在系统中配置 LDAP

使用 ldap_config_set 命令可配置用于控制针对 LDAP 服务器进行用户认证的常规系统参数。

ldap_config_set [ user_name_attrib=LdapAttrib ] [ xiv_group_attrib=LdapAttrib ]
 [ storage_admin_role=LdapRole ] [ read_only_role=LdapRole ]
 [ security_admin_role=LdapRole ] [ storage_integration_admin_role=LdapRole ]
 [ xiv_host_profiler_role=LdapRole ] [ use_ssl=<yes|no> ] [ user_id_attrib=LdapAttrib ]
 [ session_cache_period=Minutes ] [ bind_time_limit=Seconds ]
 [ first_expiration_event=Days ] [ second_expiration_event=Days ]
 [ third_expiration_event=Days ] [ version=LdapVersion ] [ xiv_user=LdapAttrib ]
 [ xiv_password=LdapAttrib ]
 [ server_type=<SUN DIRECTORY|MICROSOFT ACTIVE DIRECTORY|OPEN LDAP> ]
 [ group_search_depth=Depth ] [ group_search_max_queries=Number ]
 [ group_search_stop_when_found=<yes|no> ]

参数

名称 类型 描述 必需 缺省值
user_name_attrib 字符串 查询的用户名属性。 如果未指定,此参数设置为 uid(对于 SUN Directory 服务器)和 userPrincipalName(对于 Microsoft Active Directory 服务器)。 N 根据服务器类型
xiv_group_attrib 字符串 所指定的用于保存系统映射的角色的 LDAP 属性。 N none
storage_admin_ role 字符串 映射到存储管理员角色的 LDAP 值。 支持多个(最多 8 个)值,且必须使用分号分隔 (;)。 多角色不适用于 SUN Directory LDAP 服务器。 N none
read_only_role 字符串 映射到“只读”角色的 LDAP 值。 支持多个(最多 8 个)值,且必须使用分号分隔 (;)。 N none
security_admin_ role 字符串 映射到安全性管理员角色的 LDAP 值。 支持多个(最多 8 个)值,且必须使用分号分隔 (;)。 N none
storage_ integration_ admin_role 字符串 映射到存储集成管理员角色的 LDAP 值。 支持多个(最多 8 个)值,且必须使用分号分隔 (;)。 N none
xiv_host_ profiler_role 字符串 映射到 XIV 主机概要分析程序角色的 LDAP 值。 支持多个(最多 8 个)值,且必须使用分号分隔 (;)。 N none
use_ssl 布尔 (Boolean) 指示安全 LDAP 是否是必需的。 N
user_id_attrib 字符串 在事件日志中记录用户操作时所设置的用于标识用户的 LDAP 属性(除了用户 DN 之外)。 N objectSiD
session_cache_ period 正整数 尝试使用户重新登录之前保留用户凭证的持续时间。 N 20
bind_time_limit 正整数 持续时间值,超过此时间值之后将调用 LDAP 服务器列表中的下一个 LDAP 服务器。 N 0。如果设置为缺省值,那么会针对每个命令联系 LDAP 服务器。 性能问题取决于其可用性。
first_ expiration_ event 正整数 发出第一个警报(严重性:警告)时证书到期之前的天数。 N 30/14/7(第三个是最小值)
second_ expiration_ event 正整数 发出第二个警报(严重性:警告)时证书到期之前的天数。 N 30/14/7(第三个是最小值)
third_ expiration_ event 正整数 发出第三个警报(严重性:警告)时证书到期之前的天数。 N 30/14/7(第三个是最小值)
version 正整数 所使用的 LDAP 的版本(仅支持 V3)。 N 3
xiv_user 字符串 LDAP 查询的用户。 N none
xiv_password 字符串 LDAP 查询的用户的密码。 N none
server_type 枚举 LDAP 服务器的类型。 N none
group_search_ depth 正整数 要搜索的组层次结构的深度。 N 0
group_search_ max_queries 正整数 将针对每台服务器执行的最大组查询数。 N 39
group_search_ stop_when_found 布尔 (Boolean) 发现匹配的组时停止组搜索。 N yes

不会对预定义用户强制实施 LDAP 访问许可权。 这些预定义用户由 IBM 存储系统认证,而不是由 LDAP 认证,即使启用了 LDAP 认证也是如此。

预定义用户名为:

  • admin
  • technician
  • xiv_development
  • xiv_maintenance
用户名与预定义名称相同的 LDAP 用户尝试在启用了 LDAP 认证的情况下登录到系统时,通常访问权会被拒绝,原因如下:
  • 用户未针对 LDAP 进行认证,而是针对存储系统进行认证
  • 用户的 (LDAP) 密码很可能与存储系统的密码不匹配。
但是,如果用户尝试使用相应预定义用户的密码登录到系统,将会对其授予相应预定义用户的权限,无论 LDAP 设置如何(例如,用户与应用程序管理员角色的关联),这是因为预定义用户的 LDAP 认证不是必需的。

示例:

ldap_config_set storage_admin_role="CN=EXMPLEAdmins,OU=EXMPLELab,DC=CROSSQA,DC=COM" 
read_only_role="CN=EXMPLEOpers,OU=EXMPLELab,DC=CROSSQA,DC=COM" 
user_id_attrib=sAMAccountName user_name_attrib=sAMAccountName 
xiv_group_attrib=memberOf xiv_user="CN=allmighty,CN=Users,DC=CROSSQA,DC=COM" 
xiv_password=the_password  
security_admin_role="CN=EXMPLESecAdmins,OU=EXMPLELab,DC=CROSSQA,DC=COM"

输出:

Command executed successfully.

访问控制

用户类别 许可权
存储管理员 允许
存储集成管理员 不允许
应用程序管理员 不允许
安全性管理员 不允许
只读用户 不允许
技术人员 不允许

返回码

  • LDAP_IS_NOT_FULLY_CONFIGURED

    LDAP 未完全配置。

    故障诊断:请检查 LDAP 设置。

  • LDAP_CONFIG_CHANGE_IS_ILLEGAL_WHEN_AUTHENTICATION_IS_ACTIVE

    该 LDAP 配置更改在基于 LDAP 的认证处于活动状态时无效。

    故障诊断:禁用基于 LDAP 的认证,然后更改 LDAP 配置。

  • LDAP_ROLE_ALREADY_USED

    此 LDAP 角色已在 LDAP 配置或用户组中使用。

  • NO_LDAP_SERVERS_WITH_CERTIFICATE_ARE_DEFINED

    在系统中未定义任何包含 LDAP 证书的 LDAP 服务器。

  • INVALID_EXPIRATION_EVENT_DATES

    到期事件的日期必须为升序格式。

  • LDAP_READ_ONLY_ROLE_HAS_WRONG_NUMBER_OF_PARTS

    LDAP 只读角色下的部分过多。

    故障诊断:角色部分以“;”符号分隔。部分数量应该在 0 到 8 之间。

  • LDAP_ROLE_HAS_DUPLICATED_PARTS

    LDAP 角色包含重复的部分。

  • LDAP_STORAGE_ADMIN_ROLE_HAS_WRONG_NUMBER_OF_PARTS

    LDAP 存储管理员角色下的部分过多。

    故障诊断:角色部分以“;”符号分隔。部分数量应该在 0 到 8 之间。

  • LDAP_SECURITY_ADMIN_ROLE_HAS_WRONG_NUMBER_OF_PARTS

    LDAP 安全性管理员角色下的部分过多。

    故障诊断:角色部分以“;”符号分隔。部分数量应该在 0 到 8 之间。

  • LDAP_STORAGE_INTEGRATION_ADMIN_ROLE_HAS_WRONG_NUMBER_OF_PARTS

    LDAP 存储集成管理员角色下的部分过多。

    故障诊断:角色部分以“;”符号分隔。部分数量应该在 0 到 8 之间。

  • LDAP_XIV_HOST_PROFILER_ROLE_HAS_WRONG_NUMBER_OF_PARTS

    LDAP XIV 主机概要分析程序角色下的部分过多。

    故障诊断:角色部分以“;”符号分隔。部分数量应该在 0 到 8 之间。