Data Domain. Руководство по Active Directory
Summary: Данное руководство создано на основе действий из кода DDOS 7.9.
Instructions
Операционная среда Data Domain и PowerProtect обеспечивает безопасное администрирование с помощью DD System Manager по протоколу HTTPS или SSH для интерфейса командной строки. Любой из этих методов позволяет использовать локально определенных пользователей, пользователей службы сетевой информации (NIS), пользователей протокола LDAP (Lightweight Directory Access Protocol), пользователей домена Microsoft Active Directory (AD) и систему единого входа (SSO).
Системы Data Domain и PowerProtect могут использовать сквозную проверку подлинности Microsoft Active Directory для пользователей или серверов. Администраторы могут разрешать определенным доменам и группам пользователей доступ к файлам, хранящимся в системе. Рекомендуется настроить Kerberos. Кроме того, системы поддерживают Microsoft Windows NT LAN Manager NTLMv1 и NTLMv2. Однако NTLMv2 является более безопасным и предназначен для замены NTLMv1.
Просмотр информации о Active Directory и Kerberos
Конфигурация Active Directory/Kerberos определяет методы, которые клиенты CIFS и NFS используют для аутентификации.
Эта конфигурация отображается на панели проверки подлинности Active Directory/Kerberos.
Действия
- Выберите Администрирование >аутентификации доступа>.
- Разверните панель Проверка подлинности Active Directory/Kerberos.
Настройка Active Directory и аутентификации Kerberos
Настройка аутентификации Active Directory делает систему защиты частью области Windows Active Directory.
Клиенты CIFS и NFS используют проверку подлинности Kerberos.
Действия
- Выберите Administration > Access > Authentication. Отобразится представление Аутентификация.
- Разверните панель Проверка подлинности Active Directory/Kerberos .
- Нажмите Настроить рядом с пунктом Режим, чтобы запустить мастер настройки. Откроется диалоговое окно Проверка подлинности Active Directory/Kerberos .
- Выберите Windows/Active Directory и нажмите кнопку Далее.
- Введите полное имя области для системы (например, domain1.local), имя пользователя и пароль для системы.
- Нажмите Next.
- Выберите Имя сервера CIFS по умолчанию или выберите Вручную и введите имя сервера CIFS.
- Чтобы выбрать контроллеры домена, выберите Автоматически назначить или выберите Вручную и введите до трех имен контроллеров домена. Введите полные доменные имена, имена хостов или IP-адреса (IPv4 или IPv6).
- Чтобы выбрать организационное подразделение, выберите Использовать компьютеры по умолчанию или выберите Вручную и введите название подразделения.
- Нажмите Next. Отобразится страница Сводка для конфигурации.
- Нажмите Готово. Система отображает информацию о конфигурации в представлении Аутентификация.
- Нажмите кнопку Разрешить справа от пункта Административный доступ к Active Directory, чтобы включить административный доступ.
Выбор режима аутентификации
Выбор режима аутентификации определяет способ проверки подлинности клиентов CIFS и NFS с использованием поддерживаемых комбинаций проверки подлинности Active Directory, рабочей группы и проверки подлинности Kerberos.
Что касается этой задачи, DDOS поддерживает следующие параметры аутентификации.
- Нетрудоспособный: Проверка подлинности Kerberos отключена для клиентов CIFS и NFS. Клиенты CIFS используют проверку подлинности рабочих групп.
- Windows/Active Directory: Проверка подлинности Kerberos включена для клиентов CIFS и NFS. Клиенты CIFS используют проверку подлинности Active Directory.
- UNIX: Проверка подлинности Kerberos включена только для клиентов NFS. Клиенты CIFS используют проверку подлинности рабочих групп.
Управление административными группами для Active Directory
Используйте панель «Аутентификация Active Directory/Kerberos» для создания, изменения и удаления групп Active Directory (Windows) и назначения ролей управления (администратор, оператор резервного копирования и т. д.) для этих групп.
Чтобы подготовиться к управлению группами, выберите Аутентификациядоступа>с правами администратора>, разверните панель Проверка подлинности Active Directory/Kerberos и нажмите кнопку Разрешить административный доступ к Active Directory.
Создание административных групп для Active Directory
Создайте административную группу, чтобы назначить роль управления всем пользователям, включенным в группу Active Directory.
Необходимые условия: Включите административный доступ Active Directory на панели «Active Directory/Kerberos Authentication» на странице « > Administration Access >Authentication».
Действия
- Нажмите Создать
- Введите имя домена и группы, разделенные обратной косой чертой.
domainname\groupname
- Выберите роль управления для группы в раскрывающемся меню.
- Нажмите OK.
Изменение административных групп для Active Directory
Измените административную группу, если требуется изменить имя административного домена или группу, настроенную для группы Active Directory.
Необходимые условия: Включите административный доступ Active Directory на панели «Active Directory/Kerberos Authentication» на странице « > Administration Access >Authentication».
Действия
- Выберите группу для изменения под заголовком Active Directory Administrative Access.
- Нажмите кнопку Изменить
- Измените имя домена и группы и разделяйте их обратной косой чертой «\». Пример.
domainname\groupname
Удаление административных групп для Active Directory
Удалите административную группу, чтобы прекратить доступ к системе для всех пользователей, включенных в группу Active Directory.
Необходимые условия: Включите административный доступ Active Directory на панели «Active Directory/Kerberos Authentication» на странице « > Administration Access>Authentication».
Действия
- Выберите группу для удаления под заголовком Active Directory Administrative Access.
- Нажмите Delete.
Системные часы
При использовании режима Active Directory для доступа к CIFS время системных часов может отличаться от времени контроллера домена не более чем на пять минут.
Если настроена аутентификация Active Directory, система регулярно синхронизирует время с контроллером домена Windows.
Поэтому, чтобы контроллер домена получал время из надежного источника времени, см. документацию Microsoft для вашей версии операционной системы Windows, чтобы настроить контроллер домена с источником времени.
Additional Information
Порты для Active Directory
| Порт | Протокол | Порт настраивается | Описание |
| 53 | TCP/UDP | Open | DNS (если AD также является DNS) |
| 88 | TCP/UDP | Open | Kerberos |
| 139 | TCP | Open | NetBios/NetLogon |
| 389 | TCP/UDP | Open | LDAP |
| 445 | TCP/UDP | Нет | Проверка подлинности пользователей и обмен другими данными с AD |
| 3268 | TCP | Open | Запросы глобального каталога |
Active Directory
Active Directory не совместима с FIPS.
Служба Active Directory продолжает работать, когда она настроена и когда включен режим FIPS.
| Использование Authentication Server для проверки подлинности пользователей перед предоставлением административного доступа. |
DD поддерживает несколько протоколов серверов имен, таких как LDAP, NIS и AD. DD рекомендует использовать OpenLDAP с включенным FIPS. DD управляет только локальными учетными записями. DD рекомендует использовать интерфейс пользователя или интерфейс командной строки для настройки LDAP. • Пользовательский интерфейс. Администрация >Доступ>Аутентификация • Интерфейс командной строки. Команды аутентификации LDAP |
Конфигурация проверки подлинности
Информация на панели Проверка подлинности изменяется в зависимости от типа настроенной проверки подлинности.
Нажмите ссылку Configure слева от надписи Authentication на вкладке Configuration. Система перейдет на страницу Аутентификация с правами администратора >>, на которой можно настроить аутентификацию для Active Directory, Kerberos, рабочих групп и NIS.
Информация о конфигурации Active Directory
| Элемент | Описание |
| Режим | Отобразится режим Active Directory. |
| Область | Отобразится настроенная область. |
| DDNS | Отображается состояние сервера DDNS: включен или отключен. |
| Контроллер хранилища | Отображаются имена настроенных контроллеров домена или *, если разрешены все контроллеры. |
| Подразделение | Отобразятся названия настроенных организационных единиц. |
| Имя сервера CIFS | Отобразится имя настроенного сервера CIFS. |
| Имя сервера WINS | Отобразится имя настроенного сервера WINS. |
| Краткое доменное имя | Отобразится короткое доменное имя. |
Конфигурация рабочей группы
| Элемент | Описание |
| Режим | Отобразится режим рабочей группы. |
| Имя рабочей группы | Отобразится имя настроенной рабочей группы. |
| DDNS | Отображается состояние сервера DDNS: включен или отключен. |
| Имя сервера CIFS | Отобразится имя настроенного сервера CIFS. |
| Имя сервера WINS | Отобразится имя настроенного сервера WINS. |
Связанные статьи:
- Data Domain — присоединение системы Data Domain к домену Windows
- Не удается присоединить Data Domain к определенному подразделению (OU) Active Directory
Следующие статьи по теме можно просмотреть, только войдя в службу поддержки Dell в качестве зарегистрированного пользователя:
- Сбой доступа к PowerProtect DD System Manager (DDSM) и Data Domain Management Server (DDMC) с аутентификацией AD
- Аутентификация Active Directory не работает, так как GC отключен в Data Domain
- Data Domain. Не удается получить доступ к системе Data Domain с CIFS в режиме Active Directory
- Data Domain. Использование команды CIFS «set authentication Active-Directory»
- Присоединение Data Domain к Active Directory к определенному подразделению (OU)
- Data Domain. Проблемы проверки подлинности Windows в системе Data Domain, настроенной для Active Directory
- Data Domain. Не удается присоединиться к Active Directory из-за политик сервера