DLm-LDAP-Konfiguration für mehrere Nutzer
Summary: Grundlegende DLm-LDAP-Authentifizierungsressourcen
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
LDAP ist keine native Anwendung von Dell Technologies oder EMC und der technische Support von Dell Technologies bietet keine Unterstützung bei der Konfiguration spezifischer Zugriffskonfigurationen.
Ausführlichere Anweisungen finden Sie http://www.ldapexplorer.com/en/manual/109010000-ldap-filter-syntax.htm
HINWEIS: Auf dem DLm schließt sich die LDAP-Zugriffskontrolle mit dem nativen Zugriff gegenseitig aus. Sie dürfen nicht sowohl LDAP-Nutzer als auch
native Nutzer außer dlmadmin verwalten.
LDAP-Zugriffsfilter können logische Operatoren verwenden, um die Filterzeile zu erstellen, die die Nutzer herausfiltert, die die Bedingungen für eine der Nutzergruppen erfüllen: Admin, Nutzer, Service. Die Anmeldung über LDAP in DLm sieht folgendermaßen aus:
1. NutzerIn gibt Anmeldename/Pass
2 ein. Der Authentifikator verwendet den Anmeldenamen, um alle "%s"-Platzhalter (falls vorhanden) für alle angegebenen Filter zu ersetzen.
3. Anschließend werden die Filter nacheinander an das LDAP-Suchdienstprogramm übergeben (unter Verwendung der Benutzerkennung, um Zugriff auf den AD-Server zu erhalten, wenn die Durchgabe falsch ist, ist die Anmeldung nicht erfolgreich)
4. Das LDAP-Suchprogramm gibt die Liste der Nutzerdatensätze zurück, die mit einem der Filter
5 übereinstimmen. Die Bedingung für eine erfolgreiche Anmeldung ist, wenn das LDAP-Suchdienstprogramm nur einen Nutzerdatensatz für einen der Filter zurückgibt, auf dem die Suche angehalten wird. Wenn viele Nutzerdatensätze an einen der Filter zurückgegeben werden oder keine Datensätze für einen der Filter zurückgegeben werden, ist die Anmeldung nicht erfolgreich.
Im Grunde besteht die Hauptaufgabe also darin, einen Filter so zu erstellen, dass er nur einem Benutzerdatensatz entspricht. Als Beispiel/allgemeine Anleitung:
Wenn Sie für die Benutzer-ID dlmtapeadmin (sAMAccountName=%dlmtapeadmin) in den administrativen Zugriffsfilter eingeben, dann funktioniert diese AD-Authentifizierung. (memberOf=CN=EMC_Tape_Admins,OU=Domänengruppen,DC=hdq,DC=emc,DC=com) Dies funktioniert so lange, bis die EMC_Tape_Admins Gruppe nur einen Benutzer enthält, da ein solcher Filter immer mit allen Benutzern in der Gruppe übereinstimmt.
Wenn Sie dort mindestens einen weiteren Nutzer hinzufügen, würden wir die Bedingung (5) nicht erfüllen.
Damit es richtig funktioniert, müssen wir mehr Informationen für den Filter bereitstellen, in diesem Fall möchten wir, dass der Filter nur den Benutzerdatensatz überprüft, der gerade versucht, sich anzumelden (vorausgesetzt, wir haben nur einen Benutzer mit einem solchen Anmeldenamen als ID auf dem AD-Server), aber auch, um zu überprüfen, ob er/sie Mitglied der Gruppe Admins ist. Es kann also so aussehen:
(&(sAMAccountName=%s)(memberOf=CN=EMC_Tape_Admins,OU=Domain Groups,DC=hdq,DC=emc,DC=com)) ODER (je nachdem, wie der AD-Server konfiguriert ist) (&(cn=%s)(memberOf=CN=EMC_Tape_Admins,OU=Domain Groups,DC=hdq,DC=emc,DC=com)So
wird z.B. %s bei der Anmeldung durch dlmtapeadmin ersetzt, Jetzt filtern wir nach beidem: Ein angegebener Benutzername existiert im System und es ist nur ein eindeutiger Benutzer dlmtapeadmin UND er/sie ist Mitglied EMC_Tape_Admins Gruppe. Dasselbe kann bei Bedarf für hypothetische EMC_Tape_Users und EMC_Tape_Services Gruppen für Benutzer- bzw. Dienstfilter getan werden.
Ausführlichere Anweisungen finden Sie http://www.ldapexplorer.com/en/manual/109010000-ldap-filter-syntax.htm
HINWEIS: Auf dem DLm schließt sich die LDAP-Zugriffskontrolle mit dem nativen Zugriff gegenseitig aus. Sie dürfen nicht sowohl LDAP-Nutzer als auch
native Nutzer außer dlmadmin verwalten.
LDAP-Zugriffsfilter können logische Operatoren verwenden, um die Filterzeile zu erstellen, die die Nutzer herausfiltert, die die Bedingungen für eine der Nutzergruppen erfüllen: Admin, Nutzer, Service. Die Anmeldung über LDAP in DLm sieht folgendermaßen aus:
1. NutzerIn gibt Anmeldename/Pass
2 ein. Der Authentifikator verwendet den Anmeldenamen, um alle "%s"-Platzhalter (falls vorhanden) für alle angegebenen Filter zu ersetzen.
3. Anschließend werden die Filter nacheinander an das LDAP-Suchdienstprogramm übergeben (unter Verwendung der Benutzerkennung, um Zugriff auf den AD-Server zu erhalten, wenn die Durchgabe falsch ist, ist die Anmeldung nicht erfolgreich)
4. Das LDAP-Suchprogramm gibt die Liste der Nutzerdatensätze zurück, die mit einem der Filter
5 übereinstimmen. Die Bedingung für eine erfolgreiche Anmeldung ist, wenn das LDAP-Suchdienstprogramm nur einen Nutzerdatensatz für einen der Filter zurückgibt, auf dem die Suche angehalten wird. Wenn viele Nutzerdatensätze an einen der Filter zurückgegeben werden oder keine Datensätze für einen der Filter zurückgegeben werden, ist die Anmeldung nicht erfolgreich.
Im Grunde besteht die Hauptaufgabe also darin, einen Filter so zu erstellen, dass er nur einem Benutzerdatensatz entspricht. Als Beispiel/allgemeine Anleitung:
Wenn Sie für die Benutzer-ID dlmtapeadmin (sAMAccountName=%dlmtapeadmin) in den administrativen Zugriffsfilter eingeben, dann funktioniert diese AD-Authentifizierung. (memberOf=CN=EMC_Tape_Admins,OU=Domänengruppen,DC=hdq,DC=emc,DC=com) Dies funktioniert so lange, bis die EMC_Tape_Admins Gruppe nur einen Benutzer enthält, da ein solcher Filter immer mit allen Benutzern in der Gruppe übereinstimmt.
Wenn Sie dort mindestens einen weiteren Nutzer hinzufügen, würden wir die Bedingung (5) nicht erfüllen.
Damit es richtig funktioniert, müssen wir mehr Informationen für den Filter bereitstellen, in diesem Fall möchten wir, dass der Filter nur den Benutzerdatensatz überprüft, der gerade versucht, sich anzumelden (vorausgesetzt, wir haben nur einen Benutzer mit einem solchen Anmeldenamen als ID auf dem AD-Server), aber auch, um zu überprüfen, ob er/sie Mitglied der Gruppe Admins ist. Es kann also so aussehen:
(&(sAMAccountName=%s)(memberOf=CN=EMC_Tape_Admins,OU=Domain Groups,DC=hdq,DC=emc,DC=com)) ODER (je nachdem, wie der AD-Server konfiguriert ist) (&(cn=%s)(memberOf=CN=EMC_Tape_Admins,OU=Domain Groups,DC=hdq,DC=emc,DC=com)So
wird z.B. %s bei der Anmeldung durch dlmtapeadmin ersetzt, Jetzt filtern wir nach beidem: Ein angegebener Benutzername existiert im System und es ist nur ein eindeutiger Benutzer dlmtapeadmin UND er/sie ist Mitglied EMC_Tape_Admins Gruppe. Dasselbe kann bei Bedarf für hypothetische EMC_Tape_Users und EMC_Tape_Services Gruppen für Benutzer- bzw. Dienstfilter getan werden.
Affected Products
DD for DLm8100, Disk Library for mainframe DLm2100, Disk Library for mainframe DLm2500, Disk Library for mainframe DLm8100, Disk Library for mainframe DLm8500, VNX for DLm2100, VNX for DLm8100Article Properties
Article Number: 000187558
Article Type: How To
Last Modified: 10 May 2026
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.