PowerVault ME5: 使用 LDAP 登录失败,并显示消息“Unable to Authenticate Login, Try Again”
Summary: 可使用 PowerVault ME5 控制器固件 ME5.1.1.0.5 及更高版本使用 LDAPS 进行身份验证。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
管理员需要以下信息来配置 PowerVault ME5 上的 LDAP 登录。
- 控制器固件 ME5.1.1.0.5 或更高版本
PowerVault ME5 控制器固件必须是 ME5.1.1.0.5 或更高版本。如果 ME5 当前控制器固件版本为 ME5.1.0.1.0,请参阅知识库文章 207484 PowerVault ME5:从 ME5.1.0.1.0 到 ME5.1.1.0.5 或更高版本的固件更新未完成。
- 从 Windows Server 2016、2019 或 2022 Active Directory 提供的轻量级目录访问协议 (LDAPS) 服务,用于用户身份验证和授权
LDAP 服务器必须是运行 Windows 2016、2019 或 2022 的 Active Directory 服务器。服务器必须允许使用 LDAP over SSL (LDAPS) 接口端口 636 进行基本身份验证;即 TLS v1.2 连接。要正确配置 LDAP,请参阅 Microsoft 操作系统文档。
- LDAP 服务器 IP 地址或 DNS 名称
在使用 DNS 时,将 PowerVault DNS 设置配置为使用 Microsoft Active Directory 服务所用的相同 DNS,以确保正确的主机名解析。要在 PowerVault Manager 中配置 DNS,请转至 Settings >Network >DNS 。
- Microsoft Active Directory searchbase 可分辨名称、 用户原则名称以及用户所属的 Active Directory 组 。在 Windows Server 2016、2019 或 2022 Active Directory 中创建新用户对象时,将填充 sAMAccountName 和 userPrincipalName 属性。
LDAP 搜索库字段使用 可分辨名称 (DN) 格式。例如,ou=colo,dc=bigco2,dc=com,dc=local
PowerVault Manager 使用 UserPrincipalName (UPN) 登录到 LDAP,这采用 username@domain格式。com.Active Directory 管理员可以检查此属性是否已设置。Windows Server 管理员可以使用 PowerShell 中的 Get-ADUser 模块查看用户详细信息和组成员身份。
建议:
用户只能是存储系统中存在的一个组的成员。作为存储系统中多个 LDAP 组的成员的用户可能具有权限或配置参数不一致。
LDAP 用户位于不超过 100 个 LDAP 组中。
例如,查看名为 Tom 的用户的 UserPrincipleName 和 distinguishedName:
PS > Get-ADUser -Identity Tom DistinguishedName : CN=Tom,CN=Users,DC=Liverpool,DC=Anfield,DC=Net Enabled : True GivenName : Tom Name : Tom Smith ObjectClass : user ObjectGUID : 6a2bda7c-eb1f-41b3-897e-00048053084a SamAccountName : Tom SID : S-1-5-21-2317057084-3148409499-2425250475-1248 Surname : Smith UserPrincipalName : tom_smith@liverpool.anfield.net
例如,查看用户 Tom 的组成员身份:
PS > Get-ADUser Tom -Properties Memberof
DistinguishedName : CN=Tom,CN=Users,DC=Liverpool,DC=Anfield,DC=Net
Enabled : True
GivenName : Tom
MemberOf : {CN=Liverpool_ME5_Admins,OU=Groups,DC=Liverpool,DC=Anfield,DC=Net, CN=ESX Admins,OU=Groups,DC=Liverpool,DC=Anfield,DC=Net, CN=Administrators,CN=Builtin,DC=Liverpool,DC=Anfield,DC=Net}
Name : Tom Smith
ObjectClass : user
ObjectGUID : 6a2bda7c-eb1f-41b3-897e-00048053084a
SamAccountName : Tom
SID : S-1-5-21-2317057084-3148409499-2425250475-1248
Surname : Smith
UserPrincipalName : tom_smith@liverpool.anfield.net
提醒:必须在主机上启用或安装 Active Directory Module for Windows PowerShell ,才能在 PowerShell 中提供 Get-ADUser 模块。请参阅 Microsoft 文档,因为安装此模块的过程因使用的 PowerShell 和 Windows 主机的版本而异。
从上面的示例中:
- sAMAccountName Tom 的搜索库是 CN=Users,DC=效力,DC=Anfield,DC=Net
- userprinciplename 为tom_smith@liverpool。一个领域。网
- Tom 是该组的成员Liverpool_ME5_Admins
在 PowerVault Manager 中配置 LDAP
- 转到“LDAP Users”面板(设置 >用户 >LDAP)
图 1:PowerVault Manager - LDAP 配置
- 设置用户组
图 2:PowerVault Manager - 用户组
- 登录 PowerVault Manager 并使用 UserPrincipalName (UPN),username@domain。Com。
图 3:PowerVault Authentication Manager - 登录
- 使用 SSH 客户端登录时,请使用 ssh tom_smith@liverpool格式。一个领域。net@192.168.0.33。某些 SSH 客户端可能需要使用域用户名格式。例如,ssh Anfield\\tom_smith@192。168.0.33
更多信息
本地和 LDAP 用户的所有界面的用户登录、注销和操作都将记录在可从维护 >支持 >审核日志活动访问的审核日志中。
有关更多信息,请参阅 系统概念 > LDAP 部分下的 Dell PowerVault ME5 系列管理员指南 。管理员指南位于 ME5 产品的“Documentation”选项卡下 Dell.com/support。
LDAP 身份验证在以前的 PowerVault ME4 代产品中不可用。
Affected Products
PowerVault ME5012, PowerVault ME5024, PowerVault ME5084Article Properties
Article Number: 000210840
Article Type: How To
Last Modified: 22 Nov 2023
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.