НАН України: Як керувати файлом Unisphere за допомогою користувачів Active Directory/LDAP

У цій статті описано кроки з налаштування LDAP для керування Unisphere for File на eNAS за допомогою імені облікового запису Windows.
Конфігурація розділена на три основні розділи для зручності розуміння та налаштування.
РОЗДІЛ A – містить список усіх параметрів конфігурації, необхідних для LDAPS (сценарій A) або LDAP (сценарій B).
РОЗДІЛ B - Перевірка конфігурації
LDAP РОЗДІЛ C - Призначення ролей групі LDAP

Передумовою: Проконсультуйтеся зі своїм адміністратором AD/LDAP і зберіть необхідну інформацію, зазначену нижче, перш ніж почати налаштування "Керування доменом LDAP".

РОЗДІЛ A - Параметри конфігурації в залежності від того, чи хочете ви використовувати LDAPS або LDAP

Сценарій A – параметри конфігурації, необхідні для LDAPS

1. Увійдіть в Unisphere, використовуючи IP-адресу диспетчерської станції eNAS.
2. У випадаючому меню «Усі системи» виберіть відповідне ім'я хоста станції керування.
3. Перейдіть на вкладку «Налаштування», натисніть «Керування доменом LDAP».
4. У полі "Керування доменом LDAP" введіть дані в обов'язкові поля, за замовчуванням вже заповнено кілька полів, таких як рівень групи Nest, Атрибут ідентифікатора користувача, Атрибут імені користувача, Атрибут імені групи, решту полів потрібно заповнити вручну.
   1. Доменне ім'я: Введіть доменне ім'я Windows.
   2. Основне ім'я хоста або IP-адреса сервера LDAP або AD.
   3. Додаткове ім'я хоста або IP-адреса сервера LDAP або AD
   4. Увімкнено SSH: Позначте цей пункт, щоб використовувати "LDAPS" і завантажити необхідні SSL-сертифікати.
      1. Первинний сертифікат SSL, завантаження нового первинного сертифіката SSL
      2. Сертифікат резервної копії SSL, завантажте новий сертифікат резервної копії SSL
   5. Виберіть номер порту як 636 для LDAPS.
   6. Виберіть тип служби довідника: За замовчуванням Active Directory АБО користувацький Active Directory АБО інші сервери каталогів
      ПРИМІТКА. Вибравши «Custom Active Directory» як тип служби каталогів, ви зможете ввести «Шлях пошуку користувачів і груп»
   7. Ім'я для входу (ім'я з розрізненням прив'язки (DN)) для сервера LDAP/AD.
   8. Прив'язати пароль DN, що відповідає імені для входу в Bind DN.
   9. Шлях пошуку користувача – введіть шлях до пошуку користувача, який ви витягли з Active Directory.
   10. Шлях групового пошуку - введіть шлях пошуку користувача, який ви витягли з Active Directory.

Сценарій B – керування доменом LDAP за допомогою конфігурації LDAP

1. Увійдіть в Unisphere, використовуючи IP-адресу станції управління eNAS.
2. У випадаючому меню «Усі системи» виберіть відповідне ім'я хоста станції керування.
3. Перейдіть на вкладку «Налаштування», натисніть «Керування доменом LDAP».
4. У полі "Керування доменом LDAP" введіть дані в обов'язкові поля, за замовчуванням вже заповнено кілька полів, таких як рівень групи Nest, Атрибут ідентифікатора користувача, Атрибут імені користувача, Атрибут імені групи, решту полів потрібно заповнити вручну.
   1. Доменне ім'я: Введіть доменне ім'я Windows.
   2. Основне ім'я хоста або IP-адреса сервера LDAP або AD.
   3. Додаткове ім'я хоста або IP-адреса сервера LDAP або AD
   4. Увімкнено SSH: Очистіть це поле, щоб використовувати "LDAP".
   5. Виберіть номер порту як 369 для LDAP.
   6. Виберіть тип служби довідника: За замовчуванням Active Directory АБО користувацький Active Directory АБО інші сервери каталогів
      ПРИМІТКА. Вибравши «Custom Active Directory» як тип служби каталогів, ви зможете ввести «Шлях пошуку користувачів і груп»
   7. Ім'я для входу (ім'я з розрізненням прив'язки (DN)) для сервера LDAP/AD.
   8. Прив'язати пароль DN, що відповідає імені для входу в Bind DN.
   9. Шлях пошуку користувача – введіть шлях до пошуку користувача, який ви витягли з Active Directory.
   10. Шлях групового пошуку - введіть шлях пошуку користувача, який ви витягли з Active Directory.

РОЗДІЛ B - Перевірка конфігурації

• Наступним кроком є перевірка цієї конфігурації за допомогою кнопки «Тест» у нижній частині вікна «Керування доменом LDAP».
• Перевірка має бути успішною, якщо всі деталі конфігурації, введені у вищезазначених кроках, є дійсними.

РОЗДІЛ C - Призначення ролей групі LDAP

Після успішного виконання «Тесту» у вікні «Керування доменом LDAP» перейдіть до додавання групи Windows і призначення ролі цій групі Windows, виконавши наведені нижче дії:

1. Як користувач "Root", перейдіть до Налаштування > Налаштування Налаштування Користувача Безпеки > -> Групи
2. Натисніть кнопку "Створити", під "Назва групи" введіть назву для Групи.
3. Виберіть роль, яку ви хочете призначити, наприклад: Адміністратор
4. Виберіть «Тип групи», у цьому випадку це має бути «Група зіставлених доменів LDAP».
5. Під полем "Назва зіставленої групи" введіть точну назву групи Windows, яку ви плануєте використовувати.
6. Натисніть «Застосувати» та «ОК».
7. Нарешті, щоб перевірити, увійдіть в Unisphere, встановіть галочку "Використовувати LDAP", введіть ім'я облікового запису Windows і його пароль, який додається до групи LDAP, і підтвердьте доступ.

Зверніться до «Посібника з конфігурації безпеки для VNX P/N 300-015-128 REV. 04» для отримання додаткової інформації

Стандартний Active Directory :-Якщо
шляхи користувача та групи є CN=Users,DC=<доменний компонент,DC>=<доменний компонент[>, DC=<доменний компонент> ]
(наприкладCN=Користувачі,DC=derbycity,DC=локальний), ви можете використовувати опцію Active Directory за замовчуванням у поданні Unisphere Manage LDAP Domain.

Customer Active Directory :-
Користувачі можуть не бути в контейнері за замовчуванням (CN=Users). Натомість вони можуть бути розташовані в інших контейнерах або організаційних одиницях у каталозі, наприклад Користувачі Celerra. У цьому випадку вам слід скористатися параметром Custom Active Directory в режимі перегляду Unisphere Manage LDAP Domain і вручну ввести шляхи пошуку.