Data Domain: LDAP-manual

Summary: LDAP-autentisering (Lightweight Directory Access Protocol): Data Domain- och PowerProtect-system kan använda LDAP-autentisering för användare som loggar in via CLI eller användargränssnittet. De LDAP-servrar som stöds är OpenLDAP, Oracle och Microsoft Active Directory. Men när Active Directory har konfigurerats i det här läget inaktiveras CIFS-dataåtkomst (Common Internet File System) för Active Directory-användare och -grupper. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Informationen och stegen i den här guiden fungerar med DD OS 7.9 och senare


Visa LDAP-autentiseringsinformation

På panelen LDAP-autentisering visas LDAP-konfigurationsparametrarna och om LDAP-autentisering är aktiverad eller inaktiverad.
Genom att aktivera LDAP** kan du använda en befintlig OpenLDAP-server eller distribution för användarautentisering på systemnivå, NFSv4 ID-mappning och NFSv3 eller NFSv4 Kerberos med LDAP.

Trappsteg

  1. Välj Autentisering av administrationsåtkomst >>. Vyn Autentisering visas.
  2. Expandera panelen LDAP-autentisering.

Aktivera och inaktivera LDAP-autentisering Använd LDAP-autentiseringspanelen för att aktivera, inaktivera eller återställa LDAP-autentisering.

 

Obs! Det måste finnas en LDAP-server innan LDAP-autentisering aktiveras.


Steg

  1. Välj Autentisering av administrationsåtkomst >>. Vyn Autentisering visas.
  2. Expandera panelen för LDAP-autentisering.
  3. Klicka på Aktivera bredvid LDAP-status för att aktivera eller Inaktivera för att inaktivera LDAP-autentisering.
    Dialogrutan Aktivera eller inaktivera LDAP-autentisering visas.
  4. Klicka på OK.

Återställa LDAP-autentisering.

Återställningsknappen inaktiverar LDAP-autentisering och rensar LDAP-konfigurationsinformationen.

Konfigurera LDAP-autentisering

Använd LDAP-autentiseringspanelen för att konfigurera LDAP-autentisering.

Trappsteg

  1. Välj Autentisering av administrationsåtkomst >>. Vyn Autentisering visas.
  2. Expandera panelen LDAP-autentisering.
  3. Klicka på Konfigurera. Dialogrutan Konfigurera LDAP-autentisering visas.
  4. Ange bassuffixet i fältet Bassuffix.
  5. Ange det kontonamn som ska associeras med LDAP-servern i fältet Bind DN.
  6. Ange lösenordet för Bind DN-kontot i fältet Bind lösenord.
  7. Du kan också välja Aktivera SSL.
  8. Du kan också välja Kräv servercertifikat om du vill att skyddssystemet ska importera ett CA-certifikat från LDAP-servern.
  9. Klicka på OK.
  10. Om det behövs senare klickar du på Återställ för att återställa LDAP-konfigurationen till standardvärdena.

Ange LDAP-autentiseringsservrar

Om denna uppgift
Använd LDAP-autentiseringspanelen för att ange LDAP-autentiseringsservrar.
Förutsättningar LDAP-autentisering måste inaktiveras innan du kan konfigurera en LDAP-server.
 

Obs! Data Domain System Manager (DDSM)-prestanda vid inloggning med LDAP minskar när antalet hopp mellan systemet och LDAP-servern ökar.

 

Steg

  1. Välj Autentisering av administrationsåtkomst >>. Vyn Autentisering visas.
  2. Expandera panelen för LDAP-autentisering.
  3. Klicka på +-knappen för att lägga till en server.
  4. Ange LDAP-servern i något av följande format:
    • IPv4-adress: nn.nn.nn.nn
    • IPv6-adress: [FF::XXXX:XXXX:XXXX:XXXX]
    • Värdnamn: myldapserver.FQDN
  5. Klicka på OK.

Konfigurera LDAP-grupper

Använd LDAP-autentiseringspanelen för att konfigurera LDAP-grupper.

Om denna uppgift
LDAP-gruppkonfiguration gäller endast när du använder LDAP för användarautentisering i skyddssystemet.

Trappsteg

  1. Välj Autentisering av administrationsåtkomst >>. Vyn Autentisering visas.
  2. Expandera panelen för LDAP-autentisering.
  3. Konfigurera LDAP-grupperna i tabellen LDAP-grupp.
    • Om du vill lägga till en LDAP-grupp klickar du på lägg till-knappen (+), anger LDAP-gruppens namn och roll och klickar på OK.
    • Om du vill ändra en LDAP-grupp markerar du kryssrutan för gruppnamnet i LDAP-grupplistan och klickar på Redigera (penna). Ändra namnet på LDAP-gruppen och klicka på OK.
    • Om du vill ta bort en LDAP-grupp markerar du LDAP-gruppen i listan och klickar på Ta bort (X).

Använda CLI för att konfigurera LDAP-autentisering.

Genom att aktivera LDAP kan du konfigurera en befintlig OpenLDAP-server eller distribution för användarautentisering på systemnivå, NFSv4 ID-mappning och NFSv3 eller NFSv4 Kerberos med LDAP.

Detta kan inte konfigureras om LDAP-autentisering redan har konfigurerats för Active Directory.

Konfigurera LDAP-autentisering för Active Directory

DDOS stöder användning av LDAP-autentisering för Active Directory.
LDAP-autentisering med Active Directory** begränsar åtkomsten till CIFS-data för Active Directory-användare och -grupper, vilket innebär att endast lokala användare får åtkomst till CIFS-resurser i systemet.
Endast CLI- och UI-inloggningar tillåts för Active Directory-användare med den här konfigurationen.

Förutsättningar
Kontrollera att miljön uppfyller följande krav för att konfigurera LDAP-autentisering för Active Directory:

  • TLS/SSL är aktiverat för LDAP-kommunikation.
  • Active Directory-användare som får åtkomst till skyddssystemet måste ha giltiga UID- och GID-nummer.
  • Active Directory-grupper som har åtkomst till skyddssystemet måste ha ett giltigt GID-nummer.
Obs!
  • Ange username i formatet <username>, utan att ange ett domännamn.
  • Ange groupname i formatet <groupname>, utan att ange ett domännamn.
  • Användar- och gruppnamn är inte skiftlägeskänsliga.

Följande begränsningar gäller för LDAP för Active Directory:

  • Microsoft Active Directory är den enda Active Directory-providern som stöds.
  • Active Directory Lightweight Directory Services (LDS) stöds inte.
  • Det inbyggda Active Directory-schemat för uidNumber och gidNumber Population är det enda schemat som stöds. Det finns inget stöd för verktyg från tredje part som är integrerade med Active Directory.

Om denna uppgift
LDAP-autentisering för Active Directory kan inte användas med Active Directory- eller Kerberos-autentisering för CIFS.
CLI är det enda sättet att konfigurera det här alternativet.

Trappsteg
Kör LDAP-basuppsättningsbasnamnskommandot för autentisering av active-directory för att aktivera LDAP-autentisering för Active Directory.


Obs! Kommandot misslyckas om CIFS-autentiseringen redan har konfigurerats som Active Directory. 
# authentication ldap base set "dc=anvil,dc=team" type active-directory


Konfigurera LDAP-servrar.

Du kan konfigurera en eller flera LDAP-servrar samtidigt. Konfigurera servrar från den plats som är närmast skyddssystemet för minsta möjliga svarstid.

Om denna uppgift


Obs! LDAP måste inaktiveras när du ändrar konfigurationen.
 

Ange LDAP-servern i något av följande format:

  • IPv4 address—10.<A>.<B>.<C>
  • IPv4 address with port number—10.<A>.<B>.<C>:400
  • IPv6 address—[::ffff:9.53.96.21]
  • IPv6 address with port number—[::ffff:9.53.96.21]:400
  • Hostname—myldapserver
  • Hostname with port number—myldapserver:400

När du konfigurerar flera servrar:

  • Avgränsa varje server med ett mellanslag.
  • Den första servern som anges när du använder LDAP-autentiseringskommandot för att lägga till servrar blir den primära servern.
  • Om någon av servrarna inte kan konfigureras misslyckas kommandot för alla servrar i listan.

Steg

  1. Lägg till en eller flera LDAP-servrar med hjälp av "authentication ldap servers add" kommando:
# authentication ldap servers add 10.A.B.C 10.X.Y.Z:400
LDAP server(s) added
LDAP Server(s): 2
# IP Address/Hostname
--- ---------------------
1. 10.A.B.C (primary)
2. 10.X.Y.Z:400
--- ---------------------
  1. Ta bort en eller flera LDAP-servrar med hjälp av "authentication ldapservers del" kommando:
# authentication ldap servers del 10.X.Y.Z:400
LDAP server(s) deleted.
LDAP Servers: 1
# Server
- ------------ ---------
1 10.A.B.C (primary)
- ------------ ---------
3. Remove all LDAP servers by using the authentication ldap servers reset command:
# authentication ldap servers reset
LDAP server list reset to empty.

Konfigurera LDAP-bassuffixet.
Bassuffixet är bas-DN för sökning och det är där LDAP-katalogen börjar söka.

Om denna uppgift
Ange bassuffixet för OpenLDAP eller Active Directory.


OBS! Bassuffixet kan inte ställas in för både OpenLDAP och Active Directory.


Användarinloggning tillåts endast från den primära Active Directory-domänen. Användare och grupper från betrodda Active Directory-domäner stöds inte.
Ange bassuffix för OpenLDAP.

Trappsteg
Ange LDAP-bassuffixet med hjälp av "authentication ldap base set" kommando:

# authentication ldap base set "dc=anvil,dc=team"
LDAP base-suffix set to "dc=anvil,dc=team".

Steg

  1. Ange LDAP-bassuffixet med hjälp av "authentication ldap base set" kommando:
# authentication ldap base set "dc=anvil,dc=team" type active-directory
LDAP base-suffix set to "dc=anvil,dc=team".

Obs! I det här exemplet kommer alla användare i dd-admins LDAP group har administratörsbehörighet i skyddssystemet. 
# authentication ldap groups add dd-admins role admin
LDAP Group Role
---------- -----
dd-admins admin
---------- -----
Reset the LDAP base suffix

Trappsteg
Återställ LDAP-bassuffixet med hjälp av "authentication ldap base reset" kommando:

# authentication ldap base reset

LDAP-bassuffix återställs till tom.

Konfigurera LDAP-klientautentisering.
Konfigurera kontot (Bind DN) och lösenordet (Bind PW) som används för att autentisera med LDAP-servern och göra frågor.

Om denna uppgift
Du bör alltid konfigurera bindnings-DN och lösenord. I processen kräver LDAP-servrar autentiserade bindningar som standard. Om client-auth är inte inställt, anonym åtkomst begärs, utan namn eller lösenord.

Utdata från "authentication ldap show" kommandot är som följer:

# authentication ldap show

LDAP configuration
 Enabled: yes (*)
 Base-suffix: dc=u2,dc=team
 Binddn: (anonymous)
 Server(s): 1
# Server
- ------------- ---------
1 10.207.86.160 (primary)
- ------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

(*) Kräver en omstart av filsystemet för att konfigurationen ska börja gälla.

Om binddn ställs in med hjälp av client-auth CLI, men bindpw inte tillhandahålls, begärs oautentiserad åtkomst.

# authentication ldap client-auth set binddn "cn=Manager,dc=u2,dc=team"

Enter bindpw:
** Bindpw tillhandahålls inte. Oautentiserad åtkomst skulle begäras.
LDAP-klientautentisering binddn inställd på "cn=Manager,dc=u2,dc=team".

Trappsteg

  1. Ställ in bindnings-DN och lösenord med hjälp av "authentication ldap client-auth set binddn" kommando:
# authentication ldap client-auth set binddn "cn=Administrator,cn=Users,dc=anvil,dc=team"

Enter bindpw:
LDAP-klientautentisering binddn är inställd på:
"cn=Administrator,cn=Users,dc=anvil,dc=team

  1. Återställ bindnings-DN och lösenord med hjälp av "authentication ldap client-auth reset" kommando:
# authentication ldap client-auth reset

Konfigurationen för LDAP-klientautentisering återställs till tom.

Aktivera LDAP.

Förutsättningar
Det måste finnas en LDAP-konfiguration innan du aktiverar LDAP.
Du måste också inaktivera NIS, se till att LDAP-servern kan nås och kunna fråga LDAP-serverns rot-DSE.

Trappsteg

  1. Aktivera LDAP med hjälp av "authentication ldap enable" kommando:
# authentication ldap enable

Information om LDAP-konfigurationen visas så att du kan bekräfta innan du fortsätter. Om du vill fortsätta skriver du Ja och startar om filsystemet för att LDAP-konfigurationen ska börja gälla.

Visa den aktuella LDAP-konfigurationen med hjälp av "authentication ldap show" kommando:


Obs! Om systemet är konfigurerat att använda LDAP för Active Directory innehåller kommandoutdata ett fält för servertyp som anger att det är anslutet till en Active Directory-server. 
# authentication ldap show
LDAP configuration
 Enabled: no
 Base-suffix: dc=anvil,dc=team
 Binddn: cn=Administrator,cn=Users,dc=anvil,dc=team
 Server(s): 2
# Server
- ---------------- ---------
1 10.26.16.250 (primary)
2 10.26.16.251:400
- ---------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

Information om grundläggande LDAP-konfiguration och säker LDAP-konfiguration visas.

3. View the current LDAP status by using the authentication ldap status command:
# authentication ldap status
The LDAP status is displayed. If the LDAP status is not good, the problem is identified in the output.
For example:
# authentication ldap status
Status:invalid credentials
or
# authentication ldap status
Status: invalid DN syntax
4. Disable LDAP by using the authentication ldap disable command:
# authentication ldap disable LDAP is disabled.

Aktivera säker LDAP.

Du kan konfigurera DDR att använda säker LDAP genom att aktivera SSL.
För LDAP för Active Directory konfigurerar du säker LDAP med SSL/TLS-alternativ.
Förutsättningar Om det inte finns något LDAP CA-certifikat och tls_reqcert är inställt på Demand misslyckas åtgärden.
Importera ett LDAP CA-certifikat och försök igen. Om tls_reqcert är inställt på aldrig, krävs inget LDAP CA-certifikat.

Trappsteg

  1. Aktivera SSL med hjälp av "authentication ldap ssl enable" kommando:
# authentication ldap ssl enable

Säker LDAP är aktiverat med "ldaps"-metoden.

Standardmetoden är säker LDAP eller LDAP. Du kan ange andra metoder, till exempel TLS:

# authentication ldap ssl enable method start_tls

Säker LDAP är aktiverat med "start_tls"-metoden.

  1. Avaktivera SSL med hjälp av "authentication ldap ssl disable" kommando:
# authentication ldap ssl disable Secure LDAP is disabled.

Konfigurera verifiering av LDAP-servercertifikat med importerade CA-certifikat.

Du kan ändra beteendet för TLS-begärandecertifikatet.

Trappsteg

  1. Ändra certifikatbeteendet för TLS-begäran med hjälp av "authentication ldap ssl set tls_reqcert"-kommandot.

Verifiera inte certifikatet:

# authentication ldap ssl set tls_reqcert never “tls_reqcert” set to "never".

LDAP-servercertifikatet har inte verifierats.

 
Obs! Om LDAP har konfigurerats för Active Directory kan certifikatbeteendet för TLS-begäran inte anges till aldrig.

Verifiera certifikatet:

# authentication ldap ssl set tls_reqcert demand

tls_reqcert" inställd på "Efterfrågan". LDAP-servercertifikatet har verifierats.

  1. Återställ certifikatbeteendet för TLS-begäran med hjälp av "authentication ldap ssl reset tls_reqcert"-kommandot.

Standardbeteendet är demand:

# authentication ldap ssl reset tls_reqcert

tls_reqcert" har ställts in på "efterfrågan". LDAP-servercertifikat verifieras med ett importerat CA-certifikat. Använd "adminaccess" CLI för att importera CA-certifikatet.

Hantera CA-certifikat för LDAP.

Du kan importera eller ta bort certifikat och visa aktuell certifikatinformation.

Trappsteg

  1. Importera ett CA-certifikat för verifiering av LDAP-servercertifikat med hjälp av "adminaccess certificate import"-kommandot.

Ange LDAP för CA-program:

# adminaccess certificate import {host application {all | aws-federal | ddboost | https | keysecure | dsm | ciphertrust | gklm | } | ca application {all | cloud | ddboost | ldap | login-auth | keysecure | dsm | rsa-securid | ciphertrust | gklm | }} [file ]
  1. Ta bort ett CA-certifikat för verifiering av LDAP-servercertifikat med hjälp av "adminaccess" Kommandot Certificate Delete. Ange LDAP för program:
# adminaccess certificate delete {subject | fingerprint } [application {all | aws-federal | cloud | ddboost | ldap | login-auth | https | keysecure | dsm | ciphertrust | gklm | support | }]
  1. Visa aktuell CA-certifikatinformation för verifiering av LDAP-servercertifikat med hjälp av "adminaccess certificate show" kommando:
# adminaccess certificate show imported-ca application ldap

Additional Information

Portar för Active Directory

Port Protokoll Portkonfigurerbar Beskrivning
53 TCP/UDP Öppna DNS (om AD också är DNS)
88 TCP/UDP Öppna Kerberos Kerberos
139 TCP Öppna NetBios – NetLogon
389 TCP/UDP Öppna LDAP
445 TCP/UDP Nej Användarautentisering och annan kommunikation med AD
3268 TCP Öppna Globala katalogfrågor
636 TCP  Öppna  LDAPS – säker LDAP över SSL/TLS
3269 TCP Öppna  LDAPS (LDAP över SSL) till den globala katalogen – används för säkra katalogfrågor över domäner i en skog.

LDAP

När FIPS (Federal Information Processing Standards) är aktiverat måste LDAP-klienten som körs på ett system eller DDVE använda TLS.

# authentication ldap ssl enable method start_tls Otherwise, enabling FIPS compliance mode fails.

Vid en ny installation och uppgradering anges
inte LDAP SSL-chiffer explicit.När FIPS-efterlevnadsläget är aktiverat anges LDAP SSL-chiffer till följande:

  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES256-SHA384
  • DHE-RSA-AES256-GCM-SHA384
  • DHE-RSA-AES256-SHA256
  • AES256-GCM-SHA384
  • AES256-SHA256
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-SHA256
  • DHE-RSA-AES128-GCM-SHA256
  • DHE-RSA-AES128-SHA256
  • AES128-GCM-SHA256
  • AES128-SHA256

Den konfigurerade chifferlistan ska vara: ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128- SHA256

När FIPS är inaktiverat är det inställt på "", en tom sträng.

Använda en autentiseringsserver för att autentisera användare innan du beviljar administrativ åtkomst.

DD har stöd för flera namnserverprotokoll som LDAP, NIS och AD. DD rekommenderar att du använder OpenLDAP med FIPS aktiverat. DD hanterar endast lokala konton. DD rekommenderar att du använder användargränssnittet eller CLI för att konfigurera LDAP.

  • UI: Administration >Tillträde >Autentisering
  • CLI: LDAP-kommandon för autentisering

Active Directory kan också konfigureras för användarinloggningar med FIPS aktiverat. CIFS-dataåtkomst med AD-användare stöds dock inte längre med den konfigurationen.

LDAP för NFS-ID-mappning (Network File System)

Data Domain- och PowerProtect-system kan använda LDAP för NFSv4 ID-mappning och NFSv3 eller NFSv4 Kerberos med LDAP. Användaren kan även konfigurera Secure LDAP med antingen LDAPS eller "start_TLS"-metoden. LDAP-klientautentiseringen kan använda Bind DN eller Bind PW, men systemen stöder inte certifikatbaserad LDAP-klientautentisering.


Obs! Det lokala användar-ID:t börjar med siffran 500. När du konfigurerar LDAP kan ett liknande användar-ID-intervall (500–1000) inte användas eller så uppstår en kollision med användar-ID:n. Om det uppstår en kollision med användar-ID:t blir filer som ägs av en namngiven LDAP-tjänstanvändare tillgängliga för andra användare på grund av konfigurationsfel.

Affected Products

Data Domain
Article Properties
Article Number: 000204241
Article Type: How To
Last Modified: 29 Oct 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.