跳到主要内容

添加目录服务器

要为访问管理配置认证,可建立存储阵列与 LDAP 服务器之间的通信,然后再将 LDAP 用户组映射到阵列的预定义角色。

开始之前

  • 必须使用包含安全管理员权限的用户概要文件进行登录。否则,不会出现访问管理功能。
  • 必须在目录服务中定义用户组。
  • LDAP 服务器凭证必须可用,包括域名、服务器 URL 以及(可选)绑定帐户用户名和密码。
  • 对于使用安全协议的 LDAPS 服务器,必须在本地机器上安装 LDAP 服务器的证书链。

关于本任务

添加目录服务器的过程包含两个步骤。第一步是输入域名和 URL。如果服务器使用安全协议,还必须上传 CA 证书以进行认证(如果该证书由非标准签名证书颁发机构进行签名)。如果拥有绑定帐户的凭证,也可输入用户帐户名称和密码。下一步是将 LDAP 服务器的用户组映射到存储阵列的预定义角色。
在添加 LDAP 服务器的过程中,将禁用原有管理接口。原有管理接口(SYMbol)是存储阵列与管理客户端之间的一种通信方法。如果禁用,存储阵列和管理客户端将使用一种更安全的通信方法(REST API over https)。
  1. 选择设置 > 访问管理
  2. 目录服务选项卡中,选择添加目录服务器
    随后将打开“添加目录服务器”对话框。
  3. 服务器设置选项卡中,输入 LDAP 服务器的凭证。

    字段详细信息

    设置描述
    配置设置
    输入 LDAP 服务器的域名。如果是多个域,应以逗号分隔列表的形式输入这些域。在登录中使用域名(用户名 @ )可指定进行认证所依据的目录服务器。
    服务器 URL ldap[s]:// host : port 形式输入用于访问 LDAP 服务器的 URL。
    上传证书(可选)
    仅当以上“服务器 URL”字段中指定了 LDAPS 协议的情况下才显示此字段。

    单击浏览,然后选择要上传的 CA 证书。这是用于认证 LDAP 服务器的可信证书或证书链。

    绑定帐户(可选)输入用于针对 LDAP 服务器进行搜索查询以及在组中进行搜索的只读用户帐户。请以 LDAP 类型格式输入帐户名称。例如,如果绑定用户的名称为“bindacct”,则可输入如下值:“CN=bindacct,CN=Users,DC=cpoc,DC=local”。
    绑定密码(可选)
    输入上面的绑定帐户时,将显示此字段。
    输入绑定帐户的密码。
    在添加前测试服务器连接如果要确保存储阵列可使用所输入的 LDAP 服务器配置进行通信,请选中此复选框。单击对话框底部的添加后,便会开始测试。

    如果选中此复选框后测试失败,则不会添加该配置。必须解决错误,或取消选中此复选框以跳过测试,才能添加该配置。

    权限设置
    搜索基 DN输入用于搜索用户的 LDAP 上下文,通常采用 CN=Users, DC=copc, DC=local 形式。
    用户名属性输入绑定到用于认证的用户标识的属性。例如: sAMAccountName
    组属性输入用户的组属性列表(用于组到角色的映射)。例如: memberOf, managedObjects
  4. 单击角色映射选项卡。
  5. 将 LDAP 组分配给预定义的角色。一个组可具有多个已分配的角色。

    字段详细信息

    设置描述
    映射
    组 DN指定要映射的 LDAP 用户组的组可分辨名称(DN)。
    角色单击此字段,然后选择要映射到组 DN 的存储阵列角色之一。必须单独选择要用于此组的每个角色。为了登录到 ThinkSystem System Manager ,必须提供监察员角色并与其他角色结合使用。
    映射的角色拥有以下权限:
    • 存储管理员 – 对存储对象(例如,卷和磁盘池)具有完全读/写访问权限,但不能访问安全配置。
    • 安全管理员 – 可访问“访问管理”、证书管理和审核日志管理中的安全配置,并能够打开或关闭旧版管理界面(SYMbol)。
    • 支持管理员 – 可访问存储阵列上的所有硬件资源、故障数据、MEL 事件和控制器固件升级。不能访问存储对象或安全配置。
    • 监察员 – 对所有存储对象具有只读访问权限,但不能访问安全配置。
  6. 如果需要,单击添加另一个映射以输入更多组到角色的映射。
  7. 映射完毕后,单击添加
    系统会执行验证,确保存储阵列和 LDAP 服务器可进行通信。如果显示错误消息,请检查对话框中输入的凭证,并在必要时重新输入信息。