Data Domain: Příručka LDAP

Summary: Ověřování protokolem LDAP (Lightweight Directory Access Protocol): Systémy Data Domain a PowerProtect mohou používat ověřování LDAP pro uživatele, kteří se přihlašují prostřednictvím rozhraní příkazového řádku nebo uživatelského rozhraní. Podporovanými servery LDAP jsou OpenLDAP, Oracle a Microsoft Active Directory. Pokud je však služba Active Directory nakonfigurována v tomto režimu, je přístup k datům CIFS (Common Internet File System) pro uživatele a skupiny služby Active Directory zakázán. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Informace a postup v této příručce fungují s DD OS 7.9 a novějšími verzemi


Zobrazení informací o ověřování LDAP

Panel Ověřování LDAP zobrazuje parametry konfigurace LDAP a to, zda je ověřování LDAP povoleno nebo zakázáno.
Povolení protokolu LDAP** umožňuje použít stávající server nebo nasazení OpenLDAP pro **ověřování uživatelů na úrovni systému**, **mapování ID NFSv4**a **NFSv3 nebo NFSv4 Kerberos s LDAP.

Schody

  1. Vyberte položku Administration > Access > Authentication. Zobrazí se zobrazení Ověřování.
  2. Rozbalte panel LDAP Authentication.

Povolení a zakázání ověřování LDAP: Pomocí panelu LDAP Authentication můžete povolit, zakázat nebo resetovat ověřování LDAP.

 

POZNÁMKA: Před povolením ověřování LDAP musí existovat server LDAP.


Postup

  1. Vyberte položku Administration > Access > Authentication. Zobrazí se zobrazení Ověřování.
  2. Rozbalte panel Ověřování LDAP.
  3. Kliknutím na tlačítko Povolit vedle položky Stav LDAP povolíte nebo Zakázat zakážete ověřování LDAP.
    Zobrazí se dialogové okno Povolit nebo zakázat ověřování LDAP.
  4. Klikněte na tlačítko OK.

Obnovení ověřování LDAP.

Tlačítko Reset zakáže ověřování LDAP a vymaže informace o konfiguraci LDAP.

Konfigurace ověřování LDAP

Ke konfiguraci ověřování LDAP použijte panel Ověřování LDAP.

Schody

  1. Vyberte položku Administration > Access > Authentication. Zobrazí se zobrazení Ověřování.
  2. Rozbalte panel LDAP Authentication.
  3. Klikněte na možnost Configure. Zobrazí se dialogové okno Configure LDAP Authentication (Konfigurovat ověřování LDAP).
  4. Zadejte základní příponu do pole Základní přípona.
  5. Do pole Bind DN zadejte název účtu, který chcete přidružit k serveru LDAP.
  6. Do pole Bind Password zadejte heslo pro účet Bind DN.
  7. Volitelně vyberte možnost Enable SSL.
  8. Volitelně můžete výběrem možnosti Požadovat certifikát serveru , chcete-li vyžadovat, aby systém ochrany importoval certifikát certifikační autority ze serveru LDAP.
  9. Klikněte na tlačítko OK.
  10. V případě potřeby později kliknutím na tlačítko Reset vrátíte konfiguraci LDAP na výchozí hodnoty.

Určení serverů ověřování LDAP

O této úloze
Pomocí panelu Ověřování LDAP určete Servery ověřování LDAP.
Předpoklady Před konfigurací serveru LDAP musí být zakázáno ověřování LDAP.
 

POZNÁMKA: Výkon nástroje Data Domain System Manager (DDSM) při přihlašování pomocí protokolu LDAP klesá se zvyšujícím se počtem skoků mezi systémem a serverem LDAP.

 

Postup

  1. Vyberte položku Administration > Access > Authentication. Zobrazí se zobrazení Ověřování.
  2. Rozbalte panel Ověřování LDAP.
  3. Kliknutím na tlačítko + přidejte server.
  4. Zadejte server LDAP v jednom z následujících formátů:
    • IPv4 adresa: nn.nn.nn.nn
    • IPv6 adresa: [FF::XXXX:XXXX:XXXX:XXXX]
    • Název hostitele: myldapserver.FQDN
  5. Klikněte na tlačítko OK.

Konfigurace skupin LDAP

Ke konfiguraci skupin LDAP použijte panel Ověřování LDAP.

O této úloze
Konfigurace skupiny LDAP se použije pouze při použití protokolu LDAP k ověření uživatele v bezpečnostním systému.

Schody

  1. Vyberte položku Administration > Access > Authentication. Zobrazí se zobrazení Ověřování.
  2. Rozbalte panel Ověřování LDAP.
  3. Nakonfigurujte skupiny LDAP v tabulce LDAP Group.
    • Chcete-li přidat skupinu LDAP, klikněte na tlačítko Přidat (+), zadejte název a roli skupiny LDAP a klikněte na OK.
    • Chcete-li upravit skupinu LDAP, zaškrtněte políčko u názvu skupiny v seznamu skupiny LDAP a klikněte na tlačítko Upravit (tužkou). Změňte název skupiny LDAP a klikněte na tlačítko OK.
    • Chcete-li odstranit skupinu LDAP, vyberte ji v seznamu a klikněte na tlačítko Odstranit (X).

Použití rozhraní příkazového řádku ke konfiguraci ověřování LDAP.

Povolení protokolu LDAP** umožňuje **nakonfigurovat existující server OpenLDAP nebo nasazení** pro **ověřování uživatelů na úrovni systému**, **mapování ID NFSv4** a **NFSv3 nebo NFSv4 Kerberos s LDAP.

To nelze nakonfigurovat, pokud je ověřování LDAP již nakonfigurováno pro službu Active Directory.

Konfigurace ověřování pomocí protokolu LDAP pro službu Active Directory

Systém DDOS podporuje použití ověřování LDAP pro službu Active Directory.
Ověřování LDAP pomocí služby Active Directory** omezuje přístup uživatelů a skupin služby Active Directory k datům CIFS a ke sdíleným složkám CIFS v systému má přístup pouze místním uživatelům.
Pro uživatele služby Active Directory s touto konfigurací jsou povolena pouze přihlášení do rozhraní příkazového řádku a uživatelského rozhraní.

Požadavky
Ujistěte se, že prostředí splňuje následující požadavky na konfiguraci ověřování LDAP pro službu Active Directory:

  • Pro komunikaci LDAP je povolen protokol TLS/SSL.
  • Uživatelé služby Active Directory, kteří přistupují k bezpečnostnímu systému, musí mít platná čísla UID a GID.
  • Skupiny služby Active Directory, které přistupují k bezpečnostnímu systému, musí mít platné číslo GID.
POZNÁMKA:
  • Určete username V dialogovém okně Formát <username>, aniž byste zadali název domény.
  • Určete groupname V dialogovém okně Formát <groupname>, aniž byste zadali název domény.
  • V názvech uživatelů a skupin se nerozlišují velká a malá písmena.

Pro protokol LDAP pro službu Active Directory platí následující omezení:

  • Jediným podporovaným poskytovatelem služby Active Directory je služba Microsoft Active Directory.
  • Služba LDS (Active Directory Lightweight Directory Services) není podporována.
  • Nativní schéma služby Active Directory pro uidNumber a gidNumber Populace je jediné podporované schéma. Služba Active Directory nemá integrovanou žádnou podporu nástrojů třetích stran.

O této úloze
Ověřování LDAP pro službu Active Directory nelze použít s ověřováním Active Directory nebo Kerberos pro CIFS.
Rozhraní příkazového řádku je jediný způsob, jak tuto možnost nakonfigurovat.

Schody
Spuštěním příkazu "základní nastavení základního názvu typu active-directory" pro ověřování LDAP povolte ověřování LDAP pro službu Active Directory.


POZNÁMKA: Příkaz selže, pokud je ověřování CIFS již nakonfigurováno jako Active Directory. 
# authentication ldap base set "dc=anvil,dc=team" type active-directory


Konfigurace serverů LDAP.

Současně lze nakonfigurovat i více serverů LDAP. Nakonfigurujte servery z místa, které je nejblíže systému ochrany, abyste zajistili minimální latenci.

O této funkci


POZNÁMKA: Při změně konfigurace je nutné protokol LDAP zakázat.
 

Zadejte server LDAP v jednom z následujících formátů:

  • IPv4 address—10.<A>.<B>.<C>
  • IPv4 address with port number—10.<A>.<B>.<C>:400
  • IPv6 address—[::ffff:9.53.96.21]
  • IPv6 address with port number—[::ffff:9.53.96.21]:400
  • Hostname—myldapserver
  • Hostname with port number—myldapserver:400

Při konfiguraci více serverů:

  • Každý server oddělte mezerou.
  • První server uvedený při použití příkazu Add serverů LDAP pro ověřování se stane primárním serverem.
  • Pokud nelze nakonfigurovat žádný ze serverů, příkaz selže pro všechny uvedené servery.

Postup

  1. Přidejte jeden nebo více serverů LDAP pomocí "authentication ldap servers add“:
# authentication ldap servers add 10.A.B.C 10.X.Y.Z:400
LDAP server(s) added
LDAP Server(s): 2
# IP Address/Hostname
--- ---------------------
1. 10.A.B.C (primary)
2. 10.X.Y.Z:400
--- ---------------------
  1. Odeberte jeden nebo více serverů LDAP pomocí příkazu "authentication ldapservers del“:
# authentication ldap servers del 10.X.Y.Z:400
LDAP server(s) deleted.
LDAP Servers: 1
# Server
- ------------ ---------
1 10.A.B.C (primary)
- ------------ ---------
3. Remove all LDAP servers by using the authentication ldap servers reset command:
# authentication ldap servers reset
LDAP server list reset to empty.

Nakonfigurujte základní příponu protokolu LDAP.
Základní přípona je základní DN pro vyhledávání a je to místo, kde začíná vyhledávání v adresáři LDAP.

O této úloze
Nastavte základní příponu pro OpenLDAP nebo Active Directory.


POZNÁMKA: Základní příponu nelze nastavit pro protokol OpenLDAP i Active Directory.


Přihlášení uživatele je povoleno pouze z primární domény Active Directory. Uživatelé a skupiny z důvěryhodných domén služby Active Directory nejsou podporováni.
Nastavte základní příponu pro OpenLDAP.

Schody
Nastavte základní příponu LDAP pomocí "authentication ldap base set“:

# authentication ldap base set "dc=anvil,dc=team"
LDAP base-suffix set to "dc=anvil,dc=team".

Postup

  1. Nastavte základní příponu LDAP pomocí "authentication ldap base set“:
# authentication ldap base set "dc=anvil,dc=team" type active-directory
LDAP base-suffix set to "dc=anvil,dc=team".

POZNÁMKA: V tomto příkladu jsou všichni uživatelé v dd-admins LDAP group mají oprávnění správce k bezpečnostnímu systému. 
# authentication ldap groups add dd-admins role admin
LDAP Group Role
---------- -----
dd-admins admin
---------- -----
Reset the LDAP base suffix

Schody
Resetujte základní příponu LDAP pomocí "authentication ldap base reset“:

# authentication ldap base reset

Resetování základní přípony LDAP na prázdné.

Konfigurace ověřování klienta pomocí protokolu LDAP.
Konfigurace účtu (Bind DN) a hesla (Bind PW), které se používají k ověření na serveru LDAP a k zadávání dotazů.

O této úloze
Vždy byste měli nakonfigurovat rozlišující název vazby a heslo. Servery LDAP přitom ve výchozím nastavení vyžadují ověřené vazby. Když client-auth není nastaveno, je vyžadován anonymní přístup, bez zadání jména nebo hesla.

Výstupem "authentication ldap show" je následující:

# authentication ldap show

LDAP configuration
 Enabled: yes (*)
 Base-suffix: dc=u2,dc=team
 Binddn: (anonymous)
 Server(s): 1
# Server
- ------------- ---------
1 10.207.86.160 (primary)
- ------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

(*) Aby se konfigurace projevila, je nutné restartovat systém souborů.

Když binddn se nastavuje pomocí client-auth CLI, ale bindpw není k dispozici, je vyžadován neověřený přístup.

# authentication ldap client-auth set binddn "cn=Manager,dc=u2,dc=team"

Enter bindpw:
** Bindpw není k dispozici. Byl by vyžadován neověřený přístup.
Ověřování klienta pomocí protokolu LDAP binddn Nastavte na "cn=Manager,dc=u2,dc=team".

Schody

  1. Nastavte Bind DN a heslo pomocí "authentication ldap client-auth set binddn“:
# authentication ldap client-auth set binddn "cn=Administrator,cn=Users,dc=anvil,dc=team"

Enter bindpw:
Ověření klienta LDAP binddn je nastavena na:
"cn=Administrator,cn=Users,dc=anvil,dc=team“.

  1. Resetujte rozlišující název vazby a heslo pomocí "authentication ldap client-auth reset“:
# authentication ldap client-auth reset

Konfigurace ověřování klienta LDAP se resetuje na prázdnou.

Povolte protokol LDAP.

Požadavky
Před povolením protokolu LDAP musí existovat konfigurace LDAP.
Musíte také zakázat službu NIS, zajistit dostupnost serveru LDAP a mít možnost dotazovat se kořenového DSE serveru LDAP.

Schody

  1. Povolte protokol LDAP pomocí "authentication ldap enable“:
# authentication ldap enable

Zobrazí se podrobnosti o konfiguraci LDAP, abyste ji mohli zkontrolovat, než budete pokračovat. Chcete-li pokračovat, zadejte příkaz Yes a restartujte systém souborů, aby se konfigurace protokolu LDAP projevila.

Zobrazte aktuální konfiguraci LDAP pomocí "authentication ldap show“:


POZNÁMKA: Pokud je systém nakonfigurován tak, aby používal protokol LDAP pro službu Active Directory, bude výstup příkazu obsahovat pole Server Type, které označuje, že je systém připojen k serveru služby Active Directory. 
# authentication ldap show
LDAP configuration
 Enabled: no
 Base-suffix: dc=anvil,dc=team
 Binddn: cn=Administrator,cn=Users,dc=anvil,dc=team
 Server(s): 2
# Server
- ---------------- ---------
1 10.26.16.250 (primary)
2 10.26.16.251:400
- ---------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

Zobrazí se podrobnosti o konfiguraci základního protokolu LDAP a zabezpečeného protokolu LDAP.

3. View the current LDAP status by using the authentication ldap status command:
# authentication ldap status
The LDAP status is displayed. If the LDAP status is not good, the problem is identified in the output.
For example:
# authentication ldap status
Status:invalid credentials
or
# authentication ldap status
Status: invalid DN syntax
4. Disable LDAP by using the authentication ldap disable command:
# authentication ldap disable LDAP is disabled.

Povolte zabezpečený protokol LDAP.

Protokol DDR můžete nakonfigurovat tak, aby používal zabezpečený protokol LDAP povolením protokolu SSL.
U protokolu LDAP pro službu Active Directory nakonfigurujte zabezpečený protokol LDAP pomocí možností SSL/TLS.
Předpoklady: Pokud není k dispozici certifikát certifikační autority LDAP a tls_reqcert nastavena na demand, operace se nezdaří.
Importujte certifikát certifikační autority LDAP a opakujte akci. Když tls_reqcert nastavena na nikdy, certifikát certifikační autority LDAP není vyžadován.

Schody

  1. Povolte SSL pomocí "authentication ldap ssl enable“:
# authentication ldap ssl enable

Zabezpečený protokol LDAP je povolen pomocí "ldaps" metodu.

Výchozí metoda je zabezpečený LDAP neboli LDAP. Můžete zadat další metody, například TLS:

# authentication ldap ssl enable method start_tls

Zabezpečený protokol LDAP je povolen pomocí "start_tls" metodu.

  1. Zakažte SSL pomocí "authentication ldap ssl disable“:
# authentication ldap ssl disable Secure LDAP is disabled.

Konfigurace ověřování pomocí certifikátu serveru LDAP s naimportovanými certifikáty certifikační autority.

Chování certifikátu žádosti TLS můžete změnit.

Schody

  1. Změňte chování certifikátu žádosti TLS pomocí "authentication ldap ssl set tls_reqcert" příkaz.

Neověřovat certifikát:

# authentication ldap ssl set tls_reqcert never “tls_reqcert” set to "never".

Certifikát serveru LDAP není ověřen.

 
POZNÁMKA: Pokud je protokol LDAP nakonfigurovaný pro službu Active Directory, nelze chování certifikátu požadavku TLS nastavit na nikdy.

Ověřte certifikát:

# authentication ldap ssl set tls_reqcert demand

“.tls_reqcert" nastaveno na "Demand". Certifikát serveru LDAP je ověřen.

  1. Resetujte chování certifikátu požadavku TLS pomocí "authentication ldap ssl reset tls_reqcert" příkaz.

Výchozí chování je demand:

# authentication ldap ssl reset tls_reqcert

“.tls_reqcert" byla nastavena na "poptávka". Certifikát serveru LDAP se ověřuje pomocí importovaného certifikátu certifikační autority. Použijte "adminaccess" CLI pro import certifikátu CA.

Správa certifikátů certifikační autority pro protokol LDAP.

Certifikáty můžete importovat nebo odstranit a zobrazit aktuální informace o certifikátu.

Schody

  1. Importujte certifikát certifikační autority pro ověření certifikátu serveru LDAP pomocí "adminaccess certificate import" příkaz.

Zadejte protokol LDAP pro aplikaci certifikační autority:

# adminaccess certificate import {host application {all | aws-federal | ddboost | https | keysecure | dsm | ciphertrust | gklm | } | ca application {all | cloud | ddboost | ldap | login-auth | keysecure | dsm | rsa-securid | ciphertrust | gklm | }} [file ]
  1. Odstraňte certifikát certifikační autority pro ověření certifikátu serveru LDAP pomocí příkazu "adminaccess" příkaz pro odstranění certifikátu. Zadejte protokol LDAP pro aplikaci:
# adminaccess certificate delete {subject | fingerprint } [application {all | aws-federal | cloud | ddboost | ldap | login-auth | https | keysecure | dsm | ciphertrust | gklm | support | }]
  1. Zobrazte aktuální informace o certifikátu CA pro ověření certifikátu serveru LDAP pomocí "adminaccess certificate show“:
# adminaccess certificate show imported-ca application ldap

Additional Information

Porty pro službu Active Directory

Port Protokol Konfigurovatelný port Popis
53 TCP/UDP Otevřený DNS (pokud služba AD slouží také jako DNS)
88 TCP/UDP Otevřený Kerberos
139 TCP Otevřený NetBIOS – NetLogon
389 TCP/UDP Otevřený LDAP
445 TCP/UDP Ne Ověřování uživatele a další komunikace se službou AD
3268 TCP Otevřený Dotazy na globální katalog
636 TCP  Otevřený  LDAPS - zabezpečený protokol LDAP přes SSL/TLS
3269 TCP Otevřený  LDAPS (LDAP přes SSL) do globálního katalogu – používá se pro zabezpečené dotazy na adresáře napříč doménami v doménové struktuře.

LDAP

Pokud jsou povoleny standardy FIPS (Federal Information Processing Standards), klient LDAP, který běží v systému nebo DDVE, musí používat protokol TLS.

# authentication ldap ssl enable method start_tls Otherwise, enabling FIPS compliance mode fails.

Při nové instalaci a upgradu nejsou šifry LDAP SSL explicitně nastaveny.
Pokud je povolený režim dodržování předpisů FIPS, šifry LDAP SSL jsou nastaveny na následující:

  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES256-SHA384
  • DHE-RSA-AES256-GCM-SHA384
  • DHE-RSA-AES256-SHA256
  • AES256-GCM-SHA384
  • AES256-SHA256
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-SHA256
  • DHE-RSA-AES128-GCM-SHA256
  • DHE-RSA-AES128-SHA256
  • AES128-GCM-SHA256
  • AES128-SHA256

Nakonfigurovaný seznam šifer by měl být: ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128- SHA256

Pokud je FIPS zakázaný, je nastavený na "", prázdný řetězec.

Použití ověřovacího serveru k ověření uživatelů před udělením přístupu pro správu.

Systém DD podporuje více protokolů názvových serverů, například LDAP, NIS a AD. Systém DD doporučuje používat protokol OpenLDAP s povoleným standardem FIPS. Systém DD spravuje pouze místní účty. Systém DD doporučuje ke konfiguraci protokolu LDAP použít uživatelské rozhraní nebo rozhraní příkazového řádku.

  • UI: Administrativa >Přístup >Autentizace
  • Rozhraní příkazového řádku: Příkazy LDAP pro ověřování

Službu Active Directory je také možné nakonfigurovat pro přihlašování uživatelů s povoleným standardem FIPS. Tato konfigurace však již nepodporuje přístup k datům CIFS s uživateli AD.

Protokol LDAP pro mapování ID systému souborů NFS (Network File System)

Systémy Data Domain a PowerProtect mohou používat protokol LDAP pro mapování ID systému NFSv4 a protokol NFSv3 nebo NFSv4 Kerberos s protokolem LDAP. Uživatel může také nakonfigurovat zabezpečený protokol LDAP pomocí LDAPS nebo "start_TLS" metodu. Ověřování klienta LDAP může používat rozlišující název vazby nebo PW vazby, ale systémy nepodporují ověřování klienta LDAP založené na certifikátech.


POZNÁMKA: Místní ID uživatele začíná číslem 500. Při nastavování protokolu LDAP nelze použít podobný rozsah ID uživatele (500–1000) nebo dojde ke kolizi ID uživatele. Dojde-li ke kolizi ID uživatele, budou soubory vlastněné uživatelem služby LDAP s názvem přístupné ostatním uživatelům kvůli chybám konfigurace.

Affected Products

Data Domain
Article Properties
Article Number: 000204241
Article Type: How To
Last Modified: 29 Oct 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.