Data Domain: Guida ad Active Directory
Riepilogo: Questa guida si basa sulla procedura del codice DDOS 7.9.
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Istruzioni
L'ambiente operativo Data Domain con PowerProtect fornisce un'amministrazione protetta con DD System Manager su HTTPS o SSH per la CLI. Entrambi i metodi abilitano utenti definiti localmente, utenti NIS (Network Information Service), LDAP (Lightweight Directory Access Protocol), utenti di dominio AD (Microsoft Active Directory) e Single Sign-on (SSO).
I sistemi Data Domain e PowerProtect possono utilizzare l'autenticazione pass-through di Microsoft Active Directory per gli utenti o i server. Gli amministratori possono consentire a determinati domini e gruppi di utenti di accedere ai file archiviati nel sistema. Si consiglia di configurare Kerberos. Inoltre, i sistemi supportano Microsoft Windows NT LAN Managers NTLMv1 e NTLMv2. Tuttavia, NTLMv2 è più sicuro e sostituirà NTLMv1.
Visualizzazione delle informazioni su Active Directory e Kerberos
La configurazione Active Directory/Kerberos determina i metodi utilizzati dai client CIFS e NFS per l'autenticazione.
Questa configurazione viene visualizzata nel pannello Active Directory/Kerberos Authentication.
Procedura:
- Selezionare Administration >Access>Authentication.
- Espandere il pannello Active Directory/Kerberos Authentication.
Configurazione dell'autenticazione Active Directory e Kerberos
La configurazione dell'autenticazione Active Directory rende il sistema di protezione parte di un realm Active Directory di Windows.
I client CIFS e NFS utilizzano l'autenticazione Kerberos.
Procedura:
- Selezionare Administration > Access > Authentication. Viene visualizzata la vista Authentication.
- Espandere il pannello Active Directory/Kerberos Authentication .
- Cliccare su Configure accanto a Mode per avviare la procedura guidata di configurazione. Viene visualizzata la finestra di dialogo Active Directory/Kerberos Authentication .
- Selezionare Windows/Active Directory e cliccare su Next.
- Immettere il nome completo del realm di sistema (ad esempio, domain1.local), il nome utente e la password del sistema.
- Cliccare su Next.
Nota: utilizzare il nome completo dell'area di autenticazione. Assicurarsi che all'utente siano assegnati privilegi sufficienti per aggiungere il sistema al dominio. Il nome utente e la password devono essere compatibili con i requisiti Microsoft per il dominio Active Directory. Inoltre, a tale utente deve essere assegnata l'autorizzazione per creare account in questo dominio.
- Selezionare il nome predefinito del server CIFS oppure Manual e inserire un nome per il server CIFS.
- Per Domain Controllers, selezionare Automatically Assign oppure Manual e inserire fino a tre nomi di controller di dominio. Immettere nomi di dominio, nomi host o indirizzi IP completi (IPv4 o IPv6).
- Per selezionare un unità organizzativa, selezionare Usa computer predefiniti oppure Manuale e immettere un nome per l'unità organizzativa.
Nota: L'account viene spostato nella nuova unità organizzativa.
- Cliccare su Next. Viene visualizzata la pagina Summary della configurazione.
- Cliccare su Finish. Il sistema visualizza le informazioni di configurazione nella vista Authentication.
- Per abilitare l'accesso amministrativo, cliccare su Enable a destra di Active Directory Administrative Access.
Selezioni di Authentication Mode
La selezione della modalità di autenticazione determina la modalità di autenticazione dei client CIFS e NFS utilizzando le combinazioni supportate di autenticazione Active Directory, Workgroup e Kerberos.
In merito a questa attività, DDOS supporta le seguenti opzioni di autenticazione.
- Disabile: l'autenticazione Kerberos è disabilitata per i client CIFS e NFS. I client CIFS utilizzano l'autenticazione Workgroup.
- Windows/Active Directory: l'autenticazione Kerberos è abilitata per i client CIFS e NFS. I client CIFS utilizzano l'autenticazione Active Directory.
- UNIX: l'autenticazione Kerberos è abilitata solo per i client NFS. I client CIFS utilizzano l'autenticazione Workgroup.
Gestione dei gruppi amministrativi per Active Directory
Utilizzare il pannello Active Directory/Kerberos Authentication per creare, modificare ed eliminare gruppi di Active Directory (Windows) e assegnare ruoli di
gestione (amministratore, operatore di backup e così via).Per prepararsi a gestire i gruppi, selezionare Administration>Access> Authentication, espandere il pannello Active Directory/Kerberos Authentication, quindi cliccare sul pulsante Active Directory Administrative Access Enable .
Creazione di gruppi amministrativi per Active Directory
Creare un gruppo amministrativo per assegnare un ruolo di gestione a tutti gli utenti configurati in un gruppo Active Directory.
Prerequisiti: Abilitare l'accesso amministrativo Active Directory nel pannello Active Directory/Kerberos Authentication della pagina Administration >Access >Authentication.
Procedura:
- Cliccare su Crea.
- Inserire il nome di dominio e gruppo separato da una barra rovesciata.
Ad esempio:
domainname\groupname
- Selezionare Management Role per il gruppo dal menu a discesa.
- Cliccare su OK.
Modifica dei gruppi amministrativi per Active Directory
Modificare un gruppo amministrativo quando si desidera modificare il nome di dominio amministrativo o il nome configurato per un gruppo Active Directory.
Prerequisiti: Abilitare l'accesso amministrativo Active Directory nel pannello Active Directory/Kerberos Authentication della pagina Administration >Access >Authentication.
Procedura:
- Selezionare un gruppo da modificare nell'intestazione Active Directory Administrative Access.
- Cliccare su Modify.
- Modificare il nome di dominio e gruppo e utilizzare una barra rovesciata "\" per separarli. Ad esempio:
domainname\groupname
Eliminazione dei gruppi amministrativi per Active Directory
Eliminare un gruppo amministrativo per interrompere l'accesso al sistema per tutti gli utenti configurati in un gruppo Active Directory.
Prerequisiti: Abilitare l'accesso amministrativo Active Directory nel pannello Active Directory/Kerberos Authentication della pagina Administration >Access>Authentication.
Procedura:
- Selezionare un gruppo da eliminare nell'intestazione Active Directory Administrative Access.
- Cliccare su Delete.
Clock di sistema
Quando si utilizza la modalità Active Directory per l'accesso CIFS, l'ora del clock di sistema può differire al massimo di cinque minuti da quella del controller di dominio.
Quando è configurato per l'autenticazione di Active Directory, il sistema sincronizza regolarmente l'ora con il controller di dominio Windows.
Pertanto, affinché il controller di dominio ottenga l'ora da un'origine dell'ora affidabile, consultare la documentazione Microsoft per la versione del sistema operativo Windows in uso per configurare il controller di dominio con un'origine ora.
ATTENZIONE: Quando il sistema è configurato per l'autenticazione di Active Directory, utilizza un meccanismo alternativo per sincronizzare l'ora con il controller di dominio. Per evitare conflitti di sincronizzazione dell'ora, NON abilitare NTP quando il sistema è configurato per l'autenticazione di Active Directory.
Informazioni aggiuntive
Porte per Active Directory
| Port | Protocollo | Porta configurabile | Descrizione |
| 53 | TCP/UDP | Apri | DNS (se AD è anche il DNS) |
| 88 | TCP/UDP | Apri | Kerberos |
| 139 | TCP | Apri | NetBios/Accesso rete |
| 389 | TCP/UDP | Apri | LDAP |
| 445 | TCP/UDP | No | Autenticazione utente e altre comunicazioni con AD |
| 3268 | TCP | Apri | Query del catalogo globale |
Active Directory
Active Directory non è conforme a FIPS.
Active Directory continua a funzionare quando è configurato e quando FIPS è abilitato.
| Utilizzo del server di autenticazione per autenticare gli utenti prima di concedere l'accesso amministrativo. |
DD supporta più protocolli di server dei nomi, come LDAP, NIS e AD. DD consiglia di utilizzare OpenLDAP con FIPS abilitato. DD gestisce solo account locali. DD consiglia di utilizzare l'interfaccia utente o la CLI per configurare LDAP. • Interfaccia utente: Amministrazione >Accesso>Autenticazione • CLI: comandi LDAP di autenticazione |
Configurazione dell'autenticazione
Le informazioni presenti nel pannello Authentication cambiano a seconda del tipo di autenticazione configurata.
Cliccare sul collegamento Configure a sinistra dell'etichetta Authentication nella scheda Configuration. Il sistema passa alla pagina Administration > Access > Authenticationin cui configurare l'autenticazione per Active Directory, Kerberos, Workgroups e NIS.
Informazioni sulla configurazione di Active Directory
| Contenuto | Descrizione |
| modalità alternativa DisplayPort | Viene visualizzata la modalità Active Directory. |
| Realm | Viene visualizzata l'area di autenticazione configurata. |
| DDNS | Viene visualizzato lo stato del server DDNS: enabled o disabled. |
| Controller di dominio | Viene visualizzato il nome dei controller di dominio configurati o un * se sono consentiti tutti i controller. |
| Organizational Unit | Viene visualizzato il nome delle unità organizzative configurate. |
| CIFS Server Name | Viene visualizzato il nome del server CIFS configurato. |
| WINS Server Name | Viene visualizzato il nome del server WINS configurato. |
| Short Domain Name | Viene visualizzato il nome di dominio breve. |
Configurazione di Workgroup
| Contenuto | Descrizione |
| modalità alternativa DisplayPort | Viene visualizzata la modalità Workgroup. |
| Workgroup Name | Viene visualizzato il nome del gruppo di lavoro configurato. |
| DDNS | Viene visualizzato lo stato del server DDNS: enabled o disabled. |
| CIFS Server Name | Viene visualizzato il nome del server CIFS configurato. |
| WINS Server Name | Viene visualizzato il nome del server WINS configurato. |
Articoli correlati:
- Data Domain - Aggiunta di un sistema Data Domain a un dominio Windows
- Impossibile aggiungere un Data Domain a un unità organizzativa (OU) specifica di Active Directory
I seguenti articoli correlati possono essere visualizzati solo accedendo al supporto Dell come utente registrato:
- L'accesso a PowerProtect DD System Manager (DDSM) e Data Domain Management Server (DDMC) ha esito negativo con autenticazione AD
- L'autenticazione Active Directory non funziona come GC è disabilitata in Data Domain
- Data Domain: Impossibile accedere al sistema Data Domain con CIFS in modalità Active Directory
- Data Domain: Utilizzo del comando "Set Authentication Active-Directory" di CIFS
- Aggiunta di Data Domain ad Active Directory in un unità organizzativa (OU) specifica
- Data Domain: Problemi di autenticazione di Windows con il sistema Data Domain configurato per Active Directory
- Data Domain: Impossibile accedere ad Active Directory a causa di criteri del server
Prodotti interessati
Data DomainProprietà dell'articolo
Numero articolo: 000204265
Tipo di articolo: How To
Ultima modifica: 16 set 2025
Versione: 11
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.