添加LDAP目录服务器
要为访问管理配置身份验证、您可以在存储阵列和LDAP服务器之间建立通信、然后将LDAP用户组映射到阵列的预定义角色。
-
您必须使用包含安全管理员权限的用户配置文件登录。否则、不会显示访问管理功能。
-
必须在目录服务中定义用户组。
-
LDAP服务器凭据必须可用、包括域名、服务器URL以及可选的绑定帐户用户名和密码。
-
对于使用安全协议的LDAPS服务器、必须在本地计算机上安装LDAP服务器的证书链。
添加目录服务器分为两步。首先输入域名和URL。如果服务器使用安全协议、则如果CA证书由非标准签名颁发机构签名、则还必须上传此CA证书以进行身份验证。如果您拥有绑定帐户的凭据、则还可以输入您的用户帐户名称和密码。接下来、将LDAP服务器的用户组映射到存储阵列的预定义角色。
在操作步骤 添加LDAP服务器期间、原有管理界面将被禁用。原有管理界面(符号)是存储阵列与管理客户端之间的一种通信方法。禁用后、存储阵列和管理客户端将使用更安全的通信方法(基于https的REST API)。 |
-
选择菜单:设置[访问管理]。
-
从目录服务选项卡中、选择*添加目录服务器*。
此时将打开添加目录服务器对话框。
-
在服务器设置选项卡中、输入LDAP服务器的凭据。
字段详细信息
设置 说明 配置设置
域
输入LDAP服务器的域名。对于多个域、请在逗号分隔列表中输入域。域名用于登录(username@domain)以指定要对其进行身份验证的目录服务器。
服务器URL
以的形式输入用于访问LDAP服务器的URL
ldap[s]://host:*port*
。上传证书(可选)
只有在上述服务器URL字段中指定了LDAPS协议时、才会显示此字段。 单击*浏览*并选择要上传的CA证书。这是用于对LDAP服务器进行身份验证的可信证书或证书链。
绑定帐户(可选)
输入一个只读用户帐户、用于对LDAP服务器进行搜索查询以及在组中进行搜索。以LDAP类型格式输入帐户名称。例如、如果绑定用户名为"bindAcct"、则可以输入"cn=bindAcct、cn=users、DC=cpoc、DC=local"等值。
绑定密码(可选)
输入上述绑定帐户时、将显示此字段。 输入绑定帐户的密码。
添加前测试服务器连接
如果要确保存储阵列可以与您输入的LDAP服务器配置进行通信、请选中此复选框。单击对话框底部的*添加*后、将进行测试。如果选中此复选框且测试失败、则不会添加配置。您必须解决此错误或取消选中此复选框、才能跳过测试并添加配置。
权限设置*
搜索基础DN
输入LDAP环境以搜索用户,通常以的形式
CN=Users, DC=cpoc, DC=local
。username属性
输入绑定到用户ID的属性以进行身份验证。例如:
sAMAccountName
。组属性
输入用户上的组属性列表、用于组到角色映射。例如:
memberOf, managedObjects
。 -
单击"*角色映射"*选项卡。
-
将LDAP组分配给预定义角色。一个组可以分配多个角色。
字段详细信息
设置 说明 映射
组DN
为要映射的LDAP用户组指定组可分辨名称(DN)。支持正则表达式。(`\`如果这些特殊正则表达式字符不属于正则表达式模式,则必须使用反斜杠转义:\.[]{}()<>*+=!?^$
角色
单击此字段、然后选择要映射到组DN的存储阵列角色之一。您必须单独为此组选择要包含的每个角色。要登录到SANtricity 系统管理器、需要将"监控"角色与其他角色结合使用。映射的角色包括以下权限:
-
存储管理—对存储对象(例如卷和磁盘池)具有完全读/写访问权限、但无法访问安全配置。
-
安全管理—访问访问管理、证书管理、审核日志管理中的安全配置、以及打开或关闭原有管理界面(符号)的功能。
-
支持管理—访问存储阵列上的所有硬件资源、故障数据、MEL事件和控制器固件升级。无法访问存储对象或安全配置。
-
监控—对所有存储对象的只读访问、但无法访问安全配置。
包括管理员在内的所有用户都需要"监控"角色。如果没有"监控"角色、则System Manager将无法正常运行。
-
-
如果需要、请单击*添加另一个映射*以输入更多组到角色的映射。
-
完成映射后、单击*添加*。
系统将执行验证、以确保存储阵列和LDAP服务器可以进行通信。如果显示错误消息、请检查在对话框中输入的凭据、并根据需要重新输入信息。