通过轻量级目录访问协议 (LDAP) 进行外部认证

IBM FlashSystem® A9000R 系统支持使用基于 LDAP 服务器的用户认证。

在启用 LDAP 认证时,必须为需要访问系统的任何用户授予 LDAP 凭证。内部用户(如技术人员、管理员等)不使用 LDAP 认证

在使用 LDAP 认证时,本机用户认证是缺省值,且必须单独设置身份管理器选项。有关本机用户认证的更多信息,请参阅本机用户认证

管理 LDAP 认证方式和单点登录 (SSO) 中的多个系统

可使用 LDAP 认证方式,简化映射多个 IBM FlashSystem A9000 和 A9000R 系统的任务。

由于所有用户凭证集中存储在 LDAP 目录中,不再需要在多个存储系统之间同步用户凭证。 在 LDAP 中注册用户帐户后,多个存储系统可使用存储在 LDAP 目录中的凭证来进行认证。

因为用户密码存储在 LDAP 目录中,所以所有连接的存储系统都使用相同的密码认证用户。如果密码发生更改,那么所有存储系统自动接受新密码。

此操作方式通常被称为单点登录 (SSO)。此方法对于远程镜像配置尤其有用,其中存储管理员需要频繁地从源切换到目标系统。有关远程镜像的更多信息,请参阅 IBM FlashSystem A9000R Product OverviewSC27-8559(在 IBM FlashSystem A9000R Knowledge Center Web 站点 上)

产品选择

存储系统的 LDAP 认证支持三个 LDAP 服务器产品:
  • Microsoft Active Directory
  • Oracle Directory Server Enterprise Edition
  • OpenLDAP

在选择任何产品用于集中式用户认证时,IT 员工的现有技能组合总是重要的注意事项。 如果您具备运行特定目录服务器的技能,那么可能希望选择在这一特定服务器上实施标准化,因为您的技能熟练的人员非常适合定制和调优此服务器。 您的专家将能够针对 LDAP 基础结构提供最可靠且可用性最高的实施。

使用安全套接字层 (SSL) 的安全 LDAP

在任何认证场景中,都将在 LDAP 服务器和寻求访问的存储系统之间交换信息。 可使用 SSL 以在 LDAP 客户机和服务器之间实施安全通信。 LDAP over SSL (LDAPS)(LDAP 协议的安全版本)允许以下设置:用户密码从不以明文方式传输。

SSL 提供方法以供使用 X.509 整数建立身份并使用加密来确保消息隐私和完整性。

要创建 SSL 连接,LDAP 服务器必须具有可信认证中心 (CA) 签名的数字证书。 公司可选择使用来自其他供应商的可信 CA 或者创建自己的认证中心。

为可行,必须在客户机(IBM FlashSystem A9000 或 FlashSystem A9000R 存储系统)和 LDAP 服务器上配置 SSL。服务器配置包括生成证书请求、从 CA 获取服务器证书以及安装服务器和 CA 证书。
服务器中的 LDAP 注册可通过 UI 或 CLI 完成。 但是,UI 具有文件上载功能,并且在使用 CLI 时,需要剪切并粘贴包含证书的长字符串。

维护 SSL 证书

必须在现有证书到期前安装新的 SSL 证书。