Data Domain: Guía de Active Directory
Resumen: Esta guía se basa en los pasos del código DDOS 7.9.
Instrucciones
El entorno operativo de Data Domain y PowerProtect proporciona administración segura a través de DD System Manager mediante HTTPS o SSH para la CLI. Cualquiera de los métodos habilita usuarios definidos localmente, usuarios de Network Information Service (NIS), protocolo ligero de acceso a directorios (LDAP), usuarios de dominio de Microsoft Active Directory (AD) e inicio de sesión único (SSO).
Los sistemas Data Domain y PowerProtect pueden utilizar la autenticación de paso de Microsoft Active Directory para los usuarios o servidores. Los administradores pueden habilitar ciertos dominios y grupos de usuarios para que accedan a los archivos almacenados en el sistema. Se recomienda tener Kerberos configurado. Además, los sistemas soportan los administradores de LAN NT de Microsoft Windows NTLMv1 y NTLMv2. Sin embargo, NTLMv2 es más seguro y está diseñado para reemplazar a NTLMv1.
Visualización de información de Active Directory y Kerberos
La configuración de Active Directory/Kerberos determina los métodos que usan los clientes CIFS y NFS para autenticarse.
El panel Active Directory/Kerberos Authentication muestra esta configuración.
Pasos:
- Seleccione Administration >Access>Authentication.
- Expanda el panel Active Directory/Kerberos Authentication.
Configuración de la autenticación de Active Directory y Kerberos
La configuración de la autenticación de Active Directory hace que el sistema de protección forme parte del dominio de Windows Active Directory.
Los clientes CIFS y NFS utilizan la autenticación Kerberos.
Pasos:
- Seleccione Administration > Access > Authentication. Aparecerá la vista Autenticación.
- Expanda el panel Active Directory/Kerberos Authentication .
- Haga clic en Configure junto a Mode para iniciar el asistente de configuración. Aparecerá el cuadro de diálogo Active Directory/Kerberos Authentication .
- Seleccione Windows/Active Directory y haga clic en Siguiente.
- Ingrese el nombre de dominio completo del sistema (por ejemplo, domain1.local), el nombre de usuario y la contraseña del sistema.
- Haga clic en Next (Siguiente).
- Seleccione el nombre del servidor CIFS predeterminado o seleccione Manual y escriba un nombre de servidor CIFS.
- Para seleccionar Controladoras de dominio, seleccione Asignar automáticamente o seleccione Manual e ingrese hasta tres nombres de controladoras de dominio. Ingrese nombres de dominio calificados, nombres de host o direcciones IP (IPv4 o IPv6).
- Para seleccionar una unidad organizacional, seleccione Usar computadoras predeterminadas o seleccione Manual y escriba un nombre de unidad organizacional.
- Haga clic en Next (Siguiente). Aparece la página Summary de la configuración.
- Haga clic en Finish. El sistema muestra la información de configuración en la vista Autenticación.
- Haga clic en Habilitar a la derecha de Acceso administrativo de Active Directory para habilitar el acceso administrativo.
Selecciones de modo de autenticación
La selección del modo de autenticación determina la manera en que los clientes CIFS y NFS se autentican mediante combinaciones compatibles de autenticación de Active Directory, grupo de trabajo y Kerberos.
Con respecto a esta tarea, DDOS admite las siguientes opciones de autenticación.
- Deshabilitado: la autenticación de Kerberos está desactivada para los clientes CIFS y NFS. Los clientes CIFS utilizan la autenticación de grupo de trabajo.
- Windows/Active Directory: la autenticación de Kerberos está activada para los clientes CIFS y NFS. Los clientes CIFS utilizan la autenticación de Active Directory.
- UNIX: la autenticación de Kerberos está activada solo para los clientes NFS. Los clientes CIFS utilizan la autenticación de grupo de trabajo.
Administración de grupos administrativos para Active Directory
Utilice el panel Active Directory/Kerberos Authentication para crear, modificar y eliminar grupos de Active Directory (Windows) y asignar funciones de administración (admin, operador de respaldo, etc.) a dichos grupos.
A fin de prepararse para administrar grupos, seleccione Administración>Access>Authentication, expanda el panel Active Directory/Kerberos Authentication y haga clic en el botón Active Directory Administrative Access Enable .
Creación de grupos administrativos para Active Directory
Cree un grupo administrativo para asignar una función de administración a todos los usuarios configurados en un grupo de Active Directory.
Prerrequisitos: Habilite el acceso administrativo de Active Directory en el panel Active Directory/Kerberos Authentication de la página Administration >Access >Authentication .
Pasos:
- Haga clic en Crear
- Ingrese el dominio y el nombre del grupo separados por una barra invertida.
domainname\groupname
- Seleccione la función de administración para el grupo en el menú desplegable.
- Haga clic en Aceptar.
Modificación de grupos administrativos para Active Directory
Modifique un grupo administrativo cuando desee cambiar el nombre de dominio administrativo o el nombre de grupo configurados para un grupo de Active Directory.
Prerrequisitos: Habilite el acceso administrativo de Active Directory en el panel Active Directory/Kerberos Authentication de la página Administration >Access >Authentication .
Pasos:
- Seleccione un grupo para modificarlo en el encabezado Acceso administrativo de Active Directory.
- Haga clic en Modify
- Modifique el nombre de dominio y de grupo, y use una barra invertida "\" para separarlos. Por ejemplo:
domainname\groupname
Eliminación de grupos administrativos para Active Directory
Elimine un grupo administrativo para finalizar el acceso al sistema para todos los usuarios configurados en un grupo de Active Directory.
Prerrequisitos: Habilite el acceso administrativo de Active Directory en el panel Active Directory/Kerberos Authentication de la página Administration >Access>Authentication .
Pasos:
- Seleccione un grupo para eliminarlo en el encabezado Acceso administrativo de Active Directory.
- Haga clic en Eliminar.
Reloj del sistema
Cuando se utiliza el modo Active Directory para el acceso a CIFS, la hora del reloj del sistema no puede diferir en más de cinco minutos de la de la controladora de dominio.
Cuando se configura para la autenticación de Active Directory, el sistema sincroniza regularmente la hora con la controladora de dominio de Windows.
Por lo tanto, para que la controladora de dominio obtenga la hora de una fuente de hora confiable, consulte la documentación de Microsoft de la versión del sistema operativo Windows para configurar la controladora de dominio con una fuente de hora.
Información adicional
Puertos para Active Directory
| Puerto | Protocolo | Puerto configurable | Descripción |
| 53 | TCP/UDP | Abrir | DNS (si AD también corresponde al DNS) |
| 88 | TCP/UDP | Abrir | Kerberos |
| 139 | TCP | Abrir | NetBios/NetLogon |
| 389 | TCP/UDP | Abrir | LDAP |
| 445 | TCP/UDP | No | Autenticación de usuarios y otras comunicaciones con AD |
| 3268 | TCP | Abrir | Consultas del catálogo global |
Active Directory
Active Directory no es compatible con FIPS.
Active Directory continúa funcionando cuando está configurado y cuando FIPS está habilitado.
| Uso del servidor de autenticación para autenticar usuarios antes de otorgarles acceso administrativo. |
DD soporta varios protocolos de servidores de nombres, como LDAP, NIS y AD. DD recomienda usar OpenLDAP con FIPS activado. DD administra solo cuentas locales. DD recomienda usar la interfaz de usuario o la CLI para configurar LDAP. • Interfaz de usuario: Administración >Acceso>Autenticación • CLI: Comandos LDAP de autenticación |
Configuración de autenticación
La información en el panel Authentication cambia según el tipo de autenticación configurada.
Haga clic en el enlace Configure a la izquierda de la etiqueta Authentication en la pestaña Configuration. El sistema pasa a la página Administration > Access > Authentication, donde se configura la autenticación para Active Directory, Kerberos, Workgroups y NIS.
Información de configuración de Active Directory
| Elemento | Descripción |
| Modo | Se muestra el modo Active Directory. |
| Dominio | Se muestra el dominio configurado. |
| DDNS | Se muestra el estado del servidor DDNS: activado o desactivado. |
| Controladora de dominio | Se muestra el nombre de las controladoras de dominio configuradas o un * si se permiten todas las controladoras. |
| Unidad organizacional | Se muestra el nombre de las unidades organizacionales configuradas. |
| Nombre del servidor CIFS | Se muestra el nombre del servidor CIFS configurado. |
| Nombre del servidor WINS | Se muestra el nombre del servidor WINS configurado. |
| Nombre del dominio corto | Se muestra el nombre de dominio corto. |
Configuración del grupo de trabajo
| Elemento | Descripción |
| Modo | Se muestra el modo de grupo de trabajo. |
| Nombre del grupo de trabajo | Se muestra el nombre del grupo de trabajo configurado. |
| DDNS | Se muestra el estado del servidor DDNS: habilitado o deshabilitado. |
| Nombre del servidor CIFS | Se muestra el nombre del servidor CIFS configurado. |
| Nombre del servidor WINS | Se muestra el nombre del servidor WINS configurado. |
Artículos relacionados:
- Data Domain: unión de un sistema Data Domain a un dominio de Windows
- No se puede unir un Data Domain a una unidad organizacional (OU) específica de Active Directory
Los siguientes artículos relacionados solo se pueden ver si inicia sesión en el soporte de Dell como usuario registrado:
- El acceso a PowerProtect DD System Manager (DDSM) y Data Domain Management Server (DDMC) falla con la autenticación de AD
- La autenticación de Active Directory no funciona porque GC está deshabilitada en Data Domain
- Data Domain: No se puede acceder al sistema Data Domain con CIFS en modo Active Directory
- Data Domain: Mediante el comando "set authentication active-directory" de CIFS
- Unir Data Domain a Active Directory a una unidad organizacional (OU) específica
- Data Domain: Problemas de autenticación de Windows con el sistema Data Domain configurado para Active Directory
- Data Domain: No se puede unir a Active Directory debido a las políticas del servidor