Data Domain:Active Directory 指南
Riepilogo: 本指南基于 DDOS 代码 7.9 中的步骤。
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Istruzioni
Data Domain 和 PowerProtect 操作环境通过 DD System Manager by HTTPS 或 SSH for CLI 提供安全管理。任一方法均支持本地定义的用户、网络信息服务 (NIS) 用户、轻型目录访问协议 (LDAP)、Microsoft Active Directory (AD) 域用户和单点登录 (SSO)。
Data Domain 和 PowerProtect 系统可对用户或服务器使用 Microsoft Active Directory 直通身份验证。管理员可以允许某些域和组的用户访问系统上存储的文件。戴尔推荐您配置 Kerberos。此外,系统还支持 Microsoft Windows NT LAN Manager NTLMv1 和 NTLMv2。但是,NTLMv2 更安全,旨在取代 NTLMv1。
查看 Active Directory 和 Kerberos 信息
Active Directory/Kerberos 配置确定 CIFS 和 NFS 客户端用于身份验证的方法。
Active Directory/Kerberos Authentication面板显示此配置。
步骤:
- 选择AdministrationAccessAuthentication>>。
- 展开“Active Directory/Kerberos Authentication”面板。
配置 Active Directory 和 Kerberos 身份验证
配置 Active Directory 身份验证会使保护系统成为 Windows Active Directory 领域的一部分。
CIFS 客户端和 NFS 客户端使用 Kerberos 身份验证。
步骤:
- 选择 Administration > Access > Authentication。此时将显示“Authentication”视图。
- 展开“ Active Directory/Kerberos Authentication ”面板。
- 单击 Mode 旁边的 Configure以启动配置向导。此时将显示“ Active Directory/Kerberos Authentication ”对话框。
- 选择 Windows/Active Directory ,然后单击下一步。
- 输入 系统的完整领域名称(例如 domain1.local)、用户名和系统密码。
- 单击 Next。
提醒:使用完整的领域名称。确保为用户分配足够的权限以将系统加入域。用户名和密码必须与 Microsoft 对 Active Directory 域的要求兼容。此用户还必须分配有在此域中创建帐户的权限。
- 选择默认的 CIFS 服务器名称,或选择手动并输入 CIFS 服务器名称。
- 要选择 域控制器,请选择 自动分配,或选择手动并输入最多三个域控制器名称。输入完全限定的域名、主机名或 IP 地址(IPv4 或 IPv6)。
- 要选择某个组织单位,请选择 使用默认计算机,或选择手动并输入组织单位名称。
提醒:该帐户将移至新的组织单位。
- 单击 Next。此时将显示配置的 Summary页面。
- 单击 Finish。系统将在身份验证视图中显示配置信息。
- 单击Active Directory Administrative Access右侧的 Enable 以启用管理访问。
身份验证模式选择
身份验证模式选择决定了 CIFS 和 NFS 客户端如何使用支持的 Active Directory、工作组和 Kerberos 身份验证组合进行身份验证。
关于此任务,DDOS 支持以下身份验证选项。
- 禁用:为 CIFS 和 NFS 客户端禁用 Kerberos 身份验证。CIFS 客户端使用工作组身份验证。
- Windows/Active Directory:为 CIFS 和 NFS 客户端启用 Kerberos 身份验证。CIFS 客户端使用 Active Directory 身份验证。
- UNIX:仅为 NFS 客户端启用 Kerberos 身份验证。CIFS 客户端使用工作组身份验证。
管理 Active Directory 的管理组
使用 Active Directory/Kerberos Authentication面板创建、修改和删除 Active Directory (Windows) 组,并为这些组分配管理角色(admin、backup-operator 等)。
要准备管理组,请选择AdministrationAccessAuthentication>>,展开Active Directory/Kerberos Authentication面板,然后单击Active Directory Administrative Access Enable按钮。
为 Active Directory 创建管理组
创建管理组以将管理角色分配给 Active Directory 组中配置的所有用户。
先决条件:在Administration >AccessAuthentication>页面的Active Directory/Kerberos Authentication面板上启用Active Directory Administrative Access。
步骤:
- 单击“Create”
- 输入 用反斜杠分隔的域和组名称。
例如:
domainname\groupname
- 从下拉菜单中选择组的 管理角色 。
- 单击 OK。
修改 Active Directory 的管理组
当您想要更改为 Active Directory 组配置的管理域名或组名时,请修改管理组。
先决条件:在Administration >AccessAuthentication>页面的Active Directory/Kerberos Authentication面板上启用Active Directory Administrative Access。
步骤:
- 在 Active Directory 管理访问标题下选择要修改的组 。
- 单击 “修改”
- 修改 域和组名称,并使用反斜杠 “\” 分隔它们。例如:
domainname\groupname
删除 Active Directory 的管理组
删除管理组以终止 Active Directory 组中配置的所有用户的系统访问权限。
先决条件:在Administration >AccessAuthentication>页面的Active Directory/Kerberos Authentication面板上启用Active Directory Administrative Access。
步骤:
- 在 Active Directory 管理访问标题下选择要删除的 组 。
- 单击 Delete。
系统时钟
使用 Active Directory 模式进行 CIFS 访问时,系统时钟时间与域控制器时钟时间的差异不能超过五分钟。
当配置为 Active Directory 身份验证时,系统会定期与 Windows 域控制器同步时间。
因此,要使域控制器从可靠的时间源获取时间,请参阅 Windows作系统版本的 Microsoft 文档,以使用时间源配置域控制器。
注意:当系统配置为进行 Active Directory 身份验证时,它使用备用机制与域控制器同步时间。为避免时间同步冲突,当系统配置为进行 Active Directory 身份验证时, 请勿 启用 NTP。
Informazioni aggiuntive
Active Directory 的端口
| 端口 | 协议 | 端口可配置 | 描述 |
| 53 | TCP/UDP | 打开 | DNS(如果 AD 也是 DNS 的话) |
| 88 | TCP/UDP | 打开 | Kerberos |
| 139 | TCP | 打开 | NetBios/NetLogon |
| 389 | TCP/UDP | 打开 | LDAP |
| 445 | TCP/UDP | 否 | 用户身份验证以及与 AD 的其他通信 |
| 3268 | TCP | 打开 | 全局目录查询 |
Active Directory
Active Directory 不符合 FIPS。
配置 Active Directory 并启用 FIPS 后,它将继续工作。
| 在授予管理访问权限之前,使用身份验证服务器对用户进行身份验证。 |
DD 支持多种名称服务器协议,如 LDAP、NIS 和 AD。DD 建议在启用 FIPS 的情况下使用 OpenLDAP。DD 仅管理本地账户。DD 建议使用 UI 或 CLI 配置 LDAP。 • UI:管理 >访问>认证 • CLI:身份验证 LDAP 命令 |
身份验证配置
Authentication面板中的信息会根据配置的身份验证类型而更改。
单击配置选项卡中身份验证标签左侧的配置链接。系统将转至AdministrationAccessAuthentication >>页面,在其中为 Active Directory、Kerberos、工作组和 NIS 配置身份验证。
Active Directory 配置信息
| 项目 | 描述 |
| 模式 | 此时将显示 Active Directory 模式。 |
| 领域 | 此时将显示已配置的领域。 |
| DDNS | 显示 DDNS 服务器的状态:可以是“enabled”,也可以是“disabled”。 |
| 域控制器 | 将显示已配置的域控制器的名称,如果允许所有控制器,则显示 *。 |
| 组织单位 | 此时将显示已配置的组织单位的名称。 |
| CIFS 服务器名称 | 此时将显示已配置的 CIFS 服务器的名称。 |
| WINS 服务器名称 | 此时将显示已配置的 WINS 服务器的名称。 |
| 短域名 | 此时将显示短域名。 |
工作组配置
| 项目 | 描述 |
| 模式 | 此时将显示工作组模式。 |
| 工作组名称 | 此时将显示已配置的工作组名称。 |
| DDNS | 此时将显示 DDNS 服务器的状态:已启用或已禁用。 |
| CIFS 服务器名称 | 此时将显示已配置的 CIFS 服务器的名称。 |
| WINS 服务器名称 | 此时将显示已配置的 WINS 服务器的名称。 |
相关文章:
以下相关文章只能通过以注册用户身份登录戴尔支持网站来查看:
- PowerProtect DD System Manager (DDSM) 和 Data Domain Management Server (DDMC) 访问失败并显示 AD 身份验证
- Active Directory 身份验证无法正常工作,因为 GC 在 Data Domain 中处于禁用状态
- Data Domain:在 Active Directory 模式下无法使用 CIFS 访问 Data Domain 系统
- Data Domain:使用 CIFS“set authentication active-directory”命令
- 将 Data Domain 加入 Active Directory 的特定组织单位 (OU)
- Data Domain:为 Active Directory 配置的 Data Domain 系统的 Windows 身份验证问题
- Data Domain:由于服务器策略而无法加入 Active Directory
Prodotti interessati
Data DomainProprietà dell'articolo
Numero articolo: 000204265
Tipo di articolo: How To
Ultima modifica: 16 set 2025
Versione: 11
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.