LDAP 认证
轻量级目录访问协议 (LDAP) 支持能够使存储系统用户的认证通过 LDAP 服务器储存库或目录来完成。
当 LDAP 认证启用后,系统会使用(通过 CLI 或 GUI)访问存储系统的用户的用户名和密码登录至指定的 LDAP 目录。 成功登录后,存储系统会检索存储在 LDAP 目录中用户的组成员数据,然后使用该信息将用户与存储系统管理员角色相关联。
组成员数据存储于 LDAP 目录中客户定义的预配置属性。 该属性包含与管理员角色关联的字符串值。 这些值可能是 LDAP 组名,但是存储系统不需要。 客户也定义了属性包含的值,及其与存储系统管理员角色的关联。
支持的域
支持以下 LDAP 认证目录:
- Microsoft Active Directory
- SUN 目录
- Open LDAP
LDAP 多个域的执行
为了支持涉及不同域的多个 LDAP 服务器以及使用 memberOf 属性,存储系统允许 多个存储管理员角色和只读角色。
预定义的管理员标识“admin”和“technician”始终由存储系统认证,与是否启用 LDAP 认证无关。
LDAP 目录和存储系统之间的职责划分
LDAP 和存储系统划分了职责和维护的对象。
以下是由存储系统和 LDAP 目录维护的职责和数据:
- LDAP 目录
- 职责:系统用户的用户认证和系统相关用户组的分配。
- 维护:用户、用户名、密码和指定的系统相关的 LDAP 组。
- 存储系统
- 职责:通过将 LDAP 用户组映射到存储系统角色来确定相应的用户角色,并实施对存储系统的任何用户访问权。
- 维护:将 LDAP 用户组映射到存储系统角色。