Data Domain: LDAP-vejledning

Summary: LDAP-godkendelse (Lightweight Directory Access Protocol): Data Domain- og PowerProtect-systemer kan bruge LDAP-godkendelse for brugere, der logger på via CLI eller brugergrænseflade. De understøttede LDAP-servere er OpenLDAP, Oracle og Microsoft Active Directory. Men når Active Directory er konfigureret i denne tilstand, deaktiveres CIFS-dataadgangen (Common Internet File System) for Active Directory-brugere og -grupper. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Oplysningerne og trinnene i denne vejledning fungerer sammen med DD OS 7.9 og nyere


Visning af LDAP-godkendelsesoplysninger

Panelet LDAP-godkendelse viser LDAP-konfigurationsparametrene, og om LDAP-godkendelse er aktiveret eller deaktiveret.
Hvis du slår LDAP** til, kan du bruge en eksisterende OpenLDAP-server eller -implementering til **brugergodkendelse på systemniveau**, **NFSv4 ID-tilknytning** og **NFSv3 eller NFSv4 Kerberos med LDAP.

Trin

  1. > Vælg Administration Access > Authentication. Visningen Godkendelse vises.
  2. Udvid panelet LDAP-godkendelse.

Aktivering og deaktivering af LDAP-godkendelse Brug LDAP-godkendelsespanelet til at aktivere, deaktivere eller nulstille LDAP-godkendelse.

 

BEMÆRK: Der skal være en LDAP-server, før LDAP-godkendelse kan aktiveres.


Trin

  1. > Vælg Administration Access > Authentication. Visningen Godkendelse vises.
  2. Udvid LDAP-godkendelsespanelet.
  3. Klik på Slå til ud for LDAP-status for at slå den til eller Deaktiver for at slå LDAP-godkendelse fra.
    Dialogboksen Aktiver eller deaktiver LDAP-godkendelse vises.
  4. Klik på OK.

Nulstilling af LDAP-godkendelse.

Knappen Nulstil deaktiverer LDAP-godkendelse og rydder LDAP-konfigurationsoplysningerne.

Konfiguration af LDAP-godkendelse

Brug LDAP-godkendelsespanelet til at konfigurere LDAP-godkendelse.

Trin

  1. > Vælg Administration Access > Authentication. Visningen Godkendelse vises.
  2. Udvid panelet LDAP-godkendelse.
  3. Klik på Konfigurer. Dialogboksen Konfigurer LDAP-godkendelse vises.
  4. Angiv basissuffikset i feltet Basesuffiks.
  5. Angiv det kontonavn, der skal knyttes til LDAP-serveren, i feltet Bind DN.
  6. Angiv adgangskoden til Bind DN-kontoen i feltet Bind adgangskode.
  7. Du kan også vælge Aktivér SSL.
  8. Du kan også vælge Kræm servercertifikat for at kræve, at beskyttelsessystemet importerer et CA-certifikat fra LDAP-serveren.
  9. Klik på OK.
  10. Klik om nødvendigt senere på Nulstil for at gendanne LDAP-konfigurationen til standardværdierne.

Specificering af LDAP-godkendelsesservere

Om denne opgave
Brug LDAP-godkendelsespanelet til at angive LDAP-godkendelsesservere.
Forudsætninger: LDAP-godkendelse skal være deaktiveret, før du konfigurerer en LDAP-server.
 

BEMÆRK: DDSM-ydeevnen (Data Domain System Manager), når du logger ind med LDAP, falder, når antallet af hop mellem systemet og LDAP-serveren øges.

 

Trin

  1. > Vælg Administration Access > Authentication. Visningen Godkendelse vises.
  2. Udvid LDAP-godkendelsespanelet.
  3. Klik på knappen + for at tilføje en server.
  4. Angiv LDAP-serveren i et af følgende formater:
    • IPv4-adresse: nn.nn.nn.nn
    • IPv6-adresse: [FF::XXXX:XXXX:XXXX:XXXX]
    • Værtsnavn: myldapserver.FQDN
  5. Klik på OK.

Konfiguration af LDAP-grupper

Brug LDAP-godkendelsespanelet til at konfigurere LDAP-grupper.

Om denne opgave
LDAP-gruppekonfiguration gælder kun, når LDAP bruges til brugergodkendelse på beskyttelsessystemet.

Trin

  1. > Vælg Administration Access > Authentication. Visningen Godkendelse vises.
  2. Udvid LDAP-godkendelsespanelet.
  3. Konfigurer LDAP-grupperne i LDAP-gruppetabellen.
    • Du tilføjer en LDAP-gruppe ved at klikke på knappen Tilføj (+), skrive LDAP-gruppens navn og rolle og klikke på OK.
    • Du ændrer en LDAP-gruppe ved at vælge afkrydsningsfeltet for gruppenavnet på LDAP-gruppelisten og klikke på Rediger (blyant). Rediger LDAP-gruppenavnet, og klik på OK.
    • Du fjerner en LDAP-gruppe ved at vælge LDAP-gruppen på listen og klikke på Slet (X).

Brug af CLI til at konfigurere LDAP-godkendelse.

Aktivering af LDAP** giver dig mulighed for at **konfigurere en eksisterende OpenLDAP-server eller implementering** til **brugergodkendelse på systemniveau**, **NFSv4 ID-tilknytning** og **NFSv3 eller NFSv4 Kerberos med LDAP.

Dette kan ikke konfigureres, hvis LDAP-godkendelse allerede er konfigureret til Active Directory.

Konfiguration af LDAP-godkendelse til Active Directory

DDOS understøtter brugen af LDAP-godkendelse til Active Directory.
LDAP-godkendelse med Active Directory** begrænser CIFS-dataadgang for Active Directory-brugere og -grupper, så kun lokale brugere kan få adgang til CIFS-delinger på systemet.
Kun CLI- og UI-login er tilladt for Active Directory-brugere med denne konfiguration.

Forudsætninger
Sørg for, at miljøet opfylder følgende krav til konfiguration af LDAP-godkendelse til Active Directory:

  • TLS/SSL er aktiveret til LDAP-kommunikation.
  • Active Directory-brugere, der har adgang til beskyttelsessystemet, skal have gyldige UID- og GID-numre.
  • Active Directory-grupper, der har adgang til beskyttelsessystemet, skal have et gyldigt GID-nummer.
BEMÆRK:
  • Angiv ikonet username I formatet <username>uden angivelse af et domænenavn.
  • Angiv ikonet groupname I formatet <groupname>uden angivelse af et domænenavn.
  • Bruger- og gruppenavne skelner ikke mellem store og små bogstaver.

Følgende begrænsninger gælder for LDAP til Active Directory:

  • Microsoft Active Directory er den eneste understøttede Active Directory-udbyder.
  • Active Directory Lightweight Directory Services (LDS) understøttes ikke.
  • Active Directory-det oprindelige skema for uidNumber og gidNumber population er det eneste understøttede skema. Der er ingen understøttelse af tredjepartsværktøjer, der er integreret med Active Directory.

Om denne opgave
LDAP-godkendelse til Active Directory kan ikke bruges med Active Directory- eller Kerberos-godkendelse til CIFS.
CLI er den eneste måde at konfigurere denne indstilling på.

Trin
Kør kommandoen til godkendelse af LDAP-basissæt, basisnavn, type active-directory for at aktivere LDAP-godkendelse for Active Directory.


BEMÆRK: Kommandoen mislykkes, hvis CIFS-godkendelsen allerede er konfigureret som Active Directory. 
# authentication ldap base set "dc=anvil,dc=team" type active-directory


Konfigurer LDAP-servere.

Du kan konfigurere en eller flere LDAP-servere samtidigt. Konfigurer servere fra det sted, der er tættest på beskyttelsessystemet, for at opnå minimal ventetid.

Om denne opgave


BEMÆRK: LDAP skal deaktiveres, når konfigurationen ændres.
 

Angiv LDAP-serveren i et af følgende formater:

  • IPv4 address—10.<A>.<B>.<C>
  • IPv4 address with port number—10.<A>.<B>.<C>:400
  • IPv6 address—[::ffff:9.53.96.21]
  • IPv6 address with port number—[::ffff:9.53.96.21]:400
  • Hostname—myldapserver
  • Hostname with port number—myldapserver:400

Ved konfiguration af flere servere:

  • Adskil hver server med et mellemrum.
  • Den første server, der vises, når du bruger kommandoen til LDAP-servere tilføjelse, bliver den primære server.
  • Hvis en af serverne ikke kan konfigureres, mislykkes kommandoen for alle de viste servere.

Trin

  1. Tilføj en eller flere LDAP-servere ved hjælp af "authentication ldap servers add" kommando:
# authentication ldap servers add 10.A.B.C 10.X.Y.Z:400
LDAP server(s) added
LDAP Server(s): 2
# IP Address/Hostname
--- ---------------------
1. 10.A.B.C (primary)
2. 10.X.Y.Z:400
--- ---------------------
  1. Fjern en eller flere LDAP-servere ved hjælp af "authentication ldapservers del" kommando:
# authentication ldap servers del 10.X.Y.Z:400
LDAP server(s) deleted.
LDAP Servers: 1
# Server
- ------------ ---------
1 10.A.B.C (primary)
- ------------ ---------
3. Remove all LDAP servers by using the authentication ldap servers reset command:
# authentication ldap servers reset
LDAP server list reset to empty.

Konfigurer LDAP-basissuffikset.
Basissuffikset er basis-DN for søgning, og det er der, LDAP-biblioteket begynder at søge.

Om denne opgave
Indstil basissuffikset for OpenLDAP eller Active Directory.


BEMÆRK: Basissuffikset kan ikke indstilles for både OpenLDAP og Active Directory.


Brugerlogin er kun tilladt fra det primære Active Directory-domæne. Brugere og grupper fra Active Directory-domæner, der er tillid til, understøttes ikke.
Indstil basissuffikset for OpenLDAP.

Trin
Indstil LDAP-basissuffikset ved hjælp af "authentication ldap base set" kommando:

# authentication ldap base set "dc=anvil,dc=team"
LDAP base-suffix set to "dc=anvil,dc=team".

Trin

  1. Indstil LDAP-basissuffikset ved hjælp af "authentication ldap base set" kommando:
# authentication ldap base set "dc=anvil,dc=team" type active-directory
LDAP base-suffix set to "dc=anvil,dc=team".

BEMÆRK: I dette eksempel vil alle brugere i dd-admins LDAP group have administrative rettigheder på beskyttelsessystemet. 
# authentication ldap groups add dd-admins role admin
LDAP Group Role
---------- -----
dd-admins admin
---------- -----
Reset the LDAP base suffix

Trin
Nulstil LDAP-basissuffikset ved hjælp af "authentication ldap base reset" kommando:

# authentication ldap base reset

LDAP-basesuffiks nulstilles til tom.

Konfigurer LDAP-klientgodkendelse.
Konfigurer kontoen (Bind DN) og adgangskoden (Bind PW), der bruges til godkendelse med LDAP-serveren, og foretag forespørgsler.

Om denne opgave
Du bør altid konfigurere Bind DN og adgangskode. I processen kræver LDAP-servere som standard godkendte tilknytninger. Hvis client-auth ikke er indstillet, anmodes der om anonym adgang uden navn eller adgangskode.

Outputtet af "authentication ldap show" kommando er som følger:

# authentication ldap show

LDAP configuration
 Enabled: yes (*)
 Base-suffix: dc=u2,dc=team
 Binddn: (anonymous)
 Server(s): 1
# Server
- ------------- ---------
1 10.207.86.160 (primary)
- ------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

(*) Kræver genstart af filsystemet, for at konfigurationen kan træde i kraft.

Hvis binddn er indstillet ved hjælp af client-auth CLI, men bindpw ikke er angivet, anmodes der om ikke-godkendt adgang.

# authentication ldap client-auth set binddn "cn=Manager,dc=u2,dc=team"

Enter bindpw:
** Bindpw er ikke angivet. Der vil blive anmodet om ikke-godkendt adgang.
LDAP-klientgodkendelse binddn indstillet til "cn=Manager,dc=u2,dc=team".

Trin

  1. Indstil Bind DN og adgangskoden ved hjælp af "authentication ldap client-auth set binddn" kommando:
# authentication ldap client-auth set binddn "cn=Administrator,cn=Users,dc=anvil,dc=team"

Enter bindpw:
LDAP-klientgodkendelse binddn er indstillet til:
"cn=Administrator,cn=Users,dc=anvil,dc=team"

  1. Nulstil Bind DN og adgangskoden ved hjælp af "authentication ldap client-auth reset" kommando:
# authentication ldap client-auth reset

Konfigurationen af LDAP-klientgodkendelse nulstilles til tom.

Aktiver LDAP.

Forudsætninger
Der skal foreligge en LDAP-konfiguration, før LDAP kan aktiveres.
Du skal også deaktivere NIS, sikre dig, at LDAP-serveren er tilgængelig, og være i stand til at forespørge LDAP-serverens rod-DSE.

Trin

  1. Aktiver LDAP ved hjælp af "authentication ldap enable" kommando:
# authentication ldap enable

Oplysningerne om LDAP-konfigurationen vises, så du kan bekræfte dem, før du fortsætter. Skriv Ja for at fortsætte, og genstart arkivsystemet, så LDAP-konfigurationen træder i kraft.

Se den aktuelle LDAP-konfiguration ved hjælp af "authentication ldap show" kommando:


BEMÆRK: Hvis systemet er konfigureret til at bruge LDAP til Active Directory, indeholder kommandooutputtet et servertypefelt, der angiver, at det er sluttet til en Active Directory-server. 
# authentication ldap show
LDAP configuration
 Enabled: no
 Base-suffix: dc=anvil,dc=team
 Binddn: cn=Administrator,cn=Users,dc=anvil,dc=team
 Server(s): 2
# Server
- ---------------- ---------
1 10.26.16.250 (primary)
2 10.26.16.251:400
- ---------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

Grundlæggende LDAP-konfigurationsoplysninger og sikre LDAP-konfigurationer vises.

3. View the current LDAP status by using the authentication ldap status command:
# authentication ldap status
The LDAP status is displayed. If the LDAP status is not good, the problem is identified in the output.
For example:
# authentication ldap status
Status:invalid credentials
or
# authentication ldap status
Status: invalid DN syntax
4. Disable LDAP by using the authentication ldap disable command:
# authentication ldap disable LDAP is disabled.

Aktiver sikker LDAP.

Du kan konfigurere DDR til at bruge sikker LDAP ved at aktivere SSL.
For LDAP til Active Directory skal du konfigurere sikker LDAP med SSL/TLS-indstillinger.
Forudsætninger: Hvis der ikke findes et LDAP CA-certifikat, og tls_reqcert er indstillet til Demand, mislykkes handlingen.
Importer et LDAP CA-certifikat, og prøv igen. Hvis tls_reqcert er indstillet til aldrig, kræves der ikke et LDAP CA-certifikat.

Trin

  1. Aktivér SSL ved hjælp af "authentication ldap ssl enable" kommando:
# authentication ldap ssl enable

Secure LDAP er aktiveret med "ldaps" metode.

Standardmetoden er sikker LDAP eller LDAP. Du kan angive andre metoder, f.eks. TLS:

# authentication ldap ssl enable method start_tls

Secure LDAP er aktiveret med "start_tls" metode.

  1. Deaktiver SSL ved hjælp af "authentication ldap ssl disable" kommando:
# authentication ldap ssl disable Secure LDAP is disabled.

Konfigurer LDAP-servercertifikatverifikation med importerede CA-certifikater.

Du kan ændre TLS-anmodningscertifikatets funktionsmåde.

Trin

  1. Skift funktionsmåden for TLS-anmodningscertifikat ved hjælp af "authentication ldap ssl set tls_reqcert" kommando.

Bekræft ikke certifikatet:

# authentication ldap ssl set tls_reqcert never “tls_reqcert” set to "never".

LDAP-servercertifikatet er ikke bekræftet.

 
BEMÆRK: Hvis LDAP er konfigureret til Active Directory, kan TLS-anmodningscertifikatets funktionsmåde ikke indstilles til aldrig.

Bekræft certifikatet:

# authentication ldap ssl set tls_reqcert demand

"tls_reqcert" indstillet til "efterspørgsel". LDAP-servercertifikatet er verificeret.

  1. Nulstil TLS-anmodningscertifikatets funktionsmåde ved hjælp af "authentication ldap ssl reset tls_reqcert" kommando.

Standardfunktionsmåden er efterspørgsel:

# authentication ldap ssl reset tls_reqcert

"tls_reqcert" er sat til "efterspørgsel". LDAP-servercertifikatet er verificeret med et importeret CA-certifikat. Brug "adminaccess" CLI for at importere CA-certifikatet.

Administrer CA-certifikater for LDAP.

Du kan importere eller slette certifikater og få vist aktuelle certifikatoplysninger.

Trin

  1. Importer et CA-certifikat til LDAP-servercertifikatverifikation ved hjælp af "adminaccess certificate import" kommando.

Angiv LDAP til CA-program:

# adminaccess certificate import {host application {all | aws-federal | ddboost | https | keysecure | dsm | ciphertrust | gklm | } | ca application {all | cloud | ddboost | ldap | login-auth | keysecure | dsm | rsa-securid | ciphertrust | gklm | }} [file ]
  1. Slet et CA-certifikat til LDAP-servercertifikatverifikation ved hjælp af "adminaccess" certifikat sletning kommando. Angiv LDAP til program:
# adminaccess certificate delete {subject | fingerprint } [application {all | aws-federal | cloud | ddboost | ldap | login-auth | https | keysecure | dsm | ciphertrust | gklm | support | }]
  1. Vis aktuelle CA-certifikatoplysninger til LDAP-servercertifikatverifikation ved hjælp af "adminaccess certificate show" kommando:
# adminaccess certificate show imported-ca application ldap

Additional Information

Porte til Active Directory

Port Protokol Portkonfigurerbar Beskrivelse
53 TCP/UDP Åbn DNS (hvis AD også er DNS)
88 TCP/UDP Åbn Kerberos
139 TCP Åbn NetBios - NetLogon
389 TCP/UDP Åbn LDAP
445 TCP/UDP Nej Brugergodkendelse og anden kommunikation med AD
3268 TCP Åbn Forespørgsler om globale kataloger
636 TCP  Åbn  LDAPS - sikker LDAP over SSL/TLS
3269 TCP Åbn  LDAPS (LDAP over SSL) til det globale katalog – bruges til sikre biblioteksforespørgsler på tværs af domæner i en skov.

LDAP

Når FIPS (Federal Information Processing Standards) er aktiveret, skal LDAP-klienten, der kører på et system eller DDVE, bruge TLS.

# authentication ldap ssl enable method start_tls Otherwise, enabling FIPS compliance mode fails.

Ved en ny installation og opgradering indstilles LDAP SSL-cifre ikke eksplicit.
Når FIPS-overholdelsestilstand er aktiveret, indstilles LDAP SSL-cifrene til følgende:

  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES256-SHA384
  • DHE-RSA-AES256-GCM-SHA384
  • DHE-RSA-AES256-SHA256
  • AES256-GCM-SHA384
  • AES256-SHA256
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-SHA256
  • DHE-RSA-AES128-GCM-SHA256
  • DHE-RSA-AES128-SHA256
  • AES128-GCM-SHA256
  • AES128-SHA256

Den konfigurerede chifferliste skal være: ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128- SHA256

Når FIPS er deaktiveret, indstilles den til "", en tom streng.

Brug af en godkendelsesserver til godkendelse af brugere, før du giver administrativ adgang.

DD understøtter flere navneserverprotokoller som f.eks. LDAP, NIS og AD. DD anbefaler, at du bruger OpenLDAP med FIPS-aktivering. DD administrerer kun lokale konti. DD anbefaler, at du bruger brugergrænsefladen eller CLI til at konfigurere LDAP.

  • UI: Administration >Adgang >Godkendelse
  • CLI: LDAP-kommandoer til godkendelse

Active Directory kan også konfigureres til brugerlogins med FIPS aktiveret. CIFS-dataadgang med AD-brugere understøttes dog ikke længere med denne konfiguration.

LDAP til NFS-id-tilknytning (Network File System)

Data Domain- og PowerProtect-systemer kan bruge LDAP til NFSv4 ID-tilknytning og NFSv3 eller NFSv4 Kerberos med LDAP. Brugeren kan også konfigurere sikker LDAP med enten LDAPS eller "start_TLS" metode. LDAP-klientgodkendelsen kan bruge Bind DN eller Bind PW, men systemer understøtter ikke certifikatbaseret LDAP-klientgodkendelse.


BEMÆRK: Det lokale bruger-id starter med tallet 500. Når LDAP konfigureres, kan et lignende bruger-id-interval (500-1000) ikke bruges, eller der opstår en bruger-id-kollision. Hvis der er en bruger-id-kollision, bliver filer, der ejes af en navn LDAP-tjenestebruger, tilgængelige for de andre brugere på grund af konfigurationsfejl.

Affected Products

Data Domain
Article Properties
Article Number: 000204241
Article Type: How To
Last Modified: 29 Oct 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.