Data Domain: LDAP-handleiding

Summary: LDAP-verificatie (Lightweight Directory Access Protocol): Data Domain- en PowerProtect-systemen kunnen LDAP-authenticatie gebruiken voor gebruikers die zich aanmelden via de CLI of gebruikersinterface. De ondersteunde LDAP-servers zijn OpenLDAP, Oracle en Microsoft Active Directory. Wanneer Active Directory echter in deze modus is geconfigureerd, is de CIFS-datatoegang (Common Internet File System) voor Active Directory-gebruikers en -groepen uitgeschakeld. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

De informatie en stappen in deze handleiding werken met DD OS 7.9 en hoger


LDAP-authenticatiegegevens weergeven

In het deelvenster LDAP-verificatie worden de LDAP-configuratieparameters weergegeven en wordt aangegeven of LDAP-authenticatie is ingeschakeld of uitgeschakeld.
Als u LDAP inschakelt, kunt u een bestaande OpenLDAP-server of -implementatie gebruiken voor **gebruikersverificatie op systeemniveau**, **NFSv4 ID-toewijzing**, en **NFSv3 of NFSv4 Kerberos met LDAP.

Stappen

  1. > Selecteer Administration Access > Authentication. De weergave Authenticatie wordt weergegeven.
  2. Vouw het deelvenster LDAP-authenticatie uit.

LDAP-authenticatie in- en uitschakelen Gebruik het deelvenster LDAP-authenticatie om LDAP-authenticatie in of uit te schakelen of opnieuw in te stellen.

 

OPMERKING: Er moet een LDAP-server bestaan voordat LDAP-authenticatie wordt ingeschakeld.


Stappen

  1. > Selecteer Administration Access > Authentication. De weergave Authenticatie wordt weergegeven.
  2. Vouw het deelvenster LDAP-authenticatie uit.
  3. Klik op Inschakelen naast LDAP-status om LDAP-authenticatie in te schakelen of op Uitschakelen om LDAP-authenticatie uit te schakelen.
    Het dialoogvenster LDAP-authenticatie in-of uitschakelen wordt weergegeven.
  4. Klik op OK.

LDAP-authenticatie opnieuw instellen.

Met de knop Opnieuw instellen schakelt u LDAP-authenticatie uit en wist u de LDAP-configuratiegegevens.

LDAP-authenticatie configureren

Gebruik het deelvenster LDAP-authenticatie om LDAP-authenticatie te configureren.

Stappen

  1. > Selecteer Administration Access > Authentication. De weergave Authenticatie wordt weergegeven.
  2. Vouw het deelvenster LDAP-authenticatie uit.
  3. Klik op Configureren. Het dialoogvenster LDAP-authenticatie configureren wordt weergegeven.
  4. Geef het basisachtervoegsel op in het veld Basisachtervoegsel.
  5. Geef de accountnaam op die u aan de LDAP-server wilt koppelen in het veld DN binden.
  6. Geef het wachtwoord voor het DN-account binden op in het veld Wachtwoord binden.
  7. Selecteer desgewenst SSL inschakelen.
  8. Selecteer optioneel Servercertificaat aanvragen om het beveiligingssysteem te verplichten een CA-certificaat van de LDAP-server te importeren.
  9. Klik op OK.
  10. Klik indien nodig later op Opnieuw instellen om de LDAP-configuratie terug te zetten naar de standaardwaarden.

LDAP-authenticatieservers opgeven

About this task
Gebruik het LDAP-authenticatievenster om LDAP-authenticatieservers op te geven.
Vereisten LDAP-authenticatie moet worden uitgeschakeld voordat u een LDAP-server kunt configureren.
 

OPMERKING: De prestaties van Data Domain System Manager (DDSM) bij aanmelding met LDAP nemen af naarmate het aantal hops tussen het systeem en de LDAP-server toeneemt.

 

Stappen

  1. > Selecteer Administration Access > Authentication. De weergave Authenticatie wordt weergegeven.
  2. Vouw het deelvenster LDAP-authenticatie uit.
  3. Klik op de knop + om een server toe te voegen.
  4. Geef de LDAP-server op in een van de volgende indelingen:
    • IPv4-adres: nn.nn.nn.nn
    • IPv6-adres: [FF::XXXX:XXXX:XXXX:XXXX]
    • Hostnaam: myldapserver.FQDN
  5. Klik op OK.

Configuring LDAP groups

Gebruik het LDAP-authenticatiepaneel om LDAP-groepen te configureren.

About this task
LDAP-groepsconfiguratie is alleen van toepassing bij gebruik van LDAP voor gebruikersauthenticatie op het beveiligingssysteem.

Stappen

  1. > Selecteer Administration Access > Authentication. De weergave Authenticatie wordt weergegeven.
  2. Vouw het deelvenster LDAP-authenticatie uit.
  3. Configureer de LDAP-groepen in de tabel LDAP-groepen.
    • Als u een LDAP-groep wilt toevoegen, klikt u op de knop Toevoegen (+), voert u de naam en rol van de LDAP-groep in en klikt u op OK.
    • Als u een LDAP-groep wilt wijzigen, schakelt u het selectievakje van de groepsnaam in de LDAP-groepslijst in en klikt u op Bewerken (potlood). Wijzig de LDAP-groepsnaam en klik op OK.
    • Als u een LDAP-groep wilt verwijderen, selecteert u de LDAP-groep in de lijst en klikt u op Verwijderen (X).

De CLI gebruiken om LDAP-authenticatie te configureren.

Als u LDAP inschakelt, kunt u **een bestaande OpenLDAP-server of -implementatie** configureren voor **gebruikersauthenticatie op systeemniveau**, **NFSv4 ID-toewijzing**, en **NFSv3 of NFSv4 Kerberos met LDAP.

Dit kan niet worden geconfigureerd als LDAP-authenticatie al is geconfigureerd voor Active Directory.

LDAP-authenticatie voor Active Directory configureren

DDOS ondersteunt het gebruik van LDAP-authenticatie voor Active Directory.
LDAP-verificatie met Active Directory** beperkt de toegang tot CIFS-data voor Active Directory-gebruikers en -groepen, waardoor alleen lokale gebruikers toegang hebben tot CIFS-shares op het systeem.
Alleen CLI- en UI-aanmeldingen zijn toegestaan voor Active Directory-gebruikers met deze configuratie.

Voorwaarden
Zorg ervoor dat de omgeving voldoet aan de volgende vereisten om LDAP-authenticatie voor Active Directory te configureren:

  • TLS/SSL is ingeschakeld voor LDAP-communicatie.
  • Active Directory-gebruikers die toegang hebben tot het beveiligingssysteem moeten geldige UID- en GID-nummers hebben.
  • Active Directory-groepen die toegang hebben tot het beveiligingssysteem moeten een geldig GID-nummer hebben.
OPMERKING:
  • Specificeer de username in het formaat <username>, zonder een domeinnaam op te geven.
  • Specificeer de groupname in het formaat <groupname>, zonder een domeinnaam op te geven.
  • Gebruikers- en groepsnamen zijn niet hoofdlettergevoelig.

De volgende beperkingen zijn van toepassing op LDAP voor Active Directory:

  • Microsoft Active Directory is de enige ondersteunde Active Directory-provider.
  • Active Directory Lightweight Directory Services (LDS) wordt niet ondersteund.
  • Het native Active Directory-schema voor uidNumber als gidNumber populatie is het enige ondersteunde schema. Er is geen ondersteuning voor tools van derden die zijn geïntegreerd met Active Directory.

About this task
LDAP-verificatie voor Active Directory kan niet worden gebruikt met Active Directory- of Kerberos-verificatie voor CIFS.
De CLI is de enige manier om deze optie te configureren.

Stappen
Voer de opdracht verificatie LDAP-basisset basisnaamtype active-directory uit om LDAP-authenticatie voor Active Directory in te schakelen.


OPMERKING: De opdracht mislukt als de CIFS-authenticatie al is geconfigureerd als Active Directory. 
# authentication ldap base set "dc=anvil,dc=team" type active-directory


LDAP-servers configureren.

U kunt een of meer LDAP-servers tegelijk configureren. Configureer servers vanaf de locatie die zich het dichtst bij het beveiligingssysteem bevindt voor minimale latentie.

About this task


OPMERKING: LDAP moet worden uitgeschakeld bij het wijzigen van de configuratie.
 

Geef de LDAP-server op in een van de volgende indelingen:

  • IPv4 address—10.<A>.<B>.<C>
  • IPv4 address with port number—10.<A>.<B>.<C>:400
  • IPv6 address—[::ffff:9.53.96.21]
  • IPv6 address with port number—[::ffff:9.53.96.21]:400
  • Hostname—myldapserver
  • Hostname with port number—myldapserver:400

Bij het configureren van meerdere servers:

  • Scheid elke server met een spatie.
  • De eerste server die wordt vermeld bij het gebruik van de opdracht voor het toevoegen van verificatie LDAP-servers, wordt de primaire server.
  • Als een van de servers niet kan worden geconfigureerd, mislukt de opdracht voor alle vermelde servers.

Stappen

  1. Voeg een of meer LDAP-servers toe met behulp van de "authentication ldap servers add" commando:
# authentication ldap servers add 10.A.B.C 10.X.Y.Z:400
LDAP server(s) added
LDAP Server(s): 2
# IP Address/Hostname
--- ---------------------
1. 10.A.B.C (primary)
2. 10.X.Y.Z:400
--- ---------------------
  1. Verwijder een of meer LDAP-servers met behulp van de "authentication ldapservers del" commando:
# authentication ldap servers del 10.X.Y.Z:400
LDAP server(s) deleted.
LDAP Servers: 1
# Server
- ------------ ---------
1 10.A.B.C (primary)
- ------------ ---------
3. Remove all LDAP servers by using the authentication ldap servers reset command:
# authentication ldap servers reset
LDAP server list reset to empty.

Configureer het LDAP-basisachtervoegsel.
Het basisachtervoegsel is de basis-DN voor zoeken en is waar de LDAP-directory begint te zoeken.

About this task
Stel het basisachtervoegsel in voor OpenLDAP of Active Directory.


OPMERKING: Het basisachtervoegsel kan niet worden ingesteld voor zowel OpenLDAP als Active Directory.


Aanmelden bij een gebruiker is alleen toegestaan vanaf het primaire Active Directory-domein. Gebruikers en groepen van vertrouwde Active Directory-domeinen worden niet ondersteund.
Stel het basisachtervoegsel voor OpenLDAP in.

Stappen
Stel het LDAP-basisachtervoegsel in met behulp van de "authentication ldap base set" commando:

# authentication ldap base set "dc=anvil,dc=team"
LDAP base-suffix set to "dc=anvil,dc=team".

Stappen

  1. Stel het LDAP-basisachtervoegsel in met behulp van de "authentication ldap base set" commando:
# authentication ldap base set "dc=anvil,dc=team" type active-directory
LDAP base-suffix set to "dc=anvil,dc=team".

OPMERKING: In dit voorbeeld zijn alle gebruikers in de dd-admins LDAP group Beheerdersrechten hebben op het beveiligingssysteem. 
# authentication ldap groups add dd-admins role admin
LDAP Group Role
---------- -----
dd-admins admin
---------- -----
Reset the LDAP base suffix

Stappen
Reset het LDAP-basisachtervoegsel met behulp van de "authentication ldap base reset" commando:

# authentication ldap base reset

LDAP-basisachtervoegsel teruggezet op leeg.

LDAP-clientauthenticatie configureren.
Configureer de account (Bind DN) en het wachtwoord (Bind PW) die worden gebruikt voor authenticatie met de LDAP-server en het uitvoeren van query's.

About this task
U moet altijd de bindings-DN en het wachtwoord configureren. Daarbij hebben LDAP-servers standaard geverifieerde bindingen nodig. Als client-auth is niet ingesteld, anonieme toegang wordt gevraagd, zonder naam of wachtwoord.

De output van "authentication ldap show" commando is als volgt:

# authentication ldap show

LDAP configuration
 Enabled: yes (*)
 Base-suffix: dc=u2,dc=team
 Binddn: (anonymous)
 Server(s): 1
# Server
- ------------- ---------
1 10.207.86.160 (primary)
- ------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

(*) Het bestandssysteem moet opnieuw worden opgestart om de configuratie van kracht te laten worden.

Als binddn wordt ingesteld met behulp van client-auth CLI, maar bindpw niet wordt geboden, wordt om niet-geverifieerde toegang gevraagd.

# authentication ldap client-auth set binddn "cn=Manager,dc=u2,dc=team"

Enter- bindpw:
** Bindpw is niet voorzien. Niet-geverifieerde toegang wordt gevraagd.
LDAP-clientverificatie binddn ingesteld op "cn=Manager,dc=u2,dc=team".

Stappen

  1. Stel de bindings-DN en het wachtwoord in met behulp van de "authentication ldap client-auth set binddn" commando:
# authentication ldap client-auth set binddn "cn=Administrator,cn=Users,dc=anvil,dc=team"

Enter- bindpw:
LDAP-clientauthenticatie binddn is ingesteld op:
"cn=Administrator,cn=Users,dc=anvil,dc=team"

  1. Reset de bindings-DN en het wachtwoord met behulp van de "authentication ldap client-auth reset" commando:
# authentication ldap client-auth reset

LDAP-clientauthenticatieconfiguratie wordt opnieuw ingesteld op leeg.

Schakel LDAP in.

Voorwaarden
Er moet een LDAP-configuratie bestaan voordat u LDAP inschakelt.
U moet ook NIS uitschakelen, ervoor zorgen dat de LDAP-server bereikbaar is en query's kunnen uitvoeren op de hoofd-DSE van de LDAP-server.

Stappen

  1. Schakel LDAP in met behulp van de "authentication ldap enable" commando:
# authentication ldap enable

De details van de LDAP-configuratie worden weergegeven, zodat u deze kunt bevestigen voordat u doorgaat. Typ Ja om door te gaan en start het bestandssysteem opnieuw op om de LDAP-configuratie toe te passen.

Bekijk de huidige LDAP-configuratie met behulp van de "authentication ldap show" commando:


OPMERKING: Als het systeem is geconfigureerd voor het gebruik van LDAP voor Active Directory, bevat de opdrachtuitvoer een veld Servertype om aan te geven dat het systeem is verbonden met een Active Directory-server. 
# authentication ldap show
LDAP configuration
 Enabled: no
 Base-suffix: dc=anvil,dc=team
 Binddn: cn=Administrator,cn=Users,dc=anvil,dc=team
 Server(s): 2
# Server
- ---------------- ---------
1 10.26.16.250 (primary)
2 10.26.16.251:400
- ---------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

Configuratiegegevens voor LDAP en veilige LDAP worden weergegeven.

3. View the current LDAP status by using the authentication ldap status command:
# authentication ldap status
The LDAP status is displayed. If the LDAP status is not good, the problem is identified in the output.
For example:
# authentication ldap status
Status:invalid credentials
or
# authentication ldap status
Status: invalid DN syntax
4. Disable LDAP by using the authentication ldap disable command:
# authentication ldap disable LDAP is disabled.

Schakel beveiligde LDAP in.

U kunt DDR configureren voor het gebruik van beveiligde LDAP door SSL in te schakelen.
Configureer voor LDAP voor Active Directory beveiligde LDAP met SSL/TLS-opties.
Vereisten: Als er geen LDAP CA-certificaat is en tls_reqcert is ingesteld op de vraag, mislukt de bewerking.
Importeer een LDAP CA-certificaat en probeer het opnieuw. Als tls_reqcert is ingesteld op Nooit, is een LDAP CA-certificaat niet vereist.

Stappen

  1. SSL inschakelen met behulp van de "authentication ldap ssl enable" commando:
# authentication ldap ssl enable

Beveiligde LDAP is ingeschakeld met de knop "ldaps" methode.

De standaardmethode is beveiligd LDAP of LDAP. U kunt andere methoden opgeven, zoals TLS:

# authentication ldap ssl enable method start_tls

Beveiligde LDAP is ingeschakeld met de knop "start_tls" methode.

  1. Schakel SSL uit met behulp van de "authentication ldap ssl disable" commando:
# authentication ldap ssl disable Secure LDAP is disabled.

LDAP-servercertificaatverificatie configureren met geïmporteerde CA-certificaten.

U kunt het gedrag van het TLS-aanvraagcertificaat wijzigen.

Stappen

  1. Wijzig het gedrag van het TLS-aanvraagcertificaat met behulp van de "authentication ldap ssl set tls_reqcert" commando.

Controleer het certificaat niet:

# authentication ldap ssl set tls_reqcert never “tls_reqcert” set to "never".

LDAP-servercertificaat is niet geverifieerd.

 
OPMERKING: Als LDAP is geconfigureerd voor Active Directory, kan het gedrag van het TLS-aanvraagcertificaat niet worden ingesteld op nooit.

Controleer het certificaat:

# authentication ldap ssl set tls_reqcert demand

"tls_reqcert" ingesteld op "Vraag". LDAP-servercertificaat is geverifieerd.

  1. Reset het gedrag van het TLS-aanvraagcertificaat met behulp van de "authentication ldap ssl reset tls_reqcert" commando.

Het standaardgedrag is demand:

# authentication ldap ssl reset tls_reqcert

"tls_reqcert" is ingesteld op "vraag". LDAP-servercertificaat wordt geverifieerd met een geïmporteerd CA-certificaat. Gebruik "adminaccess" CLI om het CA-certificaat te importeren.

CA-certificaten voor LDAP beheren.

U kunt certificaten importeren of verwijderen en de huidige certificaatgegevens weergeven.

Stappen

  1. Importeer een CA-certificaat voor LDAP-servercertificaatverificatie met behulp van de knop "adminaccess certificate import" commando.

Geef LDAP op voor CA-toepassing:

# adminaccess certificate import {host application {all | aws-federal | ddboost | https | keysecure | dsm | ciphertrust | gklm | } | ca application {all | cloud | ddboost | ldap | login-auth | keysecure | dsm | rsa-securid | ciphertrust | gklm | }} [file ]
  1. Verwijder een CA-certificaat voor LDAP-servercertificaatverificatie met behulp van de "adminaccess" certificate delete opdracht. Geef LDAP op voor applicatie:
# adminaccess certificate delete {subject | fingerprint } [application {all | aws-federal | cloud | ddboost | ldap | login-auth | https | keysecure | dsm | ciphertrust | gklm | support | }]
  1. Huidige CA-certificaatinformatie voor LDAP-servercertificaatverificatie weergeven met behulp van de "adminaccess certificate show" commando:
# adminaccess certificate show imported-ca application ldap

Additional Information

Poorten voor Active Directory

Poort Protocol Poort configureerbaar Beschrijving
53 TCP/UDP Openen: DNS (als AD ook de DNS is)
88 TCP/UDP Openen: Kerberos
139 TCP Openen: NetBios - NetLogon
389 TCP/UDP Openen: LDAP
445 TCP/UDP Nee Gebruikersverificatie en andere communicatie met AD
3268 TCP Openen: Globale catalogusvragen
636 TCP  Openen:  LDAPS - beveiligde LDAP via SSL/TLS
3269 TCP Openen:  LDAPS (LDAP via SSL) naar de globale catalogus: wordt gebruikt voor beveiligde directory-query's over domeinen in een forest heen.

LDAP

Wanneer Federal Information Processing Standards (FIPS) is ingeschakeld, moet de LDAP-client die op een systeem of DDVE wordt uitgevoerd, TLS gebruiken.

# authentication ldap ssl enable method start_tls Otherwise, enabling FIPS compliance mode fails.

Bij een nieuwe installatie en upgrade worden LDAP SSL-coderingen niet expliciet ingesteld.
Wanneer de FIPS-nalevingsmodus is ingeschakeld, worden de LDAP SSL-coderingen ingesteld op het volgende:

  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES256-SHA384
  • DHE-RSA-AES256-GCM-SHA384
  • DHE-RSA-AES256-SHA256
  • AES256-GCM-SHA384
  • AES256-SHA256
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-SHA256
  • DHE-RSA-AES128-GCM-SHA256
  • DHE-RSA-AES128-SHA256
  • AES128-GCM-SHA256
  • AES128-SHA256

De geconfigureerde cipher-list moet zijn: ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128- SHA256

Wanneer FIPS is uitgeschakeld, wordt deze ingesteld op "", een lege tekenreeks.

Een verificatieserver gebruiken voor het verifiëren van gebruikers voordat beheerderstoegang wordt verleend.

DD ondersteunt meerdere naamserverprotocollen, zoals LDAP, NIS en AD. DD raadt aan om OpenLDAP te gebruiken met FIPS ingeschakeld. DD beheert alleen lokale accounts. DD raadt aan om UI of CLI te gebruiken om LDAP te configureren.

  • GEBRUIKERSINTERFACE: Bestuur >Toegang >Authenticatie
  • CLI: LDAP-opdrachten voor authenticatie

Active Directory kan ook worden geconfigureerd voor gebruikersaanmeldingen met FIPS ingeschakeld. Toegang tot CIFS-data met AD-gebruikers wordt echter niet langer ondersteund met die configuratie.

LDAP voor NFS (Network File System) ID-toewijzing

Data Domain- en PowerProtect-systemen kunnen LDAP gebruiken voor NFSv4 ID-toewijzing en NFSv3 of NFSv4 Kerberos met LDAP. De gebruiker kan Secure LDAP ook configureren met LDAPS of "start_TLS" methode. De LDAP-clientverificatie kan gebruikmaken van Bind DN of Binding PW, maar systemen bieden geen ondersteuning voor op certificaten gebaseerde LDAP-clientverificatie.


OPMERKING: De lokale gebruikers-ID begint met het getal 500. Bij het instellen van LDAP kan een vergelijkbaar gebruikers-ID-bereik (500-1000) niet worden gebruikt of treedt er een gebruikers-ID-botsing op. Als er sprake is van een botsing met een gebruikers-ID, worden bestanden die eigendom zijn van een naam-LDAP-servicegebruiker toegankelijk voor de andere gebruikers als gevolg van configuratiefouten.

Affected Products

Data Domain
Article Properties
Article Number: 000204241
Article Type: How To
Last Modified: 29 Oct 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.