DLm-LDAP-Konfiguration für mehrere Nutzer
Zusammenfassung: Grundlegende DLm-LDAP-Authentifizierungsressourcen
Dieser Artikel gilt für
Dieser Artikel gilt nicht für
Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden.
In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Weisungen
LDAP ist keine native Anwendung von Dell Technologies oder EMC und der technische Support von Dell Technologies bietet keine Unterstützung bei der Konfiguration spezifischer Zugriffskonfigurationen.
Ausführlichere Anweisungen finden Sie http://www.ldapexplorer.com/en/manual/109010000-ldap-filter-syntax.htm
HINWEIS: Auf dem DLm schließt sich die LDAP-Zugriffskontrolle mit dem nativen Zugriff gegenseitig aus. Sie dürfen nicht sowohl LDAP-Nutzer als auch
native Nutzer außer dlmadmin verwalten.
LDAP-Zugriffsfilter können logische Operatoren verwenden, um die Filterzeile zu erstellen, die die Nutzer herausfiltert, die die Bedingungen für eine der Nutzergruppen erfüllen: Admin, Nutzer, Service. Die Anmeldung über LDAP in DLm sieht folgendermaßen aus:
1. NutzerIn gibt Anmeldename/Pass
2 ein. Der Authentifikator verwendet den Anmeldenamen, um alle "%s"-Platzhalter (falls vorhanden) für alle angegebenen Filter zu ersetzen.
3. Anschließend werden die Filter nacheinander an das LDAP-Suchdienstprogramm übergeben (unter Verwendung der Benutzerkennung, um Zugriff auf den AD-Server zu erhalten, wenn die Durchgabe falsch ist, ist die Anmeldung nicht erfolgreich)
4. Das LDAP-Suchprogramm gibt die Liste der Nutzerdatensätze zurück, die mit einem der Filter
5 übereinstimmen. Die Bedingung für eine erfolgreiche Anmeldung ist, wenn das LDAP-Suchdienstprogramm nur einen Nutzerdatensatz für einen der Filter zurückgibt, auf dem die Suche angehalten wird. Wenn viele Nutzerdatensätze an einen der Filter zurückgegeben werden oder keine Datensätze für einen der Filter zurückgegeben werden, ist die Anmeldung nicht erfolgreich.
Im Grunde besteht die Hauptaufgabe also darin, einen Filter so zu erstellen, dass er nur einem Benutzerdatensatz entspricht. Als Beispiel/allgemeine Anleitung:
Wenn Sie für die Benutzer-ID dlmtapeadmin (sAMAccountName=%dlmtapeadmin) in den administrativen Zugriffsfilter eingeben, dann funktioniert diese AD-Authentifizierung. (memberOf=CN=EMC_Tape_Admins,OU=Domänengruppen,DC=hdq,DC=emc,DC=com) Dies funktioniert so lange, bis die EMC_Tape_Admins Gruppe nur einen Benutzer enthält, da ein solcher Filter immer mit allen Benutzern in der Gruppe übereinstimmt.
Wenn Sie dort mindestens einen weiteren Nutzer hinzufügen, würden wir die Bedingung (5) nicht erfüllen.
Damit es richtig funktioniert, müssen wir mehr Informationen für den Filter bereitstellen, in diesem Fall möchten wir, dass der Filter nur den Benutzerdatensatz überprüft, der gerade versucht, sich anzumelden (vorausgesetzt, wir haben nur einen Benutzer mit einem solchen Anmeldenamen als ID auf dem AD-Server), aber auch, um zu überprüfen, ob er/sie Mitglied der Gruppe Admins ist. Es kann also so aussehen:
(&(sAMAccountName=%s)(memberOf=CN=EMC_Tape_Admins,OU=Domain Groups,DC=hdq,DC=emc,DC=com)) ODER (je nachdem, wie der AD-Server konfiguriert ist) (&(cn=%s)(memberOf=CN=EMC_Tape_Admins,OU=Domain Groups,DC=hdq,DC=emc,DC=com)So
wird z.B. %s bei der Anmeldung durch dlmtapeadmin ersetzt, Jetzt filtern wir nach beidem: Ein angegebener Benutzername existiert im System und es ist nur ein eindeutiger Benutzer dlmtapeadmin UND er/sie ist Mitglied EMC_Tape_Admins Gruppe. Dasselbe kann bei Bedarf für hypothetische EMC_Tape_Users und EMC_Tape_Services Gruppen für Benutzer- bzw. Dienstfilter getan werden.
Ausführlichere Anweisungen finden Sie http://www.ldapexplorer.com/en/manual/109010000-ldap-filter-syntax.htm
HINWEIS: Auf dem DLm schließt sich die LDAP-Zugriffskontrolle mit dem nativen Zugriff gegenseitig aus. Sie dürfen nicht sowohl LDAP-Nutzer als auch
native Nutzer außer dlmadmin verwalten.
LDAP-Zugriffsfilter können logische Operatoren verwenden, um die Filterzeile zu erstellen, die die Nutzer herausfiltert, die die Bedingungen für eine der Nutzergruppen erfüllen: Admin, Nutzer, Service. Die Anmeldung über LDAP in DLm sieht folgendermaßen aus:
1. NutzerIn gibt Anmeldename/Pass
2 ein. Der Authentifikator verwendet den Anmeldenamen, um alle "%s"-Platzhalter (falls vorhanden) für alle angegebenen Filter zu ersetzen.
3. Anschließend werden die Filter nacheinander an das LDAP-Suchdienstprogramm übergeben (unter Verwendung der Benutzerkennung, um Zugriff auf den AD-Server zu erhalten, wenn die Durchgabe falsch ist, ist die Anmeldung nicht erfolgreich)
4. Das LDAP-Suchprogramm gibt die Liste der Nutzerdatensätze zurück, die mit einem der Filter
5 übereinstimmen. Die Bedingung für eine erfolgreiche Anmeldung ist, wenn das LDAP-Suchdienstprogramm nur einen Nutzerdatensatz für einen der Filter zurückgibt, auf dem die Suche angehalten wird. Wenn viele Nutzerdatensätze an einen der Filter zurückgegeben werden oder keine Datensätze für einen der Filter zurückgegeben werden, ist die Anmeldung nicht erfolgreich.
Im Grunde besteht die Hauptaufgabe also darin, einen Filter so zu erstellen, dass er nur einem Benutzerdatensatz entspricht. Als Beispiel/allgemeine Anleitung:
Wenn Sie für die Benutzer-ID dlmtapeadmin (sAMAccountName=%dlmtapeadmin) in den administrativen Zugriffsfilter eingeben, dann funktioniert diese AD-Authentifizierung. (memberOf=CN=EMC_Tape_Admins,OU=Domänengruppen,DC=hdq,DC=emc,DC=com) Dies funktioniert so lange, bis die EMC_Tape_Admins Gruppe nur einen Benutzer enthält, da ein solcher Filter immer mit allen Benutzern in der Gruppe übereinstimmt.
Wenn Sie dort mindestens einen weiteren Nutzer hinzufügen, würden wir die Bedingung (5) nicht erfüllen.
Damit es richtig funktioniert, müssen wir mehr Informationen für den Filter bereitstellen, in diesem Fall möchten wir, dass der Filter nur den Benutzerdatensatz überprüft, der gerade versucht, sich anzumelden (vorausgesetzt, wir haben nur einen Benutzer mit einem solchen Anmeldenamen als ID auf dem AD-Server), aber auch, um zu überprüfen, ob er/sie Mitglied der Gruppe Admins ist. Es kann also so aussehen:
(&(sAMAccountName=%s)(memberOf=CN=EMC_Tape_Admins,OU=Domain Groups,DC=hdq,DC=emc,DC=com)) ODER (je nachdem, wie der AD-Server konfiguriert ist) (&(cn=%s)(memberOf=CN=EMC_Tape_Admins,OU=Domain Groups,DC=hdq,DC=emc,DC=com)So
wird z.B. %s bei der Anmeldung durch dlmtapeadmin ersetzt, Jetzt filtern wir nach beidem: Ein angegebener Benutzername existiert im System und es ist nur ein eindeutiger Benutzer dlmtapeadmin UND er/sie ist Mitglied EMC_Tape_Admins Gruppe. Dasselbe kann bei Bedarf für hypothetische EMC_Tape_Users und EMC_Tape_Services Gruppen für Benutzer- bzw. Dienstfilter getan werden.
Betroffene Produkte
DD for DLm8100, Disk Library for mainframe DLm2100, Disk Library for mainframe DLm2500, Disk Library for mainframe DLm8100, Disk Library for mainframe DLm8500, VNX for DLm2100, VNX for DLm8100Artikeleigenschaften
Artikelnummer: 000187558
Artikeltyp: How To
Zuletzt geändert: 10 Mai 2026
Version: 6
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.