在系统中配置 LDAP
使用 ldap_config_set 命令可配置用于控制针对 LDAP 服务器进行用户认证的常规系统参数。
ldap_config_set [ user_name_attrib=LdapAttrib ] [ xiv_group_attrib=LdapAttrib ]
[ storage_admin_role=LdapRole ] [ read_only_role=LdapRole ]
[ security_admin_role=LdapRole ] [ storage_integration_admin_role=LdapRole ]
[ xiv_host_profiler_role=LdapRole ] [ use_ssl=<yes|no> ] [ user_id_attrib=LdapAttrib ]
[ session_cache_period=Minutes ] [ bind_time_limit=Seconds ]
[ first_expiration_event=Days ] [ second_expiration_event=Days ]
[ third_expiration_event=Days ] [ version=LdapVersion ] [ xiv_user=LdapAttrib ]
[ xiv_password=LdapAttrib ]
[ server_type=<SUN DIRECTORY|MICROSOFT ACTIVE DIRECTORY|OPEN LDAP> ]
[ group_search_depth=Depth ] [ group_search_max_queries=Number ]
[ group_search_stop_when_found=<yes|no> ]
参数
| 名称 | 类型 | 描述 | 必需 | 缺省值 |
|---|---|---|---|---|
| user_name_attrib | 字符串 | 查询的用户名属性。 如果未指定,此参数设置为 uid(对于 SUN Directory 服务器)和 userPrincipalName(对于 Microsoft Active Directory 服务器)。 | N | 根据服务器类型 |
| xiv_group_attrib | 字符串 | 所指定的用于保存系统映射的角色的 LDAP 属性。 | N | none |
| storage_admin_ role | 字符串 | 映射到存储管理员角色的 LDAP 值。 支持多个(最多 8 个)值,且必须使用分号分隔 (;)。 多角色不适用于 SUN Directory LDAP 服务器。 | N | none |
| read_only_role | 字符串 | 映射到“只读”角色的 LDAP 值。 支持多个(最多 8 个)值,且必须使用分号分隔 (;)。 | N | none |
| security_admin_ role | 字符串 | 映射到安全性管理员角色的 LDAP 值。 支持多个(最多 8 个)值,且必须使用分号分隔 (;)。 | N | none |
| storage_ integration_ admin_role | 字符串 | 映射到存储集成管理员角色的 LDAP 值。 支持多个(最多 8 个)值,且必须使用分号分隔 (;)。 | N | none |
| xiv_host_ profiler_role | 字符串 | 映射到 XIV 主机概要分析程序角色的 LDAP 值。 支持多个(最多 8 个)值,且必须使用分号分隔 (;)。 | N | none |
| use_ssl | 布尔 (Boolean) | 指示安全 LDAP 是否是必需的。 | N | 否 |
| user_id_attrib | 字符串 | 在事件日志中记录用户操作时所设置的用于标识用户的 LDAP 属性(除了用户 DN 之外)。 | N | objectSiD |
| session_cache_ period | 正整数 | 尝试使用户重新登录之前保留用户凭证的持续时间。 | N | 20 |
| bind_time_limit | 正整数 | 持续时间值,超过此时间值之后将调用 LDAP 服务器列表中的下一个 LDAP 服务器。 | N | 0。如果设置为缺省值,那么会针对每个命令联系 LDAP 服务器。 性能问题取决于其可用性。 |
| first_ expiration_ event | 正整数 | 发出第一个警报(严重性:警告)时证书到期之前的天数。 | N | 30/14/7(第三个是最小值) |
| second_ expiration_ event | 正整数 | 发出第二个警报(严重性:警告)时证书到期之前的天数。 | N | 30/14/7(第三个是最小值) |
| third_ expiration_ event | 正整数 | 发出第三个警报(严重性:警告)时证书到期之前的天数。 | N | 30/14/7(第三个是最小值) |
| version | 正整数 | 所使用的 LDAP 的版本(仅支持 V3)。 | N | 3 |
| xiv_user | 字符串 | LDAP 查询的用户。 | N | none |
| xiv_password | 字符串 | LDAP 查询的用户的密码。 | N | none |
| server_type | 枚举 | LDAP 服务器的类型。 | N | none |
| group_search_ depth | 正整数 | 要搜索的组层次结构的深度。 | N | 0 |
| group_search_ max_queries | 正整数 | 将针对每台服务器执行的最大组查询数。 | N | 39 |
| group_search_ stop_when_found | 布尔 (Boolean) | 发现匹配的组时停止组搜索。 | N | yes |
不会对预定义用户强制实施 LDAP 访问许可权。 这些预定义用户由 IBM 存储系统认证,而不是由 LDAP 认证,即使启用了 LDAP 认证也是如此。
预定义用户名为:
- admin
- technician
- xiv_development
- xiv_maintenance
用户名与预定义名称相同的 LDAP 用户尝试在启用了 LDAP 认证的情况下登录到系统时,通常访问权会被拒绝,原因如下:
- 用户未针对 LDAP 进行认证,而是针对存储系统进行认证
- 用户的 (LDAP) 密码很可能与存储系统的密码不匹配。
示例:
ldap_config_set storage_admin_role="CN=EXMPLEAdmins,OU=EXMPLELab,DC=CROSSQA,DC=COM"
read_only_role="CN=EXMPLEOpers,OU=EXMPLELab,DC=CROSSQA,DC=COM"
user_id_attrib=sAMAccountName user_name_attrib=sAMAccountName
xiv_group_attrib=memberOf xiv_user="CN=allmighty,CN=Users,DC=CROSSQA,DC=COM"
xiv_password=the_password
security_admin_role="CN=EXMPLESecAdmins,OU=EXMPLELab,DC=CROSSQA,DC=COM"
输出:
Command executed successfully.
访问控制
| 用户类别 | 许可权 |
|---|---|
| 存储管理员 | 允许 |
| 存储集成管理员 | 不允许 |
| 应用程序管理员 | 不允许 |
| 安全性管理员 | 不允许 |
| 只读用户 | 不允许 |
| 技术人员 | 不允许 |
返回码
- LDAP_IS_NOT_FULLY_CONFIGURED
LDAP 未完全配置。
故障诊断:请检查 LDAP 设置。
- LDAP_CONFIG_CHANGE_IS_ILLEGAL_WHEN_AUTHENTICATION_IS_ACTIVE
该 LDAP 配置更改在基于 LDAP 的认证处于活动状态时无效。
故障诊断:禁用基于 LDAP 的认证,然后更改 LDAP 配置。
- LDAP_ROLE_ALREADY_USED
此 LDAP 角色已在 LDAP 配置或用户组中使用。
- NO_LDAP_SERVERS_WITH_CERTIFICATE_ARE_DEFINED
在系统中未定义任何包含 LDAP 证书的 LDAP 服务器。
- INVALID_EXPIRATION_EVENT_DATES
到期事件的日期必须为升序格式。
- LDAP_READ_ONLY_ROLE_HAS_WRONG_NUMBER_OF_PARTS
LDAP 只读角色下的部分过多。
故障诊断:角色部分以“;”符号分隔。部分数量应该在 0 到 8 之间。
- LDAP_ROLE_HAS_DUPLICATED_PARTS
LDAP 角色包含重复的部分。
- LDAP_STORAGE_ADMIN_ROLE_HAS_WRONG_NUMBER_OF_PARTS
LDAP 存储管理员角色下的部分过多。
故障诊断:角色部分以“;”符号分隔。部分数量应该在 0 到 8 之间。
- LDAP_SECURITY_ADMIN_ROLE_HAS_WRONG_NUMBER_OF_PARTS
LDAP 安全性管理员角色下的部分过多。
故障诊断:角色部分以“;”符号分隔。部分数量应该在 0 到 8 之间。
- LDAP_STORAGE_INTEGRATION_ADMIN_ROLE_HAS_WRONG_NUMBER_OF_PARTS
LDAP 存储集成管理员角色下的部分过多。
故障诊断:角色部分以“;”符号分隔。部分数量应该在 0 到 8 之间。
- LDAP_XIV_HOST_PROFILER_ROLE_HAS_WRONG_NUMBER_OF_PARTS
LDAP XIV 主机概要分析程序角色下的部分过多。
故障诊断:角色部分以“;”符号分隔。部分数量应该在 0 到 8 之间。