DeviceManager支持以LDAP(Lightweight Directory Access Protocol)服务器认证方式登录存储系统,以达到用户信息的统一管理。
前提条件
LDAP服务器或Windows AD域服务器安装部署完成。
背景信息
LDAP是轻型目录访问协议,是基于TCP/IP的网络协议,允许对目录系统代理的访问,是X.500目录访问协议的简化形式。
随着网络应用日益丰富,网络管理特别是用户管理变得越来越复杂。对于提供单一服务的系统来说,基本上都是采用“用户名-密码”的认证方式。网络中的各种应用对每个用户具有不同的权限,因此每个应用都需要设定不同的用户名和密码。对于多个应用系统,用户需要输入不同的用户名和密码,不仅繁琐,而且不易管理。LDAP提供的目录服务能够有效解决此类问题。
基于LDAP的认证应用主要是实现一个以目录为核心的用户认证系统,即LDAP环境。在LDAP环境中,当客户端的用户需要访问应用程序时,客户端将用户名和密码提供给LDAP服务器,LDAP服务器将其与目录数据库中的认证信息进行比对来确定用户身份的合法性。
在新一代存储系统应用中,LDAP环境中的客户端组织结构信息存储于LDAP服务器中,用户访问存储系统时,将通过LDAP服务器完成用户身份的认证。
LDAPS(LDAP over SSL):系统使用LDAP over SSL(Secure Sockets Layer)与LDAP服务器通信。如果LDAP服务器支持SSL,则可以选择LDAPS。
在选择LDAPS协议前,需要导入LDAP域服务器的CA证书文件。
操作步骤
- 选择“设置 > 用户与安全 > 域认证”。
- 单击“编辑”。
- 设置LDAP绑定参数,相关参数说明如表1所示。
表1 LDAP绑定参数 参数名称
参数说明
服务器类型
服务器的类型。包括“Windows AD域服务器”和“LDAP服务器”。
客户端组织结构信息存储于域认证服务器中,用户访问共享资源时,将通过服务器完成用户身份的认证。
协议
域认证使用的加密协议。
说明:当协议设置为LDAP协议时,将存在安全风险。建议您选择LDAPS协议。
IP
设置需要添加到LDAP服务器的IP地址,并单击“增加”。最多支持增加4个IP。
说明:单击列表中IP地址右边的
将可以移除IP地址。端口
服务器的端口号。
LDAP服务器的默认端口号为“389”,LDAPS服务器的默认端口号为“636”。
CA证书
导入域认证 CA证书。
说明:当“协议”选择为“LDAPS”时,才需要导入CA证书。
绑定DN
服务器的绑定目录。
客户端发起连接请求与LDAP服务器建立会话,这一过程被称为绑定。在建立绑定时客户端通常需要指定访问帐号,以便能够访问服务器上的目录信息。用户访问内容必须通过绑定目录来进行查找。
说明:访问帐号默认为管理员帐号。若使用其他帐号,需要保证其具有访问LDAP服务器上域服务的权限。
绑定密码
用户访问绑定DN对应目录需要输入的密码。
- 设置LDAP用户的参数。相关参数说明如表2所示。
- 开启“LDAP用户组”,设置LDAP相关参数。相关参数说明如表3所示。
- 可选:若需要恢复默认设置,可以取消启用LDAP服务。
- 可选:单击“测试”可以测试域认证服务器是否可用。
当“协议”选择为“LDAPS”时,需要先保存已上传的“CA证书”后再进行测试。
- 单击“保存”。按照界面提示完成确认操作。