Konfigurace DLm LDAP pro více uživatelů
Summary: Základní zdroje pro ověřování DLm LDAP
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Protokol LDAP není nativní aplikací společnosti Dell Technologies ani EMC a technická podpora společnosti Dell Technologies neposkytuje specifickou nápovědu ke konfiguraci přístupu.
Podrobnější pokyny naleznete v tématu http://www.ldapexplorer.com/en/manual/109010000-ldap-filter-syntax.htm
POZNÁMKA: na DLm se řízení přístupu LDAP vzájemně vylučuje s nativním přístupem. Nesmíte udržovat
uživatele LDAP ani nativní uživatele kromě dlmadmin.
Filtry přístupu LDAP mohou pomocí logických operátorů vytvořit řádek filtru, který odfiltruje uživatele, kteří odpovídají podmínkám pro jednu ze skupin uživatelů: Správce, uživatel, služba. V DLm vypadá přihlášení přes LDAP takto:
1. Uživatel zadá login/pass
2. Authenticator používá přihlašovací jméno k nahrazení všech zástupných symbolů %s (pokud existují) pro všechny zadané filtry.
3. Poté filtry jeden po druhém předá do vyhledávací utility LDAP (pomocí uživatelského průchodu získáte přístup k AD serveru, pokud je heslo nesprávné, přihlášení se nezdaří)
4. Nástroj pro vyhledávání LDAP vrátí seznam uživatelských záznamů, které odpovídají jednomu z filtrů
5. Podmínkou úspěšného přihlášení je, když vyhledávací nástroj LDAP vrátí pouze jeden uživatelský záznam pro jeden z filtrů, na kterém je vyhledávání zastaveno. Pokud vrací mnoho uživatelských záznamů do jednoho z filtrů nebo nevrací žádné záznamy pro žádný z filtrů – přihlášení je neúspěšné.
V podstatě je tedy hlavním úkolem vytvořit filtr tak, aby odpovídal pouze jednomu záznamu uživatele. Jako příklad nebo obecné pokyny:
Pokud pro userid dlmtapeadmin, pokud zadáte (sAMAccountName=%dlmtapeadmin) filtr přístupu pro správu, pak toto ověřování AD funguje. (memberOf=CN=EMC_Tape_Admins,OU=Skupiny domén,DC=hdq,DC=emc,DC=com) Což funguje, dokud EMC_Tape_Admins skupina nemá pouze jednoho uživatele, protože takový filtr vždy odpovídá všem uživatelům ve skupině.
Přidejte tam alespoň jednoho dalšího uživatele a nesplnili bychom podmínku (5).
Aby filtr fungoval správně, musíme k filtru poskytnout více informací, v tomto případě chceme, aby filtr kontroloval pouze záznam uživatele, který se právě pokouší přihlásit (za předpokladu, že máme pouze jednoho uživatele s tímto přihlašovacím jménem jako ID na AD serveru), ale také aby zkontroloval, zda je členem skupiny Admins. Může to tedy vypadat takto:
(&(sAMAccountName=%s)(memberOf=CN=EMC_Tape_Admins,OU=Skupiny domén,DC=hdq,DC=emc,DC=com)) NEBO (v závislosti na konfiguraci serveru AD) (&(cn=%s)(memberOf=CN=EMC_Tape_Admins,OU=Skupiny domén,DC=hdq,DC=emc,DC=com))
Takže například %s bude při přihlášení nahrazeno dlmtapeadmin, Nyní filtrujeme oba: zadané uživatelské jméno existuje v systému a je to pouze jeden jedinečný uživatel dlmtapeadmin A je členem EMC_Tape_Admins skupiny. Totéž lze v případě potřeby provést pro hypotetické EMC_Tape_Users a EMC_Tape_Services skupiny pro filtry uživatelů a služeb.
Podrobnější pokyny naleznete v tématu http://www.ldapexplorer.com/en/manual/109010000-ldap-filter-syntax.htm
POZNÁMKA: na DLm se řízení přístupu LDAP vzájemně vylučuje s nativním přístupem. Nesmíte udržovat
uživatele LDAP ani nativní uživatele kromě dlmadmin.
Filtry přístupu LDAP mohou pomocí logických operátorů vytvořit řádek filtru, který odfiltruje uživatele, kteří odpovídají podmínkám pro jednu ze skupin uživatelů: Správce, uživatel, služba. V DLm vypadá přihlášení přes LDAP takto:
1. Uživatel zadá login/pass
2. Authenticator používá přihlašovací jméno k nahrazení všech zástupných symbolů %s (pokud existují) pro všechny zadané filtry.
3. Poté filtry jeden po druhém předá do vyhledávací utility LDAP (pomocí uživatelského průchodu získáte přístup k AD serveru, pokud je heslo nesprávné, přihlášení se nezdaří)
4. Nástroj pro vyhledávání LDAP vrátí seznam uživatelských záznamů, které odpovídají jednomu z filtrů
5. Podmínkou úspěšného přihlášení je, když vyhledávací nástroj LDAP vrátí pouze jeden uživatelský záznam pro jeden z filtrů, na kterém je vyhledávání zastaveno. Pokud vrací mnoho uživatelských záznamů do jednoho z filtrů nebo nevrací žádné záznamy pro žádný z filtrů – přihlášení je neúspěšné.
V podstatě je tedy hlavním úkolem vytvořit filtr tak, aby odpovídal pouze jednomu záznamu uživatele. Jako příklad nebo obecné pokyny:
Pokud pro userid dlmtapeadmin, pokud zadáte (sAMAccountName=%dlmtapeadmin) filtr přístupu pro správu, pak toto ověřování AD funguje. (memberOf=CN=EMC_Tape_Admins,OU=Skupiny domén,DC=hdq,DC=emc,DC=com) Což funguje, dokud EMC_Tape_Admins skupina nemá pouze jednoho uživatele, protože takový filtr vždy odpovídá všem uživatelům ve skupině.
Přidejte tam alespoň jednoho dalšího uživatele a nesplnili bychom podmínku (5).
Aby filtr fungoval správně, musíme k filtru poskytnout více informací, v tomto případě chceme, aby filtr kontroloval pouze záznam uživatele, který se právě pokouší přihlásit (za předpokladu, že máme pouze jednoho uživatele s tímto přihlašovacím jménem jako ID na AD serveru), ale také aby zkontroloval, zda je členem skupiny Admins. Může to tedy vypadat takto:
(&(sAMAccountName=%s)(memberOf=CN=EMC_Tape_Admins,OU=Skupiny domén,DC=hdq,DC=emc,DC=com)) NEBO (v závislosti na konfiguraci serveru AD) (&(cn=%s)(memberOf=CN=EMC_Tape_Admins,OU=Skupiny domén,DC=hdq,DC=emc,DC=com))
Takže například %s bude při přihlášení nahrazeno dlmtapeadmin, Nyní filtrujeme oba: zadané uživatelské jméno existuje v systému a je to pouze jeden jedinečný uživatel dlmtapeadmin A je členem EMC_Tape_Admins skupiny. Totéž lze v případě potřeby provést pro hypotetické EMC_Tape_Users a EMC_Tape_Services skupiny pro filtry uživatelů a služeb.
Affected Products
DD for DLm8100, Disk Library for mainframe DLm2100, Disk Library for mainframe DLm2500, Disk Library for mainframe DLm8100, Disk Library for mainframe DLm8500, VNX for DLm2100, VNX for DLm8100Article Properties
Article Number: 000187558
Article Type: How To
Last Modified: 10 May 2026
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.