Skip to main content
SANtricity software
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在 SANtricity System Manager 中添加 LDAP 目录服务器

PDF

要为访问管理配置身份验证,可以在存储阵列和 LDAP 服务器之间建立通信,然后将 LDAP 用户组映射到阵列的预定义角色。

开始之前

  • 必须使用包含 Security admin 权限的用户配置文件登录。否则,将不会显示 Access Management 功能。

  • 必须在您的目录服务中定义用户组。

  • LDAP 服务器凭据必须可用,包括域名、服务器 URL 以及可选的绑定帐户用户名和密码。

  • 对于使用安全协议的 LDAPS 服务器,必须在本地计算机上安装 LDAP 服务器的证书链。

关于此任务

添加目录服务器是一个两步的过程。首先,输入域名和 URL。如果服务器使用安全协议,则如果 CA 证书由非标准签名机构签名,则还必须上传该证书进行身份验证。如果您有绑定帐户的凭据,还可以输入您的用户帐户名和密码。接下来,将 LDAP 服务器的用户组映射到存储阵列的预定义角色。

备注

在添加 LDAP 服务器的过程中,旧版管理界面将被禁用。旧版管理界面 (SYMbol) 是存储阵列与管理客户端之间的通信方法。禁用时,存储阵列和管理客户端使用更安全的通信方法 (基于 https 的 REST API)。
步骤

  1. 选择菜单:Settings[Access Management]。

  2. 在 Directory Services 选项卡中,选择 Add Directory Server

    此时将打开添加目录服务器对话框。

  3. 在服务器设置选项卡中,输入 LDAP 服务器的凭据。

    字段详细信息
    设置 说明

    配置设置

    输入 LDAP 服务器的域名。对于多个域,请在逗号分隔的列表中输入域。登录名(username@domain)中使用域名来指定要进行身份验证的目录服务器。

    服务器 URL

    ldap[s]://host:*port* 的格式输入用于访问 LDAP 服务器的 URL。

    上传证书(可选)
    备注 仅当在上面的服务器 URL 字段中指定了 LDAPS 协议时,才会显示此字段。

    单击 Browse 并选择要上传的 CA 证书。这是用于对 LDAP 服务器进行身份验证的受信任证书或证书链。

    绑定帐户(可选)

    输入只读用户帐户,以便对 LDAP 服务器进行搜索查询并在组内进行搜索。以 LDAP 类型的格式输入帐户名称。例如,如果绑定用户名为 "bindacct",则可以输入诸如 "CN=bindacct,CN=Users,DC=cpoc,DC=local" 之类的值。

    绑定密码(可选)
    备注 在上面输入绑定帐户时,将显示此字段。

    输入绑定帐户的密码。

    添加前测试服务器连接

    如果要确保存储阵列可以与您输入的 LDAP 服务器配置通信,请选中此复选框。单击对话框底部的*添加*后进行测试。如果选中此复选框且测试失败,则不会添加配置。您必须解决错误或取消选中复选框才能跳过测试并添加配置。

    权限设置

    搜索基本 DN

    输入 LDAP 上下文以搜索用户,通常采用的形式为 CN=Users, DC=cpoc, DC=local

    用户名属性

    输入绑定到用户 ID 进行身份验证的属性。例如: sAMAccountName

    组属性

    输入用户的组属性列表,用于组到角色的映射。例如: memberOf, managedObjects

  4. 单击 Role Mapping 选项卡。

  5. 将 LDAP 组分配给预定义的角色。一个组可以有多个分配的角色。

    字段详细信息
    设置 说明

    映射

    组 DN

    指定要映射的 LDAP 用户组的组可分辨名称 (DN)。支持正则表达式。如果这些特殊正则表达式字符不是正则表达式模式的一部分,则必须使用反斜杠(`\`转义:\.[]{}()<>*+-=!?^$

    角色

    在字段中单击,然后选择要映射到组 DN 的存储阵列的一个角色。您必须单独选择要包含到此组的每个角色。Monitor 角色与其他角色结合使用是登录到 SANtricity System Manager 所必需的。映射的角色包括以下权限:

    • Storage admin — 对存储对象(例如卷和磁盘池)的完全读/写访问权限,但不能访问安全配置。

    • 安全管理员 — 访问 Access Management 中的安全配置、证书管理、审核日志管理,以及打开或关闭旧版管理界面 (SYMbol) 的能力。

    • Support admin — 访问存储阵列上的所有硬件资源、故障数据、MEL 事件和控制器固件升级。无法访问存储对象或安全配置。

    • Monitor — 对所有存储对象的只读访问,但无法访问安全配置。
    备注

    所有用户(包括管理员)都需要 Monitor 角色。如果没有 Monitor 角色,System Manager 将无法为任何用户正常运行。

  6. 如果需要,单击 Add another mapping 以输入更多组到角色的映射。

  7. 完成映射后,单击 Add

    系统执行验证,确保存储阵列和 LDAP 服务器可以通信。如果出现错误消息,请检查在对话框中输入的凭据,并在必要时重新输入信息。