Administrator Guide
启用目录服务验证
在您授予 Storage Center 访问目录用户和目录用户组权限之前,您必须首先将 Storage Center 配置为与一个或多个 Active Directory/
OpenLDAP 服务器通信。如果使用 Kerberos 验证,您还必须配置 Storage Center 与 Kerberos 密钥分发中心 (KDC) 进行通信。
前提条件
• Active Directory 或 OpenLDAP 目录服务必须部署在您的环境中。
• Storage Center 必须有到目录服务的网络连接。
• 您必须熟悉目录服务的 Active Directory/OpenLDAP 配置。
• Storage Center 需要从允许查询目录服务和具有执行绑定操作的足够权限的目录服务用户处获取凭据。
• (仅限 Active Directory)将控制器加入域需要从身为管理员并具有创建目录中计算机记录的目录服务用户处获取凭据。
• (仅限 Active Directory)要将控制器加入域,必须在域中创建 Storage Center 的正向和反向 DNS 记录。对于单控制器 Storage
Center 系统,为控制器 IP 地址创建 DNS 记录。对于双控制器 Storage Center 系统,为管理 IP 地址创建 DNS 记录。
• (仅限 OpenLDAP)要使用 OpenLDAP 进行密码验证,需要 SSL 证书以使用 SSL/TLS 与目录服务进行通信。
自动查找目录服务设置
使用“配置目录服务自动查找”向导可允许 Storage Center 自动查找可用目录服务。
步骤
1. (连接到 Data Collector 的 Storage Manager Client)从存储视图选择 Storage Center。
2. 在摘要选项卡中,单击编辑设置。
此时将打开编辑 Storage Center 设置对话框。
3. 单击目录服务选项卡。
4. 单击配置目录服务自动查找。
Storage Center 会使用配置目录服务自动查找向导自动查找目录服务器设置,并显示这些设置。
5. (可选)清除您要更改的任何设置旁边的复选框,然后在该字段中键入新值。
• 在 URI 字段中,为 Storage Center 连接到的一个或多个服务器键入统一资源标识符 (URI)。
注: 使用服务器的完全限定域名 (FQDN)。
两个服务器的 URI 示例:
ldap://server1.example.com ldap://server2.example.com:1234
注: 添加多个服务器可确保在发生资源中断时继续为用户授权。如果 Storage Center 无法与第一个服务器建立联系,
Storage Center 会尝试按列出的顺序连接到其余服务器。
• 在目录服务器连接超时字段中,输入 Storage Center 尝试连接到 Active Directory 服务器时等待的最长时间(分钟)。此值必
须大于零。
• 在基本 DN 字段中,键入 LDAP 服务器的基本可辨识名称。基本 DN 是搜索用户时的起始点。
• 在 Storage Center 主机名字段中,键入 Storage Center 的完全限定域名 (FQDN)。
• 对于单控制器 Storage Center 系统,这是控制器 IP 地址对应的完全限定主机名。
• 对于双控制器 Storage Center 系统,这是管理 IP 地址对应的完全限定主机名。
• 在 LDAP 域字段中,键入要搜索的 LDAP 域。
6. (可选)单击测试服务器以验证 Storage Center 能否使用所选协议与指定目录服务器通信。
7. (可选)如果启用传输层安全性 (TLS),则上载证书颁发机构 PEM 文件。
a) 单击上传证书颁发机构 PEM。
b) 浏览到 PEM 文件位置,选择该文件,然后单击选择。此时会打开上传 TLS 证书对话框。
注: 如果选错了 PEM 文件,可单击上载 TLS 证书对话框中的上载证书以选择新文件。
c) 单击确定以上载证书。
8. 单击下一步。
此时,Kerberos 设置页面会打开。
9. (可选)选中已启用复选框,以启用 Kerberos 验证。
10. 要更改任何 Kerberos 设置,请清除自动查找复选框,然后在该字段中键入新值。
• Kerberos 域领域:要验证的 Kerberos 域领域。在 Windows 网络中,这是使用大写字符的域名。
Storage Center 维护 219