eNAS: Управление Unisphere для файлов с помощью пользователей Active Directory/LDAP

В этой статье описаны шаги по настройке LDAP для управления Unisphere для файлов на eNAS с использованием имени учетной записи Windows.
Для простоты понимания и настройки конфигурация разделена на три основных раздела.
РАЗДЕЛ A — перечень всех параметров конфигурации, необходимых для LDAPS (сценарий A) или LDAP (сценарий B).
РАЗДЕЛ B — Проверка конфигурации
LDAP РАЗДЕЛ C — Назначение ролей группе LDAP

Предварительные требования Перед началом настройки параметра «Управление доменом LDAP» обратитесь к администратору AD/LDAP и соберите необходимую информацию, указанную ниже.

РАЗДЕЛ A - Параметры конфигурации в зависимости от того, какой режим требуется использовать: LDAPS или LDAP

Сценарий А. Параметры конфигурации, необходимые для LDAPS

1. Войдите в Unisphere, используя IP-адрес управляющей станции eNAS.
2. В раскрывающемся списке «Все системы» выберите имя хоста соответствующей управляющей станции.
3. Перейдите на вкладку Settings и нажмите «Manage LDAP Domain».
4. В разделе «Manage LDAP Domain» введите сведения в обязательные поля. По умолчанию некоторые поля уже заполнены, например «Уровень вложенной группы», «Атрибут идентификатора пользователя», «Атрибут имени пользователя», «Атрибут имени группы», остальные поля необходимо заполнить вручную.
   1. Доменное имя: Введите имя домена Windows.
   2. Основное имя хоста или IP-адрес сервера LDAP или AD
   3. Дополнительное имя хоста или IP-адрес сервера LDAP или AD
   4. Протокол SSH включен: Установите этот флажок, чтобы использовать «LDAPS» и загрузить необходимые SSL-сертификаты.
      1. Основной сертификат SSL, загрузка нового основного сертификата SSL
      2. Сертификат резервного копирования SSL, загрузка нового сертификата резервного копирования SSL
   5. Выберите для LDAPS номер порта 636.
   6. Выберите тип службы каталогов: Active Directory по умолчанию ИЛИ пользовательская Active Directory ИЛИ другие серверы Directory
      ПРИМЕЧАНИЕ. Если выбрать «Custom Active Directory» в качестве типа службы каталогов, можно ввести «User and Group Search Path»
   7. Имя входа (Привязать отличительное имя (DN)) для сервера LDAP/AD.
   8. Привязать пароль DN, соответствующий имени входа в привязку DN.
   9. User Search Path — введите путь для поиска пользователя, извлеченный из Active Directory.
   10. Путь поиска группы — введите путь поиска пользователя, извлеченный из Active Directory.

Сценарий Б. Управление доменом LDAP с помощью конфигурации LDAP

1. Войдите в Unisphere, используя IP-адрес управляющей станции eNAS.
2. В раскрывающемся списке «Все системы» выберите имя хоста соответствующей управляющей станции.
3. Перейдите на вкладку Settings и нажмите «Manage LDAP Domain».
4. В разделе «Manage LDAP Domain» введите сведения в обязательные поля. По умолчанию некоторые поля уже заполнены, например «Уровень вложенной группы», «Атрибут идентификатора пользователя», «Атрибут имени пользователя», «Атрибут имени группы», остальные поля необходимо заполнить вручную.
   1. Доменное имя: Введите имя домена Windows.
   2. Основное имя хоста или IP-адрес сервера LDAP или AD
   3. Дополнительное имя хоста или IP-адрес сервера LDAP или AD
   4. Протокол SSH включен: Снимите этот флажок, чтобы использовать «LDAP».
   5. Выберите для LDAP номер порта 369.
   6. Выберите тип службы каталогов: Active Directory по умолчанию ИЛИ пользовательская Active Directory ИЛИ другие серверы Directory
      ПРИМЕЧАНИЕ. Если выбрать «Custom Active Directory» в качестве типа службы каталогов, можно ввести «User and Group Search Path»
   7. Имя входа (Привязать отличительное имя (DN)) для сервера LDAP/AD.
   8. Привязать пароль DN, соответствующий имени входа в привязку DN.
   9. User Search Path — введите путь для поиска пользователя, извлеченный из Active Directory.
   10. Путь поиска группы — введите путь поиска пользователя, извлеченный из Active Directory.

РАЗДЕЛ B - Проверка конфигурации

• Следующим шагом будет тестирование этой конфигурации с помощью кнопки «Test» в нижней части окна «Manage LDAP Domain».
• Проверка должна быть успешной, если все сведения о конфигурации, введенные на указанных выше шагах, действительны.

РАЗДЕЛ C. Назначение ролей группе LDAP

После успешного завершения теста в окне «Управление доменом LDAP» добавьте группу Windows и назначьте роль этой группе Windows, выполнив следующие действия.

1. В качестве пользователя root перейдите в раздел Настройки > Безопасность > пользовательской настройки —> группы
2. Нажмите кнопку «Create», в разделе «Group Name» введите имя группы.
3. Выберите роль, которую необходимо назначить, например: Администратор
4. Выберите «Group Type», в данном случае это должна быть «LDAP Domain Mapped Group».
5. В поле «Mapped Group Name» введите точное имя группы Windows, которую вы планируете использовать.
6. Нажмите «Apply», затем «OK».
7. Наконец, для проверки войдите в Unisphere, установите флажок «Использовать LDAP», введите имя учетной записи Windows и пароль к ней, добавленный в группу LDAP, и подтвердите доступ.

Дополнительные сведения см. в руководстве по настройке системы безопасности для VNX, P/N 300-015-128, ред. 04

Active Directory по умолчанию:
если пути пользователя и группы — CN = Users, DC =< компонент домена>, DC = компонент домена[, DC =<< компонент> домена> ]
(например, CN = Users, DC = derbycity, DC = local), можно использовать параметр Active Directory по умолчанию в представлении Unisphere Управление доменом LDAP.

Пользователь Active Directory :-
Users может отсутствовать в контейнере по умолчанию (CN = Users). Они могут находиться в других контейнерах или организационных подразделениях каталога, например пользователи Celerra. В этом случае необходимо использовать параметр Настраиваемая Active Directory в представлении Unisphere «Управление доменом LDAP» и вручную ввести пути поиска.