Data Domain: Guida LDAP

Summary: Autenticazione LDAP (Lightweight Directory Access Protocol): I sistemi Data Domain e PowerProtect possono utilizzare l'autenticazione LDAP per gli utenti che accedono tramite la CLI o l'interfaccia utente di I server LDAP supportati sono OpenLDAP, Oracle e Microsoft Active Directory. Tuttavia, quando Active Directory è configurato in questa modalità, l'accesso ai dati CIFS (Common Internet File System) per utenti e gruppi di Active Directory è disabilitato. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Le informazioni e i passaggi di questa guida sono compatibili con DD OS 7.9 e versioni successive


Visualizzazione delle informazioni di autenticazione LDAP

Nel pannello LDAP Authentication vengono visualizzati i parametri di configurazione LDAP e se l'autenticazione LDAP è abilitata o disabilitata.
L'abilitazione di LDAP** consente di utilizzare un server o un deployment OpenLDAP esistente per l'**autenticazione utente a livello di sistema**, **NFSv4 ID mapping** e **NFSv3 o NFSv4 Kerberos con LDAP.

Passi

  1. Selezionare Administration > Access > Authentication. Viene visualizzata la vista Authentication.
  2. Espandere il pannello LDAP Authentication.

Abilitazione e disabilitazione dell'autenticazione LDAP Utilizzare il pannello LDAP Authentication per abilitare, disabilitare o reimpostare l'autenticazione LDAP.

 

NOTA: Deve essere presente un server LDAP prima di abilitare l'autenticazione LDAP.


Procedura

  1. Selezionare Administration > Access > Authentication. Viene visualizzata la vista Authentication.
  2. Espandere il pannello LDAP authentication.
  3. Cliccare su Enable accanto a LDAP Status per abilitare l'autenticazione LDAP o su Disable per disabilitarla.
    Viene visualizzata la finestra di dialogo Enable or Disable LDAP authentication.
  4. Cliccare su OK.

Reimpostazione dell'autenticazione LDAP.

Il pulsante Reset disabilita l'autenticazione LDAP e cancella le informazioni di configurazione LDAP.

Configurazione dell'autenticazione LDAP

Utilizzare il pannello LDAP Authentication per configurare l'autenticazione LDAP.

Passi

  1. Selezionare Administration > Access > Authentication. Viene visualizzata la vista Authentication.
  2. Espandere il pannello LDAP Authentication.
  3. Cliccare su Configure. Viene visualizzata la finestra di dialogo Configure LDAP Authentication.
  4. Specificare il suffisso di base nel campo Base Suffix.
  5. Specificare il nome dell'account da associare al server LDAP nel campo Bind DN.
  6. Specificare la password per l'account Bind DN nel campo Bind Password.
  7. Facoltativamente, selezionare Enable SSL.
  8. Facoltativamente, selezionare Demand server certificate per richiedere al sistema di protezione di importare un certificato CA dal server LDAP.
  9. Cliccare su OK.
  10. Se necessario in seguito, cliccare su Reset per riportare la configurazione LDAP ai valori predefiniti.

Specifica dei server di autenticazione LDAP

Informazioni su questa attività
Utilizzare il pannello LDAP Authentication per specificare i server di autenticazione LDAP.
Prerequisiti Prima di configurare un server LDAP, è necessario disabilitare l'autenticazione LDAP.
 

NOTA: Le prestazioni di Data Domain System Manager (DDSM) durante l'accesso con LDAP diminuiscono con l'aumentare del numero di hop tra il sistema e il server LDAP.

 

Procedura

  1. Selezionare Administration > Access > Authentication. Viene visualizzata la vista Authentication.
  2. Espandere il pannello LDAP authentication.
  3. Cliccare sul pulsante + per aggiungere un server.
  4. Specificare il server LDAP in uno dei seguenti formati:
    • Indirizzo IPv4: nn.nn.nn.nn
    • Indirizzo IPv6: [FF::XXXX:XXXX:XXXX:XXXX]
    • Nome host: myldapserver.FQDN
  5. Cliccare su OK.

Configurazione dei gruppi LDAP

Utilizzare il pannello LDAP Authentication per configurare i gruppi LDAP.

Informazioni su questa attività
La configurazione del gruppo LDAP si applica solo quando si utilizza LDAP per l'autenticazione utente sul sistema di protezione.

Passi

  1. Selezionare Administration > Access > Authentication. Viene visualizzata la vista Authentication.
  2. Espandere il pannello LDAP authentication.
  3. Configurare i gruppi LDAP nella tabella LDAP Group.
    • Per aggiungere un gruppo LDAP, cliccare sul pulsante Add (+), immettere il nome e il ruolo del gruppo LDAP, quindi cliccare su OK.
    • Per modificare un gruppo LDAP, selezionare la casella di controllo del nome del gruppo nell'elenco dei gruppi LDAP e cliccare su Edit (matita). Modificare il nome del gruppo LDAP e cliccare su OK.
    • Per rimuovere un gruppo LDAP, selezionarlo nell'elenco e cliccare su Delete (X).

Utilizzo della CLI per configurare l'autenticazione LDAP.

L'abilitazione di LDAP** consente di **configurare un server o un deployment** OpenLDAP esistente per l'**autenticazione utente a livello di sistema**, **il mapping degli ID NFSv4**, e **NFSv3 o NFSv4 Kerberos con LDAP.

Non è possibile configurarlo se l'autenticazione LDAP è già configurata per Active Directory.

Configurazione dell'autenticazione LDAP per Active Directory

DDOS supporta l'utilizzo dell'autenticazione LDAP per Active Directory.
L'autenticazione LDAP con Active Directory** limita l'accesso ai dati CIFS per utenti e gruppi di Active Directory, consentendo solo agli utenti locali di accedere alle share CIFS sul sistema.
Solo gli accessi CLI e UI sono consentiti per gli utenti Active Directory con questa configurazione.

Prerequisiti
Per configurare l'autenticazione LDAP per Active Directory, verificare che l'ambiente soddisfi i seguenti requisiti:

  • TLS/SSL è abilitato per la comunicazione LDAP.
  • Gli utenti Active Directory che accedono al sistema di protezione devono disporre di numeri UID e GID validi.
  • I gruppi Active Directory che accedono al sistema di protezione devono disporre di un numero GID valido.
NOTA:
  • Specificare la username nel formato <username>, senza specificare un nome di dominio.
  • Specificare la groupname nel formato <groupname>, senza specificare un nome di dominio.
  • Per i nomi utente e di gruppo non viene rilevata la distinzione tra maiuscole e minuscole.

Le seguenti limitazioni si applicano a LDAP per Active Directory:

  • Microsoft Active Directory è l'unico provider Active Directory supportato.
  • Active Directory Lightweight Directory Services (LDS) non è supportato.
  • Lo schema nativo di Active Directory per uidNumber e gidNumber Popolazione è l'unico schema supportato. Non è disponibile alcun supporto per strumenti di terze parti integrati con Active Directory.

Informazioni su questa attività
L'autenticazione LDAP per Active Directory non può essere utilizzata con l'autenticazione Active Directory o Kerberos per CIFS.
La CLI è l'unico modo per configurare questa opzione.

Passi
Eseguire il comando di autenticazione LDAP base set base name type active-directory per abilitare l'autenticazione LDAP per Active Directory.


NOTA: Il comando ha esito negativo se l'autenticazione CIFS è già configurata come Active Directory. 
# authentication ldap base set "dc=anvil,dc=team" type active-directory


Configurare i server LDAP.

È possibile configurare uno o più server LDAP contemporaneamente. Configurare i server dal sito più vicino al sistema di protezione per una latenza minima.

Informazioni su questa attività


NOTA: Il LDAP deve essere disabilitato quando si modifica la configurazione.
 

Specificare il server LDAP in uno dei seguenti formati:

  • IPv4 address—10.<A>.<B>.<C>
  • IPv4 address with port number—10.<A>.<B>.<C>:400
  • IPv6 address—[::ffff:9.53.96.21]
  • IPv6 address with port number—[::ffff:9.53.96.21]:400
  • Hostname—myldapserver
  • Hostname with port number—myldapserver:400

Quando si configurano più server:

  • Separare ogni server con uno spazio.
  • Il primo server elencato quando si utilizza il comando authentication LDAP servers add diventa il server primario.
  • Se uno dei server non può essere configurato, il comando ha esito negativo per tutti i server elencati.

Procedura

  1. Aggiungere uno o più server LDAP utilizzando "authentication ldap servers add":
# authentication ldap servers add 10.A.B.C 10.X.Y.Z:400
LDAP server(s) added
LDAP Server(s): 2
# IP Address/Hostname
--- ---------------------
1. 10.A.B.C (primary)
2. 10.X.Y.Z:400
--- ---------------------
  1. Rimuovere uno o più server LDAP utilizzando "authentication ldapservers del":
# authentication ldap servers del 10.X.Y.Z:400
LDAP server(s) deleted.
LDAP Servers: 1
# Server
- ------------ ---------
1 10.A.B.C (primary)
- ------------ ---------
3. Remove all LDAP servers by using the authentication ldap servers reset command:
# authentication ldap servers reset
LDAP server list reset to empty.

Configurare il suffisso di base LDAP.
Il suffisso di base è il DN di base per la ricerca ed è il punto in cui la directory LDAP inizia la ricerca.

Informazioni su questa attività
Impostare il suffisso di base per OpenLDAP o Active Directory.


NOTA: Il suffisso di base non può essere impostato sia per OpenLDAP che per Active Directory.


L'accesso utente è consentito solo dal dominio Active Directory primario. Gli utenti e i gruppi dei domini attendibili di Active Directory non sono supportati.
Impostare il suffisso di base per OpenLDAP.

Passi
Impostare il suffisso di base LDAP utilizzando "authentication ldap base set":

# authentication ldap base set "dc=anvil,dc=team"
LDAP base-suffix set to "dc=anvil,dc=team".

Procedura

  1. Impostare il suffisso di base LDAP utilizzando "authentication ldap base set":
# authentication ldap base set "dc=anvil,dc=team" type active-directory
LDAP base-suffix set to "dc=anvil,dc=team".

NOTA: In questo esempio, tutti gli utenti nella directory dd-admins LDAP group Disporre dei privilegi di amministratore sul sistema di protezione. 
# authentication ldap groups add dd-admins role admin
LDAP Group Role
---------- -----
dd-admins admin
---------- -----
Reset the LDAP base suffix

Passi
Reimpostare il suffisso di base LDAP utilizzando il comando "authentication ldap base reset":

# authentication ldap base reset

Ripristino del suffisso di base LDAP su Empty.

Configurare l'autenticazione client LDAP.
Configurare l'account (Bind DN) e la password (Bind PW) utilizzati per eseguire l'autenticazione con il server LDAP ed effettuare query.

Informazioni su questa attività
È sempre necessario configurare Bind DN e Bind password. In questo processo, per impostazione predefinita i server LDAP richiedono binding autenticati. Se client-auth non è impostato, viene richiesto l'accesso anonimo, senza fornire nome o password.

L'output di "authentication ldap show" è il seguente:

# authentication ldap show

LDAP configuration
 Enabled: yes (*)
 Base-suffix: dc=u2,dc=team
 Binddn: (anonymous)
 Server(s): 1
# Server
- ------------- ---------
1 10.207.86.160 (primary)
- ------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

(*) Richiede il riavvio del file system per rendere effettiva la configurazione.

Se binddn viene impostato utilizzando client-auth CLI, ma bindpw non viene fornito, è richiesto l'accesso non autenticato.

# authentication ldap client-auth set binddn "cn=Manager,dc=u2,dc=team"

Invio bindpw:
** Bindpw non è fornito. Verrà richiesto l'accesso non autenticato.
Autenticazione del client LDAP binddn impostato su "cn=Manager,dc=u2,dc=team".

Passi

  1. Impostare Bind DN e la password utilizzando "authentication ldap client-auth set binddn":
# authentication ldap client-auth set binddn "cn=Administrator,cn=Users,dc=anvil,dc=team"

Invio bindpw:Autenticazione
client LDAP binddn è impostato su:
"cn=Administrator,cn=Users,dc=anvil,dc=team".

  1. Reimpostare Bind DN e Bind password utilizzando il comando "authentication ldap client-auth reset":
# authentication ldap client-auth reset

La configurazione di autenticazione del client LDAP viene ripristinata su Empty.

Abilitare LDAP.

Prerequisiti
Prima di abilitare LDAP deve essere presente una configurazione LDAP.
Inoltre, è necessario disabilitare NIS, assicurarsi che il server LDAP sia raggiungibile e in grado di eseguire query sul DSE root del server LDAP.

Passi

  1. Abilitare LDAP utilizzando il comando "authentication ldap enable":
# authentication ldap enable

Vengono visualizzati i dettagli della configurazione LDAP, che devono essere verificati prima di continuare. Per continuare, digitare Yes e riavviare il file system per rendere effettiva la configurazione LDAP.

Visualizzare la configurazione LDAP corrente utilizzando "authentication ldap show":


NOTA: se il sistema è configurato per l'utilizzo di LDAP per Active Directory, l'output del comando include un campo Server Type per indicare che è connesso a un server Active Directory. 
# authentication ldap show
LDAP configuration
 Enabled: no
 Base-suffix: dc=anvil,dc=team
 Binddn: cn=Administrator,cn=Users,dc=anvil,dc=team
 Server(s): 2
# Server
- ---------------- ---------
1 10.26.16.250 (primary)
2 10.26.16.251:400
- ---------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

Vengono visualizzati i dettagli di configurazione di LDAP di base e Secure LDAP.

3. View the current LDAP status by using the authentication ldap status command:
# authentication ldap status
The LDAP status is displayed. If the LDAP status is not good, the problem is identified in the output.
For example:
# authentication ldap status
Status:invalid credentials
or
# authentication ldap status
Status: invalid DN syntax
4. Disable LDAP by using the authentication ldap disable command:
# authentication ldap disable LDAP is disabled.

Abilitare LDAP sicuro.

È possibile configurare DDR in modo che utilizzi LDAP sicuro abilitando SSL.
Per LDAP per Active Directory, configurare il LDAP sicuro con opzioni SSL/TLS.
Prerequisiti Se non è presente alcun certificato CA LDAP e tls_reqcert è impostato su demand, l'operazione ha esito negativo.
Importare un certificato CA LDAP e riprovare. Se tls_reqcert è impostato su never, non è richiesto un certificato CA LDAP.

Passi

  1. Abilitare SSL utilizzando "authentication ldap ssl enable":
# authentication ldap ssl enable

Il LDAP sicuro è abilitato con "ldaps" metodo.

Il metodo predefinito è LDAP sicuro o LDAP. È possibile specificare altri metodi, ad esempio TLS:

# authentication ldap ssl enable method start_tls

Il LDAP sicuro è abilitato con "start_tls" metodo.

  1. Disabilitare SSL utilizzando il comando "authentication ldap ssl disable":
# authentication ldap ssl disable Secure LDAP is disabled.

Configurare la verifica del certificato del server LDAP con certificati CA importati.

È possibile modificare il comportamento del certificato di richiesta TLS.

Passi

  1. Modificare il comportamento del certificato di richiesta TLS utilizzando "authentication ldap ssl set tls_reqcert" comando.

Non verificare il certificato:

# authentication ldap ssl set tls_reqcert never “tls_reqcert” set to "never".

Il certificato del server LDAP non è verificato.

 
NOTA: Se LDAP è configurato per Active Directory, il comportamento del certificato di richiesta TLS non può essere impostato su never.

Verificare il certificato:

# authentication ldap ssl set tls_reqcert demand

".tls_reqcert" impostato su "Domanda". Il certificato del server LDAP viene verificato.

  1. Reimpostare il comportamento del certificato di richiesta TLS utilizzando "authentication ldap ssl reset tls_reqcert" comando.

Il comportamento predefinito è la domanda:

# authentication ldap ssl reset tls_reqcert

".tls_reqcert" è stato impostato su "Domanda". Il certificato del server LDAP viene verificato con un certificato CA importato. Utilizzare "adminaccess" CLI per importare il certificato CA.

Gestire i certificati CA per LDAP.

È possibile importare o eliminare i certificati e visualizzare le informazioni sul certificato corrente.

Passi

  1. Importare un certificato CA per la verifica del certificato del server LDAP utilizzando "adminaccess certificate import" comando.

Specificare LDAP per l'applicazione CA:

# adminaccess certificate import {host application {all | aws-federal | ddboost | https | keysecure | dsm | ciphertrust | gklm | } | ca application {all | cloud | ddboost | ldap | login-auth | keysecure | dsm | rsa-securid | ciphertrust | gklm | }} [file ]
  1. Eliminare un certificato CA per la verifica del certificato del server LDAP utilizzando "adminaccess" comando di eliminazione del certificato. Specificare LDAP per l'applicazione:
# adminaccess certificate delete {subject | fingerprint } [application {all | aws-federal | cloud | ddboost | ldap | login-auth | https | keysecure | dsm | ciphertrust | gklm | support | }]
  1. Visualizzare le informazioni sul certificato CA corrente per la verifica del certificato del server LDAP utilizzando "adminaccess certificate show":
# adminaccess certificate show imported-ca application ldap

Additional Information

Porte per Active Directory

Port Protocollo Porta configurabile Descrizione
53 TCP/UDP Apri DNS (se AD è anche il DNS)
88 TCP/UDP Apri Kerberos
139 TCP Apri NetBios - Accesso rete
389 TCP/UDP Apri LDAP
445 TCP/UDP No Autenticazione utente e altre comunicazioni con AD
3268 TCP Apri Query del catalogo globale
636 TCP  Apri  LDAPS - LDAP protetto su SSL/TLS
3269 TCP Apri  LDAPS (LDAP su SSL) nel catalogo globale: utilizzato per query di directory protette tra domini in una foresta.

LDAP

Quando è abilitato FIPS (Federal Information Processing Standards), il client LDAP eseguito su un sistema o DDVE deve utilizzare TLS.

# authentication ldap ssl enable method start_tls Otherwise, enabling FIPS compliance mode fails.

In caso di nuova installazione e aggiornamento, le crittografie SSL LDAP non vengono impostate in modo esplicito.
Quando è abilitata la modalità di conformità FIPS, le crittografie SSL LDAP sono impostate su quanto segue:

  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES256-SHA384
  • DHE-RSA-AES256-GCM-SHA384
  • DHE-RSA-AES256-SHA256
  • AES256-GCM-SHA384
  • AES256-SHA256
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-SHA256
  • DHE-RSA-AES128-GCM-SHA256
  • DHE-RSA-AES128-SHA256
  • AES128-GCM-SHA256
  • AES128-SHA256

L'elenco di crittografia configurato deve essere: ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128- SHA256

Quando FIPS è disabilitato, è impostato su "", una stringa vuota.

Utilizzo di un server di autenticazione per autenticare gli utenti prima di concedere l'accesso amministrativo.

DD supporta più protocolli di server dei nomi, come LDAP, NIS e AD. DD consiglia di utilizzare OpenLDAP con la modalità FIPS abilitata. DD gestisce solo account locali. DD consiglia di utilizzare l'interfaccia utente o la CLI per configurare LDAP.

  • Interfacce utente: Amministrazione >Accesso >Autenticazione
  • CLI: comandi LDAP di autenticazione

Active Directory può anche essere configurato per gli accessi utente con modalità FIPS abilitata. Tuttavia, l'accesso ai dati CIFS con utenti AD non è più supportato con tale configurazione.

LDAP per mapping degli ID NFS (Network File System)

I sistemi Data Domain e PowerProtect possono utilizzare LDAP per il mapping degli ID NFSv4 e Kerberos NFSv3 o NFSv4 con LDAP. L'utente può inoltre configurare LDAP sicuro con LDAPS o "start_TLS" metodo. L'autenticazione client LDAP può utilizzare Bind DN o Bind PW, ma i sistemi non supportano l'autenticazione client LDAP basata su certificati.


NOTA: L'ID utente locale inizia con il numero 500. Quando si configura LDAP, non è possibile utilizzare un intervallo di ID utente simile (500-1000) o si verifica un conflitto di ID utente. Se si verifica un conflitto di ID utente, i file di proprietà di un utente del servizio LDAP con nome diventano accessibili agli altri utenti a causa di errori di configurazione.

Affected Products

Data Domain
Article Properties
Article Number: 000204241
Article Type: How To
Last Modified: 29 Oct 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.