Skip to main content
SANtricity software
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在 SANtricity System Manager 中新增 LDAP 目錄伺服器

PDF

若要設定 Access Management 的驗證,您可以建立儲存陣列與 LDAP 伺服器之間的通訊,然後將 LDAP 使用者群組對應到陣列的預先定義角色。

開始之前

  • 您必須使用具有 Security admin 權限的使用者設定檔登入。否則,Access Management 功能將不會顯示。

  • 使用者群組必須在您的目錄服務中定義。

  • LDAP 伺服器認證資料必須可用,包括網域名稱、伺服器 URL,以及選擇性的繫結帳戶使用者名稱和密碼。

  • 對於使用安全協定的 LDAPS 伺服器,必須將 LDAP 伺服器的憑證鏈安裝在本機電腦上。

關於此任務

新增目錄伺服器需要兩個步驟。首先,您需要輸入網域名稱和 URL。如果您的伺服器使用安全性協議,且憑證是由非標準簽署機構簽發的,則您還必須上傳 CA 憑證以進行身分驗證。如果您擁有綁定帳戶的憑證,也可以輸入您的使用者帳戶名稱和密碼。接下來,您需要將 LDAP 伺服器的使用者群組對應到儲存陣列的預先定義角色。

註

在新增 LDAP 伺服器的過程中,舊版管理介面將會被停用。舊版管理介面(SYMbol)是儲存陣列和管理用戶端之間的一種通訊方式。停用後,儲存陣列和管理用戶端將使用更安全的通訊方式(REST API over https)。
步驟

  1. 選擇選單:Settings[ 存取管理 ]。

  2. 在「目錄服務」標籤中,選取 Add Directory Server

    「新增目錄伺服器」對話方塊開啟。

  3. 在「伺服器設定」標籤中,輸入 LDAP 伺服器的認證資料。

    欄位詳細資料
    設定 說明

    • 組態設定 *

    網域

    輸入 LDAP 伺服器的網域名稱。對於多個網域,請以逗號分隔清單輸入網域。網域名稱用於登入(username@domain)中,以指定要進行驗證的目錄伺服器。

    伺服器 URL

    請以下列格式輸入存取 LDAP 伺服器的 URL ldap[s]://host:*port*

    上傳憑證 (選用)
    註 只有當上面的伺服器 URL 欄位中指定了 LDAPS 通訊協定時,才會顯示此欄位。

    點擊 Browse 並選擇要上傳的 CA 憑證。這是用於驗證 LDAP 伺服器的受信任憑證或憑證鏈。

    綁定帳戶 (選用)

    輸入一個唯讀使用者帳戶,用於對 LDAP 伺服器進行搜尋查詢以及在群組內進行搜尋。以 LDAP 類型格式輸入帳戶名稱。例如,如果綁定使用者稱為 "bindacct",則您可以輸入類似 "CN=bindacct,CN=Users,DC=cpoc,DC=local" 的值。

    綁定密碼(選用)
    註 當您在上方輸入綁定帳戶時,會顯示此欄位。

    輸入綁定帳戶的密碼。

    新增前測試伺服器連線

    如果您想確保儲存陣列可以與您輸入的 LDAP 伺服器組態通訊,請選取此核取方塊。點擊對話方塊底部的 Add 後,系統將進行測試。如果選取此核取方塊且測試失敗,則不會新增組態。您必須解決此錯誤或取消選取此核取方塊以跳過測試並新增組態。

    權限設定

    搜尋基準 DN

    輸入 LDAP 上下文以搜尋用戶,通常採用以下格式 CN=Users, DC=cpoc, DC=local

    使用者名稱屬性

    輸入與使用者 ID 綁定的用於身份驗證的屬性。例如: sAMAccountName

    群組屬性

    輸入使用者的群組屬性列表,用於群組到角色的對應。例如: memberOf, managedObjects

  4. 點選 Role Mapping 標籤。

  5. 將 LDAP 群組指派給預先定義的角色。一個群組可以指派多個角色。

    欄位詳細資料
    設定 說明

    對應

    群組 DN

    指定要對應的 LDAP 使用者群組的群組專有名稱(DN)。支援正規表達式。如果下列特殊正規表示式字元不是正規表示式模式的一部分,則必須使用反斜線((\)進行轉義:\.[]{}()<>*+-=!?^$

    角色

    按一下該欄位,然後選擇要對應到群組 DN 的儲存陣列角色之一。您必須單獨選擇要包含在此群組中的每個角色。「監視」角色必須與其他角色一起使用才能登入 SANtricity System Manager。對應的角色包含以下權限:

    • Storage admin — 對儲存物件(例如、磁碟區和磁碟集區)具有完全的讀取 / 寫入權限、但無權存取安全性組態。

    • Security admin — 可以存取 Access Management 中的安全性設定、憑證管理、稽核日誌管理,以及啟用或停用舊版管理介面(SYMbol)的功能。

    • Support admin — 可存取儲存陣列上的所有硬體資源、故障資料、MEL 事件和控制器韌體升級。無權存取儲存物件或安全性配置。

    • Monitor — 對所有儲存物件具有唯讀存取權限,但無權存取安全性組態。
    註

    所有使用者(包括管理員)都必須擁有 Monitor 角色。如果使用者沒有 Monitor 角色,System Manager 將無法正常運作。

  6. 如果需要,請按一下 Add another mapping 以輸入更多群組到角色的對應。

  7. 完成映射後,點選 Add

    系統會執行驗證,確保儲存陣列和 LDAP 伺服器可以通訊。如果出現錯誤訊息,請檢查對話方塊中輸入的認證資料,必要時重新輸入資訊。