Data Domain. Руководство по LDAP

Summary: Аутентификация по протоколу Lightweight Directory Access Protocol (LDAP): Системы Data Domain и PowerProtect могут использовать аутентификацию LDAP для пользователей, входящих в систему с помощью интерфейса командной строки или пользовательского интерфейса. Поддерживаемые серверы LDAP: OpenLDAP, Oracle и Microsoft Active Directory. Однако если для Active Directory настроен этот режим, доступ к данным CIFS (Common Internet File System) для пользователей и групп Active Directory отключается. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Информация и шаги, описанные в этом руководстве, работают с DD OS 7.9 и более поздних версий


Просмотр информации для аутентификации LDAP

На панели Аутентификация LDAP отображаются параметры конфигурации LDAP, а также информация о том, включена
ли аутентификация LDAP.Включение LDAP** позволяет использовать существующий сервер или развертывание OpenLDAP для **проверки подлинности пользователей на уровне системы**, **сопоставления идентификаторов NFSv4** и **NFSv3 или NFSv4 Kerberos с LDAP.

Стремянка

  1. Выберите Administration > Access > Authentication. Отобразится представление Аутентификация.
  2. Разверните панель проверки подлинности LDAP.

Включение и отключение проверки подлинности LDAP. Используйте панель проверки подлинности LDAP для включения, отключения или сброса проверки подлинности LDAP.

 

ПРИМЕЧАНИЕ. Чтобы можно было активировать аутентификацию LDAP, необходимо наличие сервера LDAP.


Действия

  1. Выберите Administration > Access > Authentication. Отобразится представление Аутентификация.
  2. Разверните панель аутентификации LDAP.
  3. Нажмите кнопку Включить рядом со статусом LDAP, чтобы включить или Отключить, чтобы отключить аутентификацию LDAP.
    Откроется диалоговое окно Включение или отключение аутентификации LDAP.
  4. Нажмите OK.

Сброс аутентификации LDAP.

Кнопка Reset отключает аутентификацию LDAP и удаляет информацию о конфигурации LDAP.

Настройка аутентификации LDAP

Используйте панель аутентификации LDAP для настройки аутентификации LDAP.

Стремянка

  1. Выберите Administration > Access > Authentication. Отобразится представление Аутентификация.
  2. Разверните панель проверки подлинности LDAP.
  3. Нажмите Configure. Откроется диалоговое окно Настройка аутентификации LDAP.
  4. Укажите базовый суффикс в поле Базовый суффикс.
  5. В поле Привязать ОИ укажите имя учетной записи, которое необходимо связать с сервером LDAP.
  6. Укажите пароль для учетной записи Привязать ОИ в поле Пароль привязки.
  7. При необходимости выберите Enable SSL.
  8. При необходимости выберите Запрашивать сертификат сервера , чтобы потребовать от системы защиты импортировать сертификат источника сертификатов с сервера LDAP.
  9. Нажмите OK.
  10. При необходимости позже нажмите Сброс, чтобы вернуть конфигурацию LDAP к значениям по умолчанию.

Указание серверов аутентификации LDAP

Об этой задаче
Используйте панель проверки подлинности LDAP для указания серверов аутентификации LDAP.
Необходимые условия: перед настройкой сервера LDAP необходимо отключить аутентификацию LDAP.
 

ПРИМЕЧАНИЕ. Производительность Data Domain System Manager (DDSM) при входе с использованием LDAP снижается по мере увеличения количества переходов между системой и сервером LDAP.

 

Действия

  1. Выберите Administration > Access > Authentication. Отобразится представление Аутентификация.
  2. Разверните панель аутентификации LDAP.
  3. Нажмите кнопку + , чтобы добавить сервер.
  4. Укажите сервер LDAP в одном из следующих форматов:
    • Адрес IPv4: nn.nn.nn.nn
    • Адрес IPv6: [FF::XXXX:XXXX:XXXX:XXXX]
    • Hostname: myldapserver.FQDN
  5. Нажмите OK.

Настройка групп LDAP

Используйте панель аутентификации LDAP для настройки групп LDAP.

Об этой задаче
Конфигурация группы LDAP применяется только при использовании LDAP для аутентификации пользователей в системе защиты.

Стремянка

  1. Выберите Administration > Access > Authentication. Отобразится представление Аутентификация.
  2. Разверните панель аутентификации LDAP.
  3. Настройте группы LDAP в таблице Группа LDAP.
    • Чтобы добавить группу LDAP, нажмите кнопку Добавить (+), введите имя и роль группы LDAP, а затем нажмите OK.
    • Чтобы изменить группу LDAP, установите флажок имени группы в списке Группа LDAP и нажмите Изменить (карандаш). Измените имя группы LDAP и нажмите кнопку ОК.
    • Чтобы удалить группу LDAP, выберите группу LDAP в списке и нажмите кнопку Удалить (X).

Использование интерфейса командной строки для настройки аутентификации LDAP.

Включение LDAP** позволяет **настроить существующий сервер или развертывание OpenLDAP** для **проверки подлинности пользователей на уровне системы**, **сопоставления идентификаторов NFSv4** и **NFSv3 или NFSv4 Kerberos с LDAP.

Это невозможно настроить, если аутентификация LDAP уже настроена для Active Directory.

Настройка аутентификации LDAP для Active Directory

DDOS поддерживает использование аутентификации LDAP для Active Directory.
Аутентификация LDAP с использованием Active Directory** ограничивает доступ к данным CIFS для пользователей и групп Active Directory, позволяя только локальным пользователям получать доступ к сетевым папкам CIFS в системе.
С такой конфигурацией пользователям Active Directory разрешен только вход через интерфейс командной строки и пользовательский интерфейс.

Необходимые условия
Чтобы настроить аутентификацию LDAP для Active Directory, убедитесь, что среда соответствует следующим требованиям:

  • TLS/SSL включен для связи LDAP.
  • Пользователи Active Directory, получающие доступ к системе защиты, должны иметь действительные номера UID и GID.
  • Группы Active Directory, получающие доступ к системе защиты, должны иметь действительный номер GID.
ПРИМЕЧАНИЕ.
  • Укажите username в формате <username>, не указывая доменное имя.
  • Укажите groupname в формате <groupname>, не указывая доменное имя.
  • Регистр имен пользователей и групп не учитывается.

К протоколу LDAP для Active Directory применяются следующие ограничения:

  • Microsoft Active Directory является единственным поддерживаемым поставщиком Active Directory.
  • Службы Active Directory Lightweight Directory Services (LDS) не поддерживаются.
  • Собственная схема Active Directory для uidNumber и gidNumber Заполнение — единственная поддерживаемая схема. Средства сторонних производителей, интегрированные с Active Directory, не поддерживаются.

Об этой задаче
Аутентификацию LDAP для Active Directory нельзя использовать с проверкой подлинности Active Directory или Kerberos для CIFS.
Единственным способом настройки этого параметра является интерфейс командной строки.

Стремянка
Выполните команду проверка подлинности LDAP base set base name type active-directory, чтобы включить аутентификацию LDAP для Active Directory.


ПРИМЕЧАНИЕ. Команда завершается сбоем, если для аутентификации CIFS уже настроена проверка подлинности CIFS как Active Directory. 
# authentication ldap base set "dc=anvil,dc=team" type active-directory


Настройте серверы LDAP.

Можно настроить один или несколько серверов LDAP одновременно. Настройте серверы с площадки, расположенной ближе всего к системе защиты, чтобы минимизировать задержку.

Об этой задаче


ПРИМЕЧАНИЕ. При изменении конфигурации необходимо отключить LDAP.
 

Укажите сервер LDAP в одном из следующих форматов:

  • IPv4 address—10.<A>.<B>.<C>
  • IPv4 address with port number—10.<A>.<B>.<C>:400
  • IPv6 address—[::ffff:9.53.96.21]
  • IPv6 address with port number—[::ffff:9.53.96.21]:400
  • Hostname—myldapserver
  • Hostname with port number—myldapserver:400

При настройке нескольких серверов:

  • Отделите каждый сервер пробелом.
  • Первый сервер, указанный при использовании команды добавления серверов LDAP для аутентификации, становится сервером-источником.
  • Если какой-либо из серверов не может быть настроен, команда завершится сбоем для всех серверов в списке.

Действия

  1. Добавьте один или несколько серверов LDAP с помощью команды «authentication ldap servers add»:
# authentication ldap servers add 10.A.B.C 10.X.Y.Z:400
LDAP server(s) added
LDAP Server(s): 2
# IP Address/Hostname
--- ---------------------
1. 10.A.B.C (primary)
2. 10.X.Y.Z:400
--- ---------------------
  1. Удалите один или несколько серверов LDAP с помощью команды «authentication ldapservers del»:
# authentication ldap servers del 10.X.Y.Z:400
LDAP server(s) deleted.
LDAP Servers: 1
# Server
- ------------ ---------
1 10.A.B.C (primary)
- ------------ ---------
3. Remove all LDAP servers by using the authentication ldap servers reset command:
# authentication ldap servers reset
LDAP server list reset to empty.

Настройка базового суффикса LDAP.
Базовый суффикс — это базовое отличительное имя для поиска, с которого начинается поиск в каталоге LDAP.

Об этой задаче
Задайте базовый суффикс для OpenLDAP или Active Directory.


ПРИМЕЧАНИЕ. Нельзя одновременно задать базовый суффикс для OpenLDAP и Active Directory.


Вход пользователя разрешен только из основного домена Active Directory. Пользователи и группы из доверенных доменов Active Directory не поддерживаются.
Задает базовый суффикс для OpenLDAP.

Стремянка
Задайте базовый суффикс LDAP с помощью команды «authentication ldap base set»:

# authentication ldap base set "dc=anvil,dc=team"
LDAP base-suffix set to "dc=anvil,dc=team".

Действия

  1. Задайте базовый суффикс LDAP с помощью команды «authentication ldap base set»:
# authentication ldap base set "dc=anvil,dc=team" type active-directory
LDAP base-suffix set to "dc=anvil,dc=team".

ПРИМЕЧАНИЕ. В этом примере все пользователи в dd-admins LDAP group иметь права администратора в системе защиты. 
# authentication ldap groups add dd-admins role admin
LDAP Group Role
---------- -----
dd-admins admin
---------- -----
Reset the LDAP base suffix

Стремянка
Чтобы сбросить базовый суффикс LDAP, выполните команду «authentication ldap base reset»:

# authentication ldap base reset

Базовый суффикс LDAP сброшен на пустое.

Настройка аутентификации клиента LDAP.
Настройте учетную запись (привязать DN) и пароль (привязать PW), которые используются для аутентификации на сервере LDAP и выполнения запросов.

Об этой задаче
Всегда следует настраивать отличительное имя привязки и пароль. При этом серверам LDAP по умолчанию требуются аутентифицированные привязки. Если client-auth не задано, запрашивается анонимный доступ без указания имени и пароля.

Выходные данные команды "authentication ldap show" выглядит следующим образом:

# authentication ldap show

LDAP configuration
 Enabled: yes (*)
 Base-suffix: dc=u2,dc=team
 Binddn: (anonymous)
 Server(s): 1
# Server
- ------------- ---------
1 10.207.86.160 (primary)
- ------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

(*) Чтобы конфигурация вступила в силу, требуется перезапуск файловой системы.

Если binddn задается с помощью client-auth CLI, но bindpw не указано, запрошен доступ без аутентификации.

# authentication ldap client-auth set binddn "cn=Manager,dc=u2,dc=team"

Введите bindpw:
** Bindpw не предусмотрена. Будет запрошен доступ без аутентификации.
Аутентификация клиента LDAP binddn Установите значение "cn=Manager,dc=u2,dc=team".

Стремянка

  1. Задайте отличительное имя привязки и пароль с помощью команды «authentication ldap client-auth set binddn»:
# authentication ldap client-auth set binddn "cn=Administrator,cn=Users,dc=anvil,dc=team"

Введите bindpwПроверка
подлинности клиента LDAP binddn установлено в:
"cn=Administrator,cn=Users,dc=anvil,dc=team»

  1. Чтобы сбросить имя привязки и пароль, выполните команду «authentication ldap client-auth reset»:
# authentication ldap client-auth reset

Конфигурация аутентификации клиента LDAP сброшена на пустую.

Включите LDAP.

Необходимые условия
Перед включением LDAP должна существовать конфигурация LDAP.
Кроме того, необходимо отключить NIS, убедиться, что сервер LDAP доступен и иметь возможность запрашивать корневую DSE сервера LDAP.

Стремянка

  1. Включите LDAP с помощью команды "authentication ldap enable»:
# authentication ldap enable

Сведения о конфигурации LDAP отображаются для подтверждения перед продолжением. Чтобы продолжить, введите Yes и перезапустите файловую систему, чтобы конфигурация LDAP вступила в силу.

Просмотрите текущую конфигурацию LDAP с помощью команды «authentication ldap show»:


ПРИМЕЧАНИЕ. Если система настроена на использование LDAP для Active Directory, вывод команды включает поле «Server Type», указывающее, что выполнено подключение к серверу Active Directory. 
# authentication ldap show
LDAP configuration
 Enabled: no
 Base-suffix: dc=anvil,dc=team
 Binddn: cn=Administrator,cn=Users,dc=anvil,dc=team
 Server(s): 2
# Server
- ---------------- ---------
1 10.26.16.250 (primary)
2 10.26.16.251:400
- ---------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

Отображаются сведения о конфигурациях базовой LDAP и Secure LDAP.

3. View the current LDAP status by using the authentication ldap status command:
# authentication ldap status
The LDAP status is displayed. If the LDAP status is not good, the problem is identified in the output.
For example:
# authentication ldap status
Status:invalid credentials
or
# authentication ldap status
Status: invalid DN syntax
4. Disable LDAP by using the authentication ldap disable command:
# authentication ldap disable LDAP is disabled.

Включите защищенный протокол LDAP.

Можно настроить DDR для использования безопасного протокола LDAP, включив SSL.
Для LDAP для Active Directory настройте защищенный LDAP с параметрами SSL/TLS.
Предварительные требования Если сертификат источника сертификатов LDAP и tls_reqcert demand, операция завершается сбоем.
Импортируйте сертификат источника сертификатов LDAP и повторите попытку. Если tls_reqcert установлено значение never, сертификат источника сертификатов LDAP не требуется.

Стремянка

  1. Включите SSL с помощью команды "authentication ldap ssl enable»:
# authentication ldap ssl enable

Чтобы включить безопасный протокол LDAP, выберите «ldaps" метод.

По умолчанию используется метод безопасного протокола LDAP. Можно указать другие методы, например TLS:

# authentication ldap ssl enable method start_tls

Чтобы включить безопасный протокол LDAP, выберите «start_tls" метод.

  1. Отключите SSL с помощью команды «authentication ldap ssl disable»:
# authentication ldap ssl disable Secure LDAP is disabled.

Настройка проверки сертификатов сервера LDAP с импортированными сертификатами ЦС.

Вы можете изменить поведение сертификата запроса TLS.

Стремянка

  1. Измените поведение сертификата запроса TLS с помощью команды «authentication ldap ssl set tls_reqcert" команда.

Не проверяйте сертификат:

# authentication ldap ssl set tls_reqcert never “tls_reqcert” set to "never".

Сертификат сервера LDAP не проверен.

 
ПРИМЕЧАНИЕ. Если протокол LDAP настроен для Active Directory, для параметра «Поведение сертификата запроса TLS» нельзя установить значение «Never».

Проверьте сертификат:

# authentication ldap ssl set tls_reqcert demand

»tls_reqcert" установите значение "demand". Сертификат сервера LDAP проверен.

  1. Чтобы сбросить поведение сертификата запроса TLS, выполните команду «authentication ldap ssl reset tls_reqcert" команда.

По умолчанию используется demand:

# authentication ldap ssl reset tls_reqcert

»tls_reqcert" был установлен на "требование". Сертификат сервера LDAP сверяется с импортированным сертификатом ЦС. Используйте "adminaccess» CLI для импорта сертификата CA.

Управление сертификатами источника сертификатов для LDAP.

Можно импортировать или удалять сертификаты, а также отображать текущую информацию о сертификатах.

Стремянка

  1. Импортируйте сертификат источника сертификатов для проверки сертификата сервера LDAP с помощью команды «adminaccess certificate import" команда.

Укажите LDAP для приложения ЦС:

# adminaccess certificate import {host application {all | aws-federal | ddboost | https | keysecure | dsm | ciphertrust | gklm | } | ca application {all | cloud | ddboost | ldap | login-auth | keysecure | dsm | rsa-securid | ciphertrust | gklm | }} [file ]
  1. Удалите сертификат источника сертификатов для проверки сертификата сервера LDAP с помощью команды «adminaccess» команда удаления сертификата. Укажите LDAP для приложения:
# adminaccess certificate delete {subject | fingerprint } [application {all | aws-federal | cloud | ddboost | ldap | login-auth | https | keysecure | dsm | ciphertrust | gklm | support | }]
  1. Отобразите текущие сведения о сертификате источника сертификатов для проверки сертификата сервера LDAP с помощью команды «adminaccess certificate show»:
# adminaccess certificate show imported-ca application ldap

Additional Information

Порты для Active Directory

Порт Протокол Порт настраивается Описание
53 TCP/UDP Open DNS (если AD также является DNS)
88 TCP/UDP Open Kerberos
139 TCP Open NetBios — NetLogon
389 TCP/UDP Open LDAP
445 TCP/UDP Нет Проверка подлинности пользователей и обмен другими данными с AD
3268 TCP Open Запросы глобального каталога
636 TCP  Open  LDAPS — безопасный протокол LDAP через SSL/TLS
3269 TCP Open  LDAPS (LDAP over SSL) к глобальному каталогу — используется для защищенных запросов к каталогу между доменами в лесу.

LDAP

Если включены федеральные стандарты обработки информации (FIPS), клиент LDAP, работающий в системе или DDVE, должен использовать TLS.

# authentication ldap ssl enable method start_tls Otherwise, enabling FIPS compliance mode fails.

При новой установке и модернизации шифры SSL LDAP не задаются явным образом.
Если включен режим комплаенса FIPS, для SSL-шифров LDAP устанавливаются следующие значения:

  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES256-SHA384
  • DHE-RSA-AES256-GCM-SHA384
  • DHE-RSA-AES256-SHA256
  • AES256-GCM-SHA384
  • AES256-SHA256
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-SHA256
  • DHE-RSA-AES128-GCM-SHA256
  • DHE-RSA-AES128-SHA256
  • AES128-GCM-SHA256
  • AES128-SHA256

Настроенный список шифров должен иметь следующий вид: ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128- SHA256

Если FIPS отключен, для него устанавливается пустая строка «".

Использование сервера аутентификации для проверки подлинности пользователей перед предоставлением административного доступа.

DD поддерживает несколько протоколов серверов имен, таких как LDAP, NIS и AD. DD рекомендует использовать OpenLDAP с включенным FIPS. DD управляет только локальными учетными записями. DD рекомендует использовать интерфейс пользователя или интерфейс командной строки для настройки LDAP.

  • Пользовательский интерфейс: Администрация >Доступ >Аутентификация
  • Интерфейс командной строки: Команды проверки подлинности LDAP

Active Directory также можно настроить для входа пользователей с включенным FIPS. Однако доступ к данным CIFS для пользователей AD больше не поддерживается этой конфигурацией.

LDAP для сопоставления идентификаторов сетевой файловой системы (NFS)

Системы Data Domain и PowerProtect могут использовать протокол LDAP для сопоставления идентификаторов NFSv4, а также Kerberos NFSv3 или NFSv4 с LDAP. Пользователь также может настроить безопасный протокол LDAP с помощью протоколов LDAPS или "start_TLS" метод. Для проверки подлинности клиента LDAP можно использовать Bind DN или Bind PW, но системы не поддерживают аутентификацию клиента LDAP на основе сертификатов.


ПРИМЕЧАНИЕ. Идентификатор локального пользователя начинается с числа 500. При настройке LDAP нельзя использовать аналогичный диапазон идентификаторов пользователей (500–1000), иначе произойдет конфликт идентификаторов пользователей. В случае конфликта идентификаторов пользователей файлы, принадлежащие пользователю сервиса LDAP name, становятся доступными для других пользователей из-за ошибок конфигурации.

Affected Products

Data Domain
Article Properties
Article Number: 000204241
Article Type: How To
Last Modified: 29 Oct 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.