Data Domain : LDAP Guide

Les informations et les étapes décrites dans ce guide sont compatibles avec DD OS 7.9 et versions ultérieures

Affichage des informations d’authentification LDAP

Le volet LDAP Authentication affiche les paramètres de configuration LDAP et indique si l’authentification LDAP est activée ou désactivée.
L’activation de LDAP** vous permet d’utiliser un serveur ou un déploiement OpenLDAP existant pour **l’authentification utilisateur au niveau du système**, **le mappage ID NFSv4** et **NFSv3 ou NFSv4 Kerberos avec LDAP.

Escalier

1. Sélectionnez Administration > Accès > Authentification. La vue Authentification s’affiche.
2. Développez le panneau d’authentification LDAP.

Activation et désactivation de l’authentification LDAP Utilisez le panneau d’authentification LDAP pour activer, désactiver ou réinitialiser l’authentification LDAP.

Étapes

1. Sélectionnez Administration > Accès > Authentification. La vue Authentification s’affiche.
2. Développez le volet LDAP authentication.
3. Cliquez sur Enable en regard de LDAP Status pour activer ou Disable pour désactiver l’authentification LDAP.
   La boîte de dialogue Enable or Disable LDAP authentication s’affiche.
4. Cliquez sur OK.

Réinitialisation de l’authentification LDAP.

Le bouton Reset désactive l’authentification LDAP et efface les informations de configuration LDAP.

Configuration de l’authentification LDAP

Utilisez le panneau d’authentification LDAP pour configurer l’authentification LDAP.

Escalier

1. Sélectionnez Administration > Accès > Authentification. La vue Authentification s’affiche.
2. Développez le panneau d’authentification LDAP.
3. Cliquez sur Configurer. La boîte de dialogue Configure LDAP Authentication s’affiche.
4. Spécifiez le suffixe de base dans le champ Base Suffix.
5. Spécifiez le nom du compte à associer au serveur LDAP dans le champ Bind DN.
6. Spécifiez le mot de passe du compte DN de liaison dans le champ Mot de passe de liaison.
7. Vous pouvez également sélectionner Enable SSL.
8. Vous pouvez également sélectionner Certificat de serveur à la demande pour obliger le système de protection à importer un certificat d’autorité de certification à partir du serveur LDAP.
9. Cliquez sur OK.
10. Si nécessaire ultérieurement, cliquez sur Réinitialiser pour rétablir la configuration LDAP à ses valeurs par défaut.

Spécification des serveurs d’authentification LDAP

Pourquoi et quand exécuter cette tâche
Utilisez le volet LDAP authentication pour spécifier les serveurs d’authentification LDAP.
Conditions préalables : l’authentification LDAP doit être désactivée avant de configurer un serveur LDAP.
 

Étapes

1. Sélectionnez Administration > Accès > Authentification. La vue Authentification s’affiche.
2. Développez le volet LDAP authentication.
3. Cliquez sur le bouton + pour ajouter un serveur.
4. Spécifiez le serveur LDAP dans l’un des formats suivants :
   • Adresse IPv4 : nn.nn.nn.nn
   • Adresse IPv6 : [FF::XXXX:XXXX:XXXX:XXXX]
   • Nom d’hôte : myldapserver.FQDN
5. Cliquez sur OK.

Configuration des groupes LDAP

Utilisez le panneau d’authentification LDAP pour configurer les groupes LDAP.

Pourquoi et quand exécuter cette tâche
La configuration du groupe LDAP s’applique uniquement lors de l’utilisation de LDAP pour l’authentification des utilisateurs sur le système de protection.

Escalier

1. Sélectionnez Administration > Accès > Authentification. La vue Authentification s’affiche.
2. Développez le volet LDAP authentication.
3. Configurez les groupes LDAP dans le tableau LDAP Group.
   • Pour ajouter un groupe LDAP, cliquez sur le bouton Add (+), saisissez le nom et le rôle du groupe LDAP, puis cliquez sur OK.
   • Pour modifier un groupe LDAP, cochez la case correspondant au nom du groupe dans la liste LDAP group, puis cliquez sur Edit (crayon). Modifiez le nom du groupe LDAP, puis cliquez sur OK.
   • Pour supprimer un groupe LDAP, sélectionnez-le dans la liste, puis cliquez sur Delete (X).

Utilisation de la CLI pour configurer l’authentification LDAP.

L’activation de LDAP** vous permet de **configurer un serveur ou un déploiement OpenLDAP existant** pour **l’authentification utilisateur au niveau du système**, **le mappage ID NFSv4** et **NFSv3 ou NFSv4 Kerberos avec LDAP.

Cela ne peut pas être configuré si l’authentification LDAP est déjà configurée pour Active Directory.

Configuration de l’authentification LDAP pour Active Directory

DDOS prend en charge l’utilisation de l’authentification LDAP pour Active Directory.
L’authentification LDAP avec Active Directory** limite l’accès aux données CIFS pour les utilisateurs et les groupes Active Directory, autorisant uniquement les utilisateurs locaux à accéder aux partages CIFS sur le système.
Seules les connexions via l’interface de ligne de commande et l’interface utilisateur sont autorisées pour les utilisateurs Active Directory avec cette configuration.

Conditions préalables
Assurez-vous que l’environnement répond aux exigences suivantes pour configurer l’authentification LDAP pour Active Directory :

• TLS/SSL est activé pour la communication LDAP.
• Les utilisateurs Active Directory qui accèdent au système de protection doivent disposer d’un UID et d’un GID valides.
• Les groupes Active Directory qui accèdent au système de protection doivent disposer d’un GID valide.

Les limitations suivantes s’appliquent à LDAP pour Active Directory :

• Microsoft Active Directory est le seul fournisseur Active Directory pris en charge.
• Active Directory Lightweight Directory Services (LDS) n’est pas pris en charge.
• Schéma natif Active Directory pour uidNumber et gidNumber population est le seul schéma pris en charge. Les outils tiers intégrés à Active Directory ne sont pas pris en charge.

Pourquoi et quand exécuter cette tâche
L’authentification LDAP pour Active Directory ne peut pas être utilisée avec l’authentification Active Directory ou Kerberos pour CIFS.
La CLI est le seul moyen de configurer cette option.

Escalier
Exécutez la commande d’authentification LDAP base set base name type active-directory pour activer l’authentification LDAP pour Active Directory.

# authentication ldap base set "dc=anvil,dc=team" type active-directory

Configurer les serveurs LDAP.

Vous pouvez configurer un ou plusieurs serveurs LDAP simultanément. Configurez les serveurs à partir du site le plus proche du système de protection pour une latence minimale.

À propos de cette tâche

Spécifiez le serveur LDAP dans l’un des formats suivants :

• IPv4 address—10.<A>.<B>.<C>
• IPv4 address with port number—10.<A>.<B>.<C>:400
• IPv6 address—[::ffff:9.53.96.21]
• IPv6 address with port number—[::ffff:9.53.96.21]:400
• Hostname—myldapserver
• Hostname with port number—myldapserver:400

Lors de la configuration de plusieurs serveurs :

• Séparez chaque serveur par un espace.
• Le premier serveur répertorié lors de l’utilisation de la commande d’authentification LDAP servers add devient le serveur primaire.
• Si l’un des serveurs ne peut pas être configuré, la commande échoue pour tous les serveurs répertoriés.

Étapes

1. Ajoutez un ou plusieurs serveurs LDAP à l’aide de la commande «authentication ldap servers add» :

# authentication ldap servers add 10.A.B.C 10.X.Y.Z:400
LDAP server(s) added
LDAP Server(s): 2
# IP Address/Hostname
--- ---------------------
1. 10.A.B.C (primary)
2. 10.X.Y.Z:400
--- ---------------------

2. Supprimez un ou plusieurs serveurs LDAP à l’aide de la commande «authentication ldapservers del» :

# authentication ldap servers del 10.X.Y.Z:400
LDAP server(s) deleted.
LDAP Servers: 1
# Server
- ------------ ---------
1 10.A.B.C (primary)
- ------------ ---------
3. Remove all LDAP servers by using the authentication ldap servers reset command:
# authentication ldap servers reset
LDAP server list reset to empty.

Configurez le suffixe de base LDAP.
Le suffixe de base est le nom unique de base pour la recherche, dans lequel l’annuaire LDAP commence la recherche.

Pourquoi et quand exécuter cette tâche
Définissez le suffixe de base pour OpenLDAP ou Active Directory.

La connexion de l’utilisateur est autorisée à partir du domaine Active Directory principal uniquement. Les utilisateurs et groupes des domaines Active Directory de confiance ne sont pas pris en charge.
Définissez le suffixe de base pour OpenLDAP.

Escalier
Définissez le suffixe de base LDAP à l’aide de l’option "authentication ldap base set» :

# authentication ldap base set "dc=anvil,dc=team"

LDAP base-suffix set to "dc=anvil,dc=team".

Étapes

1. Définissez le suffixe de base LDAP à l’aide de l’option "authentication ldap base set» :

# authentication ldap base set "dc=anvil,dc=team" type active-directory

LDAP base-suffix set to "dc=anvil,dc=team".

# authentication ldap groups add dd-admins role admin
LDAP Group Role
---------- -----
dd-admins admin
---------- -----
Reset the LDAP base suffix

Escalier
Réinitialisez le suffixe de base LDAP à l’aide de la commande «authentication ldap base reset» :

# authentication ldap base reset

Suffixe de base LDAP réinitialisé sur une valeur vide.

Configurez l’authentification client LDAP.
Configurez le compte (Bind DN) et le mot de passe (Bind PW) utilisés pour s’authentifier auprès du serveur LDAP et effectuer des requêtes.

Pourquoi et quand exécuter cette tâche
Vous devez toujours configurer le nom unique de liaison et le mot de passe. Dans ce processus, les serveurs LDAP nécessitent des liaisons authentifiées par défaut. Si la demande client-auth n’est pas défini, un accès anonyme est demandé, sans nom ni mot de passe.

La sortie de "authentication ldap show" est la suivante :

# authentication ldap show

LDAP configuration
 Enabled: yes (*)
 Base-suffix: dc=u2,dc=team
 Binddn: (anonymous)
 Server(s): 1
# Server
- ------------- ---------
1 10.207.86.160 (primary)
- ------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

(*) Nécessite un redémarrage du système de fichiers pour que la configuration prenne effet.

Si binddn est défini à l’aide de client-auth CLI, mais bindpw n’est pas fourni, un accès non authentifié est demandé.

# authentication ldap client-auth set binddn "cn=Manager,dc=u2,dc=team"

Entrée bindpw:
** Bindpw n’est pas fournie. Un accès non authentifié est demandé.
Authentification client LDAP binddn Réglez sur "cn=Manager,dc=u2,dc=team".

Escalier

1. Définissez le nom unique de liaison et le mot de passe à l’aide de la commande "authentication ldap client-auth set binddn» :

# authentication ldap client-auth set binddn "cn=Administrator,cn=Users,dc=anvil,dc=team"

Entrée bindpw:
authentification client LDAP binddn est défini sur :
"cn=Administrator,cn=Users,dc=anvil,dc=team»

2. Réinitialisez le nom unique de liaison et le mot de passe à l’aide de la commande «authentication ldap client-auth reset» :

# authentication ldap client-auth reset

La configuration de l’authentification client LDAP a été réinitialisée sur une valeur vide.

Activez LDAP.

Conditions préalables
Une configuration LDAP doit exister avant l’activation de LDAP.
En outre, vous devez désactiver NIS, vous assurer que le serveur LDAP est accessible et être en mesure d’interroger le DSE racine du serveur LDAP.

Escalier

1. Activez LDAP à l’aide de la commande «authentication ldap enable» :

# authentication ldap enable

Les détails de la configuration LDAP s’affichent pour que vous les confirmiez avant de continuer. Pour continuer, saisissez Yes et redémarrez le système de fichiers pour que la configuration LDAP prenne effet.

Affichez la configuration LDAP actuelle à l’aide de l’icône "authentication ldap show» :

# authentication ldap show
LDAP configuration
 Enabled: no
 Base-suffix: dc=anvil,dc=team
 Binddn: cn=Administrator,cn=Users,dc=anvil,dc=team
 Server(s): 2
# Server
- ---------------- ---------
1 10.26.16.250 (primary)
2 10.26.16.251:400
- ---------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

Les détails de configuration LDAP de base et LDAP sécurisé s’affichent.

3. View the current LDAP status by using the authentication ldap status command:
# authentication ldap status
The LDAP status is displayed. If the LDAP status is not good, the problem is identified in the output.
For example:
# authentication ldap status
Status:invalid credentials
or
# authentication ldap status
Status: invalid DN syntax
4. Disable LDAP by using the authentication ldap disable command:
# authentication ldap disable LDAP is disabled.

Activez le LDAP sécurisé.

Vous pouvez configurer la DDR pour utiliser le protocole LDAP sécurisé en activant SSL.
Pour LDAP pour Active Directory, configurez LDAP sécurisé avec des options SSL/TLS.
Conditions préalables : s’il n’existe aucun certificat d’autorité de certification LDAP et tls_reqcert est défini sur demande, l’opération échoue.
Importez un certificat d’autorité de certification LDAP et réessayez. Si la demande tls_reqcert est défini sur Never, un certificat d’autorité de certification LDAP n’est pas requis.

Escalier

1. Activez SSL à l’aide de la commande «authentication ldap ssl enable» :

# authentication ldap ssl enable

LDAP sécurisé est activé avec le message «ldaps" méthode.

La méthode par défaut est LDAP sécurisé ou LDAP. Vous pouvez spécifier d’autres méthodes, telles que TLS :

# authentication ldap ssl enable method start_tls

LDAP sécurisé est activé avec le message «start_tls" méthode.

2. Désactivez SSL à l’aide de la commande «authentication ldap ssl disable» :

# authentication ldap ssl disable Secure LDAP is disabled.

Configurez la vérification des certificats du serveur LDAP avec les certificats d’autorité de certification importés.

Vous pouvez modifier le comportement du certificat de demande TLS.

Escalier

1. Modifiez le comportement du certificat de demande TLS à l’aide de la commande «authentication ldap ssl set tls_reqcert" commande.

Ne vérifiez pas le certificat :

# authentication ldap ssl set tls_reqcert never “tls_reqcert” set to "never".

Le certificat du serveur LDAP n’est pas vérifié.

Vérifiez le certificat :

# authentication ldap ssl set tls_reqcert demand

»tls_reqcert« défini sur « Demande ». Le certificat du serveur LDAP est vérifié.

2. Réinitialisez le comportement du certificat de demande TLS à l’aide de la commande «authentication ldap ssl reset tls_reqcert" commande.

Le comportement par défaut est demand :

# authentication ldap ssl reset tls_reqcert

»tls_reqcert« a été défini sur « demande ». Le certificat du serveur LDAP est vérifié à l’aide d’un certificat d’autorité de certification importé. Utilisez "adminaccess» CLI permettant d’importer le certificat de l’autorité de certification.

Gérer les certificats d’autorité de certification pour LDAP.

Vous pouvez importer ou supprimer des certificats et afficher les informations sur le certificat actuel.

Escalier

1. Importez un certificat d’autorité de certification pour la vérification du certificat du serveur LDAP à l’aide de la commande «adminaccess certificate import" commande.

Spécifiez LDAP pour l’application CA :

# adminaccess certificate import {host application {all | aws-federal | ddboost | https | keysecure | dsm | ciphertrust | gklm | } | ca application {all | cloud | ddboost | ldap | login-auth | keysecure | dsm | rsa-securid | ciphertrust | gklm | }} [file ]

2. Supprimez un certificat d’autorité de certification pour la vérification du certificat du serveur LDAP à l’aide de la commande «adminaccess" commande de suppression du certificat. Spécifiez LDAP pour l’application :

# adminaccess certificate delete {subject | fingerprint } [application {all | aws-federal | cloud | ddboost | ldap | login-auth | https | keysecure | dsm | ciphertrust | gklm | support | }]

3. Affichez les informations actuelles du certificat d’autorité de certification pour la vérification du certificat du serveur LDAP à l’aide de l’icône "adminaccess certificate show» :

# adminaccess certificate show imported-ca application ldap

Ports pour Active Directory

LDAP

Lorsque les normes FIPS (Federal Information Processing Standards) sont activées, le client LDAP qui s’exécute sur un système ou DDVE doit utiliser TLS.

# authentication ldap ssl enable method start_tls Otherwise, enabling FIPS compliance mode fails.

Lors d’une nouvelle installation et d’une mise à niveau, les chiffrements SSL LDAP ne sont pas explicitement définis.
Lorsque le mode de conformité FIPS est activé, les chiffrements SSL LDAP sont définis comme suit :

• ECDHE-RSA-AES256-GCM-SHA384
• ECDHE-RSA-AES256-SHA384
• DHE-RSA-AES256-GCM-SHA384
• DHE-RSA-AES256-SHA256
• AES256-GCM-SHA384
• AES256-SHA256
• ECDHE-RSA-AES128-GCM-SHA256
• ECDHE-RSA-AES128-SHA256
• DHE-RSA-AES128-GCM-SHA256
• DHE-RSA-AES128-SHA256
• AES128-GCM-SHA256
• AES128-SHA256

La liste de chiffrement configurée doit être la suivante : ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128- SHA256

Lorsque FIPS est désactivé, il est défini sur « », une chaîne vide.

LDAP pour le mappage d’ID NFS (Network File System)

Les systèmes Data Domain et PowerProtect peuvent utiliser LDAP pour le mappage d’ID NFSv4 et Kerberos NFSv3 ou NFSv4 avec LDAP. L’utilisateur peut également configurer LDAP sécurisé avec LDAPS ou «start_TLS" méthode. L’authentification client LDAP peut utiliser Bind DN ou Bind PW, mais les systèmes ne prennent pas en charge l’authentification client LDAP par certificat.