PowerVault ME5: 使用 LDAP 登入失敗,並出現訊息「無法驗證登入,再試一次」

Summary: 可使用 PowerVault ME5 控制器韌體 ME5.1.1.0.5 及更新版本使用 LDAPS 進行驗證。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

系統管理員需要下列資訊,才能設定 PowerVault ME5 上的 LDAP 登入。

  • 控制器韌體 ME5.1.1.0.5 或更新版本

PowerVault ME5 控制器韌體必須為 ME5.1.1.0.5 版或更新版本。如果 ME5 目前的控制器韌體版本是 ME5.1.0.1.0,請參閱 KB 文章207484,PowerVault ME5:無法完成從 ME5.1.0.1.0 到 ME5.1.1.0.5 或更新版本的韌體更新。

  • Windows Server 2016、2019 或 2022 Active Directory提供的輕量型目錄存取通訊協定(LDAPS) 服務,用於使用者驗證和授權

LDAP 伺服器必須是執行 Windows 2016、2019 或 2022 的 Active Directory 伺服器。伺服器必須允許使用 LDAP over SSL (LDAPS) 介面埠 636 進行基本驗證;也就是 TLS v1.2 連線。若要正確設定 LDAP,請參閱您的 Microsoft 作業系統說明文件。  

  • LDAP 伺服器 IP 位址或 DNS 名稱

使用 DNS 時,請設定 PowerVault DNS 設定,以使用與 Microsoft Active Directory 服務相同的 DNS,以確保主機名稱解析度正確。若要在 PowerVault 管理員中設定 DNS,請前往「設定>網路>DNS」。

  • 使用者為相同成員的 Microsoft Active Directory 搜尋基座辨別名稱使用者原則名稱,以及 Active Directory 群組 。在 Windows Server 2016、2019 或 2022 Active Directory 中建立新的使用者物件時,會填入 sAMAccountName 和 userPrincipalName 屬性。
LDAP 搜尋基底欄位使用 辨別名稱(DN) 格式。例如,ou=colo、dc=bigco2、dc=com、dc=local

PowerVault Manager 使用 UserPrincipalName (UPN) 登入 LDAP,這會採用 username@domain格式com.Active Directory 系統管理員可以檢查此屬性是否已設定。Windows Server 系統管理員可以使用 PowerShell 中的Get-ADUser模組來檢視使用者詳細資料和群組成員資格。

建議:

使用者只能是存在於儲存系統中的一個群組的成員。屬於儲存系統中一個以上 LDAP 群組成員的使用者可能具有許可權或組態參數不一致。

LDAP 使用者在不超過 100 個 LDAP 群組中。

例如,為名為 Tom 的使用者檢視 UserPrincipleName 和辨別名稱:

PS > Get-ADUser -Identity Tom

DistinguishedName : CN=Tom,CN=Users,DC=Liverpool,DC=Anfield,DC=Net
Enabled           : True
GivenName         : Tom
Name              : Tom Smith
ObjectClass       : user
ObjectGUID        : 6a2bda7c-eb1f-41b3-897e-00048053084a
SamAccountName    : Tom
SID               : S-1-5-21-2317057084-3148409499-2425250475-1248
Surname           : Smith
UserPrincipalName : tom_smith@liverpool.anfield.net


例如,檢視使用者 Tom 的群組成員資格:

PS > Get-ADUser Tom -Properties Memberof

DistinguishedName : CN=Tom,CN=Users,DC=Liverpool,DC=Anfield,DC=Net
Enabled           : True
GivenName         : Tom
MemberOf          : {CN=Liverpool_ME5_Admins,OU=Groups,DC=Liverpool,DC=Anfield,DC=Net, CN=ESX Admins,OU=Groups,DC=Liverpool,DC=Anfield,DC=Net, CN=Administrators,CN=Builtin,DC=Liverpool,DC=Anfield,DC=Net}
Name              : Tom Smith
ObjectClass       : user
ObjectGUID        : 6a2bda7c-eb1f-41b3-897e-00048053084a
SamAccountName    : Tom
SID               : S-1-5-21-2317057084-3148409499-2425250475-1248
Surname           : Smith
UserPrincipalName : tom_smith@liverpool.anfield.net
注意:Windows PowerShell 的 Active Directory 模組必須啟用或安裝在主機上,才能在 PowerShell 中使用Get-ADUser模組。請參閱 Microsoft 說明文件,因為安裝此模組的程式會隨使用的 PowerShell 和 Windows 主機版本而有所不同。


從上述範例:

  • sAMAccountName Tom 的搜尋基座為CN=Users、DC=Appliance、DC=Anfield、DC=Net
  • 使用者專名為tom_smith@liverpool安網
  • Tom 是群組Liverpool_ME5_Admins的成員


在 PowerVault Manager 中設定 LDAP

  1. 前往 LDAP 使用者面板 (設定>使用者>LDAP) 

PowerVault Manager - LDAP 組態
圖 1:PowerVault Manager - LDAP 組態

  1. 設定使用者群組 

PowerVault Manager - 使用者群組
圖 2:PowerVault Manager - 使用者群組

  1. 登入 PowerVault Manager,並使用 UserPrincipalName (UPN)、username@domainCom。

PowerVault Authentication Manager - 登入
圖 3:PowerVault Authentication Manager - 登入

  1. 使用 SSH 用戶端登入時,請使用 ssh tom_smith@liverpool格式安網net@192.168.0.33。某些 SSH 用戶端可能需要使用網域使用者名稱格式。例如,ssh Anfield\\tom_smith@192168.0.33


更多資訊

使用者透過本機和 LDAP 使用者的所有介面登入、登出和動作會記錄在可從維護>支援>稽核記錄活動存取的稽核記錄檔中。

如需詳細資訊,請參閱「系統概念 > LDAP」一節底下的《Dell PowerVault ME5 系列系統管理員指南》。系統管理員指南位於 ME5 產品的「說明文件」標籤底下 Dell.com/support。

先前的 PowerVault ME4 世代產品不提供 LDAP 驗證。

Affected Products

PowerVault ME5012, PowerVault ME5024, PowerVault ME5084
Article Properties
Article Number: 000210840
Article Type: How To
Last Modified: 22 Nov 2023
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.