Data Domain: Przewodnik po LDAP

Informacje i kroki opisane w tym przewodniku działają z DD OS 7.9 i nowszymi

Wyświetlanie informacji o uwierzytelnianiu LDAP

W panelu Uwierzytelnianie LDAP wyświetlane są parametry konfiguracji LDAP oraz informacja o tym, czy uwierzytelnianie LDAP jest włączone czy wyłączone.
Włączenie protokołu LDAP** umożliwia korzystanie z istniejącego serwera OpenLDAP lub wdrożenia na potrzeby **uwierzytelniania użytkowników na poziomie systemu**, mapowania identyfikatorów **NFSv4** oraz **protokołu Kerberos NFSv3 lub NFSv4 z LDAP.

Kroki

1. Wybierz pozycje Administracja > Dostęp > Uwierzytelnianie. Zostanie wyświetlony widok Uwierzytelnianie.
2. Rozwiń panel Uwierzytelnianie LDAP.

Włączanie i wyłączanie uwierzytelniania LDAP Użyj panelu uwierzytelniania LDAP, aby włączyć, wyłączyć lub zresetować uwierzytelnianie LDAP.

Kroki

1. Wybierz pozycje Administracja > Dostęp > Uwierzytelnianie. Zostanie wyświetlony widok Uwierzytelnianie.
2. Rozwiń panel uwierzytelniania LDAP.
3. Kliknij opcję Enable obok pozycji LDAP Status, aby ją włączyć, lub opcję Disable aby wyłączyć uwierzytelnianie LDAP.
   Zostanie wyświetlone okno dialogowe Włączanie lub wyłączanie uwierzytelniania LDAP.
4. Kliknij przycisk OK.

Resetowanie uwierzytelniania LDAP.

Przycisk Resetuj wyłącza uwierzytelnianie LDAP i czyści informacje o konfiguracji LDAP.

Konfigurowanie uwierzytelniania LDAP

Użyj panelu uwierzytelniania LDAP, aby skonfigurować uwierzytelnianie LDAP.

Kroki

1. Wybierz pozycje Administracja > Dostęp > Uwierzytelnianie. Zostanie wyświetlony widok Uwierzytelnianie.
2. Rozwiń panel Uwierzytelnianie LDAP.
3. Kliknij opcję Configure. Zostanie wyświetlone okno dialogowe Konfigurowanie uwierzytelniania LDAP.
4. Określ sufiks podstawowy w polu Sufiks podstawowy.
5. Określ nazwę konta, które ma zostać powiązane z serwerem LDAP, w polu Bind DN.
6. Określ hasło dla konta Bind DN w polu Bind Password.
7. Opcjonalnie wybierz opcję Enable SSL.
8. Opcjonalnie wybierz opcję Demand server certificate , aby wymagać od systemu ochrony zaimportowania certyfikatu CA z serwera LDAP.
9. Kliknij przycisk OK.
10. W razie potrzeby później kliknij przycisk Resetuj , aby przywrócić domyślne wartości konfiguracji LDAP.

Określanie serwerów uwierzytelniania LDAP

Informacje o zadaniu
Użyj panelu uwierzytelniania LDAP, aby określić serwery uwierzytelniania LDAP.
Wymagania wstępne: przed skonfigurowaniem serwera LDAP należy wyłączyć uwierzytelnianie LDAP.
 

Kroki

1. Wybierz pozycje Administracja > Dostęp > Uwierzytelnianie. Zostanie wyświetlony widok Uwierzytelnianie.
2. Rozwiń panel uwierzytelniania LDAP.
3. Kliknij przycisk + , aby dodać serwer.
4. Określ wartość serwera LDAP w jednym z następujących formatów:
   • Adres IPv4: nn.nn.nn.nn
   • Adres IPv6: [FF::XXXX:XXXX:XXXX:XXXX]
   • Nazwa hosta: myldapserver.FQDN
5. Kliknij przycisk OK.

Konfigurowanie grup LDAP

Użyj panelu uwierzytelniania LDAP, aby skonfigurować grupy LDAP.

Informacje o zadaniu
Konfiguracja grupy LDAP ma zastosowanie tylko w przypadku korzystania z protokołu LDAP do uwierzytelniania użytkowników w systemie ochrony.

Kroki

1. Wybierz pozycje Administracja > Dostęp > Uwierzytelnianie. Zostanie wyświetlony widok Uwierzytelnianie.
2. Rozwiń panel uwierzytelniania LDAP.
3. Skonfiguruj grupy LDAP w tabeli Grupa LDAP.
   • Aby dodać grupę LDAP, kliknij przycisk Dodaj (+), wprowadź nazwę i rolę grupy LDAP, a następnie kliknij przycisk OK.
   • Aby zmodyfikować grupę LDAP, zaznacz pole wyboru obok nazwy grupy na liście grup LDAP i kliknij przycisk Edytuj (ołówek). Zmień nazwę grupy LDAP i kliknij przycisk OK.
   • Aby usunąć grupę LDAP, wybierz grupę LDAP z listy i kliknij przycisk Usuń (X).

Korzystanie z interfejsu wiersza polecenia w celu skonfigurowania uwierzytelniania LDAP.

Włączenie protokołu LDAP** umożliwia **skonfigurowanie istniejącego serwera lub wdrożenia OpenLDAP** na potrzeby **uwierzytelniania użytkowników na poziomie systemu**, **mapowania identyfikatorów NFSv4** i **protokołu Kerberos NFSv3 lub NFSv4 z LDAP.

Nie można tego skonfigurować, jeśli uwierzytelnianie LDAP jest już skonfigurowane dla usługi Active Directory.

Konfigurowanie uwierzytelniania LDAP dla usługi Active Directory

DDOS obsługuje uwierzytelnianie LDAP dla usługi Active Directory.
Uwierzytelnianie LDAP za pomocą usługi Active Directory** ogranicza dostęp do danych CIFS dla użytkowników i grup Active Directory, umożliwiając dostęp do udziałów CIFS w systemie tylko użytkownikom lokalnym.
W przypadku użytkowników usługi Active Directory z tą konfiguracją dozwolone są tylko loginy CLI i interfejsu użytkownika.

Warunki wstępne
Upewnij się, że środowisko spełnia następujące wymagania, aby skonfigurować uwierzytelnianie LDAP dla usługi Active Directory:

• Protokół TLS/SSL jest włączony dla komunikacji LDAP.
• Użytkownicy usługi Active Directory uzyskujący dostęp do systemu ochrony muszą mieć prawidłowe numery UID i GID.
• Grupy usługi Active Directory uzyskujące dostęp do systemu ochrony muszą mieć prawidłowy numer GID.

Następujące ograniczenia dotyczą protokołu LDAP dla usługi Active Directory:

• Microsoft Active Directory jest jedynym obsługiwanym dostawcą Active Directory.
• Usługi Active Directory Lightweight Directory Services (LDS) nie są obsługiwane.
• Natywny schemat usługi Active Directory dla uidNumber i gidNumber population jest jedynym obsługiwanym schematem. Narzędzia innych firm zintegrowane z usługą Active Directory nie są obsługiwane.

Informacje o zadaniu
Uwierzytelniania LDAP dla usługi Active Directory nie można używać z uwierzytelnianiem Active Directory ani uwierzytelniania Kerberos dla CIFS.
Interfejs wiersza poleceń jest jedynym sposobem skonfigurowania tej opcji.

Kroki
Uruchom polecenie authentication LDAP base set base name type active-directory, aby włączyć uwierzytelnianie LDAP dla usługi Active Directory.

# authentication ldap base set "dc=anvil,dc=team" type active-directory

Konfiguracja serwerów LDAP.

Jednocześnie można skonfigurować jeden lub więcej serwerów LDAP. Konfiguruj serwery z lokalizacji znajdującej się najbliżej systemu ochrony w celu zapewnienia minimalnych opóźnień.

Informacje o tym zadaniu

Określ wartość serwera LDAP w jednym z następujących formatów:

• IPv4 address—10.<A>.<B>.<C>
• IPv4 address with port number—10.<A>.<B>.<C>:400
• IPv6 address—[::ffff:9.53.96.21]
• IPv6 address with port number—[::ffff:9.53.96.21]:400
• Hostname—myldapserver
• Hostname with port number—myldapserver:400

W przypadku konfigurowania wielu serwerów:

• Oddziel każdy serwer spacją.
• Pierwszy serwer wymieniony podczas korzystania z polecenia dodawania serwerów uwierzytelniania LDAP staje się serwerem podstawowym.
• Jeśli nie można skonfigurować któregokolwiek z serwerów, polecenie zakończy się niepowodzeniem dla wszystkich serwerów wymienionych na liście.

Kroki

1. Dodaj jeden lub więcej serwerów LDAP za pomocą "authentication ldap servers add”:

# authentication ldap servers add 10.A.B.C 10.X.Y.Z:400
LDAP server(s) added
LDAP Server(s): 2
# IP Address/Hostname
--- ---------------------
1. 10.A.B.C (primary)
2. 10.X.Y.Z:400
--- ---------------------

2. Usuń jeden lub więcej serwerów LDAP za pomocą "authentication ldapservers del”:

# authentication ldap servers del 10.X.Y.Z:400
LDAP server(s) deleted.
LDAP Servers: 1
# Server
- ------------ ---------
1 10.A.B.C (primary)
- ------------ ---------
3. Remove all LDAP servers by using the authentication ldap servers reset command:
# authentication ldap servers reset
LDAP server list reset to empty.

Skonfiguruj sufiks podstawowy LDAP.
Sufiks podstawowy jest podstawową nazwą wyróżniającą wyszukiwania i miejscem, od którego rozpoczyna się wyszukiwanie katalogu LDAP.

Informacje o zadaniu
Ustaw sufiks podstawowy dla OpenLDAP lub Active Directory.

Logowanie użytkownika jest dozwolone tylko z podstawowej domeny Active Directory. Użytkownicy i grupy z zaufanych domen usługi Active Directory nie są obsługiwani.
Ustaw sufiks podstawowy dla OpenLDAP.

Kroki
Ustaw sufiks podstawowy LDAP za pomocą "authentication ldap base set”:

# authentication ldap base set "dc=anvil,dc=team"

LDAP base-suffix set to "dc=anvil,dc=team".

Kroki

1. Ustaw sufiks podstawowy LDAP za pomocą "authentication ldap base set”:

# authentication ldap base set "dc=anvil,dc=team" type active-directory

LDAP base-suffix set to "dc=anvil,dc=team".

# authentication ldap groups add dd-admins role admin
LDAP Group Role
---------- -----
dd-admins admin
---------- -----
Reset the LDAP base suffix

Kroki
Zresetuj sufiks podstawowy LDAP za pomocą "authentication ldap base reset”:

# authentication ldap base reset

Resetowanie sufiksu podstawowego LDAP do wartości pustej.

Konfiguracja uwierzytelniania klienta LDAP.
Skonfiguruj konto (Bind DN) i hasło (Bind PW) używane do uwierzytelniania na serwerze LDAP i wykonywania zapytań.

Informacje o zadaniu
Zawsze należy skonfigurować nazwę wyróżniającą powiązania i hasło. W tym procesie serwery LDAP domyślnie wymagają uwierzytelnionych powiązań. Jeśli client-auth nie jest ustawiona, żądany jest dostęp anonimowy, nie podając nazwy ani hasła.

Dane wyjściowe "authentication ldap show" jest następujące:

# authentication ldap show

LDAP configuration
 Enabled: yes (*)
 Base-suffix: dc=u2,dc=team
 Binddn: (anonymous)
 Server(s): 1
# Server
- ------------- ---------
1 10.207.86.160 (primary)
- ------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

(*) Aby odnieść skutek, wymagane jest ponowne uruchomienie systemu plików.

Jeśli binddn ustawia się za pomocą client-auth Interfejs wiersza poleceń, ale bindpw nie podano, żądany jest nieuwierzytelniony dostęp.

# authentication ldap client-auth set binddn "cn=Manager,dc=u2,dc=team"

Wprowadź bindpw:
** Bindpw nie jest dostarczany. Żądany byłby nieuwierzytelniony dostęp.
Uwierzytelnianie klienta LDAP binddn ustaw na "cn=Manager,dc=u2,dc=team".

Kroki

1. Ustaw nazwę wyróżniającą powiązania i hasło za pomocą polecenia "authentication ldap client-auth set binddn”:

# authentication ldap client-auth set binddn "cn=Administrator,cn=Users,dc=anvil,dc=team"

Wprowadź bindpw:
Uwierzytelnianie klienta LDAP binddn jest ustawiona na:
"cn=Administrator,cn=Users,dc=anvil,dc=team”

2. Zresetuj nazwę wyróżniającą powiązania i hasło przy użyciu polecenia "authentication ldap client-auth reset”:

# authentication ldap client-auth reset

Konfiguracja uwierzytelniania klienta LDAP jest resetowana do pustej.

Włącz funkcję LDAP.

Warunki wstępne
Przed włączeniem protokołu LDAP musi istnieć konfiguracja LDAP.
Ponadto należy wyłączyć sieciową usługę informacyjną, upewnić się, że serwer LDAP jest osiągalny, i mieć możliwość wysyłania zapytań do głównego narzędzia DSE serwera LDAP.

Kroki

1. Włącz protokół LDAP za pomocą przycisku "authentication ldap enable”:

# authentication ldap enable

Zostaną wyświetlone szczegóły konfiguracji LDAP, które należy potwierdzić przed kontynuowaniem. Aby kontynuować, wpisz Tak i uruchom ponownie system plików, aby konfiguracja LDAP została zastosowana.

Wyświetl bieżącą konfigurację LDAP za pomocą przycisku "authentication ldap show”:

# authentication ldap show
LDAP configuration
 Enabled: no
 Base-suffix: dc=anvil,dc=team
 Binddn: cn=Administrator,cn=Users,dc=anvil,dc=team
 Server(s): 2
# Server
- ---------------- ---------
1 10.26.16.250 (primary)
2 10.26.16.251:400
- ---------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

Zostaną wyświetlone dane konfiguracji Basic LDAP i Secure LDAP.

3. View the current LDAP status by using the authentication ldap status command:
# authentication ldap status
The LDAP status is displayed. If the LDAP status is not good, the problem is identified in the output.
For example:
# authentication ldap status
Status:invalid credentials
or
# authentication ldap status
Status: invalid DN syntax
4. Disable LDAP by using the authentication ldap disable command:
# authentication ldap disable LDAP is disabled.

Włącz bezpieczną funkcję LDAP.

Funkcję DDR można skonfigurować w celu korzystania z bezpiecznego protokołu LDAP, włączając protokół SSL.
W przypadku protokołu LDAP dla usługi Active Directory skonfiguruj bezpieczny protokół LDAP z opcjami SSL/TLS.
Wymagania wstępne W przypadku braku certyfikatu urzędu certyfikacji LDAP i tls_reqcert jest ustawiona na żądanie, operacja kończy się niepowodzeniem.
Zaimportuj certyfikat urzędu certyfikacji LDAP i spróbuj ponownie. Jeśli tls_reqcert jest ustawiona na Nigdy, certyfikat urzędu certyfikacji LDAP nie jest wymagany.

Kroki

1. Włącz protokół SSL za pomocą przycisku "authentication ldap ssl enable”:

# authentication ldap ssl enable

Funkcja Secure LDAP jest włączona za pomocą polecenia "ldaps".

Domyślną metodą jest bezpieczny LDAP lub LDAP. Możesz określić inne metody, takie jak TLS:

# authentication ldap ssl enable method start_tls

Funkcja Secure LDAP jest włączona za pomocą polecenia "start_tls".

2. Wyłącz SSL za pomocą "authentication ldap ssl disable”:

# authentication ldap ssl disable Secure LDAP is disabled.

Skonfiguruj weryfikację certyfikatu serwera LDAP przy użyciu zaimportowanych certyfikatów CA.

Możesz zmienić zachowanie certyfikatu żądania TLS.

Kroki

1. Zmień zachowanie certyfikatu żądania TLS przy użyciu polecenia "authentication ldap ssl set tls_reqcert" polecenie.

Nie weryfikuj certyfikatu:

# authentication ldap ssl set tls_reqcert never “tls_reqcert” set to "never".

Certyfikat serwera LDAP nie został zweryfikowany.

Sprawdź certyfikat:

# authentication ldap ssl set tls_reqcert demand

”tls_reqcert" ustawione na "Demand". Certyfikat serwera LDAP został zweryfikowany.

2. Zresetuj zachowanie certyfikatu żądania TLS przy użyciu polecenia "authentication ldap ssl reset tls_reqcert" polecenie.

Domyślnym zachowaniem jest demand:

# authentication ldap ssl reset tls_reqcert

”tls_reqcert" został ustawiony na "demand". Certyfikat serwera LDAP jest weryfikowany przy użyciu zaimportowanego certyfikatu CA. Posługiwać się "adminaccess" CLI do importowania certyfikatu urzędu certyfikacji.

Zarządzanie certyfikatami CA dla LDAP.

Możesz importować lub usuwać certyfikaty i wyświetlać aktualne informacje o certyfikatach.

Kroki

1. Zaimportuj certyfikat CA do weryfikacji certyfikatu serwera LDAP za pomocą "adminaccess certificate import" polecenie.

Określ protokół LDAP dla aplikacji CA:

# adminaccess certificate import {host application {all | aws-federal | ddboost | https | keysecure | dsm | ciphertrust | gklm | } | ca application {all | cloud | ddboost | ldap | login-auth | keysecure | dsm | rsa-securid | ciphertrust | gklm | }} [file ]

2. Usuń certyfikat CA do weryfikacji certyfikatu serwera LDAP za pomocą polecenia "adminaccess" polecenie usunięcia certyfikatu. Określ LDAP dla aplikacji:

# adminaccess certificate delete {subject | fingerprint } [application {all | aws-federal | cloud | ddboost | ldap | login-auth | https | keysecure | dsm | ciphertrust | gklm | support | }]

3. Pokaż aktualne informacje o certyfikacie CA do weryfikacji certyfikatu serwera LDAP za pomocą przycisku "adminaccess certificate show”:

# adminaccess certificate show imported-ca application ldap

Porty dla usługi Active Directory

LDAP

Po włączeniu standardu FIPS (Federal Information Processing Standards) klient LDAP uruchomiony w systemie lub DDVE musi używać protokołu TLS.

# authentication ldap ssl enable method start_tls Otherwise, enabling FIPS compliance mode fails.

W nowej instalacji i uaktualnieniu szyfry SSL LDAP nie są jawnie ustawiane.
Gdy włączony jest tryb zgodności ze standardem FIPS, szyfry SSL LDAP są ustawione na następujące parametry:

• ECDHE-RSA-AES256-GCM-SHA384
• ECDHE-RSA-AES256-SHA384
• DHE-RSA-AES256-GCM-SHA384
• DHE-RSA-AES256-SHA256
• AES256-GCM-SHA384
• AES256-SHA256
• ECDHE-RSA-AES128-GCM-SHA256
• ECDHE-RSA-AES128-SHA256
• DHE-RSA-AES128-GCM-SHA256
• DHE-RSA-AES128-SHA256
• AES128-GCM-SHA256
• AES128-SHA256

Skonfigurowana lista szyfrowania powinna być następująca: ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128- SHA256

Gdy funkcja FIPS jest wyłączona, jest ustawiona na pusty ciąg znaków.

Mapowanie identyfikatorów LDAP dla systemu plików NFS (Network File System)

Systemy Data Domain i PowerProtect mogą korzystać z protokołu LDAP do mapowania identyfikatorów NFSv4 oraz protokołu Kerberos NFSv3 lub NFSv4 z LDAP. Użytkownik może również skonfigurować bezpieczny protokół LDAP za pomocą LDAPS lub "start_TLS". Uwierzytelnianie klienta LDAP może korzystać z opcji Bind DN lub Bind PW, ale systemy nie obsługują uwierzytelniania klienta LDAP opartego na certyfikatach.