Data Domain:LDAP 指南

Summary: 轻量级目录访问协议 (LDAP) 身份验证:Data Domain 和 PowerProtect 系统可以对通过 CLI 或 UI 登录的用户使用 LDAP 身份验证。支持的 LDAP 服务器包括 OpenLDAP、Oracle 和 Microsoft Active Directory。但是,在此模式下配置 Active Directory 时,将禁用 Active Directory 用户和组的通用 Internet 文件系统 (CIFS) 数据访问。 ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

本指南中的信息和步骤适用于 DD OS 7.9 及更高版本


查看 LDAP 身份验证信息

“LDAP Authentication”面板显示 LDAP 配置参数以及 LDAP 身份验证是已启用还是已禁用。
启用 LDAP**可让您使用现有的 OpenLDAP 服务器或部署进行系统级用户身份验证**、**NFSv4 ID 映射**以及**NFSv3 或带 LDAP 的 NFSv4 Kerberos。

步骤

  1. 选择“Administration”>“Access”>“Authentication”。此时将显示“Authentication”视图。
  2. 展开“LDAP Authentication”面板。

启用和禁用 LDAP 身份验证。使用“LDAP Authentication”面板可启用、禁用或重置 LDAP 身份验证。

 

提醒:必须存在 LDAP 服务器才能启用 LDAP 身份验证。


步骤

  1. 选择“Administration”>“Access”>“Authentication”。此时将显示“Authentication”视图。
  2. 展开“LDAP authentication”面板。
  3. 单击LDAP Status旁边的 Enable 以启用或Disable以禁用 LDAP 身份验证。
    此时将显示启用或禁用 LDAP 身份验证对话框。
  4. 单击 OK

重置 LDAP 身份验证。

Reset按钮可禁用 LDAP 身份验证并清除 LDAP 配置信息。

配置 LDAP 身份验证

使用 LDAP 身份验证面板配置 LDAP 身份验证。

步骤

  1. 选择“Administration”>“Access”>“Authentication”。此时将显示“Authentication”视图。
  2. 展开“LDAP Authentication”面板。
  3. 单击 Configure。此时将显示配置 LDAP 身份验证对话框。
  4. 在Base Suffix字段中指定基本后缀。
  5. 在Bind DN字段中指定要与 LDAP 服务器关联的帐户名称。
  6. 在Bind Password字段中指定绑定 DN 帐户的 密码
  7. (可选)选择Enable SSL。
  8. (可选)选择 Demand server certificate 以要求保护系统从 LDAP 服务器导入 CA 证书。
  9. 单击 OK
  10. 如果以后需要,请单击 重置 以将 LDAP 配置恢复为其默认值。

指定 LDAP 身份验证服务器

关于此任务
使用 LDAP 身份验证面板指定 LDAP 身份验证服务器。
前提条件:在配置 LDAP 服务器之前,必须禁用 LDAP 身份验证。
 

提醒:使用 LDAP 登录时,Data Domain System Manager (DDSM) 性能会随着系统与 LDAP 服务器之间的跃点数的增加而降低。

 

步骤

  1. 选择“Administration”>“Access”>“Authentication”。此时将显示“Authentication”视图。
  2. 展开“LDAP authentication”面板。
  3. 单击 +按钮 以添加服务器。
  4. 采用以下格式之一指定 LDAP 服务器:
    • IPv4 地址: nn.nn.nn.nn
    • IPv6 地址: [FF::XXXX:XXXX:XXXX:XXXX]
    • 主机名: myldapserver.FQDN
  5. 单击 OK

配置 LDAP 组

使用 LDAP 身份验证面板配置 LDAP 组。

关于此任务
仅当在保护系统上使用 LDAP 进行用户身份验证时,LDAP 组配置才适用。

步骤

  1. 选择“Administration”>“Access”>“Authentication”。此时将显示“Authentication”视图。
  2. 展开“LDAP authentication”面板。
  3. 在 LDAP 组表中配置 LDAP 组。
    • 要添加 LDAP 组,请点按添加 (+)按钮,输入 LDAP 组名称和角色,然后单击 确定
    • 要修改 LDAP 组,请在 LDAP 组列表中选中组名称对 应的复选框 ,然后单击 编辑 (铅笔图标)。更改 LDAP 组名称,然后单击 确定
    • 要删除 LDAP 组,请在列表中选择该 LDAP 组,然后单击 删除 (X 图标)。

使用 CLI 配置 LDAP 身份验证。

启用 LDAP** 允许您配置现有的 OpenLDAP 服务器或部署**以进行**系统级用户身份验证**、**NFSv4 ID 映射**以及**NFSv3 或带 LDAP 的 NFSv4 Kerberos。

如果已为 Active Directory 配置 LDAP 身份验证,则无法配置此选项。

配置 Active Directory 的 LDAP 身份验证

DDOS 支持对 Active Directory 使用 LDAP 身份验证。
使用 Active Directory 的 LDAP 身份验证**限制了 Active Directory 用户和组的 CIFS 数据访问,仅允许本地用户访问系统上的 CIFS 共享。
对于采用此配置的 Active Directory 用户,仅允许 CLI 和 UI 登录。

先决条件
确保环境满足以下要求,以便为 Active Directory 配置 LDAP 身份验证:

  • 为 LDAP 通信启用了 TLS/SSL。
  • 访问保护系统的 Active Directory 用户必须具有有效的 UID 和 GID 编号。
  • 访问保护系统的 Active Directory 组必须具有有效的 GID 编号。
提醒:
  • 指定 username 采用以下格式: <username>,而不指定域名。
  • 指定 groupname 采用以下格式: <groupname>,而不指定域名。
  • 用户和组名称不区分大小写。

以下限制适用于 Active Directory 的 LDAP:

  • Microsoft Active Directory 是唯一受支持的 Active Directory 提供程序。
  • 不支持 Active Directory 轻型目录服务 (LDS)。
  • 以下项的 Active Directory 本机架构: uidNumbergidNumber 填充是唯一受支持的架构。目前不支持与 Active Directory 集成的第三方工具。

关于此任务
Active Directory 的 LDAP 身份验证不能与 CIFS 的 Active Directory 或 Kerberos 身份验证一起使用。
CLI 是配置此选项的唯一方法。

步骤
运行 authentication LDAP base set base name type active-directory命令以启用 Active Directory 的 LDAP 身份验证。


提醒:如果 CIFS 身份验证已配置为 Active Directory,则命令会失败。 
# authentication ldap base set "dc=anvil,dc=team" type active-directory


配置 LDAP 服务器。

您可以同时配置一个或多个 LDAP 服务器。从距离保护系统最近的站点配置服务器,以实现最小延迟。

关于此任务


提醒:更改配置时必须禁用 LDAP。
 

采用以下格式之一指定 LDAP 服务器:

  • IPv4 address—10.<A>.<B>.<C>
  • IPv4 address with port number—10.<A>.<B>.<C>:400
  • IPv6 address—[::ffff:9.53.96.21]
  • IPv6 address with port number—[::ffff:9.53.96.21]:400
  • Hostname—myldapserver
  • Hostname with port number—myldapserver:400

配置多个服务器时:

  • 用空格分隔每个服务器。
  • 使用身份验证 LDAP servers add 命令时列出的第一个服务器将成为主服务器。
  • 如果无法配置任何服务器,则该命令将对列出的所有服务器执行失败。

步骤

  1. 添加一个或多个 LDAP 服务器,方法是使用”authentication ldap servers add" 命令配合使用的常见选项:
# authentication ldap servers add 10.A.B.C 10.X.Y.Z:400
LDAP server(s) added
LDAP Server(s): 2
# IP Address/Hostname
--- ---------------------
1. 10.A.B.C (primary)
2. 10.X.Y.Z:400
--- ---------------------
  1. 通过使用”authentication ldapservers del" 命令配合使用的常见选项:
# authentication ldap servers del 10.X.Y.Z:400
LDAP server(s) deleted.
LDAP Servers: 1
# Server
- ------------ ---------
1 10.A.B.C (primary)
- ------------ ---------
3. Remove all LDAP servers by using the authentication ldap servers reset command:
# authentication ldap servers reset
LDAP server list reset to empty.

配置 LDAP 基本后缀。
基本后缀是用于搜索的基本 DN,也是 LDAP 目录开始搜索的位置。

关于此任务
设置 OpenLDAP 或 Active Directory 的基本后缀。


提醒:无法为 OpenLDAP 和 Active Directory 设置基本后缀。


仅允许用户从主 Active Directory 域登录。不支持来自受信任的 Active Directory 域的用户和组。
设置 OpenLDAP 的基本后缀。

步骤
使用 LDAP 基本后缀”authentication ldap base set" 命令配合使用的常见选项:

# authentication ldap base set "dc=anvil,dc=team"
LDAP base-suffix set to "dc=anvil,dc=team".

步骤

  1. 使用 LDAP 基本后缀”authentication ldap base set" 命令配合使用的常见选项:
# authentication ldap base set "dc=anvil,dc=team" type active-directory
LDAP base-suffix set to "dc=anvil,dc=team".

提醒:在此示例中,所有用户 dd-admins LDAP group 对保护系统具有管理权限。 
# authentication ldap groups add dd-admins role admin
LDAP Group Role
---------- -----
dd-admins admin
---------- -----
Reset the LDAP base suffix

步骤
使用”authentication ldap base reset" 命令配合使用的常见选项:

# authentication ldap base reset

LDAP 基本后缀重置为空。

配置 LDAP 客户端身份验证。
配置用于向 LDAP 服务器进行身份验证和进行查询的帐户 (Bind DN) 和密码 (Bind PW)。

关于此任务
您应始终配置绑定 DN 和密码。在此过程中,LDAP 服务器默认需要经过身份验证的绑定。如果 client-auth 未设置,则请求匿名访问,不提供名称或密码。

authentication ldap show“命令如下:

# authentication ldap show

LDAP configuration
 Enabled: yes (*)
 Base-suffix: dc=u2,dc=team
 Binddn: (anonymous)
 Server(s): 1
# Server
- ------------- ---------
1 10.207.86.160 (primary)
- ------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

(*)需要重新启动文件系统才能使配置生效。

如果 binddn 设置方式 client-auth CLI,但是 bindpw 未提供,则请求未经身份验证的访问。

# authentication ldap client-auth set binddn "cn=Manager,dc=u2,dc=team"

输入 bindpw
** Bindpw 未提供。将请求未经身份验证的访问。
LDAP 客户端身份验证 binddn 设置为”cn=Manager,dc=u2,dc=team

“。步骤

  1. 使用“设置绑定 DN 和密码”authentication ldap client-auth set binddn" 命令配合使用的常见选项:
# authentication ldap client-auth set binddn "cn=Administrator,cn=Users,dc=anvil,dc=team"

输入 bindpw
LDAP 客户端身份验证 binddn 设置为:
cn=Administrator,cn=Users,dc=anvil,dc=team

  1. 使用”authentication ldap client-auth reset" 命令配合使用的常见选项:
# authentication ldap client-auth reset

LDAP 客户端身份验证配置重置为空。

启用 LDAP。

先决条件
必须先存在 LDAP 配置,然后才能启用 LDAP。
此外,您必须禁用 NIS,确保 LDAP 服务器可访问,并能够查询 LDAP 服务器的根 DSE。

步骤

  1. 启用 LDAP,方法是使用”authentication ldap enable" 命令配合使用的常见选项:
# authentication ldap enable

在继续之前,将显示 LDAP 配置的详细信息供您确认。要继续,请键入 Yes 并重新启动文件系统,以使 LDAP 配置生效。

通过使用”authentication ldap show" 命令配合使用的常见选项:


提醒:如果系统配置为对 Active Directory 使用 LDAP,则命令输出将包括“Server Type”字段,以指示它已连接到 Active Directory 服务器。 
# authentication ldap show
LDAP configuration
 Enabled: no
 Base-suffix: dc=anvil,dc=team
 Binddn: cn=Administrator,cn=Users,dc=anvil,dc=team
 Server(s): 2
# Server
- ---------------- ---------
1 10.26.16.250 (primary)
2 10.26.16.251:400
- ---------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

此时将显示基本 LDAP 和安全 LDAP 配置详细信息。

3. View the current LDAP status by using the authentication ldap status command:
# authentication ldap status
The LDAP status is displayed. If the LDAP status is not good, the problem is identified in the output.
For example:
# authentication ldap status
Status:invalid credentials
or
# authentication ldap status
Status: invalid DN syntax
4. Disable LDAP by using the authentication ldap disable command:
# authentication ldap disable LDAP is disabled.

启用安全 LDAP。

您可以通过启用 SSL 将 DDR 配置为使用安全 LDAP。
对于 Active Directory 的 LDAP,请使用 SSL/TLS 选项配置安全 LDAP。
前提条件:如果没有 LDAP CA 证书和 tls_reqcert 设置为按需,则作失败。
导入 LDAP CA 证书,然后重试。如果 tls_reqcert 设置为 never,则不需要 LDAP CA 证书。

步骤

  1. 通过使用”authentication ldap ssl enable" 命令配合使用的常见选项:
# authentication ldap ssl enable

安全 LDAP 已启用,并且”ldaps“方法。

默认方法是安全 LDAP 或 LDAP。您可以指定其他方法,例如 TLS:

# authentication ldap ssl enable method start_tls

安全 LDAP 已启用,并且”start_tls“方法。

  1. 通过使用”authentication ldap ssl disable" 命令配合使用的常见选项:
# authentication ldap ssl disable Secure LDAP is disabled.

使用导入的 CA 证书配置 LDAP 服务器证书验证。

您可以更改 TLS 请求证书行为。

步骤

  1. 通过使用”authentication ldap ssl set tls_reqcert“命令。

不验证证书:

# authentication ldap ssl set tls_reqcert never “tls_reqcert” set to "never".

LDAP 服务器证书未验证。

 
提醒:如果为 Active Directory 配置了 LDAP,则 TLS 请求证书行为不能设置为never。

验证证书:

# authentication ldap ssl set tls_reqcert demand

tls_reqcert“设置为”需求”。LDAP 服务器证书已验证。

  1. 通过使用”authentication ldap ssl reset tls_reqcert“命令。

默认行为是 demand:

# authentication ldap ssl reset tls_reqcert

tls_reqcert“已设置为”需求”。LDAP 服务器证书使用导入的 CA 证书进行验证。使用”adminaccess“导入 CA 证书的 CLI。

管理 LDAP 的 CA 证书。

您可以导入或删除证书并显示当前证书信息。

步骤

  1. 使用”adminaccess certificate import“命令。

为 CA 应用程序指定 LDAP:

# adminaccess certificate import {host application {all | aws-federal | ddboost | https | keysecure | dsm | ciphertrust | gklm | } | ca application {all | cloud | ddboost | ldap | login-auth | keysecure | dsm | rsa-securid | ciphertrust | gklm | }} [file ]
  1. 使用”adminaccess“证书删除命令。为应用程序指定 LDAP:
# adminaccess certificate delete {subject | fingerprint } [application {all | aws-federal | cloud | ddboost | ldap | login-auth | https | keysecure | dsm | ciphertrust | gklm | support | }]
  1. 使用”adminaccess certificate show" 命令配合使用的常见选项:
# adminaccess certificate show imported-ca application ldap

Additional Information

Active Directory 的端口

端口 协议 端口可配置 描述
53 TCP/UDP 打开 DNS(如果 AD 也是 DNS 的话)
88 TCP/UDP 打开 Kerberos
139 TCP 打开 NetBios - NetLogon
389 TCP/UDP 打开 LDAP
445 TCP/UDP 用户身份验证以及与 AD 的其他通信
3268 TCP 打开 全局目录查询
636 TCP  打开  LDAPS — 基于 SSL/TLS 的安全 LDAP
3269 TCP 打开  LDAPS (LDAP over SSL) 到全局目录 — 用于林中跨域的安全目录查询。

LDAP

启用联邦信息处理标准 (FIPS) 后,在系统或 DDVE 上运行的 LDAP 客户端必须使用 TLS。

# authentication ldap ssl enable method start_tls Otherwise, enabling FIPS compliance mode fails.

在全新安装和升级时,不会显式设置 LDAP SSL 密码。
启用 FIPS 合规性模式后,LDAP SSL 密码将设置为以下项:

  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES256-SHA384
  • DHE-RSA-AES256-GCM-SHA384
  • DHE-RSA-AES256-SHA256
  • AES256-GCM-SHA384
  • AES256-SHA256
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-SHA256
  • DHE-RSA-AES128-GCM-SHA256
  • DHE-RSA-AES128-SHA256
  • AES128-GCM-SHA256
  • AES128-SHA256

配置的密码列表应为: ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128- SHA256

禁用 FIPS 时,它设置为 “”,即空字符串。

在授予管理访问权限之前,使用身份验证服务器对用户进行身份验证。

DD 支持多种名称服务器协议,如 LDAP、NIS 和 AD。DD 建议在启用 FIPS 的情况下使用 OpenLDAP。DD 仅管理本地账户。DD 建议使用 UI 或 CLI 配置 LDAP。

  • UI:管理 >访问 >认证
  • CLI:身份验证 LDAP 命令

Active Directory 也可在启用 FIPS 的情况下配置用于用户登录。但是,该配置不再支持 AD 用户的 CIFS 数据访问。

LDAP for Network File System (NFS) ID 映射

Data Domain 和 PowerProtect 系统可以将 LDAP 用于 NFSv4 ID 映射,并将 NFSv3 或 NFSv4 Kerberos 与 LDAP 结合使用。用户还可以使用 LDAPS 或”start_TLS“方法。LDAP 客户端身份验证可以使用绑定 DN 或绑定 PW,但系统不支持基于证书的 LDAP 客户端身份验证。


提醒:本地用户 ID 以数字 500 开头。设置 LDAP 时,不能使用相似的用户 ID 范围 (500–1000),否则会发生用户 ID 冲突。如果存在用户 ID 冲突,则由于配置错误,名称 LDAP 服务用户拥有的文件可被其他用户访问。

Affected Products

Data Domain
Article Properties
Article Number: 000204241
Article Type: How To
Last Modified: 29 Oct 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.