Домен даних: Довідник по LDAP

Summary: Аутентифікація за протоколом легкого доступу до каталогів (LDAP): Системи Data Domain і PowerProtect можуть використовувати автентифікацію LDAP для користувачів, які входять у систему через CLI або інтерфейс користувача. Підтримуваними серверами LDAP є OpenLDAP, Oracle і Microsoft Active Directory. Однак, якщо Active Directory настроєно в цьому режимі, доступ до даних Common Internet File System (CIFS) для користувачів і груп Active Directory вимкнено. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Інформація та кроки в цьому посібнику працюють з DD OS 7.9 і пізнішими версіями


Перегляд інформації автентифікації LDAP

На панелі автентифікації LDAP відображаються параметри конфігурації LDAP і те, чи ввімкнено або вимкнено автентифікацію LDAP.
Увімкнення LDAP** дає змогу використовувати наявний сервер OpenLDAP або розгортання для аутентифікації користувача на системному рівні**, відображення ідентифікаторів **NFSv4** та Kerberos **NFSv3 або NFSv4 з LDAP.

Кроки

  1. Виберіть Автентифікація доступу > адміністратора>. З'явиться вікно Автентифікація.
  2. Розгорніть панель автентифікації LDAP.

Увімкнення та вимкнення автентифікації LDAP Використовуйте панель автентифікації LDAP для ввімкнення, вимкнення або скидання автентифікації LDAP.

 

ПРИМІТКА. Сервер LDAP повинен існувати, перш ніж увімкнути автентифікацію LDAP.


Кроки

  1. Виберіть Автентифікація доступу > адміністратора>. З'явиться вікно Автентифікація.
  2. Розгорніть панель автентифікації LDAP.
  3. Натисніть «Увімкнути » поруч із пунктом «Статус LDAP», щоб увімкнути або «Вимкнути», щоб вимкнути автентифікацію LDAP.
    З'явиться діалогове вікно Увімкнути або Вимкнути автентифікацію LDAP.
  4. Натисніть кнопку «OK».

Скидання автентифікації LDAP.

Кнопка «Скинути» вимикає автентифікацію LDAP і очищає інформацію про конфігурацію LDAP.

Налаштування автентифікації LDAP

Використовуйте панель автентифікації LDAP, щоб налаштувати автентифікацію LDAP.

Кроки

  1. Виберіть Автентифікація доступу > адміністратора>. З'явиться вікно Автентифікація.
  2. Розгорніть панель автентифікації LDAP.
  3. Натисніть Налаштувати. З'явиться діалогове вікно Налаштування автентифікації LDAP.
  4. Вкажіть основний суфікс у полі «Базовий суфікс».
  5. Укажіть ім'я облікового запису, яке буде пов'язано із сервером LDAP, у полі «Прив'язати DN».
  6. Вкажіть пароль для облікового запису Bind DN у полі Bind Password.
  7. За бажанням виберіть Увімкнути SSL.
  8. За бажанням можна вибрати пункт Вимагати сертифікат сервера , щоб вимагати від системи захисту імпортувати сертифікат ЦС із сервера LDAP.
  9. Натисніть кнопку «OK».
  10. Якщо це буде потрібно пізніше, натисніть « Скинути », щоб повернути конфігурацію LDAP до значень за замовчуванням.

Визначення серверів автентифікації LDAP

Про це завдання
Використовуйте панель автентифікації LDAP, щоб вказати сервери автентифікації LDAP.
Передумови: аутентифікацію LDAP слід вимкнути перед налаштовуванням сервера LDAP.
 

ПРИМІТКА. Продуктивність Data Domain System Manager (DDSM) під час входу в систему за допомогою LDAP зменшується зі збільшенням кількості переходів між системою та сервером LDAP.

 

Кроки

  1. Виберіть Автентифікація доступу > адміністратора>. З'явиться вікно Автентифікація.
  2. Розгорніть панель автентифікації LDAP.
  3. Натисніть кнопку + , щоб додати сервер.
  4. Вкажіть сервер LDAP в одному з наступних форматів:
    • Адреса IPv4: nn.nn.nn.nn
    • Адреса IPv6: [FF::XXXX:XXXX:XXXX:XXXX]
    • Ім'я хоста: myldapserver.FQDN
  5. Натисніть кнопку «OK».

Налаштовування груп LDAP

Використовуйте панель автентифікації LDAP для налаштування груп LDAP.

Про це завдання
Конфігурація групи LDAP застосовується лише у разі використання LDAP для автентифікації користувачів у системі захисту.

Кроки

  1. Виберіть Автентифікація доступу > адміністратора>. З'явиться вікно Автентифікація.
  2. Розгорніть панель автентифікації LDAP.
  3. Налаштуйте групи LDAP у таблиці груп LDAP.
    • Щоб додати групу LDAP, натисніть кнопку Додати (+), введіть назву та роль групи LDAP, а потім натисніть кнопку OK.
    • Щоб змінити групу LDAP, установіть прапорець біля назви групи у списку груп LDAP і натисніть кнопку Редагувати (олівець). Змініть ім'я групи LDAP і натисніть кнопку OK.
    • Щоб видалити групу LDAP, виберіть групу LDAP у списку та натисніть кнопку Видалити (X).

Використання інтерфейсу командного рядка для налаштування автентифікації LDAP.

Увімкнення LDAP** дозволяє вам **налаштувати існуючий сервер OpenLDAP або розгортання** для **аутентифікації користувача на системному рівні**, **відображення ідентифікаторів NFSv4** та **NFSv3 або NFSv4 Kerberos з LDAP.

Це не можна налаштувати, якщо автентифікацію LDAP уже налаштовано для Active Directory.

Налаштування автентифікації LDAP для Active Directory

DDOS підтримує використання автентифікації LDAP для Active Directory.
Автентифікація LDAP за допомогою Active Directory** обмежує доступ до даних CIFS для користувачів і груп Active Directory, дозволяючи лише локальним користувачам отримувати доступ до спільних ресурсів CIFS у системі.
Для користувачів Active Directory з цією конфігурацією дозволено входити лише за допомогою CLI та UI.

Передумови
Переконайтеся, що середовище відповідає таким вимогам для налаштування автентифікації LDAP для Active Directory:

  • Для зв'язку LDAP увімкнено протокол TLS/SSL.
  • Користувачі Active Directory, які отримують доступ до системи захисту, повинні мати дійсні номери UID і GID.
  • Групи Active Directory, які мають доступ до системи захисту, повинні мати дійсний номер GID.
ПРИМІТКА.
  • Вкажіть username у форматі <username>, без вказівки доменного імені.
  • Вкажіть groupname у форматі <groupname>, без вказівки доменного імені.
  • Назви користувачів і груп не враховуються за регістром.

До LDAP для Active Directory застосовуються такі обмеження:

  • Microsoft Active Directory є єдиним підтримуваним постачальником Active Directory.
  • Полегшені служби каталогів Active Directory (LDS) не підтримуються.
  • Власна схема Active Directory для uidNumber і gidNumber Популяція є єдиною підтримуваною схемою. Немає підтримки сторонніх інструментів, інтегрованих з Active Directory.

Про це завдання
Автентифікацію LDAP для Active Directory не можна використовувати з автентифікацією Active Directory або Kerberos для CIFS.
Інтерфейс командного рядка є єдиним способом налаштувати цей параметр.

Кроки
Запустіть команду автентифікації LDAP, базового набору, типу базового імені, active-directory, щоб увімкнути автентифікацію LDAP для Active Directory.


ПРИМІТКА. Команда не виконується успішно, якщо автентифікацію CIFS уже налаштовано як Active Directory. 
# authentication ldap base set "dc=anvil,dc=team" type active-directory


Налаштуйте сервери LDAP.

Ви можете налаштувати один або декілька серверів LDAP одночасно. Налаштуйте сервери з найближчого до системи захисту сайту на мінімальну затримку.

Про це завдання


ПРИМІТКА. LDAP має бути вимкнено під час зміни налаштувань.
 

Вкажіть сервер LDAP в одному з наступних форматів:

  • IPv4 address—10.<A>.<B>.<C>
  • IPv4 address with port number—10.<A>.<B>.<C>:400
  • IPv6 address—[::ffff:9.53.96.21]
  • IPv6 address with port number—[::ffff:9.53.96.21]:400
  • Hostname—myldapserver
  • Hostname with port number—myldapserver:400

При налаштуванні декількох серверів:

  • Відокремте кожен сервер пробілом.
  • Перший сервер у списку під час використання команди додавання серверів автентифікації LDAP стає основним.
  • Якщо будь-який із серверів не може бути налаштований, команда не виконується для всіх серверів у списку.

Кроки

  1. Додайте один або декілька серверів LDAP за допомогою кнопки «authentication ldap servers add" Команда:
# authentication ldap servers add 10.A.B.C 10.X.Y.Z:400
LDAP server(s) added
LDAP Server(s): 2
# IP Address/Hostname
--- ---------------------
1. 10.A.B.C (primary)
2. 10.X.Y.Z:400
--- ---------------------
  1. Видаліть один або декілька серверів LDAP за допомогою кнопки «authentication ldapservers del" Команда:
# authentication ldap servers del 10.X.Y.Z:400
LDAP server(s) deleted.
LDAP Servers: 1
# Server
- ------------ ---------
1 10.A.B.C (primary)
- ------------ ---------
3. Remove all LDAP servers by using the authentication ldap servers reset command:
# authentication ldap servers reset
LDAP server list reset to empty.

Налаштуйте базовий суфікс LDAP.
Базовий суфікс є базовим DN для пошуку і є місцем, з якого починається пошук у каталозі LDAP.

Про це завдання
Встановіть базовий суфікс для OpenLDAP або Active Directory.


ПРИМІТКИ: Базовий суфікс не може бути встановлений як для OpenLDAP, так і для Active Directory.


Вхід користувача дозволено лише з основного домену Active Directory. Користувачі та групи з довірених доменів Active Directory не підтримуються.
Встановіть базовий суфікс для OpenLDAP.

Кроки
Встановіть базовий суфікс LDAP за допомогою кнопки «authentication ldap base set" Команда:

# authentication ldap base set "dc=anvil,dc=team"
LDAP base-suffix set to "dc=anvil,dc=team".

Кроки

  1. Встановіть базовий суфікс LDAP за допомогою кнопки «authentication ldap base set" Команда:
# authentication ldap base set "dc=anvil,dc=team" type active-directory
LDAP base-suffix set to "dc=anvil,dc=team".

ПРИМІТКА. У цьому прикладі всі користувачі в об'єкті dd-admins LDAP group мати адміністративні привілеї на системі захисту. 
# authentication ldap groups add dd-admins role admin
LDAP Group Role
---------- -----
dd-admins admin
---------- -----
Reset the LDAP base suffix

Кроки
Скиньте базовий суфікс LDAP за допомогою кнопки «authentication ldap base reset" Команда:

# authentication ldap base reset

Базовий суфікс LDAP скинуто на порожнє.

Налаштуйте автентифікацію клієнта LDAP.
Налаштуйте обліковий запис (Bind DN) і пароль (Bind PW), які використовуються для автентифікації на сервері LDAP і виконання запитів.

Про це завдання
Ви завжди повинні налаштовувати DN і пароль прив'язки. При цьому сервери LDAP за замовчуванням вимагають автентифікованих прив'язок. Якщо client-auth не встановлено, запитується анонімний доступ, не вказуючи ні імені, ні пароля.

Вихід з «authentication ldap show" виглядає наступним чином:

# authentication ldap show

LDAP configuration
 Enabled: yes (*)
 Base-suffix: dc=u2,dc=team
 Binddn: (anonymous)
 Server(s): 1
# Server
- ------------- ---------
1 10.207.86.160 (primary)
- ------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

(*) Потрібно перезавантажити файлову систему, щоб конфігурація набула чинності.

Якщо binddn встановлюється за допомогою client-auth CLI, але bindpw не надається, запитується неавтентифікований доступ.

# authentication ldap client-auth set binddn "cn=Manager,dc=u2,dc=team"

Входити bindpw:
** Bindpw не надається. Буде запитано доступ без автентифікації.
Автентифікація клієнта LDAP binddn встановлено на "cn=Manager,dc=u2,dc=team».

Кроки

  1. Встановіть DN і пароль прив'язки за допомогою кнопки «authentication ldap client-auth set binddn" Команда:
# authentication ldap client-auth set binddn "cn=Administrator,cn=Users,dc=anvil,dc=team"

Входити bindpw:
Аутентифікація клієнта LDAP binddn встановлено на:
"cn=Administrator,cn=Users,dc=anvil,dc=team"

  1. Скиньте DN і пароль прив'язки за допомогою кнопки «authentication ldap client-auth reset" Команда:
# authentication ldap client-auth reset

Конфігурацію автентифікації клієнта LDAP скинуто на порожнє.

Увімкніть LDAP.

Передумови
Перед увімкненням LDAP має існувати конфігурація LDAP.
Крім того, ви повинні вимкнути NIS, переконатися, що сервер LDAP доступний, і мати можливість запитувати кореневу DSE сервера LDAP.

Кроки

  1. Увімкніть LDAP за допомогою кнопки «authentication ldap enable" Команда:
# authentication ldap enable

Відомості про конфігурацію LDAP відображаються, щоб ви могли підтвердити, перш ніж продовжити. Щоб продовжити, введіть Yes і перезапустіть файлову систему, щоб конфігурація LDAP набула чинності.

Перегляньте поточну конфігурацію LDAP за допомогою кнопки «authentication ldap show" Команда:


ПРИМІТКА. Якщо систему настроєно на використання LDAP для Active Directory, вихідні дані команди містять поле «Тип сервера», яке вказує на те, що його підключено до сервера Active Directory. 
# authentication ldap show
LDAP configuration
 Enabled: no
 Base-suffix: dc=anvil,dc=team
 Binddn: cn=Administrator,cn=Users,dc=anvil,dc=team
 Server(s): 2
# Server
- ---------------- ---------
1 10.26.16.250 (primary)
2 10.26.16.251:400
- ---------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

Буде показано відомості про базову конфігурацію LDAP та безпечний LDAP.

3. View the current LDAP status by using the authentication ldap status command:
# authentication ldap status
The LDAP status is displayed. If the LDAP status is not good, the problem is identified in the output.
For example:
# authentication ldap status
Status:invalid credentials
or
# authentication ldap status
Status: invalid DN syntax
4. Disable LDAP by using the authentication ldap disable command:
# authentication ldap disable LDAP is disabled.

Увімкніть безпечний LDAP.

Ви можете налаштувати DDR на використання безпечного LDAP, увімкнувши SSL.
Для LDAP для Active Directory налаштуйте безпечний LDAP за допомогою параметрів SSL/TLS.
Передумови: якщо немає сертифіката ЦС LDAP та tls_reqcert встановлено на вимогу, операція не вдається.
Імпортуйте сертифікат ЦС LDAP і повторіть спробу. Якщо tls_reqcert встановлено на ніколи, сертифікат CA LDAP не потрібен.

Кроки

  1. Увімкніть SSL за допомогою кнопки «authentication ldap ssl enable" Команда:
# authentication ldap ssl enable

Безпечний LDAP увімкнено за допомогою кнопки «ldapsМетоду.

За замовчуванням використовується безпечний LDAP або LDAP. Ви можете вказати інші методи, такі як TLS:

# authentication ldap ssl enable method start_tls

Безпечний LDAP увімкнено за допомогою кнопки «start_tlsМетоду.

  1. Вимкніть SSL за допомогою кнопки «authentication ldap ssl disable" Команда:
# authentication ldap ssl disable Secure LDAP is disabled.

Налаштуйте перевірку сертифікатів сервера LDAP за допомогою імпортованих сертифікатів ЦС.

Ви можете змінити поведінку сертифіката TLS-запиту.

Кроки

  1. Змініть поведінку сертифіката запиту TLS за допомогою кнопки «authentication ldap ssl set tls_reqcertНаказ.

Не перевіряйте сертифікат:

# authentication ldap ssl set tls_reqcert never “tls_reqcert” set to "never".

Сертифікат сервера LDAP не перевірено.

 
ПРИМІТКА. Якщо LDAP налаштовано для Active Directory, поведінку сертифіката запиту TLS не можна встановити на ніколи.

Перевірте сертифікат:

# authentication ldap ssl set tls_reqcert demand

"tls_reqcert" встановлено на "вимога". Сертифікат сервера LDAP перевірено.

  1. Скиньте поведінку сертифіката запиту TLS за допомогою кнопки «authentication ldap ssl reset tls_reqcertНаказ.

Поведінкою за замовчуванням є вимога:

# authentication ldap ssl reset tls_reqcert

"tls_reqcert" було встановлено на "вимогу". Сертифікат сервера LDAP перевіряється імпортованим сертифікатом ЦС. Використовуйте "adminaccess" CLI для імпорту сертифіката ЦС.

Керування сертифікатами ЦС для LDAP.

Ви можете імпортувати або видаляти сертифікати та відображати поточну інформацію про сертифікати.

Кроки

  1. Імпортуйте сертифікат ЦС для перевірки сертифіката сервера LDAP за допомогою кнопки «adminaccess certificate importНаказ.

Вкажіть LDAP для застосування ЦС:

# adminaccess certificate import {host application {all | aws-federal | ddboost | https | keysecure | dsm | ciphertrust | gklm | } | ca application {all | cloud | ddboost | ldap | login-auth | keysecure | dsm | rsa-securid | ciphertrust | gklm | }} [file ]
  1. Видаліть сертифікат ЦС для перевірки сертифіката сервера LDAP за допомогою кнопки «adminaccess" команда видалення сертифіката. Вкажіть LDAP для застосування:
# adminaccess certificate delete {subject | fingerprint } [application {all | aws-federal | cloud | ddboost | ldap | login-auth | https | keysecure | dsm | ciphertrust | gklm | support | }]
  1. Відображення поточної інформації сертифіката ЦС для перевірки сертифіката сервера LDAP за допомогою кнопки «adminaccess certificate show" Команда:
# adminaccess certificate show imported-ca application ldap

Additional Information

Порти для Active Directory

Порт Протокол Налаштовується порт Опис
53 TCP/UDP Відкривати DNS (якщо AD також є DNS)
88 TCP/UDP Відкривати Kerberos
139 ПТС Відкривати NetBios - NetLogon
389 TCP/UDP Відкривати ЛДАП
445 TCP/UDP Ні Автентифікація користувача та інший зв'язок із AD
3268 ПТС Відкривати Глобальні запити до каталогу
636 ПТС  Відкривати  LDAPS - безпечний LDAP через SSL/TLS
3269 ПТС Відкривати  LDAPS (LDAP over SSL) до Глобального каталогу — використовується для безпечних запитів до каталогів між доменами в лісі.

ЛДАП

Якщо ввімкнуто федеральні стандарти обробки інформації (FIPS), клієнт LDAP, який працює в системі або DDVE, має використовувати протокол TLS.

# authentication ldap ssl enable method start_tls Otherwise, enabling FIPS compliance mode fails.

При новій інсталяції та оновленні шифри LDAP SSL явно не встановлюються.
Якщо ввімкнено режим відповідності стандарту FIPS, для шифрів LDAP SSL установлюються такі значення:

  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES256-SHA384
  • DHE-RSA-AES256-GCM-SHA384
  • DHE-RSA-AES256-SHA256
  • AES256-GCM-SHA384
  • AES256-SHA256
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-SHA256
  • DHE-RSA-AES128-GCM-SHA256
  • DHE-RSA-AES128-SHA256
  • AES128-GCM-SHA256
  • AES128-SHA256

Налаштований список шифрів повинен бути таким: ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128- SHA256

Коли FIPS вимкнено, для нього встановлюється значення "", порожній рядок.

Використання сервера автентифікації для автентифікації користувачів перед наданням адміністративного доступу.

DD підтримує кілька протоколів сервера імен, таких як LDAP, NIS і AD. DD рекомендує використовувати OpenLDAP з увімкненим FIPS. DD управляє тільки локальними обліковими записами. DD рекомендує використовувати UI або CLI для налаштування LDAP.

  • ІНТЕРФЕЙСУ: Адміністрація >Доступ >Автентифікація
  • КЛІ: Автентифікація команд LDAP

Active Directory також можна налаштувати для входу користувачів з увімкненим FIPS. Однак доступ до даних CIFS для користувачів AD більше не підтримується з цією конфігурацією.

LDAP для відображення ідентифікаторів мережевої файлової системи (NFS)

Системи Data Domain і PowerProtect можуть використовувати LDAP для зіставлення ідентифікаторів NFSv4, а також NFSv3 або NFSv4 Kerberos з LDAP. Користувач також може налаштувати безпечний LDAP за допомогою LDAPS або «start_TLSМетоду. Автентифікація клієнта LDAP може використовувати Bind DN або Bind PW, але системи не підтримують автентифікацію клієнта LDAP на основі сертифікатів.


ПРИМІТКА. Локальний ідентифікатор користувача починається з числа 500. Під час настроювання LDAP не можна використовувати подібний діапазон ідентифікаторів користувачів (500–1000) або виникає колізія ідентифікаторів користувача. Якщо є колізія ідентифікаторів користувачів, файли, власниками яких є користувач служби LDAP, стають доступними для інших користувачів через помилки конфігурації.

Affected Products

Data Domain
Article Properties
Article Number: 000204241
Article Type: How To
Last Modified: 29 Oct 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.