Data Domain: LDAP-veiledning

Summary: Lightweight Directory Access Protocol-godkjenning (LDAP): Data Domain- og PowerProtect-systemer kan bruke LDAP-godkjenning for brukere som logger på via CLI eller UI. LDAP-tjenerne som støttes, er OpenLDAP, Oracle og Microsoft Active Directory. Når Active Directory er konfigurert i denne modusen, deaktiveres imidlertid CIFS-datatilgangen (Common Internet File System) for Active Directory-brukere og -grupper. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Informasjonen og trinnene i denne veiledningen fungerer med DD OS 7.9 og nyere


Vise informasjon om LDAP-godkjenning

LDAP-godkjenning-panelet viser LDAP-konfigurasjonsparametrene og om LDAP-godkjenning er aktivert eller deaktivert.
Hvis du aktiverer LDAP**, kan du bruke en eksisterende OpenLDAP-tjener eller distribusjon for **brukergodkjenning på systemnivå**, **NFSv4-ID-tilordning** og **NFSv3 eller NFSv4 Kerberos med LDAP.

Trinn

  1. Velg Godkjenning av administrasjonstilgang >>. Godkjenning-visningen vises.
  2. Utvid panelet LDAP-godkjenning.

Aktivere og deaktivere LDAP-godkjenning Bruk LDAP-godkjenningspanelet til å aktivere, deaktivere eller tilbakestille LDAP-godkjenning.

 

MERK: Det må finnes en LDAP-tjener før LDAP-godkjenning aktiveres.


Trinn

  1. Velg Godkjenning av administrasjonstilgang >>. Godkjenning-visningen vises.
  2. Utvid LDAP-godkjenningspanelet.
  3. Klikk på Aktiver ved siden av LDAP-status for å aktivere eller deaktivere for å deaktivere LDAP-godkjenning.
    Dialogboksen Aktiver eller deaktiver LDAP-godkjenning vises.
  4. Klikk på OK.

Tilbakestille LDAP-godkjenning.

Tilbakestill-knappen deaktiverer LDAP-godkjenning og sletter LDAP-konfigurasjonsinformasjonen.

Konfigurere LDAP-godkjenning

Bruk LDAP-godkjenningspanelet til å konfigurere LDAP-godkjenning.

Trinn

  1. Velg Godkjenning av administrasjonstilgang >>. Godkjenning-visningen vises.
  2. Utvid panelet LDAP-godkjenning.
  3. Klikk på Konfigurer. Dialogboksen Konfigurering av LDAP-godkjenning vises.
  4. Angi basesuffikset i feltet Basesuffiks.
  5. Angi kontonavnet som skal knyttes til LDAP-tjeneren, i feltet Bind DN.
  6. Angi passordet for Bind DN-kontoen i feltet Bind passord.
  7. Alternativt velger du Aktiver SSL.
  8. Alternativt kan du velge Behovsserversertifikat for å kreve at beskyttelsessystemet importerer et CA-sertifikat fra LDAP-serveren.
  9. Klikk på OK.
  10. Hvis det er nødvendig senere, klikker du på Tilbakestill for å tilbakestille LDAP-konfigurasjonen til standardverdiene.

Angi LDAP-godkjenningsservere

Om denne oppgaven
Bruk LDAP-godkjenningspanelet til å angi LDAP-godkjenningsservere.
Forutsetninger LDAP-godkjenning må deaktiveres før konfigurering av en LDAP-tjener.
 

MERK: Data Domain System Manager (DDSM)-ytelsen ved pålogging med LDAP reduseres etter hvert som antallet hopp mellom systemet og LDAP-serveren øker.

 

Trinn

  1. Velg Godkjenning av administrasjonstilgang >>. Godkjenning-visningen vises.
  2. Utvid LDAP-godkjenningspanelet.
  3. Klikk på +-knappen for å legge til en server.
  4. Angi LDAP-tjeneren i ett av følgende formater:
    • IPv4-adresse: nn.nn.nn.nn
    • IPv6-adresse: [FF::XXXX:XXXX:XXXX:XXXX]
    • Vertsnavn: myldapserver.FQDN
  5. Klikk på OK.

Konfigurere LDAP-grupper

Bruk LDAP-godkjenningspanelet til å konfigurere LDAP-grupper.

Om denne oppgaven
LDAP-gruppekonfigurasjon gjelder bare ved bruk av LDAP for brukergodkjenning på beskyttelsessystemet.

Trinn

  1. Velg Godkjenning av administrasjonstilgang >>. Godkjenning-visningen vises.
  2. Utvid LDAP-godkjenningspanelet.
  3. Konfigurere LDAP-gruppene i LDAP-gruppetabellen.
    • Hvis du vil legge til en LDAP-gruppe, klikker du på Legg til-knappen (+), skriver inn LDAP-gruppens navn og rolle og klikker på OK.
    • Hvis du vil endre en LDAP-gruppe, markerer du avkrysningsruten for gruppenavnet i LDAP-gruppelisten og klikker på Rediger (blyant). Endre navnet på LDAP-gruppen, og klikk på OK.
    • Hvis du vil fjerne en LDAP-gruppe, markerer du LDAP-gruppen i listen og klikker på Slett (X).

Bruke CLI til å konfigurere LDAP-godkjenning.

Hvis du aktiverer LDAP**, kan du **konfigurere en eksisterende OpenLDAP-tjener eller implementering** for **brukerautentisering på systemnivå**, **NFSv4 ID-tilordning** og **NFSv3 eller NFSv4 Kerberos med LDAP.

Dette kan ikke konfigureres hvis LDAP-godkjenning allerede er konfigurert for Active Directory.

Konfigurere LDAP-godkjenning for Active Directory

DDOS støtter bruk av LDAP-godkjenning for Active Directory.
LDAP-godkjenning med Active Directory** begrenser CIFS-datatilgang for Active Directory-brukere og -grupper, slik at bare lokale brukere får tilgang til CIFS-delinger på systemet.
Bare CLI- og UI-pålogginger er tillatt for Active Directory-brukere med denne konfigurasjonen.

Forutsetninger
Kontroller at miljøet oppfyller følgende krav for å konfigurere LDAP-godkjenning for Active Directory:

  • TLS/SSL er aktivert for LDAP-kommunikasjon.
  • Active Directory-brukere som har tilgang til beskyttelsessystemet, må ha gyldige UID- og GID-numre.
  • Active Directory-grupper som får tilgang til beskyttelsessystemet, må ha et gyldig GID-nummer.
MERK:
  • Angi ikonet username i formatet <username>, uten å spesifisere et domenenavn.
  • Angi ikonet groupname i formatet <groupname>, uten å spesifisere et domenenavn.
  • Bruker- og gruppenavn skiller ikke mellom store og små bokstaver.

Følgende begrensninger gjelder for LDAP for Active Directory:

  • Microsoft Active Directory er den eneste støttede Active Directory-leverandøren.
  • LDS (Active Directory Lightweight Directory Services) støttes ikke.
  • Det opprinnelige Active Directory-skjemaet for uidNumber og gidNumber Populasjon er det eneste støttede skjemaet. Det er ingen støtte for tredjepartsverktøy integrert med Active Directory.

Om denne oppgaven
LDAP-godkjenning for Active Directory kan ikke brukes med Active Directory- eller Kerberos-godkjenning for CIFS.
CLI er den eneste måten å konfigurere dette alternativet på.

Trinn
Kjør kommandoen authentication LDAP base set base name type active-directory for å aktivere LDAP-godkjenning for Active Directory.


MERK: Kommandoen mislykkes hvis CIFS-godkjenningen allerede er konfigurert som Active Directory. 
# authentication ldap base set "dc=anvil,dc=team" type active-directory


Konfigurere LDAP-tjenere.

Du kan konfigurere én eller flere LDAP-tjenere samtidig. Konfigurer servere fra stedet nærmest beskyttelsessystemet for å sikre minimal ventetid.

Om denne oppgaven


MERK: LDAP må deaktiveres når du endrer konfigurasjonen.
 

Angi LDAP-tjeneren i ett av følgende formater:

  • IPv4 address—10.<A>.<B>.<C>
  • IPv4 address with port number—10.<A>.<B>.<C>:400
  • IPv6 address—[::ffff:9.53.96.21]
  • IPv6 address with port number—[::ffff:9.53.96.21]:400
  • Hostname—myldapserver
  • Hostname with port number—myldapserver:400

Når du konfigurerer flere servere:

  • Skill hver server med et mellomrom.
  • Den første tjeneren som er oppført når du bruker kommandoen for å legge til LDAP-godkjenningsservere, blir primærtjeneren.
  • Hvis noen av serverne ikke kan konfigureres, mislykkes kommandoen for alle serverne som er oppført.

Trinn

  1. Legg til én eller flere LDAP-tjenere ved hjelp av "authentication ldap servers add" kommando:
# authentication ldap servers add 10.A.B.C 10.X.Y.Z:400
LDAP server(s) added
LDAP Server(s): 2
# IP Address/Hostname
--- ---------------------
1. 10.A.B.C (primary)
2. 10.X.Y.Z:400
--- ---------------------
  1. Fjern én eller flere LDAP-tjenere ved hjelp av "authentication ldapservers del" kommando:
# authentication ldap servers del 10.X.Y.Z:400
LDAP server(s) deleted.
LDAP Servers: 1
# Server
- ------------ ---------
1 10.A.B.C (primary)
- ------------ ---------
3. Remove all LDAP servers by using the authentication ldap servers reset command:
# authentication ldap servers reset
LDAP server list reset to empty.

Konfigurere LDAP-basesuffikset.
Basissuffikset er grunn-DN for søk, og det er her LDAP-katalogen begynner å søke.

Om denne oppgaven
Angi basissuffikset for OpenLDAP eller Active Directory.


MERK: Basesuffikset kan ikke angis for både OpenLDAP og Active Directory.


Brukerpålogging er bare tillatt fra det primære Active Directory-domenet. Brukere og grupper fra klarerte Active Directory-domener støttes ikke.
Angi basissuffikset for OpenLDAP.

Trinn
Angi LDAP-basesuffikset ved hjelp av "authentication ldap base set" kommando:

# authentication ldap base set "dc=anvil,dc=team"
LDAP base-suffix set to "dc=anvil,dc=team".

Trinn

  1. Angi LDAP-basesuffikset ved hjelp av "authentication ldap base set" kommando:
# authentication ldap base set "dc=anvil,dc=team" type active-directory
LDAP base-suffix set to "dc=anvil,dc=team".

MERK: I dette eksemplet vil alle brukere i dd-admins LDAP group har administrative rettigheter på beskyttelsessystemet. 
# authentication ldap groups add dd-admins role admin
LDAP Group Role
---------- -----
dd-admins admin
---------- -----
Reset the LDAP base suffix

Trinn
Tilbakestill LDAP-basesuffikset ved hjelp av "authentication ldap base reset" kommando:

# authentication ldap base reset

LDAP-basesuffiks tilbakestilles til tom.

Konfigurere LDAP-klientgodkjenning.
Konfigurer kontoen (Bind DN) og passordet (Bind PW) som brukes til å godkjenne med LDAP-tjeneren og foreta spørringer.

Om denne oppgaven
Du bør alltid konfigurere Bind DN og passord. I prosessen krever LDAP-tjenere godkjente bindinger som standard. Hvis client-auth er ikke angitt, anonym tilgang er forespurt, og gir ingen navn eller passord.

Utgangen av "authentication ldap show" kommandoen er som følger:

# authentication ldap show

LDAP configuration
 Enabled: yes (*)
 Base-suffix: dc=u2,dc=team
 Binddn: (anonymous)
 Server(s): 1
# Server
- ------------- ---------
1 10.207.86.160 (primary)
- ------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

(*) Krever omstart av filsystemet for at konfigurasjonen skal tre i kraft.

Hvis binddn er angitt ved hjelp av client-auth CLI, men bindpw ikke er gitt, blir det bedt om ikke-autentisert tilgang.

# authentication ldap client-auth set binddn "cn=Manager,dc=u2,dc=team"

Enter bindpw:
** Bindpw er ikke oppgitt. Uautorisert tilgang vil bli forespurt.
LDAP-klientgodkjenning binddn satt til "cn=Manager,dc=u2,dc=team".

Trinn

  1. Angi Bind DN og passord ved hjelp av "authentication ldap client-auth set binddn" kommando:
# authentication ldap client-auth set binddn "cn=Administrator,cn=Users,dc=anvil,dc=team"

Enter bindpw:
LDAP-klientgodkjenning binddn er satt til:
"cn=Administrator,cn=Users,dc=anvil,dc=team»

  1. Tilbakestill Bind DN og passordet ved hjelp av "authentication ldap client-auth reset" kommando:
# authentication ldap client-auth reset

LDAP-klientgodkjenningskonfigurasjon tilbakestilles til tom.

Aktiver LDAP.

Forutsetninger
Det må finnes en LDAP-konfigurasjon før LDAP aktiveres.
Du må også deaktivere NIS, sørge for at LDAP-tjeneren er tilgjengelig og kunne spørre rot-DSE-en til LDAP-tjeneren.

Trinn

  1. Aktiver LDAP ved hjelp av "authentication ldap enable" kommando:
# authentication ldap enable

Detaljene for LDAP-konfigurasjonen vises, som du kan bekrefte før du fortsetter. For å fortsette, skriv Ja og start filsystemet på nytt for at LDAP-konfigurasjonen skal tre i kraft.

Vis gjeldende LDAP-konfigurasjon ved hjelp av "authentication ldap show" kommando:


MERK: Hvis systemet er konfigurert til å bruke LDAP for Active Directory, inkluderer utdataene et Servertype-felt for å indikere at det er koblet til en Active Directory-tjener. 
# authentication ldap show
LDAP configuration
 Enabled: no
 Base-suffix: dc=anvil,dc=team
 Binddn: cn=Administrator,cn=Users,dc=anvil,dc=team
 Server(s): 2
# Server
- ---------------- ---------
1 10.26.16.250 (primary)
2 10.26.16.251:400
- ---------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

Detaljer om grunnleggende LDAP- og sikker LDAP-konfigurasjon vises.

3. View the current LDAP status by using the authentication ldap status command:
# authentication ldap status
The LDAP status is displayed. If the LDAP status is not good, the problem is identified in the output.
For example:
# authentication ldap status
Status:invalid credentials
or
# authentication ldap status
Status: invalid DN syntax
4. Disable LDAP by using the authentication ldap disable command:
# authentication ldap disable LDAP is disabled.

Aktiver sikker LDAP.

Du kan konfigurere DDR til å bruke sikker LDAP ved å aktivere SSL.
For LDAP for Active Directory konfigurerer du sikker LDAP med SSL/TLS-alternativer.
Forutsetninger Hvis det ikke finnes et LDAP CA-sertifikat og tls_reqcert er satt til etterspørsel, operasjonen mislykkes.
Importer et LDAP CA-sertifikat, og prøv på nytt. Hvis tls_reqcert er angitt til aldri, er et LDAP CA-sertifikat ikke nødvendig.

Trinn

  1. Aktiver SSL ved hjelp av "authentication ldap ssl enable" kommando:
# authentication ldap ssl enable

Secure LDAP er aktivert med "ldaps" metode.

Standardmetoden er sikker LDAP eller LDAP. Du kan angi andre metoder, for eksempel TLS:

# authentication ldap ssl enable method start_tls

Secure LDAP er aktivert med "start_tls" metode.

  1. Deaktiver SSL ved hjelp av "authentication ldap ssl disable" kommando:
# authentication ldap ssl disable Secure LDAP is disabled.

Konfigurere LDAP-serversertifikatverifisering med importerte CA-sertifikater.

Du kan endre virkemåten for sertifikatet for TLS-forespørsel.

Trinn

  1. Endre virkemåten for sertifikat for TLS-forespørsel ved hjelp av "authentication ldap ssl set tls_reqcert" kommando.

Ikke bekreft sertifikatet:

# authentication ldap ssl set tls_reqcert never “tls_reqcert” set to "never".

LDAP-serversertifikatet er ikke bekreftet.

 
MERK: Hvis LDAP er konfigurert for Active Directory, kan ikke virkemåten for TLS-forespørselssertifikatet settes til aldri.

Bekreft sertifikatet:

# authentication ldap ssl set tls_reqcert demand

»tls_reqcert" satt til "etterspørsel." LDAP-serversertifikatet er verifisert.

  1. Tilbakestill virkemåten for sertifikat for TLS-forespørsel ved hjelp av "authentication ldap ssl reset tls_reqcert" kommando.

Standard virkemåte er etterspørsel:

# authentication ldap ssl reset tls_reqcert

»tls_reqcert" er satt til "etterspørsel". LDAP Server-sertifikatet verifiseres med et importert CA-sertifikat. Bruk "adminaccess" CLI for å importere CA-sertifikatet.

Administrere CA-sertifikater for LDAP.

Du kan importere eller slette sertifikater og vise gjeldende sertifikatinformasjon.

Trinn

  1. Importer et CA-sertifikat for LDAP-serversertifikatbekreftelse ved hjelp av "adminaccess certificate import" kommando.

Spesifiser LDAP for CA-applikasjon:

# adminaccess certificate import {host application {all | aws-federal | ddboost | https | keysecure | dsm | ciphertrust | gklm | } | ca application {all | cloud | ddboost | ldap | login-auth | keysecure | dsm | rsa-securid | ciphertrust | gklm | }} [file ]
  1. Slett et CA-sertifikat for LDAP-serversertifikatbekreftelse ved hjelp av "adminaccess" Kommando for sletting av sertifikat. Spesifiser LDAP for applikasjon:
# adminaccess certificate delete {subject | fingerprint } [application {all | aws-federal | cloud | ddboost | ldap | login-auth | https | keysecure | dsm | ciphertrust | gklm | support | }]
  1. Vis gjeldende CA-sertifikatinformasjon for sertifikatbekreftelse for LDAP-server ved hjelp av "adminaccess certificate show" kommando:
# adminaccess certificate show imported-ca application ldap

Additional Information

Porter for Active Directory

Port Protokoll Konfigurerbar port Beskrivelse
53 TCP/UDP Åpen DNS (hvis AD også er DNS)
88 TCP/UDP Åpen Kerberos
139 TCP Åpen NetBios - NetLogon
389 TCP/UDP Åpen LDAP
445 TCP/UDP Nei Brukerautentisering og annen kommunikasjon med AD
3268 TCP Åpen Globale katalogspørringer
636 TCP  Åpen  LDAPS – sikker LDAP over SSL/TLS
3269 TCP Åpen  LDAPS (LDAP over SSL) til den globale katalogen – brukes til sikre katalogspørringer på tvers av domener i en skog.

LDAP

Når FIPS (Federal Information Processing Standards) er aktivert, må LDAP-klienten som kjører på et system eller DDVE, bruke TLS.

# authentication ldap ssl enable method start_tls Otherwise, enabling FIPS compliance mode fails.

Ved ny installasjon og oppgradering angis ikke LDAP SSL-chiffer eksplisitt.
Når FIPS-samsvarsmodus er aktivert, er LDAP SSL-chifferne angitt til følgende:

  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES256-SHA384
  • DHE-RSA-AES256-GCM-SHA384
  • DHE-RSA-AES256-SHA256
  • AES256-GCM-SHA384
  • AES256-SHA256
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-SHA256
  • DHE-RSA-AES128-GCM-SHA256
  • DHE-RSA-AES128-SHA256
  • AES128-GCM-SHA256
  • AES128-SHA256

Den konfigurerte chifferlisten skal være: ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128- SHA256

Når FIPS er deaktivert, settes den til "", en tom streng.

Bruke en godkjenningsserver for godkjenning av brukere før du gir administratortilgang.

DD støtter flere navneserverprotokoller som LDAP, NIS og AD. DD anbefaler at du bruker OpenLDAP med FIPS aktivert. DD administrerer bare lokale kontoer. DD anbefaler at du bruker brukergrensesnitt eller CLI til å konfigurere LDAP.

  • UI: Administrasjon >Tilgang >Godkjenning
  • CLI: LDAP-kommandoer for godkjenning

Active Directory kan også konfigureres for brukerpålogginger med FIPS aktivert. CIFS-datatilgang med AD-brukere støttes imidlertid ikke lenger med denne konfigurasjonen.

ID-tilordning for LDAP for Network File System (NFS)

Data Domain- og PowerProtect-systemer kan bruke LDAP for NFSv4-ID-tilordning og NFSv3- eller NFSv4-kerberos med LDAP. Brukeren kan også konfigurere Secure LDAP med enten LDAPS eller "start_TLS" metode. LDAP-klientgodkjenning kan bruke Bind DN eller Bind PW, men systemene støtter ikke sertifikatbasert LDAP-klientgodkjenning.


MERK: Den lokale bruker-IDen starter med tallet 500. Når du konfigurerer LDAP, kan et lignende bruker-ID-område (500–1000) ikke brukes, eller det oppstår en bruker-ID-kollisjon. Hvis det oppstår en bruker-ID-kollisjon, blir filer som eies av en LDAP-tjenestebruker, tilgjengelige for de andre brukerne på grunn av konfigurasjonsfeil.

Affected Products

Data Domain
Article Properties
Article Number: 000204241
Article Type: How To
Last Modified: 29 Oct 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.