、将显示此字段。

    输入绑定帐户的密码。

    添加前测试服务器连接

    如果要确保存储阵列可以与您输入的LDAP服务器配置进行通信、请选中此复选框。单击对话框底部的*添加*后、将进行测试。 如果选中此复选框且测试失败、则不会添加配置。您必须解决此错误或取消选中此复选框、才能跳过测试并添加配置。

    权限设置*

    搜索基础DN

    输入LDAP环境以搜索用户、通常采用的形式 CN=Users, DC=cpoc, DC=local

    username属性

    输入绑定到用户ID的属性以进行身份验证。例如: sAMAccountName

    组属性

    输入用户上的组属性列表、用于组到角色映射。例如: memberOf, managedObjects

  4. 单击"*角色映射"*选项卡。

  5. 将LDAP组分配给预定义角色。一个组可以分配多个角色。

    字段详细信息
    正在设置 …​ Description

    映射

    组DN

    为要映射的LDAP用户组指定组可分辨名称(DN)。支持正则表达式。必须使用反斜杠转义这些特殊正则表达式字符 (\)(如果它们不属于正则表达式模式): \.[]{}()<>*+-=!?^$

    角色

    单击此字段、然后选择要映射到组DN的存储阵列角色之一。您必须单独为此组选择要包含的每个角色。要登录到SANtricity 系统管理器、需要将"监控"角色与其他角色结合使用。 映射的角色包括以下权限:

    • 存储管理—对存储对象(例如卷和磁盘池)具有完全读/写访问权限、但无法访问安全配置。

    • 安全管理—访问访问管理、证书管理、审核日志管理中的安全配置、以及打开或关闭原有管理界面(符号)的功能。

    • 支持管理—访问存储阵列上的所有硬件资源、故障数据、MEL事件和控制器固件升级。无法访问存储对象或安全配置。

    • 监控—对所有存储对象的只读访问、但无法访问安全配置。

    备注

    包括管理员在内的所有用户都需要"监控"角色。如果没有"监控"角色、则System Manager将无法正常运行。

  6. 如果需要、请单击*添加另一个映射*以输入更多组到角色的映射。

  7. 完成映射后、单击*添加*。

    系统将执行验证、以确保存储阵列和LDAP服务器可以进行通信。如果显示错误消息、请检查在对话框中输入的凭据、并根据需要重新输入信息。