Data Domain: Guía de LDAP

Summary: Autenticación de protocolo ligero de acceso a directorios (LDAP): Los sistemas Data Domain y PowerProtect pueden utilizar la autenticación LDAP para los usuarios que inician sesión a través de la CLI o la interfaz de usuario. Los servidores LDAP compatibles son OpenLDAP, Oracle y Microsoft Active Directory. Sin embargo, cuando Active Directory está configurado en este modo, se deshabilita el acceso a datos del sistema de archivos de Internet común (CIFS) para los usuarios y grupos de Active Directory. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

La información y los pasos de esta guía funcionan con DD OS 7.9 y versiones posteriores


Visualización de la información de autenticación de LDAP

El panel Autenticación de LDAP muestra los parámetros de configuración de LDAP y si la autenticación de LDAP está habilitada o deshabilitada.
La habilitación de LDAP** le permite usar un servidor OpenLDAP existente o una implementación para **autenticación de usuario en el nivel del sistema**, **mapeo de ID de NFSv4** y **Kerberos de NFSv3 o NFSv4 con LDAP.

Pasos

  1. Seleccione Administration > Access > Authentication. Aparecerá la vista Autenticación.
  2. Expanda el panel de autenticación LDAP.

Habilitar y deshabilitar la autenticación LDAP Utilice el panel de autenticación LDAP para habilitar, deshabilitar o restablecer la autenticación LDAP.

 

NOTA: Debe existir un servidor LDAP antes de habilitar la autenticación LDAP.


Pasos

  1. Seleccione Administration > Access > Authentication. Aparecerá la vista Autenticación.
  2. Expanda el panel de autenticación de LDAP.
  3. Haga clic en Enable junto a LDAP Status para habilitar o Disable para deshabilitar la autenticación de LDAP.
    Aparecerá el cuadro de diálogo Enable o Disable LDAP authentication.
  4. Haga clic en Aceptar.

Restablecimiento de la autenticación LDAP.

El botón Reset deshabilita la autenticación de LDAP y borra la información de configuración de LDAP.

Configuración de la autenticación de LDAP

Utilice el panel de autenticación LDAP para configurar la autenticación LDAP.

Pasos

  1. Seleccione Administration > Access > Authentication. Aparecerá la vista Autenticación.
  2. Expanda el panel de autenticación LDAP.
  3. Haga clic en Configurar. Aparecerá el cuadro de diálogo Configure LDAP Authentication.
  4. Especifique el sufijo base en el campo Base Suffix.
  5. Especifique el nombre de la cuenta que se asociará con el servidor LDAP en el campo Bind DN.
  6. Especifique la contraseña para la cuenta Bind DN en el campo Bind Password.
  7. Opcionalmente, seleccione Enable SSL.
  8. De manera opcional, seleccione Demand server certificate para exigir que el sistema de protección importe un certificado de CA desde el servidor LDAP.
  9. Haga clic en Aceptar.
  10. Si es necesario más adelante, haga clic en Reset para devolver la configuración de LDAP a sus valores predeterminados.

Especificación de servidores de autenticación de LDAP

Acerca de esta tarea
Utilice el panel de autenticación de LDAP para especificar servidores de autenticación de LDAP.
Requisitos previos: la autenticación LDAP debe estar deshabilitada antes de configurar un servidor LDAP.
 

NOTA: El rendimiento de Data Domain System Manager (DDSM) cuando se inicia sesión con LDAP disminuye a medida que aumenta la cantidad de saltos entre el sistema y el servidor LDAP.

 

Pasos

  1. Seleccione Administration > Access > Authentication. Aparecerá la vista Autenticación.
  2. Expanda el panel de autenticación de LDAP.
  3. Haga clic en el botón + para agregar un servidor.
  4. Especifique el servidor LDAP en uno de los siguientes formatos:
    • Dirección IPv4: nn.nn.nn.nn
    • Dirección IPv6: [FF::XXXX:XXXX:XXXX:XXXX]
    • Nombre del host: myldapserver.FQDN
  5. Haga clic en Aceptar.

Configuración de grupos de LDAP

Utilice el panel de autenticación de LDAP para configurar grupos de LDAP.

Acerca de esta tarea
La configuración del grupo de LDAP solo se aplica cuando se utiliza LDAP para la autenticación de usuarios en el sistema de protección.

Pasos

  1. Seleccione Administration > Access > Authentication. Aparecerá la vista Autenticación.
  2. Expanda el panel de autenticación de LDAP.
  3. Configure los grupos de LDAP en la tabla de grupos de LDAP.
    • Para agregar un grupo de LDAP, haga clic en el botón Add (+), ingrese el nombre y la función del grupo de LDAP y haga clic en OK.
    • Para modificar un grupo de LDAP, seleccione la casilla de verificación del nombre del grupo en la lista LDAP group y haga clic en Edit (lápiz). Cambie el nombre del grupo de LDAP y haga clic en OK.
    • Para eliminar un grupo de LDAP, seleccione el grupo de LDAP en la lista y haga clic en Delete (X).

Uso de la CLI para configurar la autenticación de LDAP.

La habilitación de LDAP** le permite **configurar un servidor OpenLDAP o una implementación existentes** para **autenticación de usuario en el nivel del sistema**, **mapeo de ID de NFSv4** y **Kerberos de NFSv3 o NFSv4 con LDAP.

Esto no se puede configurar si la autenticación de LDAP ya está configurada para Active Directory.

Configuración de la autenticación de LDAP para Active Directory

DDOS admite el uso de la autenticación LDAP para Active Directory.
La autenticación LDAP con Active Directory** restringe el acceso a datos de CIFS para los usuarios y grupos de Active Directory, permitiendo que solo los usuarios locales accedan a los recursos compartidos de CIFS en el sistema.
Solo se permiten inicios de sesión en la CLI y la interfaz de usuario para los usuarios de Active Directory con esta configuración.

Prerrequisitos
Asegúrese de que el ambiente cumpla con los siguientes requisitos para configurar la autenticación de LDAP para Active Directory:

  • TLS/SSL está habilitado para la comunicación LDAP.
  • Los usuarios de Active Directory que accedan al sistema de protección deben tener números válidos de UID y GID.
  • Los grupos de Active Directory que accedan al sistema de protección deben tener un número de GID válido.
NOTA:
  • Especifique el valor username en el formato <username>, sin especificar un nombre de dominio.
  • Especifique el valor groupname en el formato <groupname>, sin especificar un nombre de dominio.
  • Los nombres de usuario y grupo no distinguen mayúsculas de minúsculas.

Las siguientes limitaciones se aplican a LDAP para Active Directory:

  • Microsoft Active Directory es el único proveedor de Active Directory compatible.
  • Active Directory Lightweight Directory Services (LDS) no es compatible.
  • El esquema nativo de Active Directory para uidNumber y gidNumber Population es el único esquema compatible. No hay compatibilidad con herramientas de otros fabricantes integradas en Active Directory.

Acerca de esta tarea
La autenticación de LDAP para Active Directory no se puede utilizar con la autenticación de Active Directory o Kerberos para CIFS.
La CLI es la única manera de configurar esta opción.

Pasos
Ejecute el comando de autenticación tipo de nombre base del conjunto base LDAP de Active Directory a fin de habilitar la autenticación LDAP para Active Directory.


NOTA: El comando falla si la autenticación de CIFS ya está configurada como Active Directory. 
# authentication ldap base set "dc=anvil,dc=team" type active-directory


Configurar servidores LDAP.

Puede configurar uno o más servidores LDAP de forma simultánea. Configure los servidores desde el sitio más cercano al sistema de protección para minimizar la latencia.

Acerca de esta tarea


NOTA: LDAP debe estar deshabilitado cuando se cambia la configuración.
 

Especifique el servidor LDAP en uno de los siguientes formatos:

  • IPv4 address—10.<A>.<B>.<C>
  • IPv4 address with port number—10.<A>.<B>.<C>:400
  • IPv6 address—[::ffff:9.53.96.21]
  • IPv6 address with port number—[::ffff:9.53.96.21]:400
  • Hostname—myldapserver
  • Hostname with port number—myldapserver:400

Cuando configure varios servidores:

  • Separe cada servidor con un espacio.
  • El primer servidor que aparece en la lista cuando se utiliza el comando authentication LDAP servers add se convierte en el servidor principal.
  • Si alguno de los servidores no se puede configurar, el comando falla para todos los servidores enumerados.

Pasos

  1. Agregue uno o más servidores LDAP mediante el comando "authentication ldap servers add”:
# authentication ldap servers add 10.A.B.C 10.X.Y.Z:400
LDAP server(s) added
LDAP Server(s): 2
# IP Address/Hostname
--- ---------------------
1. 10.A.B.C (primary)
2. 10.X.Y.Z:400
--- ---------------------
  1. Elimine uno o más servidores LDAP mediante el comando "authentication ldapservers del”:
# authentication ldap servers del 10.X.Y.Z:400
LDAP server(s) deleted.
LDAP Servers: 1
# Server
- ------------ ---------
1 10.A.B.C (primary)
- ------------ ---------
3. Remove all LDAP servers by using the authentication ldap servers reset command:
# authentication ldap servers reset
LDAP server list reset to empty.

Configure el sufijo base de LDAP.
El sufijo base es el DN base para la búsqueda y es donde comienza a buscar el directorio LDAP.

Acerca de esta tarea
Establezca el sufijo base para OpenLDAP o Active Directory.


NOTA: El sufijo base no se puede establecer para OpenLDAP y Active Directory.


El inicio de sesión del usuario solo se permite desde el dominio principal de Active Directory. Los usuarios y grupos de dominios de Active Directory de confianza no son compatibles.
Establezca el sufijo base para OpenLDAP.

Pasos
Configure el sufijo base de LDAP mediante el comando "authentication ldap base set”:

# authentication ldap base set "dc=anvil,dc=team"
LDAP base-suffix set to "dc=anvil,dc=team".

Pasos

  1. Configure el sufijo base de LDAP mediante el comando "authentication ldap base set”:
# authentication ldap base set "dc=anvil,dc=team" type active-directory
LDAP base-suffix set to "dc=anvil,dc=team".

NOTA: En este ejemplo, todos los usuarios de la carpeta dd-admins LDAP group Tener privilegios administrativos en el sistema de protección. 
# authentication ldap groups add dd-admins role admin
LDAP Group Role
---------- -----
dd-admins admin
---------- -----
Reset the LDAP base suffix

Pasos
Restablezca el sufijo base de LDAP mediante el comando "authentication ldap base reset”:

# authentication ldap base reset

El sufijo base de LDAP se restableció en vacío.

Configurar la autenticación del cliente LDAP.
Configure la cuenta (Bind DN) y la contraseña (Bind PW) que se utilizan para autenticarse con el servidor LDAP y realizar consultas.

Acerca de esta tarea
Siempre debe configurar el DN y la contraseña de enlace. En el proceso, los servidores LDAP requieren enlaces autenticados de manera predeterminada. Si la solicitud en client-auth no está configurado, se solicita acceso anónimo y no se proporciona ningún nombre ni contraseña.

La salida de "authentication ldap show" es el siguiente:

# authentication ldap show

LDAP configuration
 Enabled: yes (*)
 Base-suffix: dc=u2,dc=team
 Binddn: (anonymous)
 Server(s): 1
# Server
- ------------- ---------
1 10.207.86.160 (primary)
- ------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

(*) Requiere un reinicio del sistema de archivos para que la configuración surta efecto.

Si binddn se establece mediante client-auth CLI, pero bindpw no se proporciona, se solicita acceso no autenticado.

# authentication ldap client-auth set binddn "cn=Manager,dc=u2,dc=team"

Intro bindpw:
** Bindpw no se proporciona. Se solicitará acceso no autenticado.
Autenticación de cliente LDAP binddn Establézcalo en "cn=Manager,dc=u2,dc=team".

Pasos

  1. Configure el DN de enlace y la contraseña mediante "authentication ldap client-auth set binddn”:
# authentication ldap client-auth set binddn "cn=Administrator,cn=Users,dc=anvil,dc=team"

Intro bindpw:
Autenticación del cliente LDAP binddn se establece en:
"cn=Administrator,cn=Users,dc=anvil,dc=team

  1. Restablezca el DN y la contraseña de vinculación mediante el comando "authentication ldap client-auth reset”:
# authentication ldap client-auth reset

La configuración de autenticación del cliente LDAP se restableció en vacío.

Habilite LDAP.

Prerrequisitos
Debe existir una configuración de LDAP antes de habilitar LDAP.
Además, debe deshabilitar NIS, asegurarse de que se pueda acceder al servidor LDAP y poder consultar el DSE raíz del servidor LDAP.

Pasos

  1. Habilite LDAP mediante el uso de "authentication ldap enable”:
# authentication ldap enable

Los detalles de la configuración LDAP se muestran para que los confirme antes de continuar. Para continuar, escriba Yes y reinicie el sistema de archivos para que la configuración de LDAP surta efecto.

Vea la configuración actual de LDAP mediante el comando "authentication ldap show”:


NOTA: Si el sistema está configurado para utilizar LDAP para Active Directory, el resultado del comando incluye un campo Server Type para indicar que está conectado a un servidor de Active Directory. 
# authentication ldap show
LDAP configuration
 Enabled: no
 Base-suffix: dc=anvil,dc=team
 Binddn: cn=Administrator,cn=Users,dc=anvil,dc=team
 Server(s): 2
# Server
- ---------------- ---------
1 10.26.16.250 (primary)
2 10.26.16.251:400
- ---------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

Se muestran los detalles de configuración de LDAP básico y LDAP seguro.

3. View the current LDAP status by using the authentication ldap status command:
# authentication ldap status
The LDAP status is displayed. If the LDAP status is not good, the problem is identified in the output.
For example:
# authentication ldap status
Status:invalid credentials
or
# authentication ldap status
Status: invalid DN syntax
4. Disable LDAP by using the authentication ldap disable command:
# authentication ldap disable LDAP is disabled.

Habilite LDAP seguro.

Puede configurar DDR para usar LDAP seguro mediante la habilitación de SSL.
En el caso de LDAP para Active Directory, configure LDAP seguro con opciones de SSL/TLS.
Requisitos: si no hay un certificado de CA de LDAP y tls_reqcert está configurado en demanda, la operación falla.
Importe un certificado de CA de LDAP y vuelva a intentarlo. Si la solicitud en tls_reqcert está configurado en nunca, no se requiere un certificado de CA de LDAP.

Pasos

  1. Habilite SSL mediante el comando "authentication ldap ssl enable”:
# authentication ldap ssl enable

LDAP seguro está habilitado con la opción "ldaps" método.

El método predeterminado es LDAP seguro o LDAP. Puede especificar otros métodos, como TLS:

# authentication ldap ssl enable method start_tls

LDAP seguro está habilitado con la opción "start_tls" método.

  1. Deshabilite SSL mediante el comando "authentication ldap ssl disable”:
# authentication ldap ssl disable Secure LDAP is disabled.

Configure la verificación del certificado del servidor LDAP con certificados de CA importados.

Puede cambiar el comportamiento del certificado de solicitud de TLS.

Pasos

  1. Cambie el comportamiento del certificado de solicitud de TLS mediante el uso de "authentication ldap ssl set tls_reqcert" comando.

No verifique el certificado:

# authentication ldap ssl set tls_reqcert never “tls_reqcert” set to "never".

No se verificó el certificado del servidor LDAP.

 
NOTA: Si LDAP está configurado para Active Directory, el comportamiento del certificado de solicitud de TLS no se puede configurar en nunca.

Verifique el certificado:

# authentication ldap ssl set tls_reqcert demand

tls_reqcert" configurado en "demanda". Se verificó el certificado del servidor LDAP.

  1. Restablezca el comportamiento del certificado de solicitud de TLS mediante el comando "authentication ldap ssl reset tls_reqcert" comando.

El comportamiento predeterminado es demand:

# authentication ldap ssl reset tls_reqcert

tls_reqcert" se ha establecido en "demanda". El certificado del servidor LDAP se verifica con un certificado de CA importado. Utilice "adminaccess" CLI para importar el certificado de CA.

Administración de certificados de CA para LDAP.

Puede importar o eliminar certificados y mostrar la información actual del certificado.

Pasos

  1. Importe un certificado de CA para la verificación del certificado del servidor LDAP mediante el comando "adminaccess certificate import" comando.

Especifique LDAP para la aplicación de CA:

# adminaccess certificate import {host application {all | aws-federal | ddboost | https | keysecure | dsm | ciphertrust | gklm | } | ca application {all | cloud | ddboost | ldap | login-auth | keysecure | dsm | rsa-securid | ciphertrust | gklm | }} [file ]
  1. Elimine un certificado de CA para la verificación del certificado del servidor LDAP mediante el comando "adminaccess" comando de eliminación de certificados. Especifique LDAP para la aplicación:
# adminaccess certificate delete {subject | fingerprint } [application {all | aws-federal | cloud | ddboost | ldap | login-auth | https | keysecure | dsm | ciphertrust | gklm | support | }]
  1. Muestre la información del certificado de CA actual para la verificación del certificado del servidor LDAP mediante el comando "adminaccess certificate show”:
# adminaccess certificate show imported-ca application ldap

Additional Information

Puertos para Active Directory

Puerto Protocolo Puerto configurable Descripción
53 TCP/UDP Abrir DNS (si AD también corresponde al DNS)
88 TCP/UDP Abrir Kerberos
139 TCP Abrir NetBios: NetLogon
389 TCP/UDP Abrir LDAP
445 TCP/UDP No Autenticación de usuarios y otras comunicaciones con AD
3268 TCP Abrir Consultas del catálogo global
636 TCP  Abrir  LDAPS: LDAP seguro mediante SSL/TLS
3269 TCP Abrir  LDAPS (LDAP mediante SSL) al catálogo global: se utiliza para consultas de directorios seguros entre dominios de un bosque.

LDAP

Cuando los estándares federales de procesamiento de información (FIPS) están habilitados, el cliente LDAP que se ejecuta en un sistema o DDVE debe usar TLS.

# authentication ldap ssl enable method start_tls Otherwise, enabling FIPS compliance mode fails.

En una instalación y actualización nuevas, los cifrados SSL de LDAP no se establecen explícitamente.
Cuando el modo de cumplimiento normativo de FIPS está habilitado, los cifrados SSL de LDAP se configuran de la siguiente manera:

  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES256-SHA384
  • DHE-RSA-AES256-GCM-SHA384
  • DHE-RSA-AES256-SHA256
  • AES256-GCM-SHA384
  • AES256-SHA256
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-SHA256
  • DHE-RSA-AES128-GCM-SHA256
  • DHE-RSA-AES128-SHA256
  • AES128-GCM-SHA256
  • AES128-SHA256

La lista de cifrados configurada debe ser: ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128- SHA256

Cuando FIPS está deshabilitado, se configura en "", una cadena vacía.

Uso de un servidor de autenticación para autenticar usuarios antes de otorgar acceso administrativo.

DD es compatible con varios protocolos de servidor de nombres, como LDAP, NIS y AD. DD recomienda usar OpenLDAP con FIPS activado. DD administra solo cuentas locales. DD recomienda usar la interfaz de usuario o la CLI para configurar LDAP.

  • Interfaz de usuario: Administración >Acceso >Autenticación
  • CLI: Comandos LDAP de autenticación

Active Directory también se puede configurar para inicios de sesión de usuario con FIPS activado. Sin embargo, el acceso a datos de CIFS con usuarios de AD ya no soporta esa configuración.

LDAP para asignación de ID del sistema de archivos de red (NFS)

Los sistemas Data Domain y PowerProtect pueden usar LDAP para el mapeo de ID de NFSv4 y Kerberos NFSv3 o NFSv4 con LDAP. El usuario también puede configurar LDAP seguro con LDAPS o "start_TLS" método. La autenticación de cliente LDAP puede utilizar Bind DN o Bind PW, pero los sistemas no son compatibles con la autenticación de cliente LDAP basada en certificados.


NOTA: El ID de usuario local comienza con el número 500. Cuando se configura LDAP, no se puede utilizar un rango de ID de usuario similar (500-1000) o se produce una colisión de ID de usuario. Si hay una colisión de ID de usuario, los otros usuarios podrán acceder a los archivos que pertenecen a un usuario del servicio LDAP de nombre debido a errores de configuración.

Affected Products

Data Domain
Article Properties
Article Number: 000204241
Article Type: How To
Last Modified: 29 Oct 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.