eNAS：如何使用 Active Directory/LDAP 用户管理 Unisphere for File

本文介绍配置 LDAP 以使用 Windows 帐户名称管理 eNAS 上的 Unisphere for File 的步骤。
为便于理解和设置，配置分为三个主要部分。
第 A 节 — 列出 LDAPS（方案 A）或 LDAP（方案 B）所需的所有配置参数。
第 B 节 — 验证 LDAP 配置
第 C 节 — 向 LDAP 组分配角色

前提条件：在开始设置“管理 LDAP 域”之前，请咨询您的 AD/LDAP 管理员并收集下面提到的必要信息。

第 A 节 - 基于您是要使用 LDAPS 还是 LDAP 的配置参数

方案 A — LDAPS 所需的配置参数

1. 使用 eNAS 控制台的 IP 地址登录到 Unisphere。
2. 在“All Systems”下拉列表下，选择相应的控制台主机名。
3. 转至“设置”选项卡，单击“管理LDAP域”。
4. 在“Manage LDAP Domain”的必填字段中输入详细信息，默认情况下已填充少数字段，例如 Nest Group Level、User ID Attribute、User Name Attribute、Group Name Attribute，其余字段必须手动填充。
   1. 域名：输入您的 Windows 域名。
   2. LDAP 或 AD 服务器的主要主机名或 IP 地址
   3. LDAP 或 AD 服务器的次要主机名或 IP 地址
   4. SSH 已启用：选中此框以使用“LDAPS”并上传必要的 SSL 证书。
      1. SSL 主证书，上传新的 SSL 主证书
      2. SSL 备份证书，上传新的 SSL 备份证书
   5. 对于 LDAPS，选择端口号为 636。
   6. 选择目录服务类型：默认 Active Directory 或自定义 Active Directory 或其他目录服务器
      提醒：选择“Custom Active Directory”作为目录服务类型，即可选择输入“用户和组搜索路径”
   7. LDAP/AD 服务器的登录名（绑定可分辨名称 （DN））。
   8. 与绑定 DN 登录名对应的绑定 DN 密码。
   9. 用户搜索路径 — 输入从 Active Directory 提取的用户搜索路径。
   10. 组搜索路径 — 输入从 Active Directory 提取的用户搜索路径。

场景 B — 使用 LDAP 配置管理 LDAP 域

1. 使用 eNAS 的控制台 IP 地址登录到 Unisphere。
2. 在“All Systems”下拉列表下，选择相应的控制台主机名。
3. 转至“设置”选项卡，单击“管理LDAP域”。
4. 在“Manage LDAP Domain”的必填字段中输入详细信息，默认情况下已填充少数字段，例如 Nest Group Level、User ID Attribute、User Name Attribute、Group Name Attribute，其余字段必须手动填充。
   1. 域名：输入您的 Windows 域名。
   2. LDAP 或 AD 服务器的主要主机名或 IP 地址
   3. LDAP 或 AD 服务器的次要主机名或 IP 地址
   4. SSH 已启用：清除此框以使用“LDAP”。
   5. 对于 LDAP，选择端口号 369。
   6. 选择目录服务类型：默认 Active Directory 或自定义 Active Directory 或其他目录服务器
      提醒：选择“Custom Active Directory”作为目录服务类型，即可选择输入“用户和组搜索路径”
   7. LDAP/AD 服务器的登录名（绑定可分辨名称 （DN））。
   8. 与绑定 DN 登录名对应的绑定 DN 密码。
   9. 用户搜索路径 — 输入从 Active Directory 提取的用户搜索路径。
   10. 组搜索路径 — 输入从 Active Directory 提取的用户搜索路径。

第 B 部分 - 验证配置

• 下一步是继续使用“Manage LDAP Domain”窗口底部的“Test”按钮测试此配置。
• 如果在上述步骤中输入的所有配置详细信息均有效，则测试应该会成功。

第 C 节 - 向 LDAP 组分配角色

在“Manage LDAP Domain”窗口中成功进行“测试”后，继续添加 Windows 组并使用以下步骤为该 Windows 组分配角色：

1. 以“Root”用户身份，转至设置 > 安全 > 用户自定义 -> 组
2. 单击“创建”按钮，在“组名称”下输入组的名称。
3. 选择要分配的角色，例如：管理员
4. 选择“Group Type”，在本例中应为“LDAP Domain Mapped Group”。
5. 在“Mapped Group Name”字段下，输入您计划使用的 Windows 组的确切名称。
6. 依次单击“Apply”和“OK”。
7. 最后，要进行验证，请登录到 Unisphere，选中“Use LDAP”复选框，输入添加到 LDAP 组的 Windows 帐户名及其密码，然后确认访问权限。

有关更多详细信息，请参阅“VNX P/N 300-015-128 REV. 04 安全配置指南”

默认 Active Directory：-
如果用户和组路径均为 CN=Users，DC=<domain component，DC>=<domaincomponent>[， DC=<domain component> ]
（例如 CN=Users，DC=derbycity，DC=local），则可以使用UnisphereManage LDAP Domain视图中的Default Active Directory选项。

客户 Active Directory ：-
用户可能不在默认容器中 （CN=Users）。它们可能位于目录中的其他容器或组织单位中，例如 Celerra 用户。在这种情况下，您必须使用 UnisphereManage LDAP Domain视图中的 Custom Active Directory选项，并手动输入搜索路径。