Data Domain:LDAP 指南

Summary: 輕量型目錄存取通訊協定 (LDAP) 驗證:Data Domain 和 PowerProtect 系統可為透過 CLI 或 UI 登入的使用者使用 LDAP 驗證。支援的 LDAP 伺服器為 OpenLDAP、Oracle 和 Microsoft Active Directory。但是,當 Active Directory 設為此模式時,將會停用 Active Directory 使用者和群組的 Common Internet File System (CIFS) 資料存取。 ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

本指南中的資訊和步驟適用於 DD OS 7.9 及更新版本


檢視 LDAP 認證資訊

LDAP 認證面板會顯示 LDAP 組態參數,以及 LDAP 認證為啟用或停用。
啟用 LDAP** 可讓您使用現有的 OpenLDAP 伺服器或部署進行 **系統層級使用者驗證**、**NFSv4 ID 對應**,以及**NFSv3 或 NFSv4 Kerberos 與 LDAP。

  1. 選取管理 > 存取 > 認證。此時將顯示“身份驗證”視圖。
  2. 展開 LDAP 認證面板。

啟用和停用 LDAP 認證 使用 LDAP 認證面板可啟用、停用或重設 LDAP 認證。

 

注意:在啟用 LDAP 認證之前,LDAP 伺服器必須存在。


步驟

  1. 選取管理 > 存取 > 認證。此時將顯示“身份驗證”視圖。
  2. 展開LDAP身份驗證面板。
  3. 按一下 LDAP 狀態旁的 啟用 ,或停用以停用 LDAP 認證。
    此時將顯示「啟用或禁用LDAP身份驗證」對話方塊。
  4. 按一下確定

重設 LDAP 認證。

「重設」按鈕可停用 LDAP 驗證,並清除 LDAP 組態資訊。

配置 LDAP 認證

使用 LDAP 認證面板設定 LDAP 認證。

  1. 選取管理 > 存取 > 認證。此時將顯示“身份驗證”視圖。
  2. 展開 LDAP 認證面板。
  3. 按一下設定。此時將顯示「配置LDAP身份驗證」對話方塊。
  4. 在基本尾碼欄位中指定基本尾碼。
  5. 在綁定 DN 欄位中指定要與 LDAP 伺服器關聯的帳戶名稱。
  6. 在綁定密碼欄位中指定綁定 DN 帳戶的 密碼
  7. 或者,選取 啟用 SSL
  8. 或者,選取 要求伺服器憑證 ,以要求保護系統從 LDAP 伺服器匯入 CA 憑證。
  9. 按一下確定
  10. 如稍後需要,請按一下 「重設 」,將 LDAP 組態恢復為其預設值。

指定 LDAP 認證伺服器

關於此工作
使用 LDAP 認證面板指定 LDAP 認證伺服器。
先決條件 在設定 LDAP 伺服器之前,必須先停用 LDAP 認證。
 

注意:使用 LDAP 登入時,Data Domain System Manager (DDSM) 效能會隨著系統與 LDAP 伺服器之間的躍點數增加而降低。

 

步驟

  1. 選取管理 > 存取 > 認證。此時將顯示“身份驗證”視圖。
  2. 展開LDAP身份驗證面板。
  3. 按一下 + 按鈕 以新增伺服器。
  4. 以下列格式之一指定 LDAP 伺服器:
    • IPv4 位址: nn.nn.nn.nn
    • IPv6 位址: [FF::XXXX:XXXX:XXXX:XXXX]
    • 主機名稱: myldapserver.FQDN
  5. 按一下確定

配置 LDAP 群組

使用 LDAP 認證面板來設定 LDAP 群組。

關於此工作
只有在 Protection 系統上使用 LDAP 進行使用者驗證時,才適用 LDAP 群組組態。

  1. 選取管理 > 存取 > 認證。此時將顯示“身份驗證”視圖。
  2. 展開LDAP身份驗證面板。
  3. 在 LDAP 群組表格中設定 LDAP 群組。
    • 若要新增 LDAP 群組,請按一下新增 (+) 按鈕,輸入 LDAP 群組名稱和角色,然後按一下 確定
    • 若要修改 LDAP 群組,請在 LDAP 群組清單中選取群組名稱 的核取方塊 ,然後按一下 編輯 (鉛筆)。變更 LDAP 群組名稱,然後按一下 確定
    • 若要移除 LDAP 群組,請在清單中選取 LDAP 群組,然後按一下 刪除 (X)。

使用 CLI 配置 LDAP 認證。

啟用 LDAP** 可讓您為系統層級使用者驗證**、NFSv4 ID 對應**,以及 LDAP 的 NFSv3 或 NFSv4 Kerberos 設定現有的 OpenLDAP 伺服器或部署。

如果已為 Active Directory 設定 LDAP 認證,則無法設定此設定。

配置 Active Directory 的 LDAP 認證

DDOS 支援對 Active Directory 使用 LDAP 認證。
LDAP 驗證 Active Directory** 可限制 Active Directory 使用者和群組存取 CIFS 資料,僅允許本機使用者存取系統上的 CIFS 共用。
使用此組態的 Active Directory 使用者僅允許 CLI 和 UI 登入。

事前準備作業
請確定環境符合下列需求,以設定 Active Directory 的 LDAP 認證:

  • LDAP 通訊的 TLS/SSL 已啟用。
  • 存取 Protection 系統的 Active Directory 使用者必須擁有有效的 UID 和 GID 號碼。
  • 存取 Protection 系統的 Active Directory 群組必須具有有效的 GID 編號。
注意:
  • 指定 username 格式 <username>,而不指定功能變數名稱。
  • 指定 groupname 格式 <groupname>,而不指定功能變數名稱。
  • 使用者名和組名不區分大小寫。

下列限制適用於 Active Directory 的 LDAP:

  • Microsoft Active Directory 是唯一支援的 Active Directory 提供者。
  • 不支援 Active Directory 輕量型目錄服務 (LDS)。
  • Active Directory 原生結構描述 uidNumbergidNumber 填充是唯一受支持的架構。不支援與 Active Directory 整合的第三方工具。

關於此工作
Active Directory 的 LDAP 認證無法與 CIFS 的 Active Directory 或 Kerberos 認證搭配使用。
CLI 是設定此選項的唯一方法。


執行驗證 LDAP 基本設定基本名稱類型 active-directory 命令,以啟用 Active Directory 的 LDAP 認證。


注意:如果 CIFS 驗證已設定為 Active Directory,則命令會失敗。 
# authentication ldap base set "dc=anvil,dc=team" type active-directory


配置 LDAP 伺服器。

您可以同時設定一或多個 LDAP 伺服器。從離保護系統最近的網站設定伺服器,以將延遲降至最低。

關於此工作


注意:變更組態時,必須停用 LDAP。
 

以下列格式之一指定 LDAP 伺服器:

  • IPv4 address—10.<A>.<B>.<C>
  • IPv4 address with port number—10.<A>.<B>.<C>:400
  • IPv6 address—[::ffff:9.53.96.21]
  • IPv6 address with port number—[::ffff:9.53.96.21]:400
  • Hostname—myldapserver
  • Hostname with port number—myldapserver:400

設定多個伺服器時:

  • 用空格分隔每個伺服器。
  • 使用驗證 LDAP 伺服器新增命令時列出的第一個伺服器將成為主伺服器。
  • 如果有任何伺服器無法設定,則列出的所有伺服器此命令都會失敗。

步驟

  1. 使用「 新增一或多個 LDAP 伺服器」authentication ldap servers add」命令使用的常見選項:
# authentication ldap servers add 10.A.B.C 10.X.Y.Z:400
LDAP server(s) added
LDAP Server(s): 2
# IP Address/Hostname
--- ---------------------
1. 10.A.B.C (primary)
2. 10.X.Y.Z:400
--- ---------------------
  1. 使用「 刪除一個或多個 LDAP 伺服器」authentication ldapservers del」命令使用的常見選項:
# authentication ldap servers del 10.X.Y.Z:400
LDAP server(s) deleted.
LDAP Servers: 1
# Server
- ------------ ---------
1 10.A.B.C (primary)
- ------------ ---------
3. Remove all LDAP servers by using the authentication ldap servers reset command:
# authentication ldap servers reset
LDAP server list reset to empty.

配置 LDAP 基底尾碼。
基本後綴是搜索的基本 DN,也是 LDAP 目錄開始搜索的位置。

關於此工作
設定 OpenLDAP 或 Active Directory 的基礎尾碼。


注意:不能同時為 OpenLDAP 和 Active Directory 設定基本尾碼。


僅允許使用者從主要 Active Directory 網域登入。不支援來自受信任的 Active Directory 網域的使用者和群組。
設定 OpenLDAP 的基礎尾碼。


使用 「 設定基於 LDAP 的後綴」authentication ldap base set」命令使用的常見選項:

# authentication ldap base set "dc=anvil,dc=team"
LDAP base-suffix set to "dc=anvil,dc=team".

步驟

  1. 使用 「 設定基於 LDAP 的後綴」authentication ldap base set」命令使用的常見選項:
# authentication ldap base set "dc=anvil,dc=team" type active-directory
LDAP base-suffix set to "dc=anvil,dc=team".

注意:在此範例中,所有使用者 dd-admins LDAP group 在 Protection 系統上具有管理權限。 
# authentication ldap groups add dd-admins role admin
LDAP Group Role
---------- -----
dd-admins admin
---------- -----
Reset the LDAP base suffix


重設 LDAP 型尾碼,方法是使用「authentication ldap base reset」命令使用的常見選項:

# authentication ldap base reset

LDAP 基本尾碼重設為空白。

配置LDAP用戶端身份驗證。
設定用於驗證 LDAP 伺服器並進行查詢的帳戶 (綁定 DN) 和密碼 (綁定 PW)。

關於此工作
您應一律設定繫結 DN 和密碼。在此過程中,LDAP 伺服器預設需要經過身份驗證的綁定。如果 client-auth 未設置,請求匿名訪問,不提供名稱或密碼。

“ 的輸出”authentication ldap show」命令如下:

# authentication ldap show

LDAP configuration
 Enabled: yes (*)
 Base-suffix: dc=u2,dc=team
 Binddn: (anonymous)
 Server(s): 1
# Server
- ------------- ---------
1 10.207.86.160 (primary)
- ------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

(*)需要重新啟動檔案系統才能使配置生效。

如果 binddn 使用以下方式設定: client-auth CLI,但是 bindpw 未提供,要求未經驗證的存取。

# authentication ldap client-auth set binddn "cn=Manager,dc=u2,dc=team"

Enter bindpw
** Bindpw 未提供。將要求未經身份驗證的訪問。
LDAP 用戶端認證 binddn 設為「cn=Manager,dc=u2,dc=team“的比較。

  1. 使用「 設定繫結 DN 和密碼」authentication ldap client-auth set binddn」命令使用的常見選項:
# authentication ldap client-auth set binddn "cn=Administrator,cn=Users,dc=anvil,dc=team"

Enter bindpw
LDAP 用戶端認證 binddn 設置為:
cn=Administrator,cn=Users,dc=anvil,dc=team

  1. 重設繫結 DN 和密碼,方法是使用「authentication ldap client-auth reset」命令使用的常見選項:
# authentication ldap client-auth reset

LDAP 用戶端認證組態會重設為空白。

啟用 LDAP。

事前準備作業
在啟用 LDAP 之前,必須存在 LDAP 組態。
此外,您必須停用 NIS,確保 LDAP 伺服器可連線,並能夠查詢 LDAP 伺服器的根 DSE。

  1. 使用「 啟用 LDAP」authentication ldap enable」命令使用的常見選項:
# authentication ldap enable

LDAP 組態的詳細資料隨即顯示,以供您確認後再繼續。若要繼續,請輸入 是,然後重新啟動檔案系統,使 LDAP 組態生效。

使用「 檢視目前的 LDAP 組態」authentication ldap show」命令使用的常見選項:


注意:如果系統設定為使用 Active Directory 的 LDAP,則命令輸出包含「伺服器類型」欄位,以指示其已連接至 Active Directory 伺服器。 
# authentication ldap show
LDAP configuration
 Enabled: no
 Base-suffix: dc=anvil,dc=team
 Binddn: cn=Administrator,cn=Users,dc=anvil,dc=team
 Server(s): 2
# Server
- ---------------- ---------
1 10.26.16.250 (primary)
2 10.26.16.251:400
- ---------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

基本 LDAP 與安全 LDAP 組態的詳細資料隨即顯示。

3. View the current LDAP status by using the authentication ldap status command:
# authentication ldap status
The LDAP status is displayed. If the LDAP status is not good, the problem is identified in the output.
For example:
# authentication ldap status
Status:invalid credentials
or
# authentication ldap status
Status: invalid DN syntax
4. Disable LDAP by using the authentication ldap disable command:
# authentication ldap disable LDAP is disabled.

啟用安全 LDAP。

您可以啟用 SSL,以設定 DDR 以使用安全的 LDAP。
若為 Active Directory 適用的 LDAP,請使用 SSL/TLS 選項設定安全的 LDAP。
先決條件:如果沒有 LDAP CA 憑證和 tls_reqcert 設置為“按需”,操作失敗。
匯入 LDAP CA 憑證,然後再試一次。如果 tls_reqcert 設為永不,則不需要 LDAP CA 憑證。

  1. 使用「 啟用 SSL」authentication ldap ssl enable」命令使用的常見選項:
# authentication ldap ssl enable

安全 LDAP 已啟用,並顯示「ldaps“的方法。

預設方法是安全 LDAP 或 LDAP。您可以指定其他方法,例如 TLS:

# authentication ldap ssl enable method start_tls

安全 LDAP 已啟用,並顯示「start_tls“的方法。

  1. 使用「 停用 SSL」,請使用「authentication ldap ssl disable」命令使用的常見選項:
# authentication ldap ssl disable Secure LDAP is disabled.

使用匯入的 CA 憑證設定 LDAP 伺服器憑證驗證。

您可以變更 TLS 要求憑證行為。

  1. 變更 TLS 要求憑證行為,請使用「authentication ldap ssl set tls_reqcert命令。

不驗證憑證:

# authentication ldap ssl set tls_reqcert never “tls_reqcert” set to "never".

LDAP 伺服器憑證未驗證。

 
注意:如果為 Active Directory 設定 LDAP,則 TLS 要求憑證行為不能設為永不。

驗證憑證:

# authentication ldap ssl set tls_reqcert demand

tls_reqcert」設為「需求」。LDAP 伺服器憑證已經過驗證。

  1. 重置 TLS 請求證書行為,方法是使用”authentication ldap ssl reset tls_reqcert命令。

預設行為為需求:

# authentication ldap ssl reset tls_reqcert

tls_reqcert“已設置為”需求“。LDAP 伺服器憑證會使用匯入的 CA 憑證進行驗證。使用”adminaccess」CLI 以匯入 CA 憑證。

管理 LDAP 的 CA 憑證。

您可以匯入或刪除憑證,並顯示目前的憑證資訊。

  1. 匯入 CA 憑證以使用 LDAP 伺服器憑證驗證,方法是使用”adminaccess certificate import命令。

指定 CA 應用程式的 LDAP:

# adminaccess certificate import {host application {all | aws-federal | ddboost | https | keysecure | dsm | ciphertrust | gklm | } | ca application {all | cloud | ddboost | ldap | login-auth | keysecure | dsm | rsa-securid | ciphertrust | gklm | }} [file ]
  1. 刪除 LDAP 伺服器憑證驗證的 CA 憑證,方法是使用「adminaccess憑證刪除命令。為應用程式指定 LDAP:
# adminaccess certificate delete {subject | fingerprint } [application {all | aws-federal | cloud | ddboost | ldap | login-auth | https | keysecure | dsm | ciphertrust | gklm | support | }]
  1. 顯示 LDAP 伺服器憑證驗證的目前 CA 憑證資訊,方法是使用”adminaccess certificate show」命令使用的常見選項:
# adminaccess certificate show imported-ca application ldap

Additional Information

Active Directory 的連接埠

連接埠 通訊協定 可設定的連接埠 說明
53 TCP/UDP 開啟 DNS (如果 AD 也是 DNS)
88 TCP/UDP 開啟 Kerberos
139 TCP 開啟 NetBios - NetLogon
389 TCP/UDP 開啟 LDAP
445 TCP/UDP 使用者認證以及與 AD 的其他通訊
3268 TCP 開啟 全域目錄查詢
636 TCP  開啟  LDAPS - 安全的 LDAP over SSL/TLS
3269 TCP 開啟  LDAPS (LDAP over SSL) 至全域編錄 — 用於林中跨域的安全目錄查詢。

LDAP

啟用聯邦資訊處理標準 (FIPS) 時,在系統或 DDVE 上運行的 LDAP 用戶端必須使用 TLS。

# authentication ldap ssl enable method start_tls Otherwise, enabling FIPS compliance mode fails.

在全新安裝和升級時,未顯式設置LDAP SSL密碼。
啟用 FIPS 相容性模式時,LDAP SSL 加密會設定為以下內容:

  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES256-SHA384
  • DHE-RSA-AES256-GCM-SHA384
  • DHE-RSA-AES256-SHA256
  • AES256-GCM-SHA384
  • AES256-SHA256
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-SHA256
  • DHE-RSA-AES128-GCM-SHA256
  • DHE-RSA-AES128-SHA256
  • AES128-GCM-SHA256
  • AES128-SHA256

設定的密碼清單應為: ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128- SHA256

禁用 FIPS 時,它會設置為空字串 “”。

在授予管理訪問許可權之前,使用身份驗證伺服器對用戶進行身份驗證。

DD 支援多個名稱伺服器通訊協定,例如 LDAP、NIS 和 AD。DD 建議使用已啟用 FIPS 的 OpenLDAP。DD 僅管理本機帳戶。DD 建議使用 UI 或 CLI 來設定 LDAP。

  • UI:行政管理 >通路 >認證
  • CLI:認證 LDAP 命令

Active Directory 也可以設定為已啟用 FIPS 的使用者登入。但是,該組態不再支援 AD 使用者存取 CIFS 資料。

用於網路檔案系統 (NFS) ID 對應的 LDAP

Data Domain 和 PowerProtect 系統可使用 LDAP 進行 NFSv4 ID 對應,並使用 NFSv3 或 NFSv4 Kerberos 進行 LDAP。使用者也可以使用 LDAPS 或「 配置安全的 LDAPstart_TLS“的方法。LDAP 用戶端認證可以使用綁定 DN 或綁定 PW,但系統不支援基於證書的 LDAP 用戶端認證。


注意:本地使用者 ID 以數位 500 開頭。設置LDAP時,無法使用類似的使用者ID範圍(500–1000)或發生使用者ID衝突。如果存在使用者 ID 衝突,則由於配置錯誤,其他使用者可以訪問由名稱 LDAP 服務使用者擁有的檔。

Affected Products

Data Domain
Article Properties
Article Number: 000204241
Article Type: How To
Last Modified: 29 Oct 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.