Домен даних: Довідник по LDAP

Інформація та кроки в цьому посібнику працюють з DD OS 7.9 і пізнішими версіями

Перегляд інформації автентифікації LDAP

На панелі автентифікації LDAP відображаються параметри конфігурації LDAP і те, чи ввімкнено або вимкнено автентифікацію LDAP.
Увімкнення LDAP** дає змогу використовувати наявний сервер OpenLDAP або розгортання для аутентифікації користувача на системному рівні**, відображення ідентифікаторів **NFSv4** та Kerberos **NFSv3 або NFSv4 з LDAP.

Кроки

1. Виберіть Автентифікація доступу > адміністратора>. З'явиться вікно Автентифікація.
2. Розгорніть панель автентифікації LDAP.

Увімкнення та вимкнення автентифікації LDAP Використовуйте панель автентифікації LDAP для ввімкнення, вимкнення або скидання автентифікації LDAP.

Кроки

1. Виберіть Автентифікація доступу > адміністратора>. З'явиться вікно Автентифікація.
2. Розгорніть панель автентифікації LDAP.
3. Натисніть «Увімкнути » поруч із пунктом «Статус LDAP», щоб увімкнути або «Вимкнути», щоб вимкнути автентифікацію LDAP.
   З'явиться діалогове вікно Увімкнути або Вимкнути автентифікацію LDAP.
4. Натисніть кнопку «OK».

Скидання автентифікації LDAP.

Кнопка «Скинути» вимикає автентифікацію LDAP і очищає інформацію про конфігурацію LDAP.

Налаштування автентифікації LDAP

Використовуйте панель автентифікації LDAP, щоб налаштувати автентифікацію LDAP.

Кроки

1. Виберіть Автентифікація доступу > адміністратора>. З'явиться вікно Автентифікація.
2. Розгорніть панель автентифікації LDAP.
3. Натисніть Налаштувати. З'явиться діалогове вікно Налаштування автентифікації LDAP.
4. Вкажіть основний суфікс у полі «Базовий суфікс».
5. Укажіть ім'я облікового запису, яке буде пов'язано із сервером LDAP, у полі «Прив'язати DN».
6. Вкажіть пароль для облікового запису Bind DN у полі Bind Password.
7. За бажанням виберіть Увімкнути SSL.
8. За бажанням можна вибрати пункт Вимагати сертифікат сервера , щоб вимагати від системи захисту імпортувати сертифікат ЦС із сервера LDAP.
9. Натисніть кнопку «OK».
10. Якщо це буде потрібно пізніше, натисніть « Скинути », щоб повернути конфігурацію LDAP до значень за замовчуванням.

Визначення серверів автентифікації LDAP

Про це завдання
Використовуйте панель автентифікації LDAP, щоб вказати сервери автентифікації LDAP.
Передумови: аутентифікацію LDAP слід вимкнути перед налаштовуванням сервера LDAP.
 

Кроки

1. Виберіть Автентифікація доступу > адміністратора>. З'явиться вікно Автентифікація.
2. Розгорніть панель автентифікації LDAP.
3. Натисніть кнопку + , щоб додати сервер.
4. Вкажіть сервер LDAP в одному з наступних форматів:
   • Адреса IPv4: nn.nn.nn.nn
   • Адреса IPv6: [FF::XXXX:XXXX:XXXX:XXXX]
   • Ім'я хоста: myldapserver.FQDN
5. Натисніть кнопку «OK».

Налаштовування груп LDAP

Використовуйте панель автентифікації LDAP для налаштування груп LDAP.

Про це завдання
Конфігурація групи LDAP застосовується лише у разі використання LDAP для автентифікації користувачів у системі захисту.

Кроки

1. Виберіть Автентифікація доступу > адміністратора>. З'явиться вікно Автентифікація.
2. Розгорніть панель автентифікації LDAP.
3. Налаштуйте групи LDAP у таблиці груп LDAP.
   • Щоб додати групу LDAP, натисніть кнопку Додати (+), введіть назву та роль групи LDAP, а потім натисніть кнопку OK.
   • Щоб змінити групу LDAP, установіть прапорець біля назви групи у списку груп LDAP і натисніть кнопку Редагувати (олівець). Змініть ім'я групи LDAP і натисніть кнопку OK.
   • Щоб видалити групу LDAP, виберіть групу LDAP у списку та натисніть кнопку Видалити (X).

Використання інтерфейсу командного рядка для налаштування автентифікації LDAP.

Увімкнення LDAP** дозволяє вам **налаштувати існуючий сервер OpenLDAP або розгортання** для **аутентифікації користувача на системному рівні**, **відображення ідентифікаторів NFSv4** та **NFSv3 або NFSv4 Kerberos з LDAP.

Це не можна налаштувати, якщо автентифікацію LDAP уже налаштовано для Active Directory.

Налаштування автентифікації LDAP для Active Directory

DDOS підтримує використання автентифікації LDAP для Active Directory.
Автентифікація LDAP за допомогою Active Directory** обмежує доступ до даних CIFS для користувачів і груп Active Directory, дозволяючи лише локальним користувачам отримувати доступ до спільних ресурсів CIFS у системі.
Для користувачів Active Directory з цією конфігурацією дозволено входити лише за допомогою CLI та UI.

Передумови
Переконайтеся, що середовище відповідає таким вимогам для налаштування автентифікації LDAP для Active Directory:

• Для зв'язку LDAP увімкнено протокол TLS/SSL.
• Користувачі Active Directory, які отримують доступ до системи захисту, повинні мати дійсні номери UID і GID.
• Групи Active Directory, які мають доступ до системи захисту, повинні мати дійсний номер GID.

До LDAP для Active Directory застосовуються такі обмеження:

• Microsoft Active Directory є єдиним підтримуваним постачальником Active Directory.
• Полегшені служби каталогів Active Directory (LDS) не підтримуються.
• Власна схема Active Directory для uidNumber і gidNumber Популяція є єдиною підтримуваною схемою. Немає підтримки сторонніх інструментів, інтегрованих з Active Directory.

Про це завдання
Автентифікацію LDAP для Active Directory не можна використовувати з автентифікацією Active Directory або Kerberos для CIFS.
Інтерфейс командного рядка є єдиним способом налаштувати цей параметр.

Кроки
Запустіть команду автентифікації LDAP, базового набору, типу базового імені, active-directory, щоб увімкнути автентифікацію LDAP для Active Directory.

# authentication ldap base set "dc=anvil,dc=team" type active-directory

Налаштуйте сервери LDAP.

Ви можете налаштувати один або декілька серверів LDAP одночасно. Налаштуйте сервери з найближчого до системи захисту сайту на мінімальну затримку.

Про це завдання

Вкажіть сервер LDAP в одному з наступних форматів:

• IPv4 address—10.<A>.<B>.<C>
• IPv4 address with port number—10.<A>.<B>.<C>:400
• IPv6 address—[::ffff:9.53.96.21]
• IPv6 address with port number—[::ffff:9.53.96.21]:400
• Hostname—myldapserver
• Hostname with port number—myldapserver:400

При налаштуванні декількох серверів:

• Відокремте кожен сервер пробілом.
• Перший сервер у списку під час використання команди додавання серверів автентифікації LDAP стає основним.
• Якщо будь-який із серверів не може бути налаштований, команда не виконується для всіх серверів у списку.

Кроки

1. Додайте один або декілька серверів LDAP за допомогою кнопки «authentication ldap servers add" Команда:

# authentication ldap servers add 10.A.B.C 10.X.Y.Z:400
LDAP server(s) added
LDAP Server(s): 2
# IP Address/Hostname
--- ---------------------
1. 10.A.B.C (primary)
2. 10.X.Y.Z:400
--- ---------------------

2. Видаліть один або декілька серверів LDAP за допомогою кнопки «authentication ldapservers del" Команда:

# authentication ldap servers del 10.X.Y.Z:400
LDAP server(s) deleted.
LDAP Servers: 1
# Server
- ------------ ---------
1 10.A.B.C (primary)
- ------------ ---------
3. Remove all LDAP servers by using the authentication ldap servers reset command:
# authentication ldap servers reset
LDAP server list reset to empty.

Налаштуйте базовий суфікс LDAP.
Базовий суфікс є базовим DN для пошуку і є місцем, з якого починається пошук у каталозі LDAP.

Про це завдання
Встановіть базовий суфікс для OpenLDAP або Active Directory.

Вхід користувача дозволено лише з основного домену Active Directory. Користувачі та групи з довірених доменів Active Directory не підтримуються.
Встановіть базовий суфікс для OpenLDAP.

Кроки
Встановіть базовий суфікс LDAP за допомогою кнопки «authentication ldap base set" Команда:

# authentication ldap base set "dc=anvil,dc=team"

LDAP base-suffix set to "dc=anvil,dc=team".

Кроки

1. Встановіть базовий суфікс LDAP за допомогою кнопки «authentication ldap base set" Команда:

# authentication ldap base set "dc=anvil,dc=team" type active-directory

LDAP base-suffix set to "dc=anvil,dc=team".

# authentication ldap groups add dd-admins role admin
LDAP Group Role
---------- -----
dd-admins admin
---------- -----
Reset the LDAP base suffix

Кроки
Скиньте базовий суфікс LDAP за допомогою кнопки «authentication ldap base reset" Команда:

# authentication ldap base reset

Базовий суфікс LDAP скинуто на порожнє.

Налаштуйте автентифікацію клієнта LDAP.
Налаштуйте обліковий запис (Bind DN) і пароль (Bind PW), які використовуються для автентифікації на сервері LDAP і виконання запитів.

Про це завдання
Ви завжди повинні налаштовувати DN і пароль прив'язки. При цьому сервери LDAP за замовчуванням вимагають автентифікованих прив'язок. Якщо client-auth не встановлено, запитується анонімний доступ, не вказуючи ні імені, ні пароля.

Вихід з «authentication ldap show" виглядає наступним чином:

# authentication ldap show

LDAP configuration
 Enabled: yes (*)
 Base-suffix: dc=u2,dc=team
 Binddn: (anonymous)
 Server(s): 1
# Server
- ------------- ---------
1 10.207.86.160 (primary)
- ------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

(*) Потрібно перезавантажити файлову систему, щоб конфігурація набула чинності.

Якщо binddn встановлюється за допомогою client-auth CLI, але bindpw не надається, запитується неавтентифікований доступ.

# authentication ldap client-auth set binddn "cn=Manager,dc=u2,dc=team"

Входити bindpw:
** Bindpw не надається. Буде запитано доступ без автентифікації.
Автентифікація клієнта LDAP binddn встановлено на "cn=Manager,dc=u2,dc=team».

Кроки

1. Встановіть DN і пароль прив'язки за допомогою кнопки «authentication ldap client-auth set binddn" Команда:

# authentication ldap client-auth set binddn "cn=Administrator,cn=Users,dc=anvil,dc=team"

Входити bindpw:
Аутентифікація клієнта LDAP binddn встановлено на:
"cn=Administrator,cn=Users,dc=anvil,dc=team"

2. Скиньте DN і пароль прив'язки за допомогою кнопки «authentication ldap client-auth reset" Команда:

# authentication ldap client-auth reset

Конфігурацію автентифікації клієнта LDAP скинуто на порожнє.

Увімкніть LDAP.

Передумови
Перед увімкненням LDAP має існувати конфігурація LDAP.
Крім того, ви повинні вимкнути NIS, переконатися, що сервер LDAP доступний, і мати можливість запитувати кореневу DSE сервера LDAP.

Кроки

1. Увімкніть LDAP за допомогою кнопки «authentication ldap enable" Команда:

# authentication ldap enable

Відомості про конфігурацію LDAP відображаються, щоб ви могли підтвердити, перш ніж продовжити. Щоб продовжити, введіть Yes і перезапустіть файлову систему, щоб конфігурація LDAP набула чинності.

Перегляньте поточну конфігурацію LDAP за допомогою кнопки «authentication ldap show" Команда:

# authentication ldap show
LDAP configuration
 Enabled: no
 Base-suffix: dc=anvil,dc=team
 Binddn: cn=Administrator,cn=Users,dc=anvil,dc=team
 Server(s): 2
# Server
- ---------------- ---------
1 10.26.16.250 (primary)
2 10.26.16.251:400
- ---------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

Буде показано відомості про базову конфігурацію LDAP та безпечний LDAP.

3. View the current LDAP status by using the authentication ldap status command:
# authentication ldap status
The LDAP status is displayed. If the LDAP status is not good, the problem is identified in the output.
For example:
# authentication ldap status
Status:invalid credentials
or
# authentication ldap status
Status: invalid DN syntax
4. Disable LDAP by using the authentication ldap disable command:
# authentication ldap disable LDAP is disabled.

Увімкніть безпечний LDAP.

Ви можете налаштувати DDR на використання безпечного LDAP, увімкнувши SSL.
Для LDAP для Active Directory налаштуйте безпечний LDAP за допомогою параметрів SSL/TLS.
Передумови: якщо немає сертифіката ЦС LDAP та tls_reqcert встановлено на вимогу, операція не вдається.
Імпортуйте сертифікат ЦС LDAP і повторіть спробу. Якщо tls_reqcert встановлено на ніколи, сертифікат CA LDAP не потрібен.

Кроки

1. Увімкніть SSL за допомогою кнопки «authentication ldap ssl enable" Команда:

# authentication ldap ssl enable

Безпечний LDAP увімкнено за допомогою кнопки «ldapsМетоду.

За замовчуванням використовується безпечний LDAP або LDAP. Ви можете вказати інші методи, такі як TLS:

# authentication ldap ssl enable method start_tls

Безпечний LDAP увімкнено за допомогою кнопки «start_tlsМетоду.

2. Вимкніть SSL за допомогою кнопки «authentication ldap ssl disable" Команда:

# authentication ldap ssl disable Secure LDAP is disabled.

Налаштуйте перевірку сертифікатів сервера LDAP за допомогою імпортованих сертифікатів ЦС.

Ви можете змінити поведінку сертифіката TLS-запиту.

Кроки

1. Змініть поведінку сертифіката запиту TLS за допомогою кнопки «authentication ldap ssl set tls_reqcertНаказ.

Не перевіряйте сертифікат:

# authentication ldap ssl set tls_reqcert never “tls_reqcert” set to "never".

Сертифікат сервера LDAP не перевірено.

Перевірте сертифікат:

# authentication ldap ssl set tls_reqcert demand

"tls_reqcert" встановлено на "вимога". Сертифікат сервера LDAP перевірено.

2. Скиньте поведінку сертифіката запиту TLS за допомогою кнопки «authentication ldap ssl reset tls_reqcertНаказ.

Поведінкою за замовчуванням є вимога:

# authentication ldap ssl reset tls_reqcert

"tls_reqcert" було встановлено на "вимогу". Сертифікат сервера LDAP перевіряється імпортованим сертифікатом ЦС. Використовуйте "adminaccess" CLI для імпорту сертифіката ЦС.

Керування сертифікатами ЦС для LDAP.

Ви можете імпортувати або видаляти сертифікати та відображати поточну інформацію про сертифікати.

Кроки

1. Імпортуйте сертифікат ЦС для перевірки сертифіката сервера LDAP за допомогою кнопки «adminaccess certificate importНаказ.

Вкажіть LDAP для застосування ЦС:

# adminaccess certificate import {host application {all | aws-federal | ddboost | https | keysecure | dsm | ciphertrust | gklm | } | ca application {all | cloud | ddboost | ldap | login-auth | keysecure | dsm | rsa-securid | ciphertrust | gklm | }} [file ]

2. Видаліть сертифікат ЦС для перевірки сертифіката сервера LDAP за допомогою кнопки «adminaccess" команда видалення сертифіката. Вкажіть LDAP для застосування:

# adminaccess certificate delete {subject | fingerprint } [application {all | aws-federal | cloud | ddboost | ldap | login-auth | https | keysecure | dsm | ciphertrust | gklm | support | }]

3. Відображення поточної інформації сертифіката ЦС для перевірки сертифіката сервера LDAP за допомогою кнопки «adminaccess certificate show" Команда:

# adminaccess certificate show imported-ca application ldap

Порти для Active Directory

ЛДАП

Якщо ввімкнуто федеральні стандарти обробки інформації (FIPS), клієнт LDAP, який працює в системі або DDVE, має використовувати протокол TLS.

# authentication ldap ssl enable method start_tls Otherwise, enabling FIPS compliance mode fails.

При новій інсталяції та оновленні шифри LDAP SSL явно не встановлюються.
Якщо ввімкнено режим відповідності стандарту FIPS, для шифрів LDAP SSL установлюються такі значення:

• ECDHE-RSA-AES256-GCM-SHA384
• ECDHE-RSA-AES256-SHA384
• DHE-RSA-AES256-GCM-SHA384
• DHE-RSA-AES256-SHA256
• AES256-GCM-SHA384
• AES256-SHA256
• ECDHE-RSA-AES128-GCM-SHA256
• ECDHE-RSA-AES128-SHA256
• DHE-RSA-AES128-GCM-SHA256
• DHE-RSA-AES128-SHA256
• AES128-GCM-SHA256
• AES128-SHA256

Налаштований список шифрів повинен бути таким: ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128- SHA256

Коли FIPS вимкнено, для нього встановлюється значення "", порожній рядок.

LDAP для відображення ідентифікаторів мережевої файлової системи (NFS)

Системи Data Domain і PowerProtect можуть використовувати LDAP для зіставлення ідентифікаторів NFSv4, а також NFSv3 або NFSv4 Kerberos з LDAP. Користувач також може налаштувати безпечний LDAP за допомогою LDAPS або «start_TLSМетоду. Автентифікація клієнта LDAP може використовувати Bind DN або Bind PW, але системи не підтримують автентифікацію клієнта LDAP на основі сертифікатів.