Data Domain: LDAP-opas

Tämän oppaan tiedot ja vaiheet toimivat DD OS 7.9:ssä ja uudemmissa

LDAP-todennustietojen tarkasteleminen

LDAP-autentikointipaneelissa näkyvät LDAP-määritysparametrit ja tieto siitä, onko LDAP-todennus käytössä vai pois käytöstä.
LDAP:n** avulla voit käyttää olemassa olevaa OpenLDAP-palvelinta tai -käyttöönottoa **järjestelmätason käyttäjän todentamiseen**, **NFSv4 ID -kartoitukseen** ja **NFSv3- tai NFSv4 Kerberos -kartoitukseen LDAP:n avulla.

Portaat

1. Valitse Järjestelmänvalvojan > käyttöoikeuden > todennus. Todennus-näkymä tulee näkyviin.
2. Laajenna LDAP-todennuspaneeli.

LDAP-todennuksen ottaminen käyttöön ja poistaminen käytöstä LDAP-autentikointipaneelissa voit ottaa LDAP-todennuksen käyttöön, poistaa sen käytöstä tai nollata sen.

Vaiheet

1. Valitse Järjestelmänvalvojan > käyttöoikeuden > todennus. Todennus-näkymä tulee näkyviin.
2. Laajenna LDAP-autentikointipaneeli.
3. Klikkaa Ota käyttöön LDAP-tila-kohdan vierestä, jos haluat ottaa LDAP-todennuksen käyttöön tai poistaa sen käytöstä.
   Ota käyttöön tai poista käytöstä LDAP-todennus -valintaikkuna avautuu.
4. Valitse OK.

LDAP-todennuksen nollaaminen.

Nollauspainike poistaa LDAP-todennuksen käytöstä ja tyhjentää LDAP-määritystiedot.

LDAP-todennuksen määrittäminen

LDAP-autentikointipaneelin avulla voit määrittää LDAP-todennuksen.

Portaat

1. Valitse Järjestelmänvalvojan > käyttöoikeuden > todennus. Todennus-näkymä tulee näkyviin.
2. Laajenna LDAP-todennuspaneeli.
3. Valitse Määritä. Määritä LDAP-todennus -valintaikkuna avautuu.
4. Määritä perusliite Perusjälkiliite-kentässä.
5. Määritä LDAP-palvelimeen liitettävä tilin nimi Sido DN -kentässä.
6. Määritä Bind DN -tilin salasana Bind Password -kentässä.
7. Vaihtoehtoisesti valitse Ota SSL käyttöön.
8. Vaihtoehtoisesti voit valita Demand server certificate , jos haluat, että suojausjärjestelmä tuo CA-varmenteen LDAP-palvelimelta.
9. Valitse OK.
10. Tarvittaessa myöhemmin osoita Nollaa palauttaaksesi LDAP-määritykset oletusarvoihinsa.

LDAP-todennuspalvelimien määrittäminen

Tietoja tästä tehtävästä
LDAP-autentikointipaneelissa voit määrittää LDAP-autentikointipalvelimet.
Edellytykset: LDAP-todennus on poistettava käytöstä ennen LDAP-palvelimen määrittelyä.
 

Vaiheet

1. Valitse Järjestelmänvalvojan > käyttöoikeuden > todennus. Todennus-näkymä tulee näkyviin.
2. Laajenna LDAP-autentikointipaneeli.
3. Lisää palvelin valitsemalla +-painike .
4. Määritä LDAP-palvelin jossakin seuraavista muodoista:
   • IPv4-osoite: nn.nn.nn.nn
   • IPv6-osoite: [FF::XXXX:XXXX:XXXX:XXXX]
   • Isäntänimi: myldapserver.FQDN
5. Valitse OK.

LDAP-ryhmien määrittäminen

LDAP-ryhmien määrittäminen LDAP-autentikointipaneelin avulla.

Tietoja tästä tehtävästä
LDAP-ryhmämääritys pätee vain, kun LDAP:tä käytetään käyttäjän todentamiseen suojausjärjestelmässä.

Portaat

1. Valitse Järjestelmänvalvojan > käyttöoikeuden > todennus. Todennus-näkymä tulee näkyviin.
2. Laajenna LDAP-autentikointipaneeli.
3. Määritä LDAP-ryhmät LDAP-ryhmätaulukossa.
   • Lisää LDAP-ryhmä osoittamalla lisäyspainiketta (+), syötä LDAP-ryhmän nimi ja rooli ja osoita OK.
   • Jos haluat muokata LDAP-ryhmää, valitse ryhmän nimen valintaneliö LDAP-ryhmäluettelossa ja osoita Muokkaa (kynä). Muuta LDAP-ryhmän nimeä ja osoita OK.
   • Jos haluat poistaa LDAP-ryhmän, valitse LDAP-ryhmä luettelosta ja osoita Poista (X).

LDAP-todennuksen määrittäminen komentoriviliittymän avulla.

LDAP:n** käyttöönoton avulla voit **määrittää aiemmin luodun OpenLDAP-palvelimen tai käyttöönoton** **järjestelmätason käyttäjän todennusta**, **NFSv4 ID -määritystä** ja **NFSv3- tai NFSv4 Kerberos -määritystä varten LDAP:n avulla.

Tätä ei voi asettaa, jos LDAP-autentikointi on jo määritetty Active Directorylle.

LDAP-autentikoinnin määrittäminen Active Directorya varten

DDOS tukee LDAP-autentikointia Active Directoryssa.
LDAP-autentikointi Active Directoryssa** rajoittaa Active Directory -käyttäjien ja -ryhmien pääsyä CIFS-tietoihin, jolloin vain paikalliset käyttäjät voivat käyttää järjestelmän CIFS-jakoresursseja.
Vain komentoriviliittymään ja käyttöliittymään kirjautuminen on sallittua Active Directory -käyttäjille, joilla on tämä määritys.

Edellytykset
Varmista, että ympäristö täyttää seuraavat vaatimukset, jotta voit määrittää LDAP-autentikoinnin Active Directorylle:

• TLS/SSL on käytössä LDAP-tiedonsiirrossa.
• Suojausjärjestelmää käyttävillä Active Directory -käyttäjillä on oltava voimassa olevat UID- ja GID-numerot.
• Suojausjärjestelmää käyttävillä Active Directory -ryhmillä on oltava kelvollinen GID-numero.

Seuraavat rajoitukset koskevat Active Directoryn LDAP:tä:

• Microsoft Active Directory on ainoa tuettu Active Directory -palvelu.
• Active Directory Lightweight Directory Services (LDS) -palveluita ei tueta.
• Active Directoryn alkuperäinen rakenne uidNumber ja gidNumber Populaatio on ainoa tuettu rakenne. Active Directoryyn integroituja kolmannen osapuolen työkaluja ei tueta.

Tietoja tästä tehtävästä
Active Directoryn LDAP-todennusta ei voi käyttää CIFS:n Active Directory- tai Kerberos-todennuksen kanssa.
Komentoriviliittymä on ainoa tapa määrittää tämä asetus.

Portaat
Ota LDAP-todennus käyttöön Active Directoryssa suorittamalla autentikointi LDAP-perusjoukon perusnimen tyyppi active-directory -komennolla.

# authentication ldap base set "dc=anvil,dc=team" type active-directory

LDAP-palvelimien määrittely.

Voit määrittää yhden tai useamman LDAP-palvelimen samanaikaisesti. Määritä palvelimet suojausjärjestelmää lähinnä olevasta sivustosta mahdollisimman pienen viiveen varmistamiseksi.

Tietoja tästä tehtävästä

Määritä LDAP-palvelin jossakin seuraavista muodoista:

• IPv4 address—10.<A>.<B>.<C>
• IPv4 address with port number—10.<A>.<B>.<C>:400
• IPv6 address—[::ffff:9.53.96.21]
• IPv6 address with port number—[::ffff:9.53.96.21]:400
• Hostname—myldapserver
• Hostname with port number—myldapserver:400

Kun määrität useita palvelimia:

• Erota palvelimet toisistaan välilyönnillä.
• Ensimmäisenä luettelossa olevasta palvelimesta, joka käyttää autentikoinnin LDAP-palvelinten lisäyskomentoa, tulee ensisijainen palvelin.
• Jos jotakin palvelinta ei voi määrittää, komento epäonnistuu kaikissa luetelluissa palvelimissa.

Vaiheet

1. Yhden tai useamman LDAP-palvelimen lisääminen "authentication ldap servers add" komento:

# authentication ldap servers add 10.A.B.C 10.X.Y.Z:400
LDAP server(s) added
LDAP Server(s): 2
# IP Address/Hostname
--- ---------------------
1. 10.A.B.C (primary)
2. 10.X.Y.Z:400
--- ---------------------

2. Poista yksi tai useampi LDAP-palvelin "authentication ldapservers del" komento:

# authentication ldap servers del 10.X.Y.Z:400
LDAP server(s) deleted.
LDAP Servers: 1
# Server
- ------------ ---------
1 10.A.B.C (primary)
- ------------ ---------
3. Remove all LDAP servers by using the authentication ldap servers reset command:
# authentication ldap servers reset
LDAP server list reset to empty.

Määritä LDAP-peruspääte.
Peruspääte on haun DN-peruspääte, ja LDAP-hakemisto aloittaa etsinnän sieltä.

Tietoja tästä tehtävästä
Määritä OpenLDAP:n tai Active Directoryn peruspääte.

Käyttäjä voi kirjautua vain ensisijaiselta Active Directory -domainilta. Luotettujen Active Directory -domainien käyttäjiä ja ryhmiä ei tueta.
Määritä OpenLDAP:n peruspääte.

Portaat
Aseta LDAP-perusliite "authentication ldap base set" komento:

# authentication ldap base set "dc=anvil,dc=team"

LDAP base-suffix set to "dc=anvil,dc=team".

Vaiheet

1. Aseta LDAP-perusliite "authentication ldap base set" komento:

# authentication ldap base set "dc=anvil,dc=team" type active-directory

LDAP base-suffix set to "dc=anvil,dc=team".

# authentication ldap groups add dd-admins role admin
LDAP Group Role
---------- -----
dd-admins admin
---------- -----
Reset the LDAP base suffix

Portaat
Nollaa LDAP-perusliite "authentication ldap base reset" komento:

# authentication ldap base reset

LDAP-perusliite nollautuu tyhjäksi.

Määritä LDAP-asiakkaan todennus.
Määritä tili (Bind DN) ja salasana (Bind PW), joita käytetään LDAP-palvelimen todentamiseen ja kyselyjen tekemiseen.

Tietoja tästä tehtävästä
Määritä aina Bind DN ja salasana. LDAP-palvelimet edellyttävät oletusarvoisesti todennettuja sidoksia. Jos client-auth ei ole asetettu, anonyymiä pääsyä pyydetään ilman nimeä tai salasanaa.

Tulos "authentication ldap show" komento on seuraava:

# authentication ldap show

LDAP configuration
 Enabled: yes (*)
 Base-suffix: dc=u2,dc=team
 Binddn: (anonymous)
 Server(s): 1
# Server
- ------------- ---------
1 10.207.86.160 (primary)
- ------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

(*) Tiedostojärjestelmä on käynnistettävä uudelleen, jotta määritykset tulevat voimaan.

Jos binddn asetetaan käyttämällä client-auth CLI, mutta bindpw ei anneta, pyydetään todentamatonta käyttöoikeutta.

# authentication ldap client-auth set binddn "cn=Manager,dc=u2,dc=team"

Enter-näppäintä bindpw:
** Bindpw ei toimiteta. Todentamatonta käyttöoikeutta pyydetään.
LDAP-asiakkaan todennus binddn aseta arvoon "cn=Manager,dc=u2,dc=team".

Portaat

1. Aseta Bind DN ja salasana "authentication ldap client-auth set binddn" komento:

# authentication ldap client-auth set binddn "cn=Administrator,cn=Users,dc=anvil,dc=team"

Enter-näppäintä bindpw:
LDAP-asiakkaan todennus binddn on asetettu:
"cn=Administrator,cn=Users,dc=anvil,dc=team"

2. Nollaa Bind DN ja salasana "authentication ldap client-auth reset" komento:

# authentication ldap client-auth reset

LDAP-asiakkaan todennusmääritykset nollautuvat tyhjiksi.

Ota LDAP käyttöön.

Edellytykset
LDAP-määrityksen on oltava olemassa ennen LDAP:n käyttöönottoa.
Lisäksi sinun on poistettava NIS käytöstä, varmistettava, että LDAP-palvelin on tavoitettavissa, ja pystyttävä tekemään kysely LDAP-palvelimen DSE-juuritasolle.

Portaat

1. Ota LDAP käyttöön "authentication ldap enable" komento:

# authentication ldap enable

LDAP-määrityksen tiedot tulevat näkyviin, jotta voit vahvistaa ne ennen jatkamista. Jatka kirjoittamalla Kyllä ja käynnistämällä tiedostojärjestelmä uudelleen, jotta LDAP-määritys tulee voimaan.

Tarkastele nykyistä LDAP-määritystä "authentication ldap show" komento:

# authentication ldap show
LDAP configuration
 Enabled: no
 Base-suffix: dc=anvil,dc=team
 Binddn: cn=Administrator,cn=Users,dc=anvil,dc=team
 Server(s): 2
# Server
- ---------------- ---------
1 10.26.16.250 (primary)
2 10.26.16.251:400
- ---------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

LDAP:n ja suojatun LDAP:n perusmääritystiedot tulevat näkyviin.

3. View the current LDAP status by using the authentication ldap status command:
# authentication ldap status
The LDAP status is displayed. If the LDAP status is not good, the problem is identified in the output.
For example:
# authentication ldap status
Status:invalid credentials
or
# authentication ldap status
Status: invalid DN syntax
4. Disable LDAP by using the authentication ldap disable command:
# authentication ldap disable LDAP is disabled.

Ota suojattu LDAP käyttöön.

Voit määrittää DDR:n käyttämään suojattua LDAP:tä ottamalla SSL:n käyttöön.
LDAP for Active Directory: määritä suojattu LDAP SSL/TLS-asetuksilla.
Edellytykset: Jos LDAP CA -varmennetta ei ole ja tls_reqcert on asetettu kysyntään, toiminto epäonnistuu.
Tuo LDAP CA -varmenne ja yritä uudelleen. Jos tls_reqcert ei koskaan, LDAP CA -varmennetta ei tarvita.

Portaat

1. Ota SSL käyttöön "authentication ldap ssl enable" komento:

# authentication ldap ssl enable

Secure LDAP on käytössä "ldaps" menetelmä.

Oletusmenetelmä on suojattu LDAP eli LDAP. Voit määrittää muita menetelmiä, kuten TLS:

# authentication ldap ssl enable method start_tls

Secure LDAP on käytössä "start_tls" menetelmä.

2. Poista SSL käytöstä käyttämällä "authentication ldap ssl disable" komento:

# authentication ldap ssl disable Secure LDAP is disabled.

LDAP-palvelimen varmenteen määritys tuoduilla CA-varmenteilla.

Voit muuttaa TLS-pyynnön varmenteen toimintaa.

Portaat

1. Muuta TLS-pyyntövarmenteen toimintaa "authentication ldap ssl set tls_reqcert" komento.

Älä tarkista varmennetta:

# authentication ldap ssl set tls_reqcert never “tls_reqcert” set to "never".

LDAP-palvelimen varmennetta ei ole vahvistettu.

Tarkista varmenne:

# authentication ldap ssl set tls_reqcert demand

"tls_reqcert" Aseta arvoksi "Kysyntä". LDAP-palvelimen varmenne on vahvistettu.

2. Nollaa TLS-pyynnön varmenteen toiminta "authentication ldap ssl reset tls_reqcert" komento.

Oletustoiminta on kysyntä:

# authentication ldap ssl reset tls_reqcert

"tls_reqcert" on asetettu "kysyntään". LDAP-palvelimen varmenne vahvistetaan tuodulla CA-varmenteella. Käytä "adminaccess" Komentoriviliittymä CA-varmenteen tuomiseksi.

LDAP:n CA-varmenteiden hallinta.

Voit tuoda tai poistaa varmenteita ja näyttää ajantasaiset varmennetiedot.

Portaat

1. Tuo CA-varmenne LDAP-palvelimen varmenteen vahvistamista varten "adminaccess certificate import" komento.

Määritä LDAP CA-ohjelmalle:

# adminaccess certificate import {host application {all | aws-federal | ddboost | https | keysecure | dsm | ciphertrust | gklm | } | ca application {all | cloud | ddboost | ldap | login-auth | keysecure | dsm | rsa-securid | ciphertrust | gklm | }} [file ]

2. Poista CA-varmenne LDAP-palvelimen varmenteen vahvistamista varten "adminaccess" varmenteen poistokomento. Määritä LDAP ohjelmaa varten:

# adminaccess certificate delete {subject | fingerprint } [application {all | aws-federal | cloud | ddboost | ldap | login-auth | https | keysecure | dsm | ciphertrust | gklm | support | }]

3. Näytä LDAP-palvelimen varmenteen vahvistuksen ajantasaiset CA-varmennetiedot "adminaccess certificate show" komento:

# adminaccess certificate show imported-ca application ldap

Active Directoryn portit

LDAP

Kun Federal Information Processing Standards (FIPS) on käytössä, järjestelmässä tai DDVE:ssä toimivan LDAP-asiakkaan on käytettävä TLS:ää.

# authentication ldap ssl enable method start_tls Otherwise, enabling FIPS compliance mode fails.

LDAP SSL -salauksia ei ole määritetty erikseen uudessa asennuksessa ja päivityksessä.
Kun FIPS-yhteensopivuustila on käytössä, LDAP SSL -salaukset asetetaan seuraaviin:

• ECDHE-RSA-AES256-GCM-SHA384
• ECDHE-RSA-AES256-SHA384
• DHE-RSA-AES256-GCM-SHA384
• DHE-RSA-AES256-SHA256
• AES256-GCM-SHA384
• AES256-SHA256
• ECDHE-RSA-AES128-GCM-SHA256
• ECDHE-RSA-AES128-SHA256
• DHE-RSA-AES128-GCM-SHA256
• DHE-RSA-AES128-SHA256
• AES128-GCM-SHA256
• AES128-SHA256

Konfiguroidun salausluettelon tulisi olla: ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128- SHA256

Kun FIPS on poistettu käytöstä, se asetetaan tyhjäksi merkkijonoksi "".

LDAP for Network File System (NFS) ID -määritys

Data Domain- ja PowerProtect-järjestelmät voivat käyttää LDAP:tä NFSv4 ID -kartoitukseen ja NFSv3- tai NFSv4 Kerberos -järjestelmää LDAP:n kanssa. Käyttäjä voi myös määrittää suojatun LDAP:n joko LDAPS:llä tai "start_TLS" menetelmä. LDAP-asiakkaan todennuksessa voidaan käyttää Bind DN tai Bind PW, mutta järjestelmät eivät tue varmennepohjaista LDAP-asiakastodennusta.