Data Domain: Guia do LDAP

Summary: Autenticação LDAP (Lightweight Directory Access Protocol): Os sistemas Data Domain e PowerProtect podem usar a autenticação LDAP para usuários que fazem login por meio da CLI ou da interface do usuário. Os servidores LDAP compatíveis são OpenLDAP, Oracle e Microsoft Active Directory. No entanto, quando o Active Directory é configurado nesse modo, o acesso aos dados do CIFS (Common Internet File System) para grupos e usuários do Active Directory é desabilitado. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

As informações e etapas deste guia funcionam com o DD OS 7.9 e versões posteriores


Visualizando informações de autenticação LDAP

O painel LDAP Authentication exibe os parâmetros de configuração do LDAP e se a autenticação LDAP está ativada ou desativada.
A ativação do LDAP** permite que você use um servidor ou uma implementação OpenLDAP existente para **autenticação de usuário no nível do sistema**, **mapeamento de ID do NFSv4** e **NFSv3 ou NFSv4 Kerberos com LDAP.

Passos

  1. Selecione Administration > Access > Authentication. A visualização Authentication é exibida.
  2. Expanda o painel LDAP Authentication.

Como ativar e desativar a autenticação LDAP. Use o painel LDAP Authentication para ativar, desativar ou redefinir a autenticação LDAP.

 

Nota: Um servidor LDAP deve existir antes de habilitar a autenticação LDAP.


Etapas

  1. Selecione Administration > Access > Authentication. A visualização Authentication é exibida.
  2. Expanda o painel de autenticação LDAP.
  3. Clique em Enable ao lado de LDAP Status para ativar ou desativar a autenticação LDAP.
    A caixa de diálogo Enable or Disable LDAP authentication é exibida.
  4. Clique em OK.

Como redefinir a autenticação LDAP.

O botão Reset desativa a autenticação LDAP e limpa as informações de configuração LDAP.

Configurando a autenticação LDAP

Use o painel LDAP authentication para configurar a autenticação LDAP.

Passos

  1. Selecione Administration > Access > Authentication. A visualização Authentication é exibida.
  2. Expanda o painel LDAP Authentication.
  3. Clique em Configure. A caixa de diálogo Configure LDAP Authentication é exibida.
  4. Especifique o sufixo de base no campo Sufixo de base.
  5. Especifique o nome da conta a ser associada ao servidor LDAP no campo Bind DN.
  6. Especifique a senha da conta Bind DN no campo Bind Password.
  7. Opcionalmente, selecione Enable SSL.
  8. Opcionalmente, selecione Demandar certificado do servidor para exigir que o sistema de proteção importe um certificado CA do servidor LDAP.
  9. Clique em OK.
  10. Se necessário posteriormente, clique em Reset para retornar a configuração LDAP aos valores padrão.

Especificando servidores de autenticação LDAP

Sobre Esta Tarefa
Use o painel LDAP authentication para especificar servidores de autenticação LDAP.
Pré-requisitos A autenticação LDAP deve ser desativada antes de configurar um servidor LDAP.
 

Nota: O desempenho do Data Domain System Manager (DDSM) ao fazer log-in com LDAP diminui à medida que aumenta o número de saltos entre o sistema e o servidor LDAP.

 

Etapas

  1. Selecione Administration > Access > Authentication. A visualização Authentication é exibida.
  2. Expanda o painel de autenticação LDAP.
  3. Clique no botão + para adicionar um servidor.
  4. Especifique o servidor LDAP em um dos seguintes formatos:
    • Endereço IPv4: nn.nn.nn.nn
    • Endereço IPv6: [FF::XXXX:XXXX:XXXX:XXXX]
    • Nome do host: myldapserver.FQDN
  5. Clique em OK.

Configurando grupos LDAP

Use o painel de autenticação LDAP para configurar grupos LDAP.

Sobre Esta Tarefa
A configuração do grupo LDAP só se aplica ao usar LDAP para autenticação de usuário no sistema de proteção.

Passos

  1. Selecione Administration > Access > Authentication. A visualização Authentication é exibida.
  2. Expanda o painel de autenticação LDAP.
  3. Configure os grupos LDAP na tabela LDAP Group.
    • Para adicionar um grupo LDAP, clique no botão Add (+), digite o nome e a função do grupo LDAP e clique em OK.
    • Para modificar um grupo LDAP, marque a caixa de seleção do nome do grupo na lista de grupos LDAP e clique em Edit (lápis). Altere o nome do grupo LDAP e clique em OK.
    • Para remover um grupo LDAP, selecione o grupo LDAP na lista e clique em Delete (X).

Usando a CLI para configurar a autenticação LDAP.

A ativação do LDAP** permite que você **configure um servidor ou uma implementação OpenLDAP existente** para **autenticação de usuário no nível do sistema**, **mapeamento de ID do NFSv4** e **Kerberos NFSv3 ou NFSv4 com LDAP.

Isso não poderá ser configurado se a autenticação LDAP já estiver configurada para o Active Directory.

Configurando a autenticação LDAP para o Active Directory

O DDOS é compatível com o uso da autenticação LDAP para o Active Directory.
A autenticação LDAP com o Active Directory** restringe o acesso aos dados CIFS para usuários e grupos do Active Directory, permitindo que apenas usuários locais acessem compartilhamentos CIFS no sistema.
Somente logins da CLI e da interface do usuário são permitidos para usuários do Active Directory com essa configuração.

Pré-requisitos
Certifique-se de que o ambiente atenda aos seguintes requisitos para configurar a autenticação LDAP para o Active Directory:

  • O TLS/SSL está ativado para comunicação LDAP.
  • Os usuários do Active Directory que acessam o sistema de proteção devem ter números de UID e GID válidos.
  • Os grupos do Active Directory que acessam o sistema de proteção devem ter um número de GID válido.
Nota:
  • Especifique o username no formato <username>, sem especificar um nome de domínio.
  • Especifique o groupname no formato <groupname>, sem especificar um nome de domínio.
  • Os nomes de usuário e grupo não diferenciam maiúsculas de minúsculas.

As seguintes limitações se aplicam ao LDAP para Active Directory:

  • O Microsoft Active Directory é o único provedor do Active Directory compatível.
  • O Active Directory Lightweight Directory Services (LDS) não é compatível.
  • O esquema nativo do Active Directory para uidNumber e gidNumber população é o único esquema compatível. Não há suporte para ferramentas de terceiros integradas ao Active Directory.

Sobre Esta Tarefa
A autenticação LDAP para Active Directory não pode ser usada com a autenticação do Active Directory ou Kerberos para CIFS.
A CLI é a única maneira de configurar essa opção.

Passos
Execute o comando de autenticação LDAP base set base name type active-directory para habilitar a autenticação LDAP para o Active Directory.


Nota: O comando falhará se a autenticação CIFS já estiver configurada como Active Directory. 
# authentication ldap base set "dc=anvil,dc=team" type active-directory


Configurar servidores LDAP.

Você pode configurar um ou mais servidores LDAP simultaneamente. Configure servidores do local mais próximo do sistema de proteção para obter latência mínima.

Sobre essa tarefa


Nota: O LDAP deve ser desativado ao alterar a configuração.
 

Especifique o servidor LDAP em um dos seguintes formatos:

  • IPv4 address—10.<A>.<B>.<C>
  • IPv4 address with port number—10.<A>.<B>.<C>:400
  • IPv6 address—[::ffff:9.53.96.21]
  • IPv6 address with port number—[::ffff:9.53.96.21]:400
  • Hostname—myldapserver
  • Hostname with port number—myldapserver:400

Ao configurar vários servidores:

  • Separe cada servidor com um espaço.
  • O primeiro servidor listado ao usar o comando de adição de servidores LDAP de autenticação se tornará o servidor primário.
  • Se algum dos servidores não puder ser configurado, o comando falhará para todos os servidores listados.

Etapas

  1. Adicione um ou mais servidores LDAP usando o "authentication ldap servers add":
# authentication ldap servers add 10.A.B.C 10.X.Y.Z:400
LDAP server(s) added
LDAP Server(s): 2
# IP Address/Hostname
--- ---------------------
1. 10.A.B.C (primary)
2. 10.X.Y.Z:400
--- ---------------------
  1. Remova um ou mais servidores LDAP usando o "authentication ldapservers del":
# authentication ldap servers del 10.X.Y.Z:400
LDAP server(s) deleted.
LDAP Servers: 1
# Server
- ------------ ---------
1 10.A.B.C (primary)
- ------------ ---------
3. Remove all LDAP servers by using the authentication ldap servers reset command:
# authentication ldap servers reset
LDAP server list reset to empty.

Configure o sufixo base LDAP.
O sufixo de base é o DN de base para pesquisa e é onde o diretório LDAP começa a pesquisar.

Sobre Esta Tarefa
Defina o sufixo de base para OpenLDAP ou Active Directory.


NOTA: O sufixo de base não pode ser definido para OpenLDAP e Active Directory.


O log-in do usuário é permitido somente a partir do domínio principal do Active Directory. Usuários e grupos de domínios confiáveis do Active Directory não são compatíveis.
Defina o sufixo de base para OpenLDAP.

Passos
Defina o sufixo de base LDAP usando o "authentication ldap base set":

# authentication ldap base set "dc=anvil,dc=team"
LDAP base-suffix set to "dc=anvil,dc=team".

Etapas

  1. Defina o sufixo de base LDAP usando o "authentication ldap base set":
# authentication ldap base set "dc=anvil,dc=team" type active-directory
LDAP base-suffix set to "dc=anvil,dc=team".

Nota: Neste exemplo, todos os usuários no dd-admins LDAP group Tenha privilégios administrativos no sistema de proteção. 
# authentication ldap groups add dd-admins role admin
LDAP Group Role
---------- -----
dd-admins admin
---------- -----
Reset the LDAP base suffix

Passos
Redefina o sufixo de base do LDAP usando o "authentication ldap base reset":

# authentication ldap base reset

Redefinição do sufixo base LDAP para vazio.

Configure a autenticação do client LDAP.
Configure a conta (Bind DN) e a senha (Bind PW) usadas para autenticar com o servidor LDAP e fazer consultas.

Sobre Esta Tarefa
Você deve sempre configurar o DN de vinculação e a senha. No processo, os servidores LDAP exigem vínculos autenticados por padrão. Se a solicitação do client-auth não está definido, o acesso anônimo é solicitado, sem fornecer nome ou senha.

A saída de "authentication ldap show" é o seguinte:

# authentication ldap show

LDAP configuration
 Enabled: yes (*)
 Base-suffix: dc=u2,dc=team
 Binddn: (anonymous)
 Server(s): 1
# Server
- ------------- ---------
1 10.207.86.160 (primary)
- ------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

(*) Requer uma reinicialização do file system para que a configuração entre em vigor.

Se binddn é definido usando client-auth CLI, mas bindpw não é fornecido, o acesso não autenticado é solicitado.

# authentication ldap client-auth set binddn "cn=Manager,dc=u2,dc=team"

Enter bindpw:
** Bindpw não é fornecido. O acesso não autenticado seria solicitado.
Autenticação de client LDAP binddn definido como "cn=Manager,dc=u2,dc=team".

Passos

  1. Defina o DN de vinculação e a senha usando o "authentication ldap client-auth set binddn":
# authentication ldap client-auth set binddn "cn=Administrator,cn=Users,dc=anvil,dc=team"

Enter bindpw:Autenticação
do cliente LDAP binddn está definido como:
"cn=Administrator,cn=Users,dc=anvil,dc=team"

  1. Redefina o DN de vinculação e a senha usando o "authentication ldap client-auth reset":
# authentication ldap client-auth reset

A configuração de autenticação do cliente LDAP é redefinida para vazio.

Ative o LDAP.

Pré-requisitos
Uma configuração LDAP deve existir antes de ativar o LDAP.
Além disso, você deve desativar o NIS, garantir que o servidor LDAP esteja acessível e ser capaz de consultar o DSE raiz do servidor LDAP.

Passos

  1. Habilite o LDAP usando o "authentication ldap enable":
# authentication ldap enable

Os detalhes da configuração do LDAP são exibidos para que você confirme antes de continuar. Para continuar, digite Yes e reinicie o file system para que a configuração do LDAP entre em vigor.

Visualize a configuração atual do LDAP usando o comando "authentication ldap show":


Nota: Se o sistema estiver configurado para usar LDAP para o Active Directory, a saída do comando incluirá um campo Server Type para indicar que ele está conectado a um servidor do Active Directory. 
# authentication ldap show
LDAP configuration
 Enabled: no
 Base-suffix: dc=anvil,dc=team
 Binddn: cn=Administrator,cn=Users,dc=anvil,dc=team
 Server(s): 2
# Server
- ---------------- ---------
1 10.26.16.250 (primary)
2 10.26.16.251:400
- ---------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

Os detalhes da configuração básica do LDAP e do LDAP seguro são exibidos.

3. View the current LDAP status by using the authentication ldap status command:
# authentication ldap status
The LDAP status is displayed. If the LDAP status is not good, the problem is identified in the output.
For example:
# authentication ldap status
Status:invalid credentials
or
# authentication ldap status
Status: invalid DN syntax
4. Disable LDAP by using the authentication ldap disable command:
# authentication ldap disable LDAP is disabled.

Habilite o LDAP seguro.

Você pode configurar o DDR para usar LDAP seguro ativando o SSL.
Para LDAP para Active Directory, configure o LDAP seguro com opções SSL/TLS.
Pré-requisitos: se não houver certificado LDAP CA e tls_reqcert está definido como Demand, a operação falha.
Importe um certificado LDAP CA e tente novamente. Se a solicitação do tls_reqcert está definido como nunca, um certificado LDAP CA não é necessário.

Passos

  1. Habilite o SSL usando o "authentication ldap ssl enable":
# authentication ldap ssl enable

O LDAP seguro é ativado com o comando "ldaps" método.

O método padrão é LDAP seguro ou LDAP. Você pode especificar outros métodos, como TLS:

# authentication ldap ssl enable method start_tls

O LDAP seguro é ativado com o comando "start_tls" método.

  1. Desative o SSL usando o "authentication ldap ssl disable":
# authentication ldap ssl disable Secure LDAP is disabled.

Configure a verificação de certificados do servidor LDAP com certificados CA importados.

Você pode alterar o comportamento do certificado de solicitação TLS.

Passos

  1. Altere o comportamento do certificado de solicitação TLS usando o "authentication ldap ssl set tls_reqcert" comando.

Não verifique o certificado:

# authentication ldap ssl set tls_reqcert never “tls_reqcert” set to "never".

O certificado do servidor LDAP não foi verificado.

 
Nota: Se o LDAP estiver configurado para o Active Directory, o comportamento do certificado de solicitação TLS não poderá ser definido como never.

Verifique o certificado:

# authentication ldap ssl set tls_reqcert demand

"tls_reqcert" definido como "demanda". O certificado do servidor LDAP é verificado.

  1. Redefina o comportamento do certificado de solicitação TLS usando o "authentication ldap ssl reset tls_reqcert" comando.

O comportamento padrão é a demanda:

# authentication ldap ssl reset tls_reqcert

"tls_reqcert" foi definido como "demanda". O certificado do servidor LDAP é verificado com um certificado CA importado. Use "adminaccess" para importar o certificado da CA.

Gerenciar certificados CA para LDAP.

Você pode importar ou excluir certificados e mostrar as informações atuais do certificado.

Passos

  1. Importe um certificado CA para verificação de certificado do servidor LDAP usando o "adminaccess certificate import" comando.

Especifique o LDAP para o aplicativo CA:

# adminaccess certificate import {host application {all | aws-federal | ddboost | https | keysecure | dsm | ciphertrust | gklm | } | ca application {all | cloud | ddboost | ldap | login-auth | keysecure | dsm | rsa-securid | ciphertrust | gklm | }} [file ]
  1. Exclua um certificado CA para verificação de certificado do servidor LDAP usando o "adminaccess" comando de exclusão de certificado. Especifique o LDAP para o aplicativo:
# adminaccess certificate delete {subject | fingerprint } [application {all | aws-federal | cloud | ddboost | ldap | login-auth | https | keysecure | dsm | ciphertrust | gklm | support | }]
  1. Mostre as informações atuais do certificado CA para verificação de certificado do servidor LDAP usando o "adminaccess certificate show":
# adminaccess certificate show imported-ca application ldap

Additional Information

Portas para Active Directory

Porta Protocolo Porta configurável Descrição
53 TCP/UDP Aberto DNS (se o AD for também o DNS)
88 TCP/UDP Aberto Kerberos
139 TCP Aberto NetBios - NetLogon
389 TCP/UDP Aberto LDAP
445 TCP/UDP Não Autenticação do usuário e outras comunicações com o AD
3268 TCP Aberto Consultas do catálogo global
636 TCP  Aberto  LDAPS — LDAP seguro sobre SSL/TLS
3269 TCP Aberto  LDAPS (LDAP sobre SSL) para o Catálogo Global — usados para consultas seguras de diretório entre domínios em uma floresta.

LDAP

Quando o FIPS (Federal Information Processing Standards) está ativado, o client LDAP executado em um sistema ou DDVE deve usar TLS.

# authentication ldap ssl enable method start_tls Otherwise, enabling FIPS compliance mode fails.

Em uma nova instalação e upgrade, as cifras SSL do LDAP não são definidas explicitamente.
Quando o modo de conformidade com FIPS está ativado, as cifras LDAP SSL são definidas como:

  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES256-SHA384
  • DHE-RSA-AES256-GCM-SHA384
  • DHE-RSA-AES256-SHA256
  • AES256-GCM-SHA384
  • AES256-SHA256
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-SHA256
  • DHE-RSA-AES128-GCM-SHA256
  • DHE-RSA-AES128-SHA256
  • AES128-GCM-SHA256
  • AES128-SHA256

A lista de codificações configurada deve ser: ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128- SHA256

Quando o FIPS está desativado, ele é definido como "", uma string vazia.

Usando um servidor de autenticação para autenticar usuários antes de conceder acesso administrativo.

O DD é compatível com vários protocolos de servidor de nomes, como LDAP, NIS e AD. O DD recomenda o uso de OpenLDAP com FIPS ativado. O DD gerencia apenas contas locais. O DD recomenda o uso da IU ou da CLI para configurar o LDAP.

  • IU: Administração >Acesso >Autenticação
  • CLI: Comandos de autenticação do LDAP

O Active Directory também pode ser configurado para log-ins de usuários com o FIPS ativado. No entanto, o acesso aos dados de CIFS com usuários do AD não é mais permitido com essa configuração.

LDAP para mapeamento de ID do Network File System (NFS)

Os sistemas Data Domain e PowerProtect podem usar LDAP para mapeamento de ID de NFSv4 e Kerberos de NFSv3 ou NFSv4 com LDAP. O usuário também pode configurar o LDAP seguro com LDAPS ou "start_TLS" método. A autenticação de cliente LDAP pode usar Bind DN ou Bind PW, mas os sistemas não são compatíveis com autenticação de cliente LDAP baseada em certificado.


Nota: O ID do usuário local começa com o número 500. Ao configurar o LDAP, um intervalo de ID do usuário semelhante (500 a 1.000) não pode ser usado ou ocorre uma colisão de ID do usuário. Se houver uma colisão de ID do usuário, os arquivos que pertencem a um usuário do serviço LDAP de nome se tornarão acessíveis pelos outros usuários devido a erros de configuração.

Affected Products

Data Domain
Article Properties
Article Number: 000204241
Article Type: How To
Last Modified: 29 Oct 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.