管理LDAP服务

DeviceManager支持以LDAP(Lightweight Directory Access Protocol)服务器认证方式登录存储系统,以达到用户信息的统一管理。当用户网络中部署了LDAP服务器时,需要将系统加入到LDAP域环境中,以便NFS客户端访问系统共享资源时通过LDAP服务器的身份验证。

背景信息

当通过跨平台多节点提供共享访问时,维护不同平台及不同节点的共享目录和鉴权信息变得非常复杂。而将提供共享服务的节点加入到一个LDAP域中,且通过LDAP服务器管理域后,只需要在创建时规划好整个域的结构,便可以轻松维护和访问域中的任何共享文件。

从数据结构上阐述LDAP(Lightweight Directory Access Protocol),它是一个树型结构,能有效明确的描述一个组织结构特性的相关信息。在这个树型结构上的每个节点,我们称之为条目 (Entry),每个条目有自己的唯一可区别的名称(Distinguished Name ,DN)。条目的DN是由条目所在树型结构中的父节点位置(Base DN)和该条目的某个可用来区别身份的属性(Relative Distinguished Name,RDN)组合而成。

区别名称可以由以下三个部分组成:

前提条件

LDAP域环境已搭建完成。

操作步骤

  1. 选择“设置 > 文件服务设置 > 域认证 > LDAP服务”。
  2. 浏览LDAP服务参数,相关参数说明如表1所示。

    表1 LDAP服务参数

    参数名称

    参数说明

    状态

    LDAP服务是否启用。

    主服务器地址

    主用LDAP服务器的IP地址或域名。

    备服务器地址1

    备用LDAP服务器1的IP地址或域名。

    备服务器地址2

    备用LDAP服务器2的IP地址或域名。

    协议

    系统与LDAP服务器通信使用的协议。

    端口号

    系统与LDAP服务器通信所使用的端口号。

    基准DN

    指定LDAP进行搜索的起始DN,即从哪个DN下开始搜索。

    绑定类型

    指定LDAP绑定类型。

    simple:绑定类型为simple认证。

    SASL:绑定类型为简单认证与安全层(Simple Authentication and Security Layer)。

    单击LDAP服务的信息栏,可以查看其详细信息,并进行管理。

  3. 配置LDAP服务。

    1. 勾选需要进行配置的LDAP,单击“配置”。

      系统右侧弹出“配置LDAP服务”页面。

      您也可以单击LDAP所在行右侧的“更多”,选择“配置”进行操作。

    2. 设置基本信息。参数说明如表2所示。
      表2 LDAP服务基本信息

      参数名称

      参数说明

      主服务器地址

      主用LDAP服务器的IP地址或域名。

      说明:
      • 输入的IP地址或域名必须保证可以连通,否则会导致用户认证类和网络类的命令超时。
      • 单击“测试”,可以检验输入的IP地址或域名是否连通。

      备服务器地址1

      备用LDAP服务器1的IP地址或域名。

      说明:
      • 输入的IP地址或域名必须保证可以连通,否则会导致用户认证类和网络类的命令超时。
      • 单击“测试”,可以检验输入的IP地址或域名是否连通。

      备服务器地址2

      备用LDAP服务器2的IP地址或域名。

      说明:
      • 输入的IP地址或域名必须保证可以连通,否则会导致用户认证类和网络类的命令超时。
      • 单击“测试”,可以检验输入的IP地址或域名是否连通。

      协议

      系统与LDAP服务器通信使用的协议。

      • LDAP:系统使用标准LDAP协议与LDAP服务器通信。
      • LDAPS:系统使用LDAP over SSL(Secure Sockets Layer)与LDAP服务器通信。如果LDAP服务器支持SSL,则可以选择LDAPS。
      说明:

      当协议设置为LDAP协议时,将存在安全风险。建议您选择LDAPS协议。

      端口号

      系统与LDAP服务器通信所使用的端口号。

      • 使用LDAP协议时的默认端口号为“389”。
      • 使用LDAPS协议时的默认端口号为“636”。

      基准DN

      指定LDAP进行搜索的起始DN,即从哪个DN下开始搜索。

      [取值范围]

      DN由RDN组成,RDN之间以“,”分隔,RDN基本格式为健=值,其中值首字符不能为“#”,首尾字符不能为空格。例如:testDn=testDn,xxxDn=xxx

      [示例]

      dc=example,dc=com

      绑定类型

      指定LDAP绑定类型。

      simple:绑定类型为simple认证。

      SASL:绑定类型为简单认证与安全层(Simple Authentication and Security Layer)。

      绑定DN

      服务器的绑定目录。

      客户端发起连接请求与LDAP服务器建立会话,这一过程被称为绑定。在建立绑定时客户端通常需要指定访问帐号,以便能够访问服务器上的目录信息。用户访问内容必须通过绑定目录来进行查找。

      [取值范围]

      DN由RDN组成,RDN之间以“,”分隔,RDN基本格式为健=值,其中值首字符不能为“#”,首尾字符不能为空格。例如:testDn=testDn,xxxDn=xxx

      [示例]

      cn=Manager,dc=example,dc=com

      说明:

      访问帐号默认为管理员帐号。若使用其他帐号,需要保证其具有访问LDAP服务器上域服务的权限。

      绑定密码

      用户访问绑定DN对应目录需要输入的密码。

      说明:

      使用简单的密码存在安全隐患,建议使用复杂度较高的密码,例如同时包含特殊字符、大写字母、小写字母及数字。

      确认绑定密码

      再次输入绑定密码,保证两次输入一致。

      用户所在目录

      LDAP服务器配置的一个用户DN。

      用户查找范围

      通过该参数指定用户查找范围。

      • subtree:从所命名的DN条目和其子节点搜索。
      • onelevel:直接从DN的子节点搜索。
      • base:只搜索所命名的DN条目。

      用户组所在目录

      LDAP服务器配置的一个用户组DN。

      用户组查找范围

      通过该参数指定用户组查找范围。

      subtree:从所命名的DN条目和其子节点搜索。

      onelevel:直接从DN的子节点搜索。

      base:只搜索所命名的DN条目。

      网络组所在目录

      通过该参数指定网络组所在目录。

      网络组查找范围

      通过该参数指定网络组查找范围。

      • subtree:从所命名的DN条目和其子节点搜索。
      • onelevel:直接从DN的子节点搜索。
      • base:只搜索所命名的DN条目。

      查询超时时间(秒)

      客户端等待服务器端返回查询结果的超时时间,默认为3秒。

      连接超时时间(秒)

      客户端与单个服务器端建立连接的超时时间,默认为3秒。

      空闲超时时间(秒)

      在设定的时间内,LDAP服务器与客户端无通信,则断开两者的连接。默认为30秒。
    3. 单击“高级”,设置高级参数。参数说明如表3所示。
      表3 LDAP服务高级信息

      参数名称

      参数说明

      LDAP模板类型

      在此处可选择LDAP模板类型。

      • 自定义
      • RFC2307:基于RFC2307的Schema。
      • AD_IDMU:UNIX下基于活动目录身份管理(Active Directory Identity Management)的Schema。
      说明:
      • 通过选择模板类型,可自动填写模板对应的参数值。您也可以不选择模板类型,自定义设置相关参数。
      • Schema定义了LDAP目录所应遵循的结构和规则,为LDAP服务器提供了LDAP目录中类别、属性等信息的识别方式,使这些信息可以被LDAP服务器识别。

      RFC2307用户对象

      由Schema定义的RFC2307 posixAccount对象类名称。

      [取值范围]

      长度范围是0到1024位。

      [默认值]

      • posixAccount(选择LDAP模板类型为RFC2307时的默认显示)
      • User(选择LDAP模板类型为AD_IDMU时的默认显示)

      RFC2307用户组对象

      由Schema定义的RFC2307 posixGroup对象类名称。

      [取值范围]

      长度范围是0到1024位。

      [默认值]

      • posixGroup(选择LDAP模板类型为RFC2307时的默认显示)
      • Group(选择LDAP模板类型为AD_IDMU时的默认显示)

      RFC2307网络组对象

      由Schema定义的RFC2307 nisNetgroup对象类名称。

      [取值范围]

      长度范围是0到1024位。

      [默认值]

      nisNetgroup

      RFC2307 uid属性

      由Schema定义的RFC2307 uid属性名称。

      [取值范围]

      长度范围是0到1024位。

      [默认值]

      uid

      RFC2307 uidNumber属性

      由Schema定义的RFC2307 uidNumber属性名称。

      [取值范围]

      长度范围是0到1024位。

      [默认值]

      uidNumber

      RFC2307 gidNumber属性

      由Schema定义的RFC2307 gidNumber属性名称。

      [取值范围]

      长度范围是0到1024位。

      [默认值]

      gidNumber

      RFC2307组CN属性

      由Schema定义的RFC2307组CN属性名称。

      [取值范围]

      长度范围是0到1024位。

      [默认值]

      cn

      RFC2307网络组CN属性

      由Schema定义的RFC2307网络组CN属性名称。

      [取值范围]

      长度范围是0到1024位。

      [默认值]

      • cn(选择LDAP模板类型为RFC2307时的默认显示)
      • name(选择LDAP模板类型为AD_IDMU时的默认显示)

      RFC2307 memberUid属性

      由Schema定义的RFC2307 memberUid属性名称。

      [取值范围]

      长度范围是0到1024位。

      [默认值]

      memberUid

      RFC2307 memberNisNetgroup属性

      由Schema定义的RFC2307 memberNisNetgroup属性名称。

      [取值范围]

      长度范围是0到1024位。

      [默认值]

      memberNisNetgroup

      RFC2307 nisNetgroupTriple属性

      由Schema定义的RFC2307 nisNetgroupTriple属性名称。

      [取值范围]

      长度范围是0到1024位。

      [默认值]

      • nisNetgroupTriple(选择LDAP模板类型为RFC2307时的默认显示)
      • NisNetgroupTriple(选择LDAP模板类型为AD_IDMU时的默认显示)

      是否支持RFC2307bis

      选择是否为Schema启用RFC2307bis。

      RFC2307bis groupOfUniqueNames对象

      由Schema定义的RFC2307bis groupOfUniqueNames对象类名称。该参数仅在“是否支持RFC2307bis”设置为“启用”后有效。

      [取值范围]

      长度范围是0到1024位。

      [默认值]

      groupOfUniqueName

      RFC2307bis uniqueMember对象

      由Schema定义的RFC2307bis uniqueMember属性名称。该参数仅在“是否支持RFC2307bis”设置为“启用”后有效。

      [取值范围]

      长度范围是0到1024位。

      [默认值]

      uniqueMember
    4. 单击“确定”。

  4. 可选:恢复初始配置,已配置参数将恢复到初始状态。

    勾选LDAP服务,单击“恢复初始配置”。

    您也可以单击LDAP所在行右侧的“更多”,选择“恢复初始配置”进行操作。

父主题: 配置域认证