Data Domain: Handleiding voor Active Directory
Summary: Deze handleiding is gebaseerd op stappen van DDOS-code 7.9.
Instructions
De Data Domain en PowerProtect besturingsomgeving bieden beveiligd beheer via DD System Manager via HTTPS of SSH voor CLI. Met beide methoden zijn lokaal gedefinieerde gebruikers, NIS-gebruikers (Network Information Service), LDAP-gebruikers (Lightweight Directory Access Protocol), Microsoft Active Directory (AD)-domeingebruikers en Single Sign-on (SSO) mogelijk.
Data Domain- en PowerProtect-systemen kunnen Microsoft Active Directory pass-through-verificatie gebruiken voor de gebruikers of servers. Beheerders kunnen bepaalde domeinen en groepen gebruikers toegang geven tot bestanden die op het systeem zijn opgeslagen. Het wordt aanbevolen om Kerberos te configureren. Systemen ondersteunen ook Microsoft Windows NT LAN Managers NTLMv1 en NTLMv2. NTLMv2 is echter veiliger en is bedoeld om NTLMv1 te vervangen.
Active Directory- en Kerberos-informatie weergeven
De Active Directory/Kerberos-configuratie bepaalt de verificatiemethoden die CIFS- en NFS-clients gebruiken.
Het deelvenster Active Directory/Kerberos-verificatie geeft deze configuratie weer.
Stappen:
- > Selecteer Administration Access>Authentication.
- Vouw het deelvenster Active Directory/Kerberos-verificatie uit.
Active Directory- en Kerberos-authenticatie configureren
Door Active Directory-verificatie te configureren, maakt het beveiligingssysteem deel uit van een Windows Active Directory-realm.
CIFS-clients en NFS-clients maken gebruik van Kerberos-verificatie.
Stappen:
- > Selecteer Administration Access >Authentication. De weergave Authenticatie wordt weergegeven.
- Vouw het deelvenster Active Directory/Kerberos-verificatie uit.
- Klik op Configureren naast Modus om de configuratiewizard te starten. Het dialoogvenster Active Directory/Kerberos-verificatie wordt weergegeven.
- Selecteer Windows/Active Directory en klik op Volgende.
- Voer de volledige realmnaam voor het systeem in (bijvoorbeeld; domain1.local), de gebruikersnaam en het wachtwoord voor het systeem.
- Klik op Volgende.
- Selecteer de standaard CIFS-servernaam of selecteer Handmatig en voer een CIFS-servernaam in.
- Als u Domeincontrollers wilt selecteren, selecteert u Automatisch toewijzen of selecteert u Handmatig en voert u maximaal drie domeincontrollernamen in. Voer volledig gekwalificeerde domeinnamen, hostnamen of IP-adressen (IPv4 of IPv6) in.
- Als u een organisatie-eenheid wilt selecteren, selecteert u Standaardcomputers gebruiken of selecteert u Handmatig en geeft u de naam van een organisatie-eenheid op.
- Klik op Volgende. De overzichtspagina voor de configuratie wordt weergegeven.
- Klik op Finish. Het systeem geeft de configuratiegegevens weer in de authenticatieweergave.
- Klik op Inschakelen rechts van Active Directory Beheerderstoegang om beheerderstoegang in te schakelen.
Selecties authenticatiemodus
De gekozen verificatiemodus bepaalt hoe CIFS- en NFS-clients worden geverifieerd met behulp van ondersteunde combinaties van Active Directory-, Workgroup- en Kerberos-verificatie.
Voor deze taak ondersteunt DDOS de volgende verificatieopties.
- Invalide: Kerberos-verificatie is uitgeschakeld voor CIFS- en NFS-clients. CIFS-clients maken gebruik van Workgroup-authenticatie.
- Windows/Active Directory: Kerberos-verificatie is ingeschakeld voor CIFS- en NFS-clients. CIFS-clients maken gebruik van Active Directory-verificatie.
- UNIX: Kerberos-verificatie is alleen ingeschakeld voor NFS-clients. CIFS-clients maken gebruik van Workgroup-authenticatie.
Beheergroepen voor Active Directory beheren
Gebruik het deelvenster Active Directory/Kerberos-verificatie om Active Directory-groepen (Windows) te maken, aan te passen en te verwijderen en beheerrollen (admin, back-upoperator, enzovoort) aan deze groepen toe te wijzen.
Als u zich wilt voorbereiden op het beheren van groepen, selecteert u>>Verificatie beheerderstoegang, vouwt u het deelvenster Active Directory/Kerberos-verificatie uit en klikt u op de knop Active Directory-beheertoegang inschakelen.
Creating Administrative Groups for Active Directory
Maak een beheergroep om een beheerrol toe te wijzen aan alle gebruikers die zijn geconfigureerd in een Active Directory-groep.
Voorwaarden: Schakel Active Directory-beheertoegang in het deelvenster Active Directory/Kerberos-verificatie in op de pagina Verificatie >beheerderstoegang>.
Stappen:
- Klik op Maken
- Voer de domein- en groepsnaam in, gescheiden door een backslash.
domainname\groupname
- Selecteer de beheerrol voor de groep in het vervolgkeuzemenu.
- Klik op OK.
Beheergroepen voor Active Directory wijzigen
Wijzig een beheerdersgroep als u de beheerdersdomeinnaam of groepsnaam wilt wijzigen die is geconfigureerd voor een Active Directory-groep.
Voorwaarden: Schakel Active Directory-beheertoegang in het deelvenster Active Directory/Kerberos-verificatie in op de pagina Verificatie >beheerderstoegang>.
Stappen:
- Selecteer een groep om te wijzigen onder de kop Active Directory Beheertoegang.
- Klik op Wijzigen
- Wijzig de domein- en groepsnaam en gebruik een backslash "\" om ze te scheiden. Bijvoorbeeld:
domainname\groupname
Beheerdersgroepen voor Active Directory verwijderen
Verwijder een beheergroep om de systeemtoegang te beëindigen voor alle gebruikers die zijn geconfigureerd in een Active Directory-groep.
Voorwaarden: Schakel Active Directory-beheertoegang in het deelvenster Active Directory/Kerberos-verificatie in op de pagina Verificatie >beheerderstoegang>.
Stappen:
- Selecteer een groep die u wilt verwijderen onder het kopje Active Directory Beheertoegang.
- Klik op Delete.
System clock
Bij gebruik van de Active Directory-modus voor CIFS-toegang mag de kloktijd van het systeem maximaal vijf minuten afwijken van die van de domeincontroller.
Wanneer het systeem is geconfigureerd voor Active Directory-verificatie, synchroniseert het regelmatig de tijd met de Windows-domeincontroller.
Zie daarom de Microsoft-documentatie voor de versie van uw Windows-besturingssysteem om de tijd te kunnen verkrijgen van een betrouwbare tijdbron voor de domeincontroller om de domeincontroller te configureren met een tijdbron.
Additional Information
Poorten voor Active Directory
| Poort | Protocol | Poort configureerbaar | Beschrijving |
| 53 | TCP/UDP | Openen: | DNS (als AD ook de DNS is) |
| 88 | TCP/UDP | Openen: | Kerberos |
| 139 | TCP | Openen: | NetBios/NetLogon |
| 389 | TCP/UDP | Openen: | LDAP |
| 445 | TCP/UDP | Nee | Gebruikersverificatie en andere communicatie met AD |
| 3268 | TCP | Openen: | Globale catalogusvragen |
Active Directory
Active Directory voldoet niet aan
FIPS.Active Directory blijft werken wanneer het is geconfigureerd en wanneer FIPS is ingeschakeld.
| De Authentication Server gebruiken voor het verifiëren van gebruikers voordat beheerderstoegang wordt verleend. |
DD ondersteunt meerdere naamserverprotocollen, zoals LDAP, NIS en AD. DD raadt aan om OpenLDAP te gebruiken met FIPS ingeschakeld. DD beheert alleen lokale accounts. DD raadt aan om UI of CLI te gebruiken om LDAP te configureren. •GEBRUIKERSINTERFACE: Bestuur >Toegang>Authenticatie •CLI: LDAP-opdrachten voor authenticatie Active |
Authenticatieconfiguratie
De informatie in het deelvenster Verificatie verandert, afhankelijk van het type verificatie dat is geconfigureerd.
Klik op de koppeling Configure links van het authenticatielabel op het tabblad Configuration. Het systeem gaat naar de > pagina Administration Access > Authenticationwaar authenticatie voor Active Directory, Kerberos, Workgroups en NIS wordt geconfigureerd.
Informatie over Active Directory-configuratie
| Item | Beschrijving |
| Mode (modus) | De Active Directory-modus wordt weergegeven. |
| Rijk | De geconfigureerde realm wordt weergegeven. |
| DDNS | De status van de DDNS-server wordt weergegeven: ingeschakeld of uitgeschakeld. |
| Domeincontroller | De naam van de geconfigureerde domeincontrollers wordt weergegeven of een * als alle controllers zijn toegestaan. |
| Organisatie-eenheid | De naam van de geconfigureerde organisatie-eenheden wordt weergegeven. |
| CIFS-servernaam | De naam van de geconfigureerde CIFS-server wordt weergegeven. |
| WINS-servernaam | De naam van de geconfigureerde WINS-server wordt weergegeven. |
| Korte domeinnaam | De korte domeinnaam wordt weergegeven. |
Werkgroepconfiguratie
| Item | Beschrijving |
| Mode (modus) | De werkgroepmodus wordt weergegeven. |
| Naam werkgroep | De geconfigureerde werkgroepnaam wordt weergegeven. |
| DDNS | De status van de DDNS-server wordt weergegeven: ingeschakeld of uitgeschakeld. |
| CIFS-servernaam | De naam van de geconfigureerde CIFS-server wordt weergegeven. |
| WINS-servernaam | De naam van de geconfigureerde WINS-server wordt weergegeven. |
Gerelateerde artikelen:
- Data Domain - Een Data Domain systeem toevoegen aan een Windows-domein
- Kan een Data Domain niet toevoegen aan een specifieke organisatie-eenheid (OE) van Active Directory
De volgende gerelateerde artikelen kunnen alleen worden bekeken door u aan te melden bij Dell Support als een geregistreerde gebruiker:
- Toegang tot PowerProtect DD System Manager (DDSM) en Data Domain Management Server (DDMC) mislukt met AD-authenticatie
- Active Directory-verificatie werkt niet omdat GC is uitgeschakeld in Data Domain
- Data Domain: Kan geen toegang krijgen tot het Data Domain-systeem met CIFS in Active Directory-modus
- Data Domain: Met de CIFS-opdracht "Set Authentication Active-Directory"
- Data Domain toevoegen aan Active Directory aan een specifieke organisatie-eenheid (OU)
- Data Domain: Windows-authenticatieproblemen met het Data Domain-systeem dat is geconfigureerd voor Active Directory
- Data Domain: Kan niet deelnemen aan Active Directory vanwege serverbeleid