Data Domain: Active Directory 가이드
Summary: 이 가이드는 DDOS 코드 7.9의 단계를 기반으로 합니다.
Instructions
Data Domain 및 PowerProtect 운영 환경은 HTTPS 또는 CLI용 SSH를 통한 DD System Manager를 통한 안전한 관리를 제공합니다. 두 방법 모두 로컬로 정의된 사용자, NIS(Network Information Service) 사용자, LDAP(Lightweight Directory Access Protocol), Microsoft AD(Active Directory) 도메인 사용자 및 SSO(Single Sign-on)를 사용할 수 있습니다.
Data Domain 및 PowerProtect 시스템은 사용자 또는 서버에 대해 Microsoft Active Directory 패스스루 인증을 사용할 수 있습니다. 관리자는 특정 도메인 및 사용자 그룹이 시스템에 저장된 파일에 액세스하도록 설정할 수 있습니다. Kerberos를 구성하는 것이 좋습니다. 또한 시스템은 Microsoft Windows NT LAN Manager NTLMv1 및 NTLMv2를 지원합니다. 그러나 NTLMv2가 더 안전하며 NTLMv1을 대체하기 위한 것입니다.
Active Directory 및 Kerberos 정보 보기
Active Directory/Kerberos 구성에 따라 CIFS 및 NFS 클라이언트가 인증에 사용할 방법이 결정됩니다.
Active Directory/Kerberos Authentication 패널에 이 구성이 표시됩니다.
단계:
- AdministrationAccessAuthentication >> 을 선택합니다.
- Active Directory/Kerberos Authentication 패널을 확장합니다.
Active Directory 및 Kerberos 인증 구성
Active Directory 인증을 구성하면 보호 시스템이 Windows Active Directory 영역에 포함됩니다.
CIFS 클라이언트 및 NFS 클라이언트는 Kerberos 인증을 사용합니다.
단계:
- Administration > Access > Authentication을 선택합니다. Authentication 보기가 나타납니다.
- Active Directory/Kerberos Authentication 패널을 확장합니다.
- Mode 옆의 Configure를 클릭하여 구성 마법사를 시작합니다. Active Directory/Kerberos Authentication 대화 상자가 나타납니다.
- Windows/Active Directory를 선택하고 Next를 클릭합니다.
- 시스템의 전체 영역 이름(예: domain1.local), 시스템의 사용자 이름 및 암호를 입력합니다.
- Next를 클릭합니다.
- 기본 CIFS Server Name을 선택하거나 Manual을 선택하고 CIFS 서버 이름을 입력합니다.
- Domain Controllers를 선택하려면 Automatically Assign을 선택하거나 Manual을 선택하고 도메인 컨트롤러 이름을 최대 3개까지 입력합니다. 정규화된 도메인 이름, 호스트 이름 또는 IP 주소(IPv4 또는 IPv6)를 입력합니다.
- 조직 단위를 선택하려면 기본 컴퓨터 사용을 선택하거나 수동을 선택하고 조직 단위 이름을 입력합니다.
- Next를 클릭합니다. 구성에 대한 Summary 페이지가 나타납니다.
- Finish를 클릭합니다. Authentication 보기에 구성 정보가 표시됩니다.
- Active Directory Administrative Access 오른쪽에 있는 Enable 을 클릭하여 관리 액세스를 활성화합니다.
인증 모드 선택
선택한 인증 모드에 따라 Active Directory, 워크그룹 및 Kerberos 인증의 지원되는 조합을 사용하여 CIFS 및 NFS 클라이언트가 인증하는 방법이 결정됩니다.
이 작업에 대해 DDOS는 다음과 같은 인증 옵션을 지원합니다.
- 비활성화: Kerberos 인증은 CIFS 및 NFS 클라이언트에 대해 비활성화됩니다. CIFS 클라이언트는 워크그룹 인증을 사용합니다.
- Windows/Active Directory: Kerberos 인증은 CIFS 및 NFS 클라이언트에 대해 활성화됩니다. CIFS 클라이언트는 Active Directory 인증을 사용합니다.
- UNIX: Kerberos 인증은 NFS 클라이언트에만 활성화됩니다. CIFS 클라이언트는 워크그룹 인증을 사용합니다.
Active Directory에 대한 관리 그룹 관리
Active Directory/Kerberos 인증 패널을 사용하여 Active Directory(Windows) 그룹을 생성, 수정 및 삭제하고 해당 그룹에 관리 역할(admin, backup-operator 등)을 할당합니다.
그룹 관리를 준비하려면 관리>액세스>인증을 선택하고 Active Directory/Kerberos 인증 패널을 확장한 다음 Active Directory 관리 액세스 활성화 버튼을 클릭합니다.
Active Directory용 관리 그룹 생성
Active Directory 그룹에 구성된 모든 사용자에게 관리 역할을 할당할 관리 그룹을 만듭니다.
필수 구성 요소: AdministrationAccess >>Authentication 페이지의 Active Directory/Kerberos Authentication 패널에서 Active Directory Administrative Access를 활성화합니다.
단계:
- Create를 클릭합니다.
- 도메인 및 그룹 이름을 백슬래시로 구분하여 입력합니다.
domainname\groupname
- 드롭다운 메뉴에서 그룹의 Management Role 을 선택합니다.
- OK를 클릭합니다.
Active Directory에 대한 관리 그룹 수정
관리 도메인 이름 또는 Active Directory 그룹에 대해 구성된 그룹 이름을 변경하려면 관리 그룹을 수정합니다.
필수 구성 요소: AdministrationAccess >>Authentication 페이지의 Active Directory/Kerberos Authentication 패널에서 Active Directory Administrative Access를 활성화합니다.
단계:
- Active Directory 관리 액세스 제목 아래에서 수정할 그룹을 선택합니다.
- Modify를 클릭합니다.
- 도메인과 그룹 이름을 수정하고 백슬래시 "\"를 사용하여 구분합니다. 예:
domainname\groupname
Active Directory에 대한 관리 그룹 삭제
Active Directory 그룹에 구성된 모든 사용자의 시스템 액세스를 종료하려면 관리 그룹을 삭제합니다.
필수 구성 요소: AdministrationAccess >>Authentication 페이지의 Active Directory/Kerberos Authentication 패널에서 Active Directory Administrative Access를 활성화합니다.
단계:
- Active Directory 관리 액세스 제목 아래에서 삭제할 그룹을 선택합니다.
- Delete를 클릭합니다.
시스템 클록
CIFS 액세스에 Active Directory 모드를 사용하는 경우 시스템 클록 시간은 도메인 컨트롤러의 시간과 5분 이하의 차이가 날 수 있습니다.
Active Directory 인증을 사용하도록 구성된 경우 시스템은 Windows 도메인 컨트롤러와 정기적으로 시간을 동기화합니다.
따라서 도메인 컨트롤러가 신뢰할 수 있는 시간 원본에서 시간을 가져오려면 Windows 운영 체제 버전에 대한 Microsoft 설명서를 참조하여 시간 원본으로 도메인 컨트롤러를 구성하십시오.
Additional Information
Active Directory용 포트
| 포트 | 프로토콜 | 포트 구성 가능 | 설명 |
| 53 | TCP/UDP | 열림(Open) | DNS(AD가 DNS인 경우) |
| 88 | TCP/UDP | 열림(Open) | Kerberos |
| 139 | TCP | 열림(Open) | NetBios/NetLogon |
| 389 | TCP/UDP | 열림(Open) | LDAP |
| 445 | TCP/UDP | No | 사용자 인증 및 AD와의 기타 통신 |
| 3268 | TCP | 열림(Open) | 글로벌 카탈로그 질의 |
Active Directory
Active Directory는 FIPS와 호환되지 않습니다.
Active Directory는 구성되고 FIPS가 활성화되면 계속 작동합니다.
| 관리 액세스 권한을 부여하기 전에 인증 서버를 사용하여 사용자를 인증합니다. |
DD는 LDAP, NIS, AD와 같은 여러 이름 서버 프로토콜을 지원합니다. DD는 FIPS가 활성화된 OpenLDAP를 사용할 것을 권장합니다. DD는 로컬 계정만 관리합니다. DD는 UI 또는 CLI를 사용하여 LDAP를 구성하는 것이 좋습니다. • UI: 관리 >접근>인증 • CLI: 인증 LDAP 명령 |
인증 구성
Authentication 패널의 정보는 구성된 인증 유형에 따라 변경됩니다.
구성 탭의 인증 레이블 왼쪽에서 구성 링크를 클릭합니다. AdministrationAccess >> Authentication페이지로 이동하여 Active Directory, Kerberos, Workgroups 및 NIS에 대한 인증을 구성합니다.
Active Directory 구성 정보
| 항목 | 설명 |
| 모드 | Active Directory 모드가 표시됩니다. |
| 영역 | 구성된 영역이 표시됩니다. |
| DDNS | DDNS 서버의 상태가 enabled 또는 disabled로 표시됩니다. |
| 도메인 컨트롤러 | 구성된 도메인 컨트롤러의 이름이 표시되거나 모든 컨트롤러가 허용되는 경우 *가 표시됩니다. |
| 조직 단위 | 구성된 조직 단위의 이름이 표시됩니다. |
| CIFS 서버 이름 | 구성된 CIFS 서버의 이름이 표시됩니다. |
| WINS 서버 이름 | 구성된 WINS 서버의 이름이 표시됩니다. |
| 짧은 도메인 이름 | 짧은 도메인 이름이 표시됩니다. |
Workgroup 구성
| 항목 | 설명 |
| 모드 | 작업 그룹 모드가 표시됩니다. |
| Workgroup 이름 | 구성된 워크그룹 이름이 표시됩니다. |
| DDNS | DDNS 서버의 상태는 활성화 또는 비활성화로 표시됩니다. |
| CIFS 서버 이름 | 구성된 CIFS 서버의 이름이 표시됩니다. |
| WINS 서버 이름 | 구성된 WINS 서버의 이름이 표시됩니다. |
관련 문서:
- Data Domain - Windows 도메인에 Data Domain 시스템 연결
- Data Domain을 Active Directory의 특정 OU(Organizational Unit)에 가입시킬 수 없음
다음 관련 문서는 등록된 사용자로 Dell 지원에 로그인해야만 볼 수 있습니다.
- PowerProtect DDSM(DD System Manager) 및 DDMC(Data Domain Management Server) 액세스가 AD 인증을 통해 실패함
- Data Domain에서 GC가 비활성화되어 Active Directory 인증이 작동하지 않음
- Data Domain: Active Directory 모드에서 CIFS를 사용하는 Data Domain 시스템에 액세스할 수 없음
- Data Domain: CIFS "set authentication active-directory" 명령 사용
- Data Domain을 Active Directory에서 특정 OU(Organizational Unit)에 가입
- Data Domain: Active Directory용으로 구성된 Data Domain 시스템의 Windows 인증 문제
- Data Domain: 서버 정책으로 인해 Active Directory에 연결할 수 없음