DeviceManager支持以LDAP(Lightweight Directory Access Protocol)服务器认证方式登录存储系统,以达到用户信息的统一管理。
前提条件
LDAP服务器或Windows AD域服务器安装部署完成。
背景信息
LDAP是轻型目录访问协议,是基于TCP/IP的网络协议,允许对目录系统代理的访问,是X.500目录访问协议的简化形式。
随着网络应用日益丰富,网络管理特别是用户管理变得越来越复杂。对于提供单一服务的系统来说,基本上都是采用“用户名-密码”的认证方式。网络中的各种应用对每个用户具有不同的权限,因此每个应用都需要设定不同的用户名和密码。对于多个应用系统,用户需要输入不同的用户名和密码,不仅繁琐,而且不易管理。LDAP提供的目录服务能够有效解决此类问题。
基于LDAP的认证应用主要是实现一个以目录为核心的用户认证系统,即LDAP环境。在LDAP环境中,当客户端的用户需要访问应用程序时,客户端将用户名和密码提供给LDAP服务器,LDAP服务器将其与目录数据库中的认证信息进行比对来确定用户身份的合法性。
在新一代存储系统应用中,LDAP环境中的客户端组织结构信息存储于LDAP服务器中,用户访问存储系统时,将通过LDAP服务器完成用户身份的认证。
LDAPS(LDAP over SSL):系统使用LDAP over SSL(Secure Sockets Layer)与LDAP服务器通信。如果LDAP服务器支持SSL,则可以选择LDAPS。
在选择LDAPS协议前,需要导入LDAP域服务器的CA证书文件。
操作步骤
- 选择“设置 > 用户与安全 > 域认证”。
- 单击“编辑”。
- 设置LDAP绑定参数,相关参数说明如表1所示。
表1 LDAP绑定参数 参数名称
参数说明
服务器类型
服务器的类型。包括“Windows AD域服务器”和“LDAP服务器”。
客户端组织结构信息存储于域认证服务器中,用户访问共享资源时,将通过服务器完成用户身份的认证。
协议
域认证使用的加密协议。
说明:当协议设置为LDAP协议时,将存在安全风险。建议您选择LDAPS协议。
IP
设置需要添加到LDAP服务器的IP地址,并单击“增加”。最多支持增加4个IP。
说明:单击列表中IP地址右边的
将可以移除IP地址。端口
服务器的端口号。
LDAP服务器的默认端口号为“389”,LDAPS服务器的默认端口号为“636”。
CA证书
导入域认证 CA证书。
说明:当“协议”选择为“LDAPS”时,才需要导入CA证书。
绑定DN
服务器的绑定目录。
客户端发起连接请求与LDAP服务器建立会话,这一过程被称为绑定。在建立绑定时客户端通常需要指定访问帐号,以便能够访问服务器上的目录信息。用户访问内容必须通过绑定目录来进行查找。
绑定DN由RDN组成,RDN之间以英文“,”分隔,RDN基本格式为键=值,其中值首字符不能为“#”,首尾字符不能为空格。例如:testDn=testDn,exampleDn=example
[获取方式]
以Windows AD域服务器为例:
- 在Windows AD域服务器上打开“Active Directory 用户和计算机”。
- 选择管理员帐号或其他具有访问LDAP服务器上域服务权限的帐号,单击鼠标右键,选择“属性”选项。
- 在弹出的“属性”对话框中选择“属性编辑器”页签,查看“distinguishedName”属性值,该值即为绑定DN。
[示例]
cn=xxx,dc=abc,dc=com
说明:访问帐号默认为管理员帐号。若使用其他帐号,需要保证其具有访问LDAP服务器上域服务的权限。
绑定密码
用户访问绑定DN对应目录需要输入的密码。即绑定DN对应的帐号密码。
说明:使用简单的密码存在安全隐患,建议使用复杂度较高的密码,例如同时包含特殊字符、大写字母、小写字母及数字。
- 设置LDAP用户的参数。相关参数说明如表2所示。
表2 LDAP用户参数 参数名称
参数说明
所在目录
创建的域用户所在的目录。
[获取方式]
以Windows AD域服务器为例:
- 在Windows AD域服务器上打开“Active Directory 用户和计算机”。
- 选择管理员帐号或其他具有访问LDAP服务器上域服务权限的帐号所在的文件夹,单击鼠标右键,选择“属性”选项。
- 在弹出的“属性”对话框中选择“属性编辑器”页签,查看“distinguishedName”属性值,该值即为所在目录。
[示例]
cn=xxx,dc=abc,dc=com
名称属性
用户的名称属性。该值用于存储用户对象的名称,在给定用户名称的情况下查找用户。
对象类型
用户对象所属类型,LDAP目录的每个条目都与一个或多个对象类型联系,对象类型包括:用户、群组、邮件、维护终端等。
- 开启“LDAP用户组”,设置LDAP相关参数。相关参数说明如表3所示。
表3 LDAP用户组参数 参数名称
参数说明
所在目录
创建的域用户组所在的目录。
[获取方式]
以Windows AD域服务器为例:
- 在Windows AD域服务器上打开“Active Directory 用户和计算机”。
- 选择创建的域用户组,单击鼠标右键,选择“属性”选项。
- 在弹出的“属性”对话框中选择“属性编辑器”页签,查看“distinguishedName”属性值,该值即为所在目录。
[示例]
cn=xxx,dc=abc,dc=com
名称属性
组的名称属性。该值用于存储组对象的名称,用于在给定组名称的情况下查找该组
成员属性
组的成员属性。该值用于存储组的用户成员。
对象类型
组对象所属类型。LDAP目录的每个条目都与一个或多个对象类型联系,对象类型包括:用户、群组、邮件、维护终端等。
- 可选:若需要恢复默认设置,可以取消启用LDAP服务。
- 可选:单击“测试”可以测试域认证服务器是否可用。
当“协议”选择为“LDAPS”时,需要先保存已上传的“CA证书”后再进行测试。
- 单击“保存”。按照界面提示完成确认操作。