通过轻量级目录访问协议 (LDAP) 进行外部认证
IBM FlashSystem® A9000R 系统支持使用基于 LDAP 服务器的用户认证。
注:
|
要点: 作为首选实践,LDAP 服务器和 FlashSystem
A9000R 存储系统的时钟应同步为相同时间源,进行注册并配置为使用相同的 DNS 服务器。
|
在使用 LDAP 认证时,本机用户认证是缺省值,且必须单独设置身份管理器选项。有关本机用户认证的更多信息,请参阅本机用户认证。
管理 LDAP 认证方式和单点登录 (SSO) 中的多个系统
可使用 LDAP 认证方式,简化映射多个 IBM FlashSystem A9000 和 A9000R 系统的任务。
由于所有用户凭证集中存储在 LDAP 目录中,不再需要在多个存储系统之间同步用户凭证。 在 LDAP 中注册用户帐户后,多个存储系统可使用存储在 LDAP 目录中的凭证来进行认证。
因为用户密码存储在 LDAP 目录中,所以所有连接的存储系统都使用相同的密码认证用户。如果密码发生更改,那么所有存储系统自动接受新密码。
此操作方式通常被称为单点登录 (SSO)。此方法对于远程镜像配置尤其有用,其中存储管理员需要频繁地从源切换到目标系统。有关远程镜像的更多信息,请参阅 IBM FlashSystem A9000R Product Overview,SC27-8559(在 IBM FlashSystem A9000R Knowledge Center Web 站点 上)。
产品选择
- Microsoft Active Directory
- Oracle Directory Server Enterprise Edition
- OpenLDAP
在选择任何产品用于集中式用户认证时,IT 员工的现有技能组合总是重要的注意事项。 如果您具备运行特定目录服务器的技能,那么可能希望选择在这一特定服务器上实施标准化,因为您的技能熟练的人员非常适合定制和调优此服务器。 您的专家将能够针对 LDAP 基础结构提供最可靠且可用性最高的实施。
使用安全套接字层 (SSL) 的安全 LDAP
在任何认证场景中,都将在 LDAP 服务器和寻求访问的存储系统之间交换信息。 可使用 SSL 以在 LDAP 客户机和服务器之间实施安全通信。 LDAP over SSL (LDAPS)(LDAP 协议的安全版本)允许以下设置:用户密码从不以明文方式传输。
SSL 提供方法以供使用 X.509 整数建立身份并使用加密来确保消息隐私和完整性。
要创建 SSL 连接,LDAP 服务器必须具有可信认证中心 (CA) 签名的数字证书。 公司可选择使用来自其他供应商的可信 CA 或者创建自己的认证中心。
要点: 在使用存储系统中的安全证书定义 LDAP 服务器时,LDAP 服务器的标准名称必须匹配客户机证书中的“颁发目标”名称。
|
维护 SSL 证书
必须在现有证书到期前安装新的 SSL 证书。