Data Domain:Active Directory 指南
Summary: 本指南基于 DDOS 代码 7.9 中的步骤。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Data Domain 和 PowerProtect 操作环境通过 DD System Manager by HTTPS 或 SSH for CLI 提供安全管理。任一方法均支持本地定义的用户、网络信息服务 (NIS) 用户、轻型目录访问协议 (LDAP)、Microsoft Active Directory (AD) 域用户和单点登录 (SSO)。
Data Domain 和 PowerProtect 系统可对用户或服务器使用 Microsoft Active Directory 直通身份验证。管理员可以允许某些域和组的用户访问系统上存储的文件。戴尔推荐您配置 Kerberos。此外,系统还支持 Microsoft Windows NT LAN Manager NTLMv1 和 NTLMv2。但是,NTLMv2 更安全,旨在取代 NTLMv1。
查看 Active Directory 和 Kerberos 信息
Active Directory/Kerberos 配置确定 CIFS 和 NFS 客户端用于身份验证的方法。
Active Directory/Kerberos Authentication面板显示此配置。
步骤:
- 选择AdministrationAccessAuthentication>>。
- 展开“Active Directory/Kerberos Authentication”面板。
配置 Active Directory 和 Kerberos 身份验证
配置 Active Directory 身份验证会使保护系统成为 Windows Active Directory 领域的一部分。
CIFS 客户端和 NFS 客户端使用 Kerberos 身份验证。
步骤:
- 选择 Administration > Access > Authentication。此时将显示“Authentication”视图。
- 展开“ Active Directory/Kerberos Authentication ”面板。
- 单击 Mode 旁边的 Configure以启动配置向导。此时将显示“ Active Directory/Kerberos Authentication ”对话框。
- 选择 Windows/Active Directory ,然后单击下一步。
- 输入 系统的完整领域名称(例如 domain1.local)、用户名和系统密码。
- 单击 Next。
提醒:使用完整的领域名称。确保为用户分配足够的权限以将系统加入域。用户名和密码必须与 Microsoft 对 Active Directory 域的要求兼容。此用户还必须分配有在此域中创建帐户的权限。
- 选择默认的 CIFS 服务器名称,或选择手动并输入 CIFS 服务器名称。
- 要选择 域控制器,请选择 自动分配,或选择手动并输入最多三个域控制器名称。输入完全限定的域名、主机名或 IP 地址(IPv4 或 IPv6)。
- 要选择某个组织单位,请选择 使用默认计算机,或选择手动并输入组织单位名称。
提醒:该帐户将移至新的组织单位。
- 单击 Next。此时将显示配置的 Summary页面。
- 单击 Finish。系统将在身份验证视图中显示配置信息。
- 单击Active Directory Administrative Access右侧的 Enable 以启用管理访问。
身份验证模式选择
身份验证模式选择决定了 CIFS 和 NFS 客户端如何使用支持的 Active Directory、工作组和 Kerberos 身份验证组合进行身份验证。
关于此任务,DDOS 支持以下身份验证选项。
- 禁用:为 CIFS 和 NFS 客户端禁用 Kerberos 身份验证。CIFS 客户端使用工作组身份验证。
- Windows/Active Directory:为 CIFS 和 NFS 客户端启用 Kerberos 身份验证。CIFS 客户端使用 Active Directory 身份验证。
- UNIX:仅为 NFS 客户端启用 Kerberos 身份验证。CIFS 客户端使用工作组身份验证。
管理 Active Directory 的管理组
使用 Active Directory/Kerberos Authentication面板创建、修改和删除 Active Directory (Windows) 组,并为这些组分配管理角色(admin、backup-operator 等)。
要准备管理组,请选择AdministrationAccessAuthentication>>,展开Active Directory/Kerberos Authentication面板,然后单击Active Directory Administrative Access Enable按钮。
为 Active Directory 创建管理组
创建管理组以将管理角色分配给 Active Directory 组中配置的所有用户。
先决条件:在Administration >AccessAuthentication>页面的Active Directory/Kerberos Authentication面板上启用Active Directory Administrative Access。
步骤:
- 单击“Create”
- 输入 用反斜杠分隔的域和组名称。
例如:
domainname\groupname
- 从下拉菜单中选择组的 管理角色 。
- 单击 OK。
修改 Active Directory 的管理组
当您想要更改为 Active Directory 组配置的管理域名或组名时,请修改管理组。
先决条件:在Administration >AccessAuthentication>页面的Active Directory/Kerberos Authentication面板上启用Active Directory Administrative Access。
步骤:
- 在 Active Directory 管理访问标题下选择要修改的组 。
- 单击 “修改”
- 修改 域和组名称,并使用反斜杠 “\” 分隔它们。例如:
domainname\groupname
删除 Active Directory 的管理组
删除管理组以终止 Active Directory 组中配置的所有用户的系统访问权限。
先决条件:在Administration >AccessAuthentication>页面的Active Directory/Kerberos Authentication面板上启用Active Directory Administrative Access。
步骤:
- 在 Active Directory 管理访问标题下选择要删除的 组 。
- 单击 Delete。
系统时钟
使用 Active Directory 模式进行 CIFS 访问时,系统时钟时间与域控制器时钟时间的差异不能超过五分钟。
当配置为 Active Directory 身份验证时,系统会定期与 Windows 域控制器同步时间。
因此,要使域控制器从可靠的时间源获取时间,请参阅 Windows作系统版本的 Microsoft 文档,以使用时间源配置域控制器。
注意:当系统配置为进行 Active Directory 身份验证时,它使用备用机制与域控制器同步时间。为避免时间同步冲突,当系统配置为进行 Active Directory 身份验证时, 请勿 启用 NTP。
Additional Information
Active Directory 的端口
| 端口 | 协议 | 端口可配置 | 描述 |
| 53 | TCP/UDP | 打开 | DNS(如果 AD 也是 DNS 的话) |
| 88 | TCP/UDP | 打开 | Kerberos |
| 139 | TCP | 打开 | NetBios/NetLogon |
| 389 | TCP/UDP | 打开 | LDAP |
| 445 | TCP/UDP | 否 | 用户身份验证以及与 AD 的其他通信 |
| 3268 | TCP | 打开 | 全局目录查询 |
Active Directory
Active Directory 不符合 FIPS。
配置 Active Directory 并启用 FIPS 后,它将继续工作。
| 在授予管理访问权限之前,使用身份验证服务器对用户进行身份验证。 |
DD 支持多种名称服务器协议,如 LDAP、NIS 和 AD。DD 建议在启用 FIPS 的情况下使用 OpenLDAP。DD 仅管理本地账户。DD 建议使用 UI 或 CLI 配置 LDAP。 • UI:管理 >访问>认证 • CLI:身份验证 LDAP 命令 |
身份验证配置
Authentication面板中的信息会根据配置的身份验证类型而更改。
单击配置选项卡中身份验证标签左侧的配置链接。系统将转至AdministrationAccessAuthentication >>页面,在其中为 Active Directory、Kerberos、工作组和 NIS 配置身份验证。
Active Directory 配置信息
| 项目 | 描述 |
| 模式 | 此时将显示 Active Directory 模式。 |
| 领域 | 此时将显示已配置的领域。 |
| DDNS | 显示 DDNS 服务器的状态:可以是“enabled”,也可以是“disabled”。 |
| 域控制器 | 将显示已配置的域控制器的名称,如果允许所有控制器,则显示 *。 |
| 组织单位 | 此时将显示已配置的组织单位的名称。 |
| CIFS 服务器名称 | 此时将显示已配置的 CIFS 服务器的名称。 |
| WINS 服务器名称 | 此时将显示已配置的 WINS 服务器的名称。 |
| 短域名 | 此时将显示短域名。 |
工作组配置
| 项目 | 描述 |
| 模式 | 此时将显示工作组模式。 |
| 工作组名称 | 此时将显示已配置的工作组名称。 |
| DDNS | 此时将显示 DDNS 服务器的状态:已启用或已禁用。 |
| CIFS 服务器名称 | 此时将显示已配置的 CIFS 服务器的名称。 |
| WINS 服务器名称 | 此时将显示已配置的 WINS 服务器的名称。 |
相关文章:
以下相关文章只能通过以注册用户身份登录戴尔支持网站来查看:
- PowerProtect DD System Manager (DDSM) 和 Data Domain Management Server (DDMC) 访问失败并显示 AD 身份验证
- Active Directory 身份验证无法正常工作,因为 GC 在 Data Domain 中处于禁用状态
- Data Domain:在 Active Directory 模式下无法使用 CIFS 访问 Data Domain 系统
- Data Domain:使用 CIFS“set authentication active-directory”命令
- 将 Data Domain 加入 Active Directory 的特定组织单位 (OU)
- Data Domain:为 Active Directory 配置的 Data Domain 系统的 Windows 身份验证问题
- Data Domain:由于服务器策略而无法加入 Active Directory
Affected Products
Data DomainArticle Properties
Article Number: 000204265
Article Type: How To
Last Modified: 16 Sep 2025
Version: 11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.